首页 > 传媒 > 关键词  > 区块链最新资讯  > 正文

针对区块链的攻击才刚刚开始 CSS2018腾讯安全探索论坛揭秘以太坊RPC攻击

2018-09-13 13:55 · 稿源: 用户投稿

“针对区块链的攻击才刚刚开始。”

在CSS2018 腾讯安全探索论坛(TSec)上,来自腾讯安全湛泸实验室高级安全研究员王凯通过议题《看好你的钱包!从攻击和防御角度分析以太坊RPC攻击》,指出了“区块链”这个号称最安全技术的安全隐患。

王凯在议题中从攻击和防御的角度全面剖析了黑客对全球第二大公共区块链平台以太坊RPC的攻击,同时指出这种攻击仍在全球范围内进行;此外以太坊主网络中,面临安全威胁的节点仍为数众多、黑客采取的攻击手段越来越多样。

据了解,腾讯安全探索论坛(TSec)是由腾讯安全打造的全球前沿、尖端安全技术的高质量安全信息交流论坛,议题涉及物联网、人工智能、区块链等众多热门领域,为加速安全技术创新、共享重要技术成果提升连接价值。凭借在议题专业性和研究价值上的突出表现,王凯的议题获得了今年TSec技术奖。

(腾讯安全湛泸实验室高级安全研究员王凯)

区块链安全事件显著增加 以太坊RPC现多种攻击手法

近年来,数字加密货币市场风光无限,仅单枚比特币的价值就曾飙升至两万元,吸引了众多投资者的目光。然而,与加密货币安全相关的问题也从未间断。根据腾讯安全发布的《 2018 上半年区块链安全报告》显示,基于区块链数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,造成的经济损失分别为12. 5 亿、14. 2 亿和0. 56 亿美元,共计高达 27 亿美元。并且,随着数字货币参与者的增加,各种原因导致的安全事件也显著增加。

全球第二大公共区块链平台——以太坊的安全问题无疑备受瞩目。在TSec现场,王凯介绍了团队分析以太坊安全问题的详细过程。腾讯安全湛泸实验室的安全研究团队通过腾讯云节点在亚、欧、美洲部署了三个测试设备,进行了为期一个月的试验。从蜜罐捕获的数据分析结果来看,位于以太网主网中的安全脆弱节点已成为攻击者的目标,且以太坊RPC接口攻击主要存在“数字货币窃取”、“账户暴力破解”和“丢失挖矿奖励”三大攻击手段。

研究团队发现,主网中的安全脆弱节点约占总脆弱节点数目的1/3,剩余2/ 3 的节点则分别来自于基于以太坊修改的、名为Akroma的区块链网络以及以太坊的各类测试网络。在窃取数字货币的攻击方面,以太坊主网络中,暴露的RPC模块包含eth或personal,暴露了账户信息的节点,攻击者不仅可以实现实时窃取受害者余额,还可以签署交易信息,在认为合适的时刻发布到区块链网络中。

统计结果显示,攻击者尝试用于暴力破解账户的密码字典约 700 余条,且目前的以太坊主网络中仍有 120 余节点、 5 万余账户面临着此类攻击的威胁。此外,针对以太坊主网络中暴露的RPC模块包含miner,攻击者可以将该节点接受挖矿奖励的钱包地址,设置为自己的地址进行牟利,目前已有攻击者针对该安全脆弱的节点开展攻击,根据腾讯安全团队的探测数据显示,主网络中尚有超过 50 个节点正遭受此类攻击的威胁。

区块链安全挑战刚刚开始 应加强部署节点RPC接口保护

虚拟货币价值的攀升,赋予了由算法和数字堆砌的区块链巨大的金融价值,也让盗币者竭尽所能地采用更多方式实现目标。针对以太坊RPC接口的攻击只是区块链安全问题的冰山一角,对于去中心化交易的安全问题,以及将来面临的一系列挑战,实际上才刚刚开始。

针对目前暴露的以太坊RPC攻击,王凯建议,一方面,区块链的开发社区需加强对节点RPC接口保护,警惕以太坊客户端所使用的松散RPC接口战略。若安全策略依赖于RPC地址是否对外公开、是否得到一些保护,没有实现对于RPC发送者请求健全,则必然使得有远程RPC需求用户面临风险;另外,配置不当的节点也可能面临相应的攻击风险。且由于基于RPC开展节点功能配置的系统设计并非以太坊独有,对于其他的区块链系统同样需要加强对于RPC接口的保护。

另一方面,对于以太坊节点的部署者,建议尽量避免远程RPC控制节点需求,如果不能避免则可以利用修改RPC端口号,设置防火墙策略等方式保证自身节点的安全。

同时,王凯表示,“蜜罐恢恢,疏而不漏”,针对以太坊RPC攻击,每个区块链团队蜜罐设计的合理性以及捕获相应攻击行为的能力也在不断提升,一般攻击行为很容易被蜜罐捕获出来报告出来。参与数字虚拟币交易的网民,更应充分了解可能存在的安全风险,可借助腾讯安全提供的PC端、移动端安全软件加强防护,避免数字虚拟币钱包被盗等事件发生。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 币安赵长鹏:从区块链研究院到慈善 币安力推动区块链与实体的融合

    由于疫情给日常业务带来巨大压力,实体经济迫切需要加快数字化转型流程。在未来几年的发展中,区块链技术很可能在业务运作方式上带来最具变革性乃至戏剧性的变化。因此,许多行业都将把区块链视为一种有助于推进数字化转型的强大工具。币安创始人兼CEO赵长鹏指出,从区块链研究院到慈善,币安正在通过币安中国区块链研究院、币安慈善等全力推动区块链与实体的融合。币安中国区块链研究院作为专注研究区块链技术的生态,意在帮助在?

  • 国际权威期刊CACM首次刊登中国区块链发展论文

    日前,国际计算机学会(ACM)旗舰杂志CACM刊登由浙江大学区块链研究中心常务副主任蔡亮,中国科学院计算技术研究所研究员孙毅,中山大学教授郑子彬,华中科技大学副教授肖江,趣链科技高级副总裁、首席架构师邱炜伟共同撰写的论文:BlockchaininChina,首次从政策、技术、产业、案例等多个方面深度报道中国区块链发展,引发行业广泛关注。该文相关技术研究和产业分析得到众多业内专家高度赞赏,杂志评审专家对工作成果给予充分评价,?

  • Chrome 97 Beta版发布:初步支持WebTransport 引入CSS媒体查询

    在 Chrome 96 稳定版发布之后,开发团队的重心已经偏移到 Chrome 97 版本中。在今天发布的 Chrome 97 Beta 版本中,最引人注意的是添加了对 WebTransport 的初步支持。WebTransport 是一个类似于WebRTC数据通道的协议框架,但主要是用于受网络安全模型限制的客户端,使用安全、多复式传输与远程服务器进行通信。WebTransport使用HTTP/3协议进行双向传输。与基于TCP的WebSockets不同,WebTransport依赖于类似UDP的数据包和可取消的?

  • 区块链再迎政策支持 欧科云力助推行业科普

    11月22日,国务院促进中小企业发展工作领导小组办公室印发《提升中小企业竞争力若干措施》(以下简称“《措施》”)。该《措施》强调,深入实施中小微企业金融服务能力提升工程,支持金融机构深化运用大数据、人工智能、区块链等技术手段,改进授信审批和风险管理模型,持续加大小微企业首贷、续贷、信用贷、中长期贷款投放规模和力度。区块链行业又迎政策支持。自“十四五”规划将区块链技术纳入数字经济产业发展的重要技术之一以

  • 政策利好下 欧科云稳步推进区块链创新应用

    在多项政策利好推动下,我国区块链产业近年来创新应用深度与广度持续深化,行业规模稳步提升,但同时,合法合规及社会治理等问题也应运而生。专家表示,区块链产业的健康发展离不开健全的法治建设,合规合法是区块链应用创新的生命线,当前仍需增强区块链技术应用合规与数据安全。区块链应用试点加速 合法合规不容忽视区块链产业近年迎来快速发展。赛迪区块链近日发布的《中国区块链产业发展白皮书》显示, 2020 年我国区块链产业?

  • 区块链与“元宇宙”引起热议 欧科云徐明星畅想数字未来

    如果问近期流传最火的概念是什么,那“元宇宙”必然拥有一席之地。疫情的发展不断蚕食减弱人们在物理世界的联系,也加速了数字世界的完善,人们在虚拟空间中留存和交互的时间更多,对虚拟世界的需求和服务更加开放和认可。2021 年 5 月Facebook又宣布将在 5 年内转型成为一家元宇宙公司,并于 10 月将公司名称正式更改为Metaverse(元宇宙)的前缀Meta。徐明星带领的欧科云链作为数字经济时代下的领先企业,时刻紧跟热点,在多场活

  • OWC推出Accelsior 8M2 PCIe 4.0 SSD扩展卡:兼容PC与Mac Pro

    知名苹果配件制造商 OWC,刚刚推出了一款 PCIe 4.0 x16 固态硬盘扩展卡,它就是支持 64TB 容量、速度可达 26000 MB/s 的 Accelsior 8M2 。作为该公司旗下最快的 PCIe 4.0 SSD AIC,它还兼容 PC 与 Mac Pro 平台。如果在 PCIe 3.0 x16 插槽上使用,则读速会降低到 12000 MB/s 。(来自:OWC)OWC Accelsior 8M2 扩展卡可装备 8 条 PCIe 3.0 或 PCIe 4.0 固态硬盘,并且提供了多种容量选项。基于 8 条 240GB M.2 NVMe SSD 的“2TB”?

  • 区块链走进大众生活,欧科云促进产业健康发展

    提及区块链技术,相信不少人会觉得那是件和自己没有太大关系的事情。但随着这项技术应用的持续推广,区块链技术正悄然地走进人们的生活。据媒体报道,截至今年 10 月 8 日,数字人民币试点场景已超过 350 万个,累计开立个人钱包1. 23 亿个,交易金额约 560 亿元。而数字人民币便采用了部分区块链技术。其实,当前的区块链技术已不在局限于加密资产行业,而是在清结算、支付、电子发票、供应链金融、贸易融资等金融场景,以及政府?

  • 供应链安全隐患迫在眉睫,2021年球APT攻击暗藏何种趋势?

    2021 年,受全球疫情及经济发展等诸多因素影响,网络黑产和APT攻击大行其道,且技术界限正日渐模糊。深信服蓝军高级威胁研究团队日前发布《深信服APT攻防趋势半年洞察》,数据显示,当前0day漏洞数量激增,直指历史峰值,且APT攻击技巧持续创新,对防御和溯源带来前所未有的挑战。同时,经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。哪些活跃APT组织的近期活动已被披露?近期APT组织的攻击技巧有什么共同点?

  • 欧科云徐明星坚持区块链知识科普,助力行业健康发展

    11 月 16 日,区块链行业的领先企业欧科云链,在有闻记者之家举办了第三期“星途计划”的沙龙活动,并以“元宇宙版《国富论》经济系统的构建与安全”为主题,结合区块链技术发展对行业热题元宇宙进行了详细科普。事实上,此前在 11 月 11 日,欧科云链就已经在《欧科会客厅》第三期节目中以“元宇宙,到底是一个怎样的宇宙?”为主题,邀请了中伦律师事务所合伙人樊晓娟、欧科云链运营总监梁晨、百度区块链数字经济产品负责人韩东?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天