.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
區塊鏈不再是炒作;它是一種廣泛且可靠的財務和數據管理技術。許多組織投資區塊鏈,使用它們來存儲和共享數據,並在其業務流程中實施它們。但區塊鏈也吸引了網絡犯罪分子的大量關注,他們的目標是敏感的企業數據和加密資產。
保護區塊鍊網絡免受黑客攻擊需要不斷審核和研究新的漏洞和潛在的攻擊媒介。在本文中,我們概述了關鍵的區塊鏈安全漏洞,探討了常見的攻擊媒介,並分享了我們關於減輕允許這些攻擊的風險的知識。
本文對於正在考慮開發或採用基於區塊鏈的應用程序並正在尋找檢查和確保其安全性的方法的企業非常有用。
為什麼黑客經常攻擊區塊鏈?隨著區塊鏈技術在處理數據和財務方面變得司空見慣,對基於區塊鏈的應用程序和網絡的成功攻擊經常出現在新聞中。讓我們看一下區塊鏈受到攻擊的關鍵原因:
信息處理不安全。許多企業使用區塊鏈不是為了管理財務和代幣,而是為了存儲數據:健康相關信息、供應鏈記錄、商業秘密,甚至投票詳細信息。如果未加密或以其他方式保護,此類記錄總是會吸引惡意行為者,因為它們可用於惡意活動:在暗網上出售數據、勒索組織、實施欺詐等。
大量且無法追踪的加密貨幣。加密貨幣和交易平台成為投資、資金處理和國際交易的常見工具,使其成為黑客攻擊的目標。 2022 年,黑客從加密相關服務中竊取了超過38 億美元。按照設計,區塊鍊網絡內的交易很難追踪到特定的人,這使得加密貨幣竊賊能夠逍遙法外。
將黑客繩之以法的挑戰。調查區塊鏈攻擊需要面臨許多技術和法律挑戰。區塊鏈交易是匿名且加密的,這意味著調查人員需要大量時間才能將欺詐交易追溯到黑客。此外,攻擊者及其受害者通常生活在不同的國家,並受不同的區塊鏈相關立法(如果有)管轄,這進一步使調查變得複雜。
區塊鏈實施的安全性差。儘管區塊鍊網絡和應用程序如雨後春筍般湧現,但並非所有開發它們的組織都對安全性給予足夠的重視。例如,由於Rab13s 漏洞,超過280 個包含價值250 億美元加密貨幣的網絡面臨遭受攻擊的風險。缺乏保護措施實際上是對網絡犯罪分子的邀請。
修復能力有限。作為去中心化的解決方案,區塊鏈應用程序及其核心邏輯通常由開源代碼管理。如果在該代碼中發現漏洞,每個人都會知道它。此外,修復區塊鏈代碼具有挑戰性,有時甚至是不可能的,因為它一旦發布就不可更改。
缺乏防止攻擊的網絡安全人才。保護區塊鏈應用程序免受攻擊不僅涉及安全設計和實施,還涉及定期安全審核和修復新發現的漏洞。此類工作需要許多組織所不具備的網絡安全專業知識。
儘管區塊鏈在網絡安全中的用例很多,但我們不斷看到成功的區塊鏈攻擊。攻擊次數也逐年增加。跟踪加密貨幣盜竊案的Comparitect 報告稱,2021 年成功發生了136 起加密貨幣盜竊案,2022 年發生了199 起,2023 年1 月至11 月期間發生了220 起。
讓我們來看看2023 年以來針對區塊鏈的幾起毀滅性攻擊:
歐拉金融遭遇一系列閃貸攻擊,導致超過1.95 億美元被盜。攻擊者濫用了平台協議中的一個漏洞,該漏洞允許他們從Euler 的存款池借錢,而無需抵押資產。歐拉與黑客協商歸還大部分被盜資金,並啟動了對其平台的獨立審計。
Bonq的智能合約遭遇了甲骨文黑客攻擊,攻擊者可以操縱某些加密貨幣的交易價格。由於這次黑客攻擊,Bonq 失去了大部分投資者。他們暫停了被利用協議的使用,但無法追回被盜資金。
Mixin Network損失了價值2 億美元的主網資產。該網絡使用託管在雲中的集中式數據庫。攻擊者破壞了該數據庫並獲得了對主網的未經授權的訪問。被盜資金並未歸還,但Mixin Network 承諾退還用戶損失的50%。
正如您所看到的,即使是擁有數百萬美元的區塊鍊網絡也不夠安全,無法確保保護用戶的財務。讓我們看一下惡意行為者可以利用的關鍵潛在漏洞。
區塊鏈安全威脅的主要來源了解可能的漏洞是保護應用程序安全的第一步。以下是導致常見類型區塊鏈攻擊成為可能的漏洞的主要來源:
聯網網絡是區塊鏈系統的核心方面之一,它由多個相互通信的節點組成。區塊鏈節點應該可以被其他節點發現、同步並且能夠抵禦攻擊和數據包丟失。底層網絡邏輯由以下各項管理:
一種網絡協議,負責在節點之間傳輸事務和塊。可發現性是該協議的重要組成部分,因為它可能會影響節點接收的數據。
共識協議,決定大多數網絡參與者都同意的網絡當前狀態。
節點之間保護不善的網絡可能會導致攻擊者破壞或修改通信。
密碼學加密算法允許區塊鏈使用公私密鑰對加密消息並驗證簽名。在去中心化平台中實施此類算法消除了第三方頒發私鑰的需要。相反,任何人都可以使用必要的軟件和正確實現加密算法來生成密鑰。
一般來說,密碼學有助於保護區塊鏈交易免遭未經授權的訪問。但如果實施不當,它可能會創建後門並授予惡意行為者訪問權限。
貯存區塊鏈依賴於去中心化存儲來包含用戶和錢包詳細信息以及交易記錄等數據。區塊鏈平台不僅在節點之間同步數據,還檢查每筆交易中使用的輸入是否唯一。當網絡增長到數十萬個區塊時,這可能需要很多時間。為了提高效率,區塊鏈平台使用處理塊和事務的索引器來提供對數據的快速訪問。
建立存儲和設計索引器需要謹慎的方法,因為它可能會引入雙重支出或依賴未經確認的交易等問題。
治理儘管區塊鏈技術具有許多安全優勢,但基於區塊鏈的平台仍然由人管理。通常,所有網絡參與者都成為利益相關者,網絡的任何變化都需要利益相關者達成共識。比特幣經典就是此類網絡的一個例子。公共治理可以保護網絡免受可疑更改和襲擊嘗試的影響,但如果未經大多數節點批准,它也會阻止有意義的改進。
一些區塊鏈平台與鏈上去中心化治理相集成,例如Tezos及其自我修正協議。這種方法使集成改進成為一個順利的過程,並降低了網絡分裂的風險。
應用代碼開發錯誤可能會導致區塊鏈應用程序出現意外行為。如果編程語言使用不當,甚至會導致程序崩潰。考慮到區塊鏈系統的去中心化性質,如果由於特定交易而發生崩潰,則可能會停止所有節點。
如果應用程序存在邏輯錯誤,它將無法處理所有負面的使用場景。例如,函數在處理餘額時可能會正確運行,直到傳遞了不正確的負值。
在下一節中,我們將概述惡意內部人員經常用來利用這些區塊鏈漏洞的攻擊。我們還研究了對您的網絡有用的區塊鏈攻擊向量和預防技術。