betway手机客户端

为什么会有ETH和ETC?the DAO攻击事件2周年祭

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

对于360而言,安全业务是任何时期的主心骨,而在区块链安全问题频发的2018年上半年,360似乎找到了最好的机会。

DAO

基于以太坊网络发行的加密货币运行方式跟比特币不同,但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH是通过电脑代码,即智能合约交易的。所谓智能合约即设置好要求,一旦满足设定条件就会自动执行。以太坊全网有6000台电脑,因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO,把规则和决策通过代码的形式写进区块链之中,允许智能合约在不受人为监控的条件下自动执行。

2016年4月, Genesis DAO创造了一个投资者可以给项目投票的社区,获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份,黑客发现了一个支持单一币种多次提现的漏洞,而智能合约更新的速度比不上提现的速度。短短几个小时内,DAO 里面30%的ETH都被转移了。盗窃事件被公开后,Genesis DAO 执行了硬分叉,创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对,他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后,社区发起投票,89%的人支持硬分叉。反对者从社区分离出去,重组了原链,改名Ethereum Classic。

2年里,类似这样的安全事故还有很多,2017年Parity钱包漏洞导致15万个ETH被盗,导致几家公司的ICO受阻,当时价值约三千万美元。此外还有类似于CoinDash ICO攻击、Enigma项目欺诈、Tether代币攻击、比特币黄金欺诈以及EOS上线前被发现的安全漏洞。

根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。

网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面。

当然,这些黑客事件并不是针对区块链技术本身的,而是利用加密货币服务商,如钱包、交易所的安全漏洞来窃取资金。下面让我们来总结下区块链历史上交易所和钱包的被盗事件吧!

转给他一篇the DAO事件的文章后突然发现,the DAO攻击事件已经过去2年了,今年的6月17日大家都在关注父亲节、端午节以及德国和墨西哥队的比赛爆冷,无论币圈还是链圈,没有人提及the DAO。

betway手机客户端 1

对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

betway手机客户端 2

但因为软分叉的方案需要取得矿工们的同意,方案发布后黑客攻击者暂停了攻击,宣布对不支持软分叉的矿工给与100万以太币奖励。当然,软分叉方案还是顺利通过了,以太坊官方推出了针对TheDAO的软分叉版本Gethv1.4.8,但这个软分叉版本却又一次出现了漏洞。

作者:黄玲丽

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

Bitfinex

这是继MtGox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。Bitfinex当初使用的是BitGo提供的多签交易软件。时至今日,没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex事件中,黑客盗走了12万个比特币, 当时价值7200万美元。

betway手机客户端 3

扫描下方二维码添加小助手微信,邀请您进群。

截图时间:2018/9/12 9:08

实际上就是The DAO的智能合约出了BUG,用户可以不断从The DAO的资产池中获取DAO资产

区块链的安全现状

被盗事件此起彼伏,仅2018年上半年就丢失了价值11亿美金的加密货币。尽管区块链不容易受到攻击,但其实智能合约,钱包和人为失误都有可能成为被盗的导火线。

还有一种被称之为“51%攻击”的破坏行为,即一个人掌握了51%以上的全网算力,创造区块的速度远远高于其他节点,最终控制整个网络。

专家指出SHA256加密算法复杂,但也并不是无法攻破。或许最致命的攻击尚未被我们发现。McAfee集团的管理人员曾经说过:

“这个行业太新了,我们现在都没有一个专门发现并报道技术缺陷的平台”。

betway手机客户端 4

或许目前的权宜之计是只参与人数众多,透明度高的区块链项目,使用二次验证和硬钱包来保障资产安全。记住,资产安全无小事!

本文作者:Sirius Network

编译:行走的翻译C

Medium:@siriusnetwork

距离the DAO攻击事件已经过去了2年,这次事件让我们认识到区块链应用安全的重要性。the DAO被攻击的漏洞是项目本身产生的,与智能合约无关,就像某一个网站出现了bug,不能说是互联网技术的问题一样。

当我们谈论“区块链安全”的时候,我们到底在谈论什么?

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

AllinVain盗窃事件

2011年6月,一个化名叫AllinVain的黑客获取了一家矿场的硬盘,转走了25000个比特币到外部钱包。这笔钱至今下落不明。这种操作手法就好比黑客从电脑里把银行账户里的资金全部转走。这是第一次有媒体报道加密货币被盗事件,在当时引起了重大反响。

betway手机客户端 5

正常情况下你的DAO打入子DAO后就会从总的资金池中删除掉,但是看下图这行代码,里面的withdrawRewardFor是将钱从总dao打到你的子dao合约,注意前面提到的fallback函数,发送金额到你子dao合约时会触发fallback函数,但是如果你特别写了fallback是再调用总dao的withdrawRewardFor呢?代码会重新运行withdrawRewardFor再给你打钱,而扣钱的代码就永远不会运行到,如果你想,可以将总资金池中的DAO全部转空。

智能合约的出现使得区块链有了无穷无尽的可能性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。

■ 5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失

■ 5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。

■ 6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

MtGox

MtGOX是加密货币史上,最早、且是当时最大的交易所。2014年2月,这家交易所遭受了最严重的黑客攻击。MtGOX最初是万智牌玩家(Magic: The Gathering Online)用来交换卡牌的网站,于2010年转型为交易所。2010年7月份该网站的开发者在Slashdot上看到加密货币的介绍后,重写了网站代码,并把该网站卖给了居住在日本的开发者Mark Karpeles。 到了2014年,一家独大的MtGox占据了全球70%的比特币交易量。

2014年2月7日,MtGox声称其安全软件中存在漏洞,紧急暂停了所有交易。两周后,交易所申请破产,网站突然消失。用户共损失了85万比特币,当时价值高达4.7亿美金。这一事件导致投资者信心受挫,比特币价格暴跌36%。

betway手机客户端 6

很多人都质疑Mark Karpeles监守自盗。2015年,Mark在日本因诈骗,挪用公款和操纵用户余额等罪名被捕。但是这并不能证明他跟交易所被盗有直接联系。2017年希腊一家交易所的经营人因洗钱罪被捕,其涉及资产竟包括在MtGox事件中丢失的币。

有分析师曾表示,MtGox交易所是比特币世界的一颗定时炸弹,用户在其平台上交易无益于自杀式行为。

技术工坊|利用智能合约漏洞攻击,转走大量以太币是如何做到的?

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

betway手机客户端,C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

Poloniex

2014年3月份,黑客攻破了Poloniex的服务器。那时,这家交易所才营业2个月。Poloniex的创始人Tristan D’Agosta解释道黑客发现他们的提现系统在遇到多个同步请求后,就可以允许“透支”行为。交易所在发现了这一异常操作后,关闭了进入受影响账户的通道。但是 12.3%的总资产已经被盗了。Poloniex的处理方式是:暂时把每个用户余额里的资产都扣除12.3%,后续再恢复他们的账户余额。Poloniex最终活了下来,并在2018年被收购。

betway手机客户端 7

前两天,跟一位HiBlock区块链社区的用户私聊,他问我一个问题,同样是智能合约,为什么会有以太坊和以太经典,又为什么会有相应的ETH和ETC,两者价格还相差如此之大。

Code is Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

Coincheck

Coincheck是一家日本交易所。2018年1月份,这家交易所被盗了5亿个NEM币。黑客把币从钱包转移出来后立即把NEM换成了其他币。这次损失高达5.3亿美金,超过MtGox在2014年的损失。

betway手机客户端 8(通证丢失后对公众道歉的Coinoincheck原CEO)

那么,the DAO被攻击后,是如何应对解决的呢?在攻击事件发生后,攻击者并不能马上转走这些资产,而是有一个28天的等待期,在这28天里白帽黑客登场,V神提出方案,目的是要阻止黑客转出这些资产。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

过去十年,区块链获得了更多的关注。与此同时,随着加密货币的价值增长,不法分子也盯上了这一行业。黑客事件层出不穷,保障用户的资产安全成为一个行业痛点。

所以the DAO就设计了一个“子DAO”的机制,你可以申请创建一个子DAO,审查通过后你的DAO就可以通过代码自动打入子DAO,从总资金池中剥离出来,而攻击漏洞也由此开始。

本文由betway手机客户端发布于我的必威,转载请注明出处:为什么会有ETH和ETC?the DAO攻击事件2周年祭