區塊鏈安全入門筆記(二)_數字貨幣

雖然有著越來越多的人參與到區塊鏈的行業之中，然而由于很多人之前并沒有接觸過區塊鏈，也沒有相關的安全知識，安全意識薄弱，這就很容易讓攻擊者們有空可鉆。面對區塊鏈的眾多安全問題，慢霧特推出區塊鏈安全入門筆記系列，向大家介紹十篇區塊鏈安全相關名詞，讓新手們更快適應區塊鏈危機四伏的安全攻防世界。系列回顧：區塊鏈安全入門筆記(一)公鏈PublicBlockchain

公有鏈(PublicBlockchain)簡稱公鏈，是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。公鏈通常被認為是完全去中心化的，鏈上數據都是公開透明的，不可更改，任何人都可以通過交易或挖礦讀取和寫入數據。一般會通過代幣機制(Token)來鼓勵參與者競爭記賬，來確保數據的安全性。由于要檢測所有的公鏈的工作量非常大，只靠一家公司不可能監測整個區塊鏈生態安全問題，這就導致了黑客極有可能在眾多公鏈之中找尋到漏洞進行攻擊。2017年4月1日，Stellar出現通脹漏洞，一名攻擊者利用此漏洞制造了22.5億的Stellar加密貨幣XLM，當時價值約1000萬美元。

動態 | 風險資本家正大舉投資亞洲區塊鏈和加密初創企業:據medium博客，風險資本家正大舉投資亞洲區塊鏈和加密初創企業。2019年，基于亞洲市場的區塊鏈和加密初創企業獲得的風險投資資金首次遠遠超過歐美同行。據InWara報告，4月區塊鏈和加密企業的投資金額為3.41億美元。其中2億美元投資于韓國公司，占籌集資金總額的59%。風險投資家在中國區塊鏈和加密貨幣領域公司投資4000萬美元。越南初創公司Utop獲300萬美元投資。4月亞洲區塊鏈和加密初創企業共獲得2.43億美元投資，占風投總額的71%。 散戶投資者也認為亞洲區塊鏈和加密領域具有巨大增長潛力。新加坡的ICO籌集2.14億美元，占全球籌集資金的40%。其他成功籌集到大量資金的亞洲國家包括中國（4600萬美元）、日本（3000萬美元）、韓國（2700萬美元）和印度（560萬美元）。這些國家通過ICO籌集約3.25億美元，相當于全球籌集資金總額的57%。 許多因素可能助長這種轉變。首先，越來越多亞洲國家正實施對區塊鏈和加密友好的法規，意識到該技術推動經濟增長的潛力。其次，亞洲國家的人口基數相對較高，加上缺乏適當的金融結構，使亞洲成為可以推動加密貨幣和區塊鏈大規模采用的主要市場。[2019/5/5]

圖片來自SlowMistHacked交易所Exchange

動態 | 韻達股份：基于大數據建設和人工智能、視覺技術積淀，已率先應用了區塊鏈技術:4月29日，韻達股份（002120）發布《2018年年度報告》，報告表示，基于大數據建設和人工智能、視覺技術積淀，公司已率先應用了區塊鏈技術。[2019/4/29]

與買賣股票的證券交易所類似，區塊鏈交易所即數字貨幣買賣交易的平臺。數字貨幣交易所又分為中心化交易所和去中心化交易所。去中心化交易所：交易行為直接發生在區塊鏈上，數字貨幣會直接發回使用者的錢包，或是保存在區塊鏈上的智能合約。這樣直接在鏈上交易的好處在于交易所不會持有用戶大量的數字貨幣，所有的數字貨幣會儲存在用戶的錢包或平臺的智能合約上。去中心化交易通過技術手段在信任層面去中心化，也可以說是無需信任，每筆交易都通過區塊鏈進行公開透明，不負責保管用戶的資產和私鑰等信息，用戶資金的所有權完全在自己手上，具有非常好的個人數據安全和隱私性。目前市面上的去中心化交易所有WhaleEx、Bancor、dYdX等中心化交易所：目前熱門的交易所大多都是采用中心化技術的交易所，使用者通常是到平臺上注冊，并經過一連串的身份認證程序(KYC)后，就可以開始在上面交易數字貨幣。用戶在使用中心化交易所時，其貨幣交換不見得會發生在區塊鏈上，取而代之的可能僅是修改交易所數據庫內的資產數字，用戶看到的只是賬面上數字的變化，交易所只要在用戶提款時準備充足的數字貨幣可供匯出即可。當前的主流交易大部分是在中心化交易所內完成的，目前市面上的中心化交易所有幣安，火幣，OKEx等。由于交易所作為連接區塊鏈世界和現實世界的樞紐，儲存了大量數字貨幣，它非常容易成為黑客們覬覦的目標，截止目前全球數字貨幣交易所因安全問題而遭受損失金額已超過29億美元(數據來源SlowMistHacked)。

聲音 | VeriFi董事長黃平達：區塊鏈技術或將有助于反腐 改善經貿往來:據中國日報消息，昨日亞洲領袖圓桌論壇上，VeriFi（香港）有限公司董事長黃平達認為，區塊鏈技術可以成為反腐敗的利器，但在使用過程中也要格外小心。他還指出，區塊鏈技術穿越物理上的邊界，尤其在“一帶一路”沿線國家和地區，可以發揮重要作用，打破壁壘，改善經貿往來。[2018/8/29]

圖片來自SlowMistHacked數字貨幣領域，攻擊者的屠戮步伐從未停止。激烈的攻防對抗之下，防守方處于絕對的弱勢，其攻擊手法多種多樣，我們會在之后的文章中為大家進行介紹。職業黑客往往會針對數字貨幣交易所開啟定向打擊，因此慢霧安全團隊建議各方交易所加強安全建設，做好風控和內控安全，做到：“早發現，早預警，早止損。”相關交易所防御建議可參考：慢霧紅色警報：交易所接連被黑的防御建議節點Node

現場|中國經濟傳媒協會會長趙健：區塊鏈有望為加快產業升級提供新動能:金色財經現場報道，8月5日，在首屆中國區塊鏈媒體社會責任論壇上，中國經濟傳媒協會會長趙健發表講話，他指出：區塊鏈作為一種分布式數據傳輸等新技術的應用模式，因其信息不可篡改等特性，將引起深刻的變革，我國鼓勵區塊鏈技術的發展。目前，區塊鏈應用有加快落地的趨勢，金融是最佳領域，保險是典型領域，物流供應鏈也是很有前景的應用方向。區塊鏈技術也正在應用于金融監管等方面，因此，區塊鏈技術有望為實體經濟降成本、加快產業升級提供新動能。近十年，區塊鏈產業發展十分迅猛。一些投機人員為國家金融防控大局帶來了很大的變數，通過本次論壇，我們力求全國經濟媒體達成共識，媒體是社會公信，對區塊鏈要依法傳播、輿論監督。[2018/8/5]

在傳統互聯網領域，企業所有的數據運行都集中在一個中心化的服務器中，那么這個服務器就是一個節點。由于區塊鏈是去中心化的分布式數據庫，是由千千萬萬個“小服務器”組成。區塊鏈網絡中的每一個節點，就相當于存儲所有區塊數據的每一臺電腦或者服務器。所有新區塊的生產，以及交易的驗證與記帳，并將其廣播給全網同步，都由節點來完成。節點分為“全節點”和“輕節點”，全節點就是擁有全網所有的交易數據的節點，那么輕節點就是只擁有和自己相關的交易數據節點。由于每一個全節點都保留著全網數據，這意味著，其中一個節點出現問題，整個區塊鏈網絡世界也依舊能夠安全運行，這也是去中心化的魅力所在。RPC

遠程過程調用(RemoteProcedureCall，縮寫為RPC)是一個計算機通信協議。以太坊RPC接口是以太坊節點與其他系統交互的窗口，以太坊提供了各種RPC調用：HTTP、IPC、WebSocket等等。在以太坊源碼中，server.go是核心邏輯，負責API服務的注入，以及請求處理、返回。http.go實現HTTP的調用，websocket.go實現WebSocket的調用，ipc.go實現IPC的調用。以太坊節點默認在8545端口提供了JSONRPC接口，數據傳輸采用JSON格式，可以執行Web3庫的各種命令，可以向前端提供區塊鏈上的信息。以太坊黑人節漏洞

ETHBlackValentine'sDay2018年3月20日，慢霧安全團隊觀測到一起自動化盜幣的攻擊行為，攻擊者利用以太坊節點Geth/ParityRPCAPI鑒權缺陷，惡意調用eth_sendTransaction盜取代幣，持續時間長達兩年，單被盜的且還未轉出的以太幣價值就高達現價2千萬美金(以當時ETH市值計算)，還有代幣種類164種，總價值難以估計。

通過慢霧安全團隊獨有的墨子系統對全球約42億IPv4空間進行掃描探測，發現暴露在公網且開啟RPCAPI的以太坊節點有1萬多個。這些節點都存在被直接盜幣攻擊的高風險。這起利用以太坊RPC鑒權缺陷實施的自動化盜幣攻擊，已經在全球范圍內對使用者造成了非常嚴重的經濟損失。漏洞詳情及修復方案可點擊：以太坊生態缺陷導致的一起億級代幣盜竊大案以太坊黑人節事件數據統計及新型攻擊手法披露注：本系列文章在imTokenFans、幣乎、巴比特、星球日報、Seebug、FreeBuf、安全客、幣世界、火星財經、嗶嗶News、Unitimes等平臺上均有同步發布。

Tags：區塊鏈數字貨幣以太坊中心化交易所泰達幣區塊鏈交易查詢數字貨幣被騙過程老人以太坊價格今日行情比特幣去中心化交易所開發教程

火必