.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
區塊鏈攻擊向量:區塊鏈技術的主要漏洞(上)
區塊鏈攻擊向量有數百種可能的區塊鏈攻擊針對應用程序的不同部分。讓我們看一下關鍵向量和攻擊示例:
點對點攻擊點對點(P2P)網絡使區塊鏈成為分佈式賬本。它包括合作處理交易、管理用戶和管理區塊鏈的所有網絡參與者。
對於去中心化應用程序(dApp)和加密錢包,主要的網絡要求是與可信的區塊鏈節點提供商建立安全連接。此外,錢包和dApp 之間需要安全連接,並且必須能夠處理其他方的不當行為。
常見P2P攻擊示例:
Sybil攻擊是通過向同一節點分配多個標識符來安排的。區塊鍊網絡沒有可信節點,每個請求都會發送到多個隨機節點。在女巫攻擊期間,黑客控制多個網絡節點。然後受害者就會被假節點包圍,關閉他們的所有交易。最後,受害者容易受到雙花攻擊。
Eclipse 攻擊需要黑客控制大量IP 地址或擁有分佈式殭屍網絡。然後攻擊者覆蓋受害節點的tried表中的地址,並等待受害節點重新啟動。重啟後,受害節點的所有傳出連接將被重定向到攻擊者控制的IP地址。這使得受害者無法獲得他們感興趣的交易。
時間劫持利用了區塊鏈時間戳處理中的理論上的漏洞。黑客改變節點的網絡時間計數器並迫使節點接受替代區塊鏈。當惡意用戶將多個具有不准確時間戳的虛假對等點添加到網絡時,就可以實現這一點。
Apriorit 針對保護P2P 網絡的建議:
使用HTTPS 連接並驗證SSL 證書。這些措施允許網絡節點建立安全連接並加密傳輸中的數據。這可以保護數據免遭盜竊和劫持。
驗證資源真實性。創建執行惡意操作的流行資源的精確副本是一種常見的黑客技術。您可以通過驗證資源名稱等方式來驗證可信資源。
提高用戶的可信度。在純粹的對等網絡中,所有實體都是平等的,但您可以更改這一點以向值得信賴的用戶授予更多權限。例如,您可以增加創建新身份的成本,需要某種類型的信任證明才能加入網絡,並根據聲譽確定用戶的權力。
遠程過程調用協議攻擊基於遠程過程調用(RPC)協議的節點促進區塊鏈中網絡元素之間的通信。特別是,RPC 節點允許檢索交易歷史等數據、執行智能合約、傳達新交易以及維護網絡共識。
對RPC 節點的攻擊旨在破壞或劫持此通信。此類攻擊的常見示例:
分佈式拒絕服務(DDoS) 攻擊允許黑客通過重複請求消耗所有處理資源來癱瘓網絡節點。 DDoS 攻擊者的目標是斷開網絡的礦池、電子錢包、數據交換和其他元素。
竊聽似乎不會停止節點操作,但它允許惡意行為者監聽節點的通信。黑客可以注入惡意代碼或利用後門來獲得對節點數據、網絡路由和通過節點傳輸的敏感信息的未經授權的訪問。根據這些信息,黑客可以找到區塊鏈中的漏洞併計劃下一次攻擊。
網絡釣魚是一種普遍存在的社會工程攻擊,黑客通過讓用戶點擊惡意鏈接或將數據提交到虛假網站來竊取用戶的敏感信息。通過這種方式,黑客可以獲取用戶與區塊鏈節點通信的信息,進行模仿,從而獲得對用戶錢包的訪問權限。
Apriorit 針對保護PRC 節點的建議:
運行驗證器。驗證器在將新交易添加到區塊鏈之前根據網絡規則和網絡安全標準檢查新交易。驗證可能會減慢交易處理速度,但它減少了將欺詐或惡意交易永久記錄到區塊鏈的機會
實施用戶身份驗證和訪問控制。所有用戶在訪問區塊鍊網絡之前都應確認自己的身份。他們還應該能夠僅訪問他們需要的元素。此類訪問限制可減少黑客未經授權訪問用戶帳戶時的攻擊面。
共識攻擊共識機制意味著大多數網絡節點必須就區塊鏈系統的狀態以及系統的任何更改達成一致。共識機制有多種,其中關鍵的有:
工作量證明(PoW),參與者競爭解決複雜的數學難題。第一個解決難題的人有權向區塊鏈添加新區塊,並獲得加密貨幣獎勵。
權益證明(PoS),根據加密貨幣的所有權或權益選擇新區塊的創建者。擁有較高權益的參與者有更大的機會被選擇來驗證交易並創建新區塊。 PoS 被認為比PoW 更節能,因為它不需要相同水平的計算工作。
這些機制通過防止惡意行為者操縱系統來幫助維護區塊鏈的完整性和安全性。黑客可以嘗試通過以下類型的攻擊來操縱網絡共識:
遠程攻擊針對使用PoS 共識算法的網絡,用戶可以根據自己持有的代幣數量來挖掘或驗證區塊交易。在遠程攻擊中,黑客使用購買或竊取的具有相當大代幣餘額的私鑰,該私鑰過去已用於驗證。然後,黑客可以生成區塊鏈的替代歷史記錄,並根據PoS 驗證增加獎勵。
當黑客控制51% 的網絡哈希率並創建一個最終優先於現有分叉的替代分叉時,就有可能發生51%或多數攻擊。所有小型加密貨幣都面臨著多數攻擊的風險。由於這些加密貨幣吸引的礦工較少,攻擊者只需租用計算能力即可獲得網絡的大部分份額。
當攻擊者創建兩個衝突的交易時,就會執行競爭攻擊。第一個交易被發送給受害者,受害者接受付款(例如發送產品),而無需等待交易確認。與此同時,向攻擊者返回相同數量的加密貨幣的衝突交易被廣播到網絡,最終使第一筆交易無效。
Apriorit 確保區塊鏈共識的建議
落實處罰制度。這樣的系統應該檢測有害活動並向負責任的節點分配懲罰。例如,這可以通過鎖定一些治理參與者並擁有一組隨機的見證人來驗證每個操作來完成。
延遲區塊鏈確認。許多針對共識算法的攻擊需要在網絡節點捕獲惡意活動之前快速執行。您可以手動減慢交易確認速度,以便有更多時間來檢測有害操作。
加密攻擊加密算法幫助區塊鏈保護數據和交易免遭窺探。惡意行為者可以針對依賴薄弱協議或在加密實現中存在錯誤的網絡。此類攻擊可幫助黑客竊取數據或資金,或獲取有關網絡的更多信息以準備下一次攻擊。
常見的加密攻擊:
哈希衝突是哈希函數錯誤,它會為任何大小的輸入生成固定大小的數組。當兩個不同的輸入生成相同的輸出時,就會發生哈希衝突。如果新交易與現有交易具有相同的哈希值,這可能是一個嚴重的問題。
私鑰預測是嘗試猜測或暴力破解與特定用戶或實體關聯的私鑰。此類預測可以基於字典攻擊、鍵盤記錄、社會工程和其他攻擊向量。
Apriorit 對區塊鏈加密的建議
使用可信且強大的加密算法。您可以實施TLS、RSA、SHA-256 或任何其他加密算法來保護您的交易。請務必研究您選擇的算法並遵循實施最佳實踐,以降低創建漏洞的風險。
實施多重簽名錢包。這種類型的錢包需要至少兩個私鑰來簽署交易。這樣,即使黑客獲得了合法用戶的私鑰,也無法利用它來竊取用戶的資金或數據。
交易攻擊惡意行為者通常以區塊鍊網絡內的交易為目標。他們的目的是損害交易的完整性、保密性或可用性。此類攻擊針對的是智能合約、網絡設計以及管理網絡內交易的實施算法中的漏洞。黑客可以通過以下方式攻擊交易:
交易延展性攻擊,旨在誘騙受害者支付兩次。例如,在比特幣網絡中,每筆交易都有一個哈希值,即交易ID。如果攻擊者設法更改交易的ID,他們可以嘗試將具有更改後的哈希值的交易廣播到網絡,並在原始交易之前對其進行確認。如果成功,發送者將認為初始交易失敗,而資金仍將從發送者的帳戶中提取。
驗證攻擊旨在濫用交易驗證過程。所有區塊鏈交易都需要經過用戶驗證才能被認定為有效,這需要時間。攻擊者可以利用這種延遲來欺騙系統在多個交易中使用相同的硬幣或代幣。
時間鎖定交易攻擊允許黑客利用與時間鎖定交易相關的漏洞,這些交易在未來特定時間或滿足某些條件之前無法添加到區塊鏈中。
Apriorit 對區塊鏈交易的建議
防止雙重支出。像Vector 76這樣的雙花攻擊是共識算法濫用的常見結果,即用戶在看似相同的交易中花費了兩次代幣。您可以通過在偵聽期間監控收到的交易、轉發雙花嘗試、插入其他節點來觀察交易以及拒絕直接傳入連接來防止此問題。
使用時間鎖智能合約。這種類型的智能合約為交易添加了各種基於時間的約束。時間鎖智能合約通常會強制執行一段時間延遲,在此期間用戶無法執行指定的操作。這使得網絡節點有時間做出決策和檢測可疑交易。
結論儘管區塊鏈的受歡迎程度仍在上升,但越來越多的針對區塊鏈的網絡攻擊可能會對這項技術的聲譽產生負面影響。雖然存在多種可能的攻擊和濫用漏洞,但了解核心區塊鏈安全威脅和攻擊向量使您有機會實施可靠的安全措施。能夠抵禦主要的區塊鏈攻擊可以幫助您提高對產品的信任並避免被黑客攻擊的負面後果。