区块链安全入门笔记(五)
免责协议:文中致力于传送大量销售市场信息,不组成一切投资价值分析。文章内容仅代表原作者见解,不意味着官方网观点。
我:还记得
项目投资区块链,猛戳:App下载
文章正文:慢雾高新科技
尽管有着愈来愈多的人加入到区块链的领域当中,但是因为很多人以前并并没有触碰过区块链,都没有相应的安全常识,安全防范意识欠缺,这就非常容易让攻击者们有时间可钻。应对区块链的诸多安全隐患,慢雾特发布区块链安全性新手入门手记系列产品,向各位详细介绍区块链安全性有关专有名词,让新人们迅速融入区块链危机四伏的安全性攻防世界!
异型攻击 Alien Attack
异形攻击(Alien Attack)事实上是一个全部公链都很有可能面对的问题,又被称为详细地址池环境污染,就是指引诱类似链的节点相互之间入侵和破坏的一种攻击技巧,系统漏洞的首要因素是类似链系统软件在通讯协议上并没有对不一样链的节点做鉴别。
这类攻击在一些参照以太币通讯协议完成的公链上取得了重现:以太币类似链,因为运用了兼容的握手协议书,没法区别节点是不是属于同一个链,运用这一点,攻击者先对以太币节点详细地址开展搜集并开展故意握手实际操作,根据跟节点握手达到环境污染详细地址池的目地,促使不一样链的节点相互之间握手并把分别详细地址池中已经知道的节点消息推送给了另一方,造成大量的节点相互之间环境污染,最后蔓延致全部互联网。遭到异型攻击的节点通常会通讯特性降低,最后导致节点堵塞、主网出现异常等状况。有关公链必须留意始终保持主网身心健康情况检测,以防产生危害主网平稳的攻击事情发生。
实际详细信息可参照慢雾安全性精英团队技术性 Paper:矛盾的公链!来源于 P2P 协议书的异型攻击系统漏洞
垂钓攻击 Phishing
所说“垂钓攻击(Phishing)”,指的是攻击者装扮成可以信赖的人或组织,根据电子邮箱、通信软件、社交媒体等方法,以获得收货人的登录名、登陆密码、公钥等私秘信息。伴随着新技术的发展趋势,钓鱼攻击攻击不但可以代管各种各样恶意软件和勒索病毒攻击,并且更糟心的是这种攻击已经展现持续上涨的发展趋势。
2018 年 2 月 19 日,乌克兰国家的一个黑客联盟,根据选购谷歌搜索引擎中与数字货币有关的搜索引擎广告,装扮成合理合法网址的垃圾网站连接,从著名数字货币钱夹 Blockchain.info 中盗取了使用价值超出 5000 万美金的数据数字货币。而除开以上这类网站域名垂钓攻击(即应用与官方网站差不多的网站地址)外,其他类型的垂钓攻击包含电子邮件垂钓攻击、Twitter 1 for 10(付款 0.5-10ETH 购物返利 5-100ETH)、假 App 和假工作员等。2019 年 6 月份,就会有攻击者向好几家交易中心推送敲诈信息,根据电子邮件垂钓攻击获得了超 40 万美金的盈利。
慢雾安全性精英团队提议客户提高警惕,根据即时通信 App、短消息或电子邮件获得到的每一条信息都必须慎重看待,不要在根据单击连接抵达的站点上键入凭证或公钥,在买卖时尽量的应用硬件配置钱夹和双因素认证(2FA),绿色生态中的新项目放在攻击者并没有准确告之系统漏洞关键点以前,不必给攻击者转帐,若新项目方没法精确分辨和独自一人解决,可以联络安全性企业帮助解决。
木马病毒攻击 Trojan Horse Attack
木马攻击(Trojan Horse Attack)就是指攻击者根据潜藏在普通程序流程中的一段具备独特作用的恶意程序,如具有毁坏和删除文件夹、推送登陆密码、记录键盘和 DDoS 攻击等独特作用的木马程序,将管理程序生存于被控制的操作系统中,声东击西,对被感染木马程序的电子计算机执行实际操作。可以用来偷取客户本人信息,乃至是远程操作另一方的电子计算机而免杀制做,随后根据各类方式散播或是骗领总体目标客户实行该程序流程,以到达窃取登陆密码等各种各样统计数据等目地。
在区块链行业,例如敲诈勒索木马病毒、故意挖矿木马一直是领域内让人烦恼的安全性顽症,据币世界报导,伴随着BTC的飙涨,促进全部数据数字货币价钱回暖,与币市息息相关的挖矿木马逐渐新一轮活跃性,仅 2019 年上半年度挖矿木马日均新增加 6 万只样版,根据研究发觉一些新的挖矿木马大家族发生了迅速、不断更新版本的状况,其功能分析愈来愈繁杂,在掩藏技巧、攻击手法层面与时俱进,与杀毒软件生产商的技术性抵抗已经进一步增强。
供应链管理攻击 Supply Chain Attack
供应链攻击(Supply Chain Attack)是一种特别恐怖的攻击方法,防御力上难以保证极致避开,因为如今的软件开发,各种各样包/控制模块的依靠十分经常、普遍,而开发人员们难以保证一一查验,默认设置都过度信赖目前市面上商品流通的包管理工具,这就致使了供应链管理攻击几乎已经变成首选攻击之一。把这类攻击称变成供应链管理攻击,是为了更好地品牌形象表明这类攻击是一种相互依赖,一个传动链条,随意阶段被感染都是会造成传动链条以后的任何阶段出问题。
供应链管理攻击多种形式,它很有可能发生在一切阶段。2018 年 11 月,Bitpay 集团旗下 Copay 遭受供应链管理攻击事情,攻击者的攻击个人行为掩藏了2个月之久。攻击者根据环境污染 EvenStream(NPM 包)并在侧门中留有对于 Copay 的有关自变量标值,对 Copay 进行定项攻击进而盗取客户的公钥信息。而就在2019 年 6 月 4 日,NPM Inc 安全性精英团队刚与 Komodo 联合取得成功击垮了一起经典的供应链管理攻击,维护了超出 1300 万美金的数据数字货币财产,攻击者将木马程序包放进 Agama 的搭建链中,根据这些方式来盗取钱夹APP中采用的钱夹公钥和别的账户密码。
供应链管理攻击束手无策且不计入成本,慢雾安全性精英团队提议全部数据数字货币有关新项目(如交易中心、钱夹、DApp 等)都应当强制性最少一名关键技术详细核查一遍全部第三方控制模块,看一下是不是存有异常编码,还可以根据抓包软件查询是不是存有异常要求。
申明:文中为进驻“火花号”创作者著作,不意味着官方网观点。转截请标明来源、创作者和文中连接
提醒:投资可靠吗,进入市场须慎重。本新闻资讯不当作理财投资提议。
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。