区块链仅与其最薄弱的环节一样强大

摘要:区块链可能是安全的,但所有与之交互的软件都是如此? 在许多情况下,没有。 我们已经看到由于区块链软件方面的漏洞,从钱包到智能合约再到交易所,网络攻击的增加。

确保区块链生态系统的安全是目前最具挑战性的网络安全问题。 区块链本身可能是安全的,但这并不意味着所有与之相交的部分 - 钱包,交易所,矿工,智能合约 - 都是安全的。 许多人不是。 根据Carbon Black最近的一项研究,黑客在今年上半年偷走了价值11亿美元的加密货币。


虽然威胁现在主要局限于公共区块链,但企业空间将是下一个。 目前,针对公共区块链的企业区块链是未开发的领域。 由于已成功利用公共区块链,企业区块链的弱点将被发现。


安全学习曲线


新技术意味着新的威胁和新的安全学习曲线。 使用任何新技术,风险出现需要一些时间,然后了解如何应对风险的发展。 我们通过wifi使用了相同的曲线,并且仍然使用物联网。 在区块链安全方面,我们目前处于早期学习阶段。 我们需要快速学习,因为它是一个有吸引力的目标。 涉及的资金很多,相应的大量攻击活动正在出现。


[跟上8个热门的网络安全趋势(4个变冷) 。 通过顶级安全认证提升您的职业生涯:他们的目标是谁,他们需要什么,以及您需要什么 。 | 注册CSO新闻通讯 。 ]


它是如此具有吸引力的目标的部分原因是因为,在这个新的领域,网络攻击者可以消除获得发薪日的一步:他们不必担心如何从他们窃取的数据中赚钱。 他们只是窃取(虚拟)钱本身。


最薄弱的环节


在整个区块链系统端到端安全之前,攻击者都可以进入。与区块链交互的组件是用代码编写的,大多数软件代码都有漏洞和漏洞。 我们在CA Veracode上扫描了数十亿行代码,并逐年发现大量漏洞。 我们最新的数据集发现,77%的应用在初始扫描时至少有一个漏洞。 有了这样的统计数据,您是否相信所有与区块链交互的软件都是安全的? 钱包,智能合约,交易所?


让我们看看交易所和智能合约。 加密货币交换是在线平台,用户可以在其中交换一种加密货币用于另一种加密货币(或用于法定货币)。 换句话说,根据交易所,它可以起到类似于证券交易所或货币兑换(在机场或银行)的作用。


近年来出现了一些重大的交易违规行为:


[ 准备通过PluralSight的综合在线课程成为认证信息安全系统专业人员。 现在提供10天免费试用! ]


Gox在比特币中损失了4.8亿美元


2016年,Bitfinex遭遇多重签名钱包黑客,损失了7200万美元


在攻击者通过网络钓鱼攻击窃取凭据后,Nicehash损失了6300万美元


Coincheck遭受了攻击,因为它将所有东西存放在热钱包中并使用单因素身份验证。 (这就像一家银行将所有钱存放在一个柜员的抽屉里)。


以数字方式促进,验证或执行合同谈判或履行的智能合约也不具备免疫力。 我们还看到智能合约中的简单编程错误会导致一些重大漏洞:


DAO的智能合约有一个错误。 重入错误允许攻击者耗尽价值5000万美元的以太网。


奇偶钱包访问控制问题导致3000万美元的违规行为。


最终,认为仅仅因为您正在处理区块链,您的交易是安全的,这是天真的。


区块链用户应该做些什么来保护自己? 从一些基本的安全措施开始:


不要暴露您的私钥


使用双因素身份验证


使用交换时,请勿在线发布任何电子邮件地址或电话号码


不要在网上吹嘘你的加密财富


在代码级实现安全性


我们需要那些创建与区块链交互的软件来为其流程建立安全性。 他们需要考虑:


良好的软件开发生命周期/生态系统 - 为开发过程增加安全性并审核继承的代码


使用双因素身份验证和硬件钱包


遵循标准的最佳实践 - 使用SSL和证书确保各方都是他们所说的人


区块链有许多有用的好处,包括更好的法律合同,更好的供应链可见性,甚至更少的投票欺诈。 但是,与任何新技术一样,威胁行为者正在探索可能增加怀疑和缓慢采用的弱点。



更多精彩内容:千禧财经

免责声明:本文仅为传播消息之用,不代表知链立场,如需转载,请务必注明文章原作者以及来源,部分图片来源于网络,我们尊重版权,如有疑问敬请联系,我们将核实并删除。