51%

又比如今年1月日本最大比特币交易所之一的Coincheck新经币被非法转移至其他交易所事件。

事件经过

由于智能合约上存在重大缺陷,当时区块链界最大的项目,The
DAO被攻击,具体经过如下:

6月15日左右此攻击合约被创立,6月17日攻击开始,Vitalik
Buterin得知攻击消息后立刻通知了中国社区

TheDAO监护人提议社区发送垃圾交易阻塞以太坊网络,以减缓DAO资产被转移的速度。

随后V神在以太坊官方博客发布[紧急状态更新:关于DAO的漏洞]公告。解释了被攻击的一些细节以及提出软分叉解决方案,不会有回滚。不会有交

易和区块被撤销。软分叉将从块高度1760000开始把任何与 The DAO和child
DAO相关的交易认做无效交易,以此阻止攻击者在27天之后提走被盗 

的以太币。这之后会有一次硬分叉将以太币找回。

上文发布后攻击暂停。

以太坊社区的Ethcore团队发布了支持软分叉的Parity客户端。

6月19日自称攻击者的人通过匿名访谈宣布会通过智能合约的形式奖励不支持软分叉的矿工100万以太币和100比特币,来对抗以太坊基金会提议的软分叉。

6月19日攻击又起,但只有少量DAO被分离。

6月22日白帽黑客开展罗宾汉行动将TheDAO资产转移到安全的子DAO中。

随后黑帽黑客(攻击者)开始攻击白帽黑客所创建的为安全转移TheDAO资产的智能合约。

7月20日晚,备受瞩目的以太坊区块链硬分叉已成功实施,中国的以太坊矿池BW.com成功挖得以太坊第192,000个区块,几秒钟过后,该矿池还

挖到了新区块链的首个区块。也预示着由未知黑客持有的价值约4000万美元的以太币,已被转移到了一个新的地址

(0xbf4ed7b27f1d666546e30d74d50d173d20bca754),从而“夺回”黑客所控制的DAO合约的币。从而形成两条链,一条为原链(ETC),一条

为新的分叉链(ETH),各自代表不同的社区共识以及价值观。

The DAO项目的由来

2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。

对于360而言,安全业务是任何时期的主心骨,而在区块链安全问题频发的2018年上半年,360似乎找到了最好的机会。

攻击方法

攻击者组合了2个漏洞攻击。攻击者利用的第一个漏洞是递归调用splitDAO函数。也就是说splitDAO函数被第一次合法调用后会非法的再次调用自己,然后不断重复这
个自己非法调用自己的过程。这样的递归调用可以使得攻击者的DAO资产在被清零之
前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产。
攻击者利用的第二个漏洞是DAO资产分离后避免从heDAO资产池中销毁。正常情况
下,攻击者的DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产。但是攻击
者在递归调用结束前把自己的DAO资产转移到了其他账户,这样就可以避免这部分
DAO资产被销毁。在利用第一个漏洞进行攻击完后把安全转移走的DAO资产再转回原
账户。这样攻击者做到了只用2个同样的账户和同样DAO资产进行了200多次攻击。

3、不能完成自我疗伤,自救(容错、修复错误)的去中心化自治组织DAO,不是真正的自治;

丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

实际上就是The DAO的智能合约出了BUG,用户可以不断从The
DAO的资产池中获取DAO资产

项目背景

The
DAO项目是区块链物联网公司Slock.it发起的一个众筹项目。原本该公司只想采用DAO(去中心化自治)来运作自己的系统Universal
Sharing Network (USN)。后来发现这个机制也适合其他项目,因此决定创建The
DAO,意为“DAO之母”

后来,随着TheDAO项目的深入展开,Slock.it团队发现,这个智能合约的框架不仅可以给theDAO项目使用,还可以给其它类似的DAO项目重用。于是他们决定创建The
DAO (The Mother of all DAOs ——DAO之母)。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

道可道,非常道

题图来自 Pixabay,基于 CC0 协议返回搜狐,查看更多

关于区块链、加密数字货币的安全一直以来都是热点话题。区块链已经发生了多次安全事故,比如著名的The
DAO事件

不幸的是,在2016年6月17日,这个被号称区块链业界最大的众筹项目TheDAO(被攻击前
拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO
资产池。消息迅速扩散,TheDAO项目、以太坊、区块链等技术都受到巨大的质疑,在区块链历史上留下了沉重一笔。由于其编写的智能合约存在着重大缺陷,TheDAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。而由于theDAO项目量个完全去中心化自治组织系统,智能合约一经发布,则无法更改的特性,导致theDAO团队也束手无策。

智能合约的出现使得区块链有了无穷无尽的可能性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。

对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

解决方案

图片 1

C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

去中心化自治组织DAO,是随着区块链技术发展流行起来的一个概念,比特币和以太坊的大行其道,使得很多开发者、企业、组织机构都开始尝试在不同的行业,建立垂直领域的DAO系统,其中一个叫Slock.it的公司发起了一个众筹项目,后来该项目被称做The
DAO。该项目在发起之初,计划通过物联网和区块链技术,提供智能锁等设备,把人们生活中的租赁关系用去中心化的方式建立起来,比如租房、租车、租雨伞等。

来源:

在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

1、中心化和去中心化是一把双刃剑;

Code is
Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The
DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

5、成长和蜕变都无法逃避挫折和魔难,理性看待theDAO攻击事件的恶性影响,它不仅促进了以太坊、区块链等技术的发展进步以及人们的深度思考,同时给所有人敲响了警钟,对技术需保持敬畏之心,安全没有边界,永远只是相对的,潜在的危险却无处不在。

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

360的区块链探索,再次展现了自身在安全领域的实力,也一举奠定其在区块链安全领域的领导地位。

4、智能合约应该出台一套安全标准,以及自动化验证规范,给安全加码;

相关文章

网站地图xml地图