近年来,区块链技术越来越受欢迎。除了在加密货币领域的应用,区块链技术已经被应用于食品安全、医疗保健、智能合约等诸多领域。本质上,区块链是一系列与密码学方法相关联的数据块。每个区块包含一定时间内网络中所有的信息交换数据。随着时间的推移,这个链条会不断增长。基于以上特点,业界普遍认为,区块链技术基于共识机制、去中心化和密码学的应用原则,能够有效解决交易过程中的安全和信任问题。然而,随着区块链应用的推广,由区块链数字资产引发的各种安全问题也开始出现,包括盗币、诈骗、非法集资、洗钱、暗网非法交易、网络犯罪等。2021年7月,跨链桥接项目Chainswap被黑,20多个项目代币被黑客盗走,总损失400万美元。同年7月,跨链桥接项目Anyswap新上线的V3跨链流动性池遭到黑客攻击,总损失超过787万美元。2021年8月,区块链应用孵化器DAOMaker遭到黑客攻击,共计700万美元被盗,影响5521名用户。2022年2月,跨链桥项目Wormhole遭到攻击,损失约3.2亿美元。2022年8月,区块链平台Solana遭到攻击,价值数百万美元的加密货币钱包被洗劫一空。据相关统计,2021年全球区块链生态相关安全事件将超过300起,相比2020年增长22%;由此造成的经济损失超过153亿美元,同比增长26%。大量事实表明,区块链已成为网络攻击者的诱人目标。并且随着应用程序的普及,未来将会出现更多的区块链安全问题。下面将描述8种最常见的区块链应用安全威胁,并给出应对建议。1.Sybil攻击在区块链网络中,用户创建新身份或新节点的成本极低,因此攻击者利用这一特性发动Sybil攻击,通过伪造自己的身份加入区块链网络。控制若干节点和节点身份后,可以进行一些恶意行为:如误导正常节点的路由表,降低区块链网络节点的搜索效率等。女巫攻击对区块链网络的影响主要体现在虚假节点加入:在遵循区块链网络协议的基础上,任何网络节点都可以向区块链网络发送节点加入请求消息。利用这个过程,Sybil攻击者可以获得大量的区块链网络节点信息来分析区块链网络拓扑结构。误导区块链节点的路由选择:节点间路由信息的实时交互是保证区块链网络正常运行的关键因素之一。一个节点只需要周期性地向它的邻居节点通告它的在线状态,这样就可以保证它被邻居节点添加到它的路由表中。通过这个过程,恶意Sybil入侵者侵入正常区块链节点的路由表,误导其路由选择,降低区块链节点的路由更新和节点搜索效率。发布虚假资源:Sybil攻击者一旦侵入区块链网络节点的路由表,就可以随意发布自己的虚假资源。国防部建议使用可接受的共识算法,例如工作量证明(PoW)、股权证明(PoS)、委托股权证明(DPoS)等。虽然这些算法不能直接防止女巫攻击,但可以有效降低攻击者被攻击的可能性发动女巫攻击。这些共识算法背后的共同特征是增加了在区块链网络中创建身份的成本。身份认证可以基于第三方可靠节点或全节点系统。监控备用节点的行为并检查仅测量来自一个用户的转发块的节点。2.端点漏洞虽然区块链技术被认为几乎“牢不可破”,但我们需要注意的是,大多数用于区块链交易的终端计算设备并不安全。区块链网络的交易终端可以是用户使用区块链进行操作的任何地方:PC、手机或其他电子设备。黑客通过利用终端系统中的漏洞观察用户行为并窃取密钥。国防部建议不要在相关终端设备上将区块链密钥保存为文本文件。为终端电子设备安装和使用可靠的终端安全保护软件。经常检查系统以跟踪时间、位置和设备访问信息。3.51%攻击51%攻击是指攻击者拥有全网50%以上的算力资源,可以发起51%算力攻击,修改自己的交易记录,丢弃其他矿工挖出的区块,防止交易确认等不道德行为,这可能是灾难性的。理论上,如果你掌握了50%以上的算力,你将拥有获得区块链记账权的绝对优势,你可以更快地生成区块信息,你也将拥有篡改区块链数据的能力。研究人员发现,当恶意攻击者持有比特币全网算力比例较高时,即使比例没有达到51%,他们也可以发起相应的攻击。一个典型的案例是双花问题。防御建议确保更高的哈希率。提升矿池监控能力。4.钓鱼攻击区块链网络钓鱼攻击频繁,给全网和用户造成了严重的损失。攻击者在网络钓鱼攻击中的目标是窃取用户的凭据(密码、私钥等)。他们会向钱包密钥的所有者发送看似合法的电子邮件,诱骗用户将他们的登录详细信息输入到虚假的超链接中。这将对用户和区块链网络造成严重损害,受害者也容易受到后续持续攻击。防护建议及时更新系统版本,通过安装经过验证的插件或扩展来提高浏览器安全性。通过安装端点安全软件提高设备安全性。加强相关人员网络安全意识培训。避免使用开放或公共Wi-Fi网络。5.路由攻击区块链技术的安全和隐私面临的主要挑战将是路由攻击。区块链网络和应用依赖于大量数据的实时传输。黑客可以利用账户的匿名性来拦截正在传输的数据。这是一种路由攻击。在路由攻击的情况下,区块链参与者通常没有意识到威胁,因为数据传输和操作照常进行。风险在于,这些攻击通常会在用户不知情的情况下窃取用户的机密数据或提取数字化资产。国防部建议使用更可靠的数据加密技术。使用证书实施安全路由协议。加强密码管理,使用强密码策略。6、私钥破解私钥是保证交易合法性的唯一凭证。如果私钥丢失或被盗,则意味着失去对账户下所有资产和数据的操作权。因此,保证私钥的安全成为了区块链应用的命脉。如果私钥不够安全,很容易被黑客破解,从而无需任何密码即可轻松转移用户账户中的资产。国防部建议私钥应保密并足够强大。私钥不能以明文形式出现在服务器或第三方平台上,可以被窃取。如果私钥丢失,则需要备份以便于找回私钥。7.恶意节点恶意节点可以通过攻击者的伪装自由加入或离开区块链网络,利用区块链节点的局限性发起攻击或破坏网络的完整性。一旦攻击者可以访问区块链网络并试图通过向网络发送虚假交易请求或试图撤销有效交易来破坏它,就会发生这种情况。建议加强节??点安全检测进行保护。采用拜占庭容错(PBFT)模型,即使出现少数恶意节点和故障节点,也能保证大部分忠诚节点的一致性和正确性。8、可扩展性问题可扩展性是指随着用户数量的增加,系统能够自动应对不断增长的计算需求。然而,由于去中心化的要求,区块链的可扩展性往往难以满足。区块链应用中有一个名词:TPS(TransactionsPerSecond),即每秒的交易次数,代表了某个区块链应用系统的交易能力。而这种交易能力受到区块链“不可能三角”的制约:“不可能三角”意味着可扩展性(Scalability)、去中心化(Decentralization)、安全性(Security)无法同时实现。二是这极大地限制了区块链技术的商业落地。建议积极尝试应用创新的主链扩展方案,如侧链或Rollups,以提高区块链网络的可扩展性。
