股票基金

当前位置:云顶娱乐官网下载 > 股票基金 > 有哪些不可忽视的安全问题,慢雾洞若观火

有哪些不可忽视的安全问题,慢雾洞若观火

来源:http://www.yantaigongkuang.com 作者:云顶娱乐官网下载 时间:2019-11-29 06:34

目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。

去中心化的钱包,典型代表就是imToken和Kcash。

嘉宾慢雾余弦:技多不压身,大家会看到越来越多攻击手法被披露,至少保持理解为什么会这样。比如前面说的以太坊黑色情人节事件,为什么为什么为什么会发生?

区块链面临的安全威胁

图片 1

2018 年 5 月 29 号,根据 coinmarketcap.com 发布的数据,目前比特币市值 1200 千亿美金,紧随其后的是以太坊,大概五百多亿美金。13 年比特币大概 600 块钱,现在涨到了八千块钱,这是大家能够直观感受到的。

图片 2

钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化, 11 年出现了第一次比特币安全事件,当时丢失 102 万美金,14 年全球区块链的资金损失大概是 4.6 亿美金。18 年上半年,这个数字达到 19 亿美金。

以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。

图片 3

我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有 13.4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了 12.4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿厂矿工的一些病毒事件等等。

图片 4

根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。

为了抢夺用户,成为下一任区块链时代的王者,它们开始了激烈的厮杀和暗战……

群友:能承受这么大的DDOS攻击和数据量吗,竞争对手恶意攻击让这个生态更混乱了还是清楚劣质交易所呢?

图片 5

“我们设计了一款糖果红包,用户只要点击红包,下载Kcash就可以领取。”Kcash的联合创始人刘琨称。

以太坊黑色情人节专题页我发两个截图

区块链生态引发的安全威胁

区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括 PoW 机制下的矿场和矿池、PoS 机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp 应用,以及面向未来 dApp 应用的区块链网关系统等。

区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51% 等攻击的存在,导致区块链数据的安全收到威胁。

交易所被 DDoS 攻击案例

2017.5 月,某区块链货币交易平台突然遭遇猛烈 UDP FLOOD 攻击,受到的攻击流量和数据包峰值瞬间飙升到 84517Mbps 和 30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了 10 天。

10 天后,攻击者纠集了 6 万个肉鸡僵尸,CC 攻击流量急剧攀升到 51023.30GB。

三个小时后,攻击者再次利用 51890 个肉鸡,制造高达 12238.33GB 的 CC 流量。

目前,该平台每天仍遭受 20 余万次恶意扫描,38 余万次危险攻击。

数字钱包所面临的风险

数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。

冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。

某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。

某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。

使用者面临的安全威胁欺诈案例——钓鱼攻击

2018 年 3 月 7 日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。

根据交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。

2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudong zheng 发表了一篇论文,题目是《Phishing with Unicode Domains》,中文为“利用 unicode 网址钓鱼”。

欺诈案例——不了解私钥的特性

2017 年 7 月 1 日,中原油田某小区居民 188.31 个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值 280 万美元。

2017 年 10 月,东莞一名 imToken 用户发现 100 多个 ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。

百团大战,甚至千军开战,都存在可能。

但是你得守正,价值观一致,还得敬畏法律,敬畏规则。

区块链在几个方向有很大的应用前景。

02 竞猜游戏

目前该事件有什么最新进展?慢雾最近又发现了哪些新型且隐秘的攻击手法?

区块链自身机制

图片 6

数据层。区块链数据可能是链式结构,也可能是 DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。

网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能 20 多个节点,其中几个节点被人 DoS 下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击垮了。

共识层。共识机制也非常重要,比特币的共识算法 PoW 决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前 PoS、DPoS 越来越多,PoS 涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。

合约层和业务层。今年 2 月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。

这次事件涉及的漏洞一年多之前就被网络曝光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。

直到走到应用、社交阶段之后,币在其中才有增值和流通的场景。

图片 7

区块链政策导向

2016 年 10 月,工业和信息化部发布《中国区块链技术和应用发展白皮书 (2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。

2016 年 12 月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。

2017 年 1 月,工信部发布《软件和信息技术服务业发展规划 (2016-2020 年)》,提出区块链等领域创新达到国际先进水平等要求。2017 年 8 月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。

2017 年 10 月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。

2018 年 3 月,工信部发布《2018 年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。

2017 年 9 月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。

那么接下来,终极难题来了:如何收割流量,沉淀用户?

区块链并没什么特别,就好像我一直说黑客没什么特别。我想表达的是:我们不必过于强调。对了,别忘了:区块链可不仅仅是技术,还有经济和政治。

为什么大家都蜂拥进来做钱包?不管是互联网时代,还是区块链世界,都逃脱不了一个铁律:得流量者,得天下。

但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜、地下黑客收割庄家。

目前,市面上都按照数字货币的50%-60%的额度来放款。比如,价值10万的比特币,只能贷出来5万。而它们的风控,大多是采取“股票质押”的模型。

嘉宾慢雾余弦: 有必要,这问题真好啊!

图片 8

嘉宾慢雾余弦:确实术业有专攻,有门槛。

因此,中心化钱包、去中心化钱包,还有冷钱包,神鱼都已经涉足。而搞清楚“中心不中心”之后,他们还要想好第二个问题:发不发币。

嘉宾慢雾余弦:嗯,愿景我用一张图文来说,这就是慢雾的愿景,比较低调。

而中国人最擅长的应用,要等到技术成熟之后,才能发展。就如互联网出现之后,才有互联网时代的应用大爆炸。

嘉宾慢雾余弦:安全角度,我们觉得这个生态没谁是漂亮的。但是,相对优质的是有的。而且我们也发现,其实普遍来说,区块链生态里大家已经把安全当成必选项了。

中心化的钱包,针对的是新进入币圈的小白用户。

阁主大于:守正应该是出奇的前提。那让您选一个词来描述慢雾,你会选择什么词?

“我们设想了一条轨迹,先降低门槛,让小白用户进来,随着他们更深入,我们再给他们推荐我们的去中心化钱包,等到他们成为币圈大户,我们还会给他推一款不联网的冷钱包,来安全管理资产。”神鱼说,用户会成长,他们会根据不同阶段的用户来设计产品。

嘉宾慢雾余弦:然后,似乎有个错觉,有人说:你们慢雾进来后,各种新型攻击就层出不穷。就好像柯南每集都会死掉一个人,这不能怪柯南呀,剧情需要呀。

“大家都在抢好的项目,试图去谈一个独家合作,相互导流量。”钱阳称,但一般小玩家,都没有机会。

慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。

至于“借贷”,就是用户将数字货币“质押”,然后再贷出一部分法币来。

Q3

“80%的用户,几乎都只要一款钱包产品,就可以管理他的所有资产。”钱阳称。

阁主大于:能不能把区块链本身的安全缺陷再讲一讲。虽然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。

但用户领糖果的步骤十分繁琐。

嘉宾慢雾余弦:客观说,绝大多数安全性堪忧,挡不住职业攻击者。整体来说一切的生态发展都是从混乱到正规。

“这样的钱包,使用起来就比较费劲了。”钱阳称,一般的小白用户,直接都被挡在了门外。

不必过于强调区块链技术,恰如神秘的黑客“自带奇”。因为这个这个世界不存在乌托邦,没有完美的去中心化。

可以看出,两种钱包的分工比较明晰:

嘉宾慢雾余弦:嗯,这也是我们觉得区块链这个世界充满魔力的原因。

早期Kcash在获取用户时,采取了“奇招”。

Q5

钱包的未来,真能一片坦途,并能直接夺下未来区块链世界的王座吗?迈出的第一步,它们就得踌躇半天。

阁主大于:在区块链世界里,意识、共识永远是很重要的。

以前大家都是去电报群里空投“糖果”,免费送一些代币,激活市场流量。

本期嘉宾慢雾团队自称是一支慢格调的安全团队。“慢雾”这个词取自《三体》,寓意黑暗森林里的安全区域。那么究竟信仰“守正出奇”的慢雾赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡呢?

实际上,如果钱包的模式只有存储、金融两个属性,“发币几乎没有意义”,钱阳称。

- 协议安全

01 钱包涌现

前言

尽管不擅长技术,但中国人擅长做应用。中国的区块链玩家,正在全面发力做一个应用:钱包。

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

那么,接下来,上百钱包产品面临的,就是激烈的流量厮杀。

阁主大于:第二问,国家信息技术安全研究中心主任俞克群曾表示,目前区块链还处在初级阶段,风险不仅来自于外部有意的恶意攻击,也有可能来自区块链本身体系内生的原因。我想问,区块链本身体系内生风险源是什么?区块链技术本身存在安全缺陷吗?

但是问题来了:我们将钱存入支付宝,是因为马云强大的信任背书;但我们凭什么信任一个新的钱包平台?它们是否安全,是否会将我们的币卷走呢?

阁主大于:文化 制度 监管。

大数据安全公司知道创宇曾在2018年年初统计过炒币人群的数量:全球炒币人群3000万,中国是600万。针对这个日渐庞大的用户群体,钱包和交易所一样,正在成为刚需产品。

嘉宾慢雾余弦:知道创宇是我老东家。我在老东家做了9年安全,负责安全能力。是的,他们很强。我觉得区块链生态有它极大的魅力,可玩性其实很高很高,现在谈对手,太早。

目前市面上的钱包团队,已达上百家。其中绝大多数,并非区块链团队,而是来自金融和互联网圈。它们野心勃勃,甚至认为钱包是未来交易所的终极形态。

嘉宾慢雾余弦:好吧,想不到。

未来几个月,当所有的钱包项目爆发,战争将更加惨烈。

里面对安全的分类有:

在目前中国的区块链世界,食物链最顶端的,就是“BHO”(币安、火币和OKCoin)。因为它们垄断了币圈用户,成为最大的流量入口。但钱包,有机会成为新的流量入口。

阁主大象:可以,天天来。我最不能解决的问题是小龙虾为什么要去壳,这么麻烦。

“其实,从去年年底开始,我们就开始重点投资针对数字货币用户群体的应用。”神州数字资本的负责人称,这些应用,都在针对币圈的刚需和痛点。

我题外话说下地下世界现在最有意思的我觉得是门罗币,但是这个题外话回头可以再展开。

因此,安全和增信,成为中心化钱包需要面临的最大问题。

阁主大于:这还真是一个令人惊诧的问题。

但是目前,几乎所有的钱包,只走到第二步,币在其中的价值,“可能只能给用户空投了。”

嘉宾慢雾余弦:慢雾背后有一支 Red Team,以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。

神鱼预测,未来3年内,中心化的交易所和去中心化的交易所,将都是并存的形态。

图片 9

对于刚进币圈或者资产并不多的用户来说,钱包一定是具有“排他性”的。

嘉宾慢雾余弦:得罪人。

中心化的交易所,承载小额、高频、主流币种的交易;而去中心化的交易所,可能会进行大额、低频、小币种的交易。

阁主大象:一共十一问,OK,我的问题结束。

首先,它们需要回答,自己到底是要做一个中心化钱包,还是要做一个去中心的钱包。

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

一本区块链采访的每一个钱包的创始人,都设想了这么一个场景:如果在钱包里,直接可以进行币与币的快速交易,就可以取代交易所。

然后这个生态里做个溯源其实更难,法币溯源有国家力量,这个生态这些币的溯源,没什么力量,太分散,大家自扫门前雪,偶尔还会看到互相嘲讽。

比如,Tha自有量化投资团队,而Kcash是和外部量化投资团队合作。

群友厂长:好纯洁。

那么,存活下来并统一市场的钱包,未来真的可以取代交易所吗?

阁主大于:很帅气的官网,清晰明了,值得点开一看,哈哈。

但是,这些观察者都忽视了一点:针对数字货币人群的应用,大有机会。

好,我提问的部分就到这里。接下来请另外一位阁主大象提问,也就是要从一本正经切换到轻松愉快模式了。双阁主的模式,嘉宾很辛苦,观众很嗨皮。

因此,行业的共识是,引领区块链3.0时代的公链项目,诞生在中国的可能性不大,重点还得看硅谷和欧洲。那中国还有何机会?

主编赵一丹:感谢老阁主传授武功心得!现在我宣布,火讯琅琊榜第三期正式开场!

“传统金融,无外乎两部分,理财和借贷。这些同样可以用在数字货币领域。”币乘的创始人田智勇称,而他此前是36氪核心创始人之一、氪空间的缔造者。

Q2

厚积薄发、耐得住寂寞,钱包项目就是早期收割流量、沉淀用户,后期再发力的产品。

嘉宾慢雾余弦:说实话这个问题上下文我没了解,区块链技术本身当然存在安全缺陷呀。没绝对的安全,这也算是我们做安全的基本共识。

03 困难重重

阁主大象:不会得罪人的,因为对手可能还没诞生……

这件事情,开始变得和区块链没有任何关系,就如互联网世界一样,成为一场最为惨烈的流量争夺战。

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

第二种,几乎大家都想到了的,金融。

阁主大于:精辟!基本有些感觉了。

图片 10

阁主大于:很有意思,可否介绍一下慢雾科技的愿景?

用户的数字货币,并没有存到钱包中,钱包只是同步账本,转账等行为,还是需要区块链来确认。

Q11

在中国的区块链世界,正在上演一场激烈的数字货币钱包大战。纵观全球技术的发展史,技术的起源和崛起,几乎都不在中国。区块链同样如此。

以下为访谈实录整理

第一种,纯粹的工具,只能做数字货币的存储,这种模式,意义不大。

阁主大象:挖门罗币?感觉诡异,换个话题。

可以理解为,它们类似支付宝,用户直接将钱存入支付宝。支付宝内部的各种转账,实际上就是数字间的划转,最后支付宝再统一清算。

所以说,技术只能强化原有的产业逻辑和趋势,比如如果能通过分布式协作增加效率,那使用区块链一定是很好的。但是恐怕不能用技术凭空创造出来不存在的趋势。

钱包玩家们的最大野心,就是成为去中心化交易所的流量入口,成为下一任区块链世界的王者。

- 实现安全,包括:

进入2018年之后,区块链世界的空气币很难再随意“割韭菜”。真正好的项目和技术,才有机会杀出重围,穿越熊市。不少从业者认为,中国在下一波的区块链浪潮中,机会并不多。这是因为,核心的底层技术,出在中国的可能性不大。

阁主大于:非常感谢宝贵经验!我们努力!争取为各位火讯的读者提供几道精神大餐!

到了支付和交易环节,那币的价值将被无限增大。

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

这样的效率,无疑是快速的,用户进来,也不用经历那一套繁琐的流程。

阁主大于:我觉得以后真的有必要搞一些通俗易懂的区块链安全科普材料,至少让大家有基本的认识,才能达成共识。

交易所承载的,是数字货币的交易功能。但钱包,实现的是存储功能:你可以把币放在自己的钱包中,还可以给其他人转币。这就好比,在证券交易所,你可以买卖股票,但你最终还是会将钱转到自己的账户中,存储起来,不可能一直放在证券交易所。

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

引入监督机制、将资产上链,这是它们目前能想到的增强信任的方式。

嘉宾慢雾余弦:受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节很难在这展开。

而神鱼靠着自己强大的粉丝团,也收获了早期的5万种子用户。

第三期第一场

“保守估计,现在有上百家的钱包产品。”钱阳推测,实际钱包项目甚至更多,因为很多项目还在研发阶段,没对外宣传。他预估,未来一两个月,数字货币钱包将迎来大爆炸。

嘉宾慢雾余弦:慢雾的使命是给这个区块链生态带来安全感。愿景前面也通过了。慢雾是个慢格调的公司,不喜欢竞争。

不少钱包,也纷纷将理财作为它们吸引客户的一个服务。

图片 11

本文由云顶娱乐官网下载发布于股票基金,转载请注明出处:有哪些不可忽视的安全问题,慢雾洞若观火

关键词: