图片 2

每一个人的身份都不过是一段数字,参与者可以使用以太币来换取DAO

作者:黄玲丽

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

也许今年的6月17日有人因重注墨西哥队而大赚一笔,但无论如何也比不上2年前6月17日黑客攻击the
DAO转走了300多万以太币资产,当时价值6千万美元,而以今年6月18日的ETH价格计算,则价值15亿美元。

阻止51%攻击的最后一道防线,便是攻击成功很可能导致数字货币的价值归零,从长远角度看攻击者反而会蒙受巨大的损失。可是,Verge再三受到攻击,比特黄金也难以幸免,频频发生的51%攻击面前,最后一道防线显得疲弱无力。

关于区块链、加密数字货币的安全一直以来都是热点话题。区块链已经发生了多次安全事故,比如著名的The
DAO事件

the
DAO在2016年5月初成立,到2016年6月16日成功募集到在当时价值1.5亿美元的以太币,短期高速发展让the
DAO成为了一个明星项目,但6月17日发生了黑客攻击事件,事件的根本原因在于一行早已被发现的代码漏洞。

图片 1

在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

技术工坊|利用智能合约漏洞攻击,转走大量以太币是如何做到的?

在区块链的世界里,每一个人的身份都不过是一段数字,密码学上称之为密钥,一旦有人获取了你的密钥,他就可以冒充你的身份从事任何事情,包括花光你的每一分钱。


5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失


5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。


6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

距离the
DAO攻击事件已经过去了2年,这次事件让我们认识到区块链应用安全的重要性。the
DAO被攻击的漏洞是项目本身产生的,与智能合约无关,就像某一个网站出现了bug,不能说是互联网技术的问题一样。

一度充斥着“造富神话”的数字货币市场趋凉,以区块链技术为噱头的泡沫渐渐消逝,安全的问题也一步步凸显出来。安全是技术发展的根基,一行代码葬送一个项目的事情频频发生,向我们敲响了警钟。只有在安全问题上防微杜渐慎之又慎,被寄予厚望的区块链技术才能越走越远。

实际上就是The DAO的智能合约出了BUG,用户可以不断从The
DAO的资产池中获取DAO资产

之所以提出软分叉,是为了避免回滚,软分叉失败后只能进行硬分叉,而距离黑客可以转出提现的时间只有2周,同时还要进行所有矿工的投票来通过这次硬分叉方案。最终有大约450万以太币参与了投票,近90%表示同意硬分叉。程序预设在1920000个区块时进行切换,2016年7月20日晚,第1920000个区块在中国产生,TheDAO合约里的所有资金,包括被黑客控制的资金,约1200万以太币,全部转移到了一个新的智能合约中,该合约只有一个功能:退回TheDAO众筹参与人的以太币,众筹参与人只要调用withDraw方法,就可用DAO币换回以太币。

参考资料:

网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面。

而随后,P网宣布支持旧版以太币的交易,代号为ETC,由于价格低,有愿意冒风险的投资人买入,但由于支持人数少,并且依托于旧链的项目少,更新少等问题,价格一直不能和ETH相比。但ETC和ETH代表了区块链世界里的两种价值观。

“黑帽子”和“白帽子”

再比如BEC美链4月被黑客攻击事件。BEC的合约代码:BeautyChain
美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题

正常情况下你的DAO打入子DAO后就会从总的资金池中删除掉,但是看下图这行代码,里面的withdrawRewardFor是将钱从总dao打到你的子dao合约,注意前面提到的fallback函数,发送金额到你子dao合约时会触发fallback函数,但是如果你特别写了fallback是再调用总dao的withdrawRewardFor呢?代码会重新运行withdrawRewardFor再给你打钱,而扣钱的代码就永远不会运行到,如果你想,可以将总资金池中的DAO全部转空。

丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

从硬件、游戏到广告、搜索,对于区块链360在其力所能及之处都留下了涉水前行的谨慎痕迹。但对于其起家的安全领域,360的动作则是大刀阔斧,有纵横捭阖之势。

在当初硬分叉投票时,有大约10%的投票参与者反对硬分叉,这部分矿工仍然维持着旧链的算力,他们认为不能为了一己私利就随意篡改代码,代码就是法律,这才是去中心化不可篡改的真谛,而硬分叉代表着代码可以随意修改,决策仍然是中心化的。

责任编辑:

360的区块链探索,再次展现了自身在安全领域的实力,也一举奠定其在区块链安全领域的领导地位。

扫描下方二维码添加小助手微信,邀请您进群。

根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。

单点防御就是“只见树木不见森林”,把大数据、人工智能、区块链等技术结合起来,才能“既见树木又见森林”

区块链的去中心化特点带给我们很多未来应用的场景和创意,但去中心化组织在管理逻辑和生态上更加复杂,也就意味着更加容易出现漏洞。

本文来源于人人都是产品经理合作媒体@人民创投,作者@黄玲丽

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

图片 2image

但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。

对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

所以the
DAO就设计了一个“子DAO”的机制,你可以申请创建一个子DAO,审查通过后你的DAO就可以通过代码自动打入子DAO,从总资金池中剥离出来,而攻击漏洞也由此开始。

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

这个漏洞比较明显,简单地说,每个以太坊上的交易,验证节点都会检查是否与TheDAO智能合约及其子DAO的地址相关。如果是则拒绝这个交易,从而锁定TheDAO的所有资金。这个逻辑实现本身并没有问题,但是却没有收取执行交易的手续费,这就像节假日高速免费一样,导致以太坊成为了DoS的攻击目标,攻击者可以零成本发起大量交易,导致以太坊网络瘫痪,由此各个节点回滚了软件版本,软分叉方案宣告失败。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章