ブロックチェーンの技術は近年急速に発展し、その価値がますます認められるようになりました。同時に、技術と応用の面での安全挑戦も次第に明らかになりました。
本論文ではブロックチェーン技術と応用に対する攻撃方式とセキュリティイベントを検討し、インフラ層、暗号アルゴリズム層、ノード通信層、共通認識プロトコル層、運行プラットフォーム層、知能契約層、システム応用層を含む7層のセキュリティモデルを提案し、モデル各層に対応する具体的なリスク点について解決策を提案した。
さらにブロックチェーンのデータプライバシー問題も検討した。
ブロックチェーンの安全性はブロックチェーンの技術的特徴に従って、その安全モデルは7階建てのアーキテクチャから構成されてもよく、インフラ層、暗号アルゴリズム層、ノード通信層、共通認識プロトコル層、運行プラットフォーム層、スマート契約層、システム応用層をそれぞれ含みます。
各階層はそれぞれのレベルから対応する安全リスクに対応し、ブロックチェーンシステムの全体的な安全を実現する。
ここで、インフラストラクチャ層は、オペレーティングシステムのようなブロックチェーンを実行するために必要な基礎ソフトハードウェアを含み、暗号化アルゴリズム層は、ブロックチェーン実装に必要な暗号学技術、例えば非対称暗号化アルゴリズム、データ要約アルゴリズムなどを含む。ノード通信層は、ノード間の通信伝達メカニズムを含み、共通認識プロトコル層は主に様々な共通認識プロトコルを含み、プラットフォームを実行する。階には、EVM仮想マシンなどのスマート契約の運用環境が含まれています。スマート契約層は主にブロックチェーンに配置されているさまざまな業務契約を含んでいます。
各階層の間には異なるセキュリティリスクがあります。インフラ層は主にハッカーが伝統的なセキュリティ・ホールを通じて攻撃するリスクに直面します。暗号アルゴリズム層は主に暗号化強度、前提仮説などの面に存在する問題に直面しています。コードがオーバーホールを実現するリスクがあります。ノード通信層は主にノード伝播と検証メカニズムのリスクに直面しています。また、ポイントネットワーク(主に共通チェーンで使用される)によって形成されるネットワークトポロジの特徴、メッセージ転送時間の不確定、ネットワーク分裂などの要素による攻撃、コンセンサス層はコンセンサスとインセンティブメカニズムの違いによって、異なるタイプの攻撃リスクに直面する。プラットフォーム層は主にブロックチェーン運行プラットフォーム自体の実現過程に存在する脆弱性によるリスクに直面する。例えば、仮想マシンの脱出など、スマート契約層が主に直面する攻撃リスクは、Solidity言語の脆弱性、タイムスタンプ依存攻撃などである。システムアプリケーション層のセキュリティリスクは主にユーザーノード、デジタル資産の財布及び取引プラットフォームに集中する。
1.インフラ層ブロックチェーンノードサーバはまだハッキングされた木馬、盗聴ネットワーク通信、DDOS攻撃などのセキュリティリスクがあります。
ブロックチェーン技術自体は、少数のノードが悪意のある制御によって引き起こされる破壊をある程度防ぐことができるが、最下のシステム・ホールのためにハッカーが大部分のノードを簡単に制御できるようになれば、ブロックチェーンネットワーク全体がまだ大きな危険に直面している。
2.暗号化アルゴリズム層暗号化アルゴリズムはブロックチェーンの安全性と改竄不可能性を保証する鍵であり、ブロックチェーンの情報完全性、認証性と不可相殺性に重要な保障を提供している。
解読された難易度によって、暗号アルゴリズムは異なる安全等級を持っています。
絶対的な安全は存在しません。暗号文のコストが暗号化データの価値より大きいなら、「安全」と考えられます。暗号文を解読するために必要な時間が暗号化データより長いなら、「安全」とも言えます。
ブロックチェーン技術は、非対称アルゴリズムおよびハッシュ(Hash)アルゴリズムのような暗号学の研究結果に大きく依存している。
これらの暗号アルゴリズムは現在は比較的安全ですが、絶対安全ではありません。
一つは、ハッシュ関数に作用するクリティカル攻撃、衝突攻撃、長さ拡張攻撃などの暗号学的アルゴリズムに対する攻撃方法が存在することである。
ジャミング攻撃とは、入手した暗号文に対して、すべての可能な鍵を遍歴する試みであり、暗号文から明文への理解可能な変換が得られるまで、または可能なすべての明文に対して不変の鍵を使用して暗号化することである。
衝突攻撃とは、攻撃者がアルゴリズムの弱点を見つけ、その強力な衝突耐性を崩し、攻撃者が短い時間で異なる値を見つけることができるようにすることです。
長さ拡張攻撃は、追加情報を含む暗号化されたハッシュ関数を許可するポインタの攻撃手段である。
暗号文hashと暗号文の長さが知られている場合、暗号文と他のメッセージをつなぎ合わせて計算したhashを導出する。
第二に、アルゴリズムの実現過程において、バックドアと脆弱性が存在し、ブロックチェーンシステムの安全性を脅かす可能性がある。
例えば、採用された暗号アルゴリズム自体にはセキュリティ・ホールがないが、法庫の実現には誤りがあり、このようなコードのプログラミング過程で形成された脆弱性は、ブロックチェーンの実践におけるブラックスワン安全事件の爆発の原因となる可能性がある。例えば、OpeSSLはコードの作成ミスで鍵セキュリティ・ホールが発生したことがある。
第三に、将来は様々な暗号学的アルゴリズムの量子攻撃に役立つかもしれない。
量子計算機の計算力が向上するにつれて、貧乏時間の複雑さが大幅に減少し、現在は様々な暗号化アルゴリズムが崩壊のリスクに直面しています。
したがって、暗号アルゴリズム層でセキュリティリスクを防ぐためには、以下の点に注意しなければならない。
第一に、セキュリティ認証されたハードウェア暗号機またはライブラリを採用して、暗号アルゴリズムと鍵管理の安全性を保証する。
第二に、時間が経つにつれて、新しいアルゴリズムに移る可能性を十分に考慮しなければならない。
計算機の計算能力はより速くなり、この変形は既存のアルゴリズムの強度を低下させ、現在は一般的に鍵の長さを増やすことによってリスクを相殺する。
将来の安全性がより高く、速度が速く、資源の計算と保存に必要な優れた特性がより少ない新しいアルゴリズムが出現する可能性を排除しない。
第三に、鍵管理の重要性を十分に考慮する。
ブロックチェーンシステムに含まれている各種鍵とHash値などのデータは有効な保護と管理を必要とし、ブロックチェーンシステム自体が被害を受けないようにする。
鍵の安全は極めて重要であり、その管理システムは、鍵の作成、鍵の派生、鍵の配布、鍵の記憶、セキュリティ監査などのセキュリティ管理機能を含むべきである。
第四に、ユーザーが鍵をなくしたり、鍵が失効したり、他の危害を受けたりした時にブロックチェーンを使用する例外プログラムを十分に考慮する。
鍵または秘密鍵の盗難リスクは、鍵の有効期限と使用量を制限することによって緩和されます。
実際には、いくつかのブロックチェーンシステムは、盗難に使用された鍵を交換するためのいかなる方法も設計されていないため、ユーザの損失をもたらす。
第五に、暗号化アルゴリズムは安全性と計算コストの間で妥協すべきである。
アプリケーション環境では、特定の業界に必要な保護レベルに応じて、適切な暗号アルゴリズムと鍵の長さを選択しなければならない。
特に注意したいのは,既存の暗号アルゴリズムに依存している暗号化アルゴリズムと鍵長は現在のセキュリティニーズを満たすことができるが,量子計算の発展が将来にもたらす可能性のある影響を十分に考慮する必要があることである。
3.ノード通信層の大部分の公有ブロックチェーンシステムはP 2 Pネットワークをベースにしており、P 2 Pネットワーク技術の重要な特徴は開放性であり、便利さをもたらすと同時に、各種の安全問題を伴う。
P 2 Pネットワークは、近くのノードに依存して情報伝送を行うと、相手のIPが暴露されます。攻撃者は、この脆弱性を利用して他のノードにセキュリティ脅威を与えることができます。ブロックチェーンノードは、普通の家庭PCかもしれません。クラウドサーバなどの安全性が不揃いです。安全性の低いノードは攻撃を受けやすく、さらにP 2 Pネットワークの全体の安全性に影響を与えます。
P 2 Pネットワークに対して攻撃者は、日食攻撃、盗聴攻撃、分割攻撃、遅延攻撃、拒否サービス攻撃(DDoS)などの攻撃を行うことができます。
日蝕攻撃は他のノードが実施するサイバー攻撃であり、その攻撃手段は被害者の点対点接続のピアノードを買いだめして占領することであり、このノードをメインネットワークから隔離するノードは日蝕ノードである。
このタイプの攻撃は、最新のブロックチェーン情報が日蝕ノードに入るのを阻止し、情報孤島となり、さらにその情報入力を制御することを目的としている。
盗聴攻撃は、ブロックチェーン内のユーザIDを攻撃者がIPに関連付けることができる。
分割攻撃の攻撃者は境界ゲートウェイプロトコル(BGP)ハイジャックを利用してブロックチェーンネットワークを2つ以上の交わらないネットワークに分割できます。このときブロックチェーンは2つ以上の並列チェーンに分岐します。
攻撃が停止するとブロックチェーンは再び一つのチェーンに統一されます。一番長いチェーンを中心としています。
他のチェーンは廃棄されます。その上の取引、奨励などは全部無効です。
遅延攻撃は攻撃者が境界ゲートウェイプロトコルでハイジャックしてターゲットのブロック更新を遅延させ、しかも発見されない。
DDoS攻撃は、大流量または脆弱性でP 2 Pネットワークのノードを攻撃し、ネットワークの一部のノードネットワークを麻痺させる。
公開チェーンは加入したユーザに対していかなるアクセス許可機構も設けず、悪意のあるノードは加入後に意図的に運行秩序を乱し、正常な業務を破壊することができる。一方、許可チェーンは異なる等級のアクセス制御機構を設けても、悪意のあるノードがホールを利用して侵入して攻撃を展開したり、ノードの連携が発生したりすることもある。
以上のような状況に鑑みて、ピアツーピアノードで情報伝送を行う際に暗号化し、伝送過程の暗号化と情報自体の暗号化を含め、セキュリティハッシュ計算やデジタル署名などの技術によって、伝送中のデータの完全性を保証し、ノードアイデンティティ認証によって情報伝達過程において攻撃を受けることを防止しなければならない。
ライセンスチェーンにとって、具体的な方法は、まず、ノードの許可許可許可の原則をとること、2番目は端末アクセス時に身分認証を行うこと、3番目は取引前にノード通信の双方に対してアイデンティティ認証を行うことである。
4.共通のプロトコル層ブロックチェーンには異なるタイプがあり、参入メカニズムによって異なる場合、ブロックチェーンは共有チェーンと許可チェーンに分けられる。
これは、チェーン上の最後のブロックがいつでも全ネットワークの状態を反映できるように、適応した共通認識メカニズムが必要である。
共通認識のメカニズムはブロックチェーンシステムの秩序的な運行を維持する基礎であり、相互間の信頼関係が確立されていないブロックチェーンノードは共通認識のメカニズムを通じて、新たなブロックに書き込まれた情報について合意した。
Fabicに代表されるライセンスチェーンシステムはPBFTコンセンサス機構を使用する。
PFTは、状態機械が分散システムの異なるノードで安全で信頼できるレプリカコピーコピーを行うことができるように、状態機械のレプリカ複製アルゴリズムである。
許可チェーンについては、マルチ信頼者によって共同で管理され、ノードの信頼度が高く、PBFTが優先的な共通認識メカニズムとなるようにする。
23より大きいノードが誠実であれば、PBFTはシステムの安全性を理論的に保証することができますので、PBFTに対する有効な攻撃方法は現在ありません。
共有チェーンとライセンスチェーンは共通協定の安全上考慮される要素が異なる。
PFTに代表される従来のBFTアルゴリズムのセキュリティ前提は、通常、ネットワーク全体において悪意のあるノードが一定の割合を超えない(例えば33%を超えない)と仮定するだけであるが、悪意のあるノードの割合がなぜ実際の要求を満たすことができるのかを追及しない、または考慮しない。
しかし、大部分の公開チェーンについては、ノードは匿名で動的に参加し、終了することができるので、経済人の仮定に基づく賞罰制度の設計がうまくなければ、協力は自動的に生成されず、「悪意のあるノードの割合がしきい値を超えない」という安全前提も神秘的に自動的に満たされることはない。
したがって、本明細書で述べた「共通のメカニズム」には、ブロックチェーンの励起メカニズムも含まれている。
ビットコインに代表される共有チェーンはPOW共通認識メカニズムを多く使用する。
POW共通認識メカニズムは本質的にすべての計算力リソースを提供するクラスタの中で、一つのアルゴリズム機構を通じて幸運ノードを選択します。POWアルゴリズムは最終的な状態がないため、(後期に追跡できる最長チェーンによって覆されます)。
特に、汎用鉱床(複数の貨幣を掘ることができる鉱床)と計算力クラウドのレンタルサービスの出現によって、計算力分布はレンタル者の変化に従ってチェーン間で素早く切り替わりやすいです。この時、あるチェーン上の暗号化貨幣が攻撃されて、鉱山所有者の利益に影響を与えないので、鉱山所有者はハッカーに動力を貸して、使用を無視します。途中、51%の攻撃のハードルを下げました。
Peecoiに代表される暗号化通貨はPOS共通認識メカニズムを使用する。
作業量証明機構を採用して新貨幣を発行し、権益証明メカニズムを採用してネットワークの安全を維持する。
POSメカニズムは、各ノードがトークンの割合と時間を持つことにより、アルゴリズム等の割合に応じてノードの採掘難易度を低減し、乱数を探す速度を速める。
このような共通認識のメカニズムは、共通認識を達成するために必要な時間を短縮することができるが、本質的にはまだネットワークのノードによる掘削演算が必要である。
共通の共通の仕組みに対する攻撃は、51%攻撃、長距離攻撃、貨幣年齢累積攻撃、攻撃などが予想されます。
その中で長距離攻撃、貨幣年齢累計攻撃、予想攻撃はPOS共通認識メカニズムに対して行われます。51%攻撃はPOW共通認識メカニズムに対して行われます。
5.プラットフォーム層ブロックチェーンの運行プラットフォーム層は、暗号アルゴリズム層、ノード通信層、コンセンサスプロトコル層に基づいて、知能契約及びブロックチェーン応用に向けた運行環境を構築し、ブロックチェーンPAASサービスを構成する核心部分であり、その攻撃と安全リスクは主にスマート契約仮想機の設計と実現から来る。
知能契約の仮想マシンはブロックチェーン知能契約の運行環境です。
セキュリティのためのインテリジェント契約の仮想マシンは、サンドボックスのパッケージであり、動作環境が完全に分離されていることを確認します。すなわち、スマート契約の仮想マシンで実行されているコードは、ネットワーク、ファイルシステム、その他のプロセスにアクセスできません。
知能契約の間のアクセスと呼び出しにも必要な管理と制限が必要です。
スマート契約仮想マシンはブロックチェーンの各ノードで動作し、ノードからのスマート契約コードを受信して展開し、仮想マシンに欠落がある場合や関連する制限メカニズムが不完全である場合、攻撃者から悪意のあるスマート契約を実行する可能性が高い。
現在契約書の仮想マシンに対する主な攻撃方法としては、逸脱した攻撃、論理的な脆弱性攻撃、スタックオーバーホール攻撃、リソースの乱用などがあります。
脱出ホール攻撃とは、仮想マシンがバイトコードを実行する時に、砂箱環境を提供することであり、一般ユーザーが沙箱の制限の中で該当コードを実行するしかない場合、このタイプのホールは攻撃者を砂箱環境から退出させ、他の実行できないコードを実行させることができる。
論理的ホール攻撃とは、コードを利用して規格に合わず、特定のデータやコードに対してフォールトトレランス処理を行わず、特定のシーンを構築することで、システムに論理的な問題が発生することを意味する。
スタックオーバーホール攻撃とは、攻撃者が悪意のコードを作成して仮想マシンに解析させて実行させ、最終的にスタックの深さが仮想マシンによって許容される最大の深さを超えたり、システムメモリを絶えず占有してメモリオーバーフローを引き起こすことです。
リソース濫用攻撃とは、攻撃者が仮想マシンに悪意のあるコードを配置し、システムのネットワークリソース、記憶リソース、計算リソース、メモリリソースを消費することを意味する。
6.インテリジェント契約層知能契約の本質はブロックチェーンネットワークで実行されるコードであり、ユーザーから与えられた業務ロジックを完成する。
一方、ブロックチェーンは知能契約の運用に信頼できる計算運行プラットフォームを提供しています。一方、知能契約はブロックチェーンの応用範囲を大きく広げています。
契約条項はコンピュータコードによって評価されて実行されます。人為的な干渉を受けないため、契約コードは一旦チェーンに上がったら、執行過程と結果は全部公開されて、しかも改竄できません。
知能契約の広範な応用に伴い、各種の脆弱性攻撃事件が発生し、安全リスク問題が日増しに深刻化している。
知能契約の抜け穴がハッカーに利用されると、多くの深刻な安全問題、特に資産安全問題を引き起こす可能性があります。
知能契約のプログラミングコードの設計が不完全になると、安全リスクが発生する可能性があります。
そのセキュリティリスクは、契約コードに共通のセキュリティ・ホールがあるかどうかの3つの側面が含まれています。
第二に、信頼できるリスク
抜け穴のないスマート契約は、安全とは限らない。契約自体は公平で信頼できるようにしなければならない。
第三に、規範化されていないリスク
契約の作成要求は数字の形で承諾を定義しますから、もし契約の作成過程が規範に合わないなら、大きな潜在的な危険を残しやすいです。
現在のスマート契約に対する攻撃の主な方法は、攻撃の再入力、攻撃の呼び出し、取引の順序依存攻撃、タイムスタンプ依存攻撃、誤操作異常攻撃、整数オーバーフロー攻撃、インターフェース権限攻撃などです。
再入力可能攻撃とは、契約が別の契約を呼び出した場合、現在の操作は呼び出しが完了するまで継続します。
この場合、使用者が現在位置している状態を使用する必要があると、問題が発生する可能性があります。
2017年7月、エーテル坊の財布Paityは極めて深刻な穴を開けて、攻撃者が3つの安全な多重署名契約から15万ETH(約3000万ドル)以上を盗むようにしました。
攻撃者はiitWalletスマート契約を呼び出すことによって(理論的にはこのスマート契約は一回だけ呼び出されることができます)、iitWalletスマート契約は再入国検査が設定されていません。攻撃者がスマート契約を複数回初期化してこのウォレット契約の所有者を上書きすることを防止します。ウォレット所有者を攻撃者に変更します。これはuixからoot権限を獲得したのに相当します。
深さ攻撃の呼び出しは、仮想マシンにおけるスマート契約の呼び出し深さ制限であり、この制限は、スタックリソースの濫用を防ぐためである。
深さ攻撃の呼び出しは、契約の呼び出しに失敗することができます。この呼び出しが論理的に問題がなくても、仮想マシンレベルでは許可されていません。仮想マシンの中の閾値に達しているため、これ以上実行しません。
攻撃者は呼び出しの深さを制御することによって、振り込みや残高のクリアなどのキー操作ができなくなります。
取引順序依存攻撃とは、取引が未確認の取引池に入ることを意味し、鉱夫によってブロックに無秩序に含まれる可能性があるため、ブロックに梱包された取引の順序と取引の生成の順序は全く異なる。
攻撃者がネットワーク中の契約に対応する取引を傍受して、彼自身の取引を送って現在の契約状態を変えてもいいです。例えば、懸賞契約に対して契約の報酬を減らすと、一定の確率でこの二つの取引を同じブロックの下に含めて、他の取引の前に攻撃を完了します。
タイムスタンプ依存攻撃とは、攻撃者がブロックのタイムスタンプを設定することで、できるだけ有利な条件を満たし、利益を得ることです。
誤作動異常攻撃とは、契約が別の契約を呼び出した場合、後者の操作が失敗して未実行の状態に戻る場合、前者が後者の実行結果を確認しないまま実行し続けると、多くの問題が発生します。
整数オーバーフロー攻撃とは、攻撃者が知能契約にコード処理範囲を超えたパラメータを提供すると、崩壊結果が発生し、そのような崩壊が多重攻撃を助長することです。
崩壊はサービス拒否攻撃をトリガする可能性があります。システム内部に関する重要な情報はエラーメッセージから漏れます。
2018年初め、ブロックチェーン形式化検証プラットフォームVaS(Veficatio as a Sevice)が検出したところ、EOSブロックチェーンによるトークン契約は同様にBECトークン契約に類似する整数オーバーホールが存在する可能性があることがわかった。
インターフェース権限攻撃とは、知能契約が誤って高権限のインターフェースを一般ユーザーに公開して呼び出し、システム状態に異常が発生することを意味します。
よくあるインターフェースの権限攻撃はERC 20トークン契約のチップ権限に多く現れます。一部の開発者は初期化後にチップを閉じる権限がなく、誰でも新しいトークンを生成するために呼び出すことができます。
2017年11月、有名なPaityの多署名財布はユーザーによって共有ライブラリの破壊関数を誤って触発され、2.85億ドルのエーテルドルの永久ロックを引き起こしました。
以上の安全事件から、現段階のスマート契約は完全ではなく、様々な脆弱性がハッカーに利用されると、資産損失を引き起こします。
これらの問題を解決するにはなお挑戦的である。
知能契約の本質はコードであり、各当事者が契約を使用する条件を規定しています。契約条件を満たすとマシン命令が実行されます。その開発自体はプログラマにとって挑戦です。
自身の安全意識とコード作成能力に制約があり、開発者が対応可能なリスクを全面的に考慮しないと、スマート契約の信頼性は保証できない。
知能契約層の安全リスクを防ぐために、まず、数値計算に関する知能契約を開発する際に、安全数値計算庫を使用し、ライフサイクル式安全コンプライアンス検査を行い、整数オーバーホールを防止する。知能契約の実行機能を十分に考慮し、データの完全性、安全性、プラットフォームの安定性に悪影響を与えることができない。
第二に、スマート契約はブロックチェーン以外のアプリケーションと相互作用することが避けられません。現在は方法と標準がないので、外部アプリケーションと接続する時にセキュリティホールを導入するリスクを最小限に抑えることができます。
したがって、まず知能契約の安全性分析を行い、業務の論理的な脆弱性の出現を防止する必要がある一方、外部のアプリケーションとの知能契約の相互作用に対して標準化を行い、完全性、安全性、安定性を保護するために指導を提供する。
最後に、システムがスマート契約コードをインストールする時、コードが正しい信頼されたプロバイダから来て、修正されていないことを確保します。攻撃者が悪意のある知能契約コードをインストールする能力があれば、スマート契約の行動を変えることができます。
管理措置が必要です。知能契約はすでに授権された人員によってのみインストールされます。またはチェーン上に配置されたコードと発表された契約のソースコードを自分でコンパイルした後の結果を比較して一致を確認します。
7.システム応用層システムの応用層は、異なる業界分野のシーンとユーザーのインタラクションに関連しており、様々な伝統的なセキュリティの潜在的なリスクがより集中し、攻撃者の攻撃に優先される。
2018年7月から12月にかけて、EOSチェーン上のDAppは49件のセキュリティイベントを発生し、37件のDAppに波及し、プロジェクト側は75万枚のEOSを損失しました。攻撃発生時の貨幣価格によって換算して、総損失は319万ドルです。
暗号化された通貨取引プラットフォームは、ユーザーにオンライン取引サービスを提供する重要なルートである。
内部漏えいデータであろうと、外部ハッカーが侵入しても、重要な情報が漏れます。
現在の取引プラットフォームに対する攻撃は主に以下の通りである。アカウント流出攻撃(衝突、窮挙)、DDoS攻撃、Web注入攻撃、フィッシングページ攻撃。
アカウント流出攻撃(衝突、貧困)とは、攻撃者が携帯電話のインターネット上で公開されているか、または未公開のユーザ名、メールボックス、パスワードなどの情報を使って、攻撃するウェブサイトでプログラムを大量に試していることを意味します。
ウェブサイトがログインインターフェースに制限や風のコントロールを要求しないと、攻撃者は無限に可能な値をテストしてくださいと要求して、いくつかのキー情報を暴力的に解読します。
2017年10月2日、OKCoi傘下の取引所で大量の口座が盗まれた状況が発生しました。不完全な統計損失金額は1000万元ぐらいで、ユーザーはプラットフォームが攻撃されたと疑っています。または、プラットフォームを閉鎖された取引所の従業員がハッカーにプラットフォームのユーザーの口座情報を漏らしています。ハッカーはユーザー情報を通じて口座のパスワードを解読してプラットフォームに登録し、プラットフォームの上でデジタル資産の転送を完成します。移動
DDoS攻撃は攻撃者が相手機器にサービスを提供することを停止させ、取引プラットフォームがDDoSに攻撃された場合、取引プラットフォームが損失を被るだけでなく、暗号化された通貨の取引量も大幅に減少し、間接的に価格の上昇に影響を与えます。
Web注入攻撃とは、ウェブ接続のデータベースに対して悪意のあるSQL文を送信することによって発生する攻撃であり、セキュリティ上の潜在的なリスクやウェブサイトへの脅威が発生し、検証や秘密情報の漏洩などの危害をもたらすことができる。
フィッシングページ攻撃とは、ユーザ名やパスワード、クレジットカードの明細など個人の敏感な情報を得るための電子通信から、ユーザの信頼を偽装したウェブページを狙った犯罪詐欺のことです。
よく使う手段はユーザーを案内してURLとインターフェースの外観と本当のウェブサイトの何が同じですか?
強力な暗号化SSLサーバー認証を使っても、フィッシングが行われているかどうかを調べるのは実際には難しいです。
ブロックチェーンの財布は鍵管理のツールです。財布には公私鍵ペアが含まれています。秘密鍵はユーザの資産に直接関係しています。
ユーザが秘密鍵で署名取引を行い、ユーザ取引の出力権を証明する。
秘密鍵を取得して、資産の使用権と取引権を獲得しました。
現在主流の財布はソフト財布とハード財布に分かれています。
ソフトウォレットは、インターネット接続のある機器で動作するので、ホットウォレットとも呼ばれます。例えば、コンピュータクライアントの財布、携帯APPの財布、ウェブの財布などです。
ソフトマネーで取引するのは便利ですが、安全性はハード財布に比べてかなり低いです。
主な攻撃手段は秘密鍵の盗撮、攻撃の解読、APPメモリの改ざん、攻撃を含む。
秘密鍵の盗撮とは、財布の秘密鍵ファイルが多点でバックアップされていないため、財布の秘密鍵が漏洩したということです。
調べたところ、インターネットでアクセスできるところでは、鍵の保存が見られます。
攻撃者は鍵ファイルに対して専門的にスキャンすることができます。また、関連のトロイの木馬ウイルスを開発して盗むことができます。
2019年1月14日、暗号化された通貨取引所のCypetopiaが盗まれ、2019年の第一ハッカー窃盗事件となり、1600万ドルのエーテル坊ETHが盗まれました。
今回の攻撃は、財布の量が7.6万円以上に及んでいます。この財布の中にはスマート契約がありません。これはハッカーが獲得した秘密鍵の数は一つの二つではなく、何千何万という数があります。
APPメモリの改ざん攻撃とは、攻撃者がメモリ内のアプリケーションコードを制御することによって、APP内のロジック、機能、流れ、脆弱性などの各種のキーコンテンツを解析し、発見された脆弱性に対して該当するバックドアコードを埋め込み、APPに対してさらに攻撃することです。
ハードウェア・ウォレットの秘密鍵の保存と演算は、往々にして、セキュリティ・チップなどの閉鎖されたハードウェアの内部に実行され、インターネットやオープンされたソフトウェアの実行環境に直接さらされていない。時には、冷たい財布と呼ばれることもある。その安全性はソフトウォレットよりはるかに高く、しかし、取引に不便なことが多い。
しかし、ハード財布も絶対安全ではありません。2018年初めにハードウェアウォレットメーカーのLedge社の製品で発生した中間者攻撃や、第35回カオス通信大会(35 C 3)でWalletFailチームが展示したサイドチャネル攻撃(side chael asault)などは、ハード財布の安全性を継続的に改善する必要があると説明しています。
財布の秘密鍵に対する攻撃は「レインボーアタック」と呼ばれるものもあります。一般的な補助詞の組み合わせを事前に経験して対応する公開鍵を生成し、インターネット上でレインボーウオッチ記録によってすでに衝突したアカウントを探します。レインボーテーブルが衝突すると、攻撃者は対応するアカウントの制御秘密鍵を持っており、アカウントのセキュリティを検証します。
この安全な攻撃手段によって、熱い財布と冷たい財布は大きなリスクに直面します。
2018年7月11日午前、EOSアカウントに「虹」の攻撃リスクに関するハイリスク警報が発布された後、ブロックチェーン安全会社PeckSheldが緊急起動し、一連の応急処理方案を展開した。
このうち、イネーブルされたEOS Rescue公共クエリサービスは累計数万回のクエリを提供しています。監視された危険度の高いアカウントの資産も適切に管理されています。
システム応用層の安全リスクに対応するため、プラットフォーム端オンライン前に浸透テストを行い、運行中に全面的な安全防護を行うとともに、攻撃を受けた後の対応策を制定する。
財布の端は暗号化された資産の安全に関わるので、攻撃されやすいです。
このうち、秘密鍵の保護が最も重要であり、ユーザ秘密鍵の生成は、ランダム文字列を使用して生成したほうがよく、ユーザによるカスタム入力を許可するなら、十分に複雑な補助詞を入力しなければならない。
秘密鍵を暗号化して保存し、必要に応じて使用し、オフラインで使用する原則に従って秘密鍵を使用し、特にネットワークを通じて秘密鍵を送信すべきではない。
また、ドア制限署名などの暗号アルゴリズムに関連した秘密鍵管理スキームは、ウォレットエンドの秘密鍵のセキュリティ保護にとっても重要な実践的意義を有する。
実際には、ほとんどのブロックチェーンシステムの応用層の安全問題は、ブロックチェーン自体の安全リスクによるものではなく、ブロックチェーン自体とは全く関係がない。
例えば、大量の暗号化された通貨取引プラットフォームによって暴かれた安全問題は、本質的にはすべて自身の上部アプリケーションに存在するセキュリティ管理の脆弱性によるものであり、下のブロックチェーン技術には関係ない。
ブロックチェーンのプライバシー流出問題はCIA 3要素の中で、ブロックチェーンは完全性と利用性を確保する上で天然にある優位性を持っていますが、機密性を確保する上ではまだ大きな課題があります。
プライバシーとは、公共の利益、集団の利益とは関係なく、当事者が他人に知られたくない、または他人に知られにくい個人情報(秘密保持義務がある人にしか公開できない)、当事者が他人の干渉や他人の干渉しにくい個人的な私事、および当事者が他人に侵入したくない、または他人が侵入しにくい個人の領域です。
ブロックチェーン技術の論理的要求に関するチェーンデータは異なるノードの共通認識検証を得なければならないので、ブロックチェーン上のデータプライバシー保護は伝統的なデータプライバシー保護と比べて、異なる特徴と要求を持ち、しばしば専門的なプライバシー保護戦略を設計する必要がある。プライバシー保護案は、その上で実行されるプライバシーデータの保護を強化します。
第二に、チェーン上(o-chai)チェーン下(off-chai)で分割され、ブロックチェーン上のプライバシー保護は、インプリメンテーション方式に従って、チェーン上とチェーン下のプライバシーデータの保護戦略を考慮する必要がある。
第三に、アクセス制御であり、ブロックチェーンは設計と実現の際に、技術措置を講じてプライバシーに関するデータのアクセス権限を制御し、プライバシーデータの訪問者に対して身分認証を行い、その授権を確認しなければならない。
第四に、同状態暗号、ゼロ知識証明、安全多面計算、TEE(SGXなど)などの技術分野を重点的に研究し、ブロックチェーン体系にプライバシー保護能力を最大限に提供する必要がある。
同形暗号化は、保証情報が復号されない場合に実行されます。
知識証明ゼロすなわち証明者は、検証者に情報自身のコンテンツを提供しない場合、検証者にある議論が真正で信頼できると信じさせ、身元の匿名性を保証することができる。
安全多面計算は、相互不信の参加者間のプライバシー保護の共同計算問題を解決することであり、安全両当事者の計算はその特例として、混淆回路や不意の転送などの技術に基づいて一般的に実現される。
TEE技術は、特定のハードウェアデバイス(例えば、ItelチップのSGX機能)を信頼してブレークすることが困難な前提で、ハードウェアによって保護されたEclave環境で外部入力データを復号し、スマート契約コードを実行し、暗号化出力データを実行することを選択する。この過程で、テキスト情報はEclaveにしか表示されないが、外部から見られない。
もちろん、匿名化を実現する過程で、必要な価格はより高いかもしれません。追跡と監督に非常に大きな挑戦をもたらすかもしれません。
終了語ブロックチェーンは情報インターネットから価値インターネットへの転換の重要な基礎であり、現代デジタル通貨体系のオプション技術の一つである。
暗号学技術をベースに、分散型多ノードの「共通認識」メカニズムにより、価値移転(取引)の全過程を「完全、改竄不可」に記録することができます。
ブロックチェーンは暗号学、ネットワーク技術、データベースなど様々な技術組み合わせの新型技術として、複雑度がより高く、安全問題が発生しやすいので、ブロックチェーンの安全は従来技術の範囲内のインフラ安全を考慮する以外に、暗号アルゴリズムの安全、ノード通信の安全、コンセンサスの安全、運行プラットフォームの安全、知能契約の安全とシステムをめぐって必要となる。安全などの異なる階層で全面的な安全システムを構築する。
安全は系統的な工事で、危険の発生も桶の原理に従って、最も弱い板の上から突破しやすいです。