随着越来越的人参与到区块链这个行业中来,为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏,给了攻击者更多的可乘之机。面对频频爆发的安全事件,慢雾特推出区块链安全入门笔记系列,向大家介绍区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界!系列回顾:区块链安全入门笔记(一)|慢雾科普区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普区块链安全入门笔记(四)|慢雾科普区块链安全入门笔记(五)|慢雾科普智能合约SmartContract
智能合约(SmartContract)并不是一个新的概念,早在1995年就由跨领域法律学者NickSzabo提出:智能合约是一套以数字形式定义的承诺(Promises),包括合约参与方可以在上面执行这些承诺的协议。在区块链领域中,智能合约本质可以说是一段运行在区块链网络中的代码,它以计算机指令的方式实现了传统合约的自动化处理,完成用户所赋予的业务逻辑。随着区块链智能合约数量的与日俱增,随之暴露出来的安全问题也越来越多,攻击者常能利用漏洞入侵系统对智能合约用户造成巨大损失,据SlowMistHacked统计,截止目前仅ETH、EOS、TRON三条链上因智能合约被攻击而导致的损失就高达$126,883,725.92,具有相同攻击特征的手法更是呈现出多次得手且跨公链的趋势,接下来我们将为大家介绍近年来一些常见的智能合约攻击手法。交易回滚攻击RollBackAttack
行情 | 在美上市区块链中概股涨跌各异:今日美股收盘,在美上市区块链中概股涨跌各异。嘉楠科技收涨3.35%,人人网收跌2.15%,中网载线收跌1.5%,寺库收涨0.75%,迅雷收跌2.44%,猎豹移动收跌2.51%,兰亭集势收涨1.9%。[2020/1/31]
交易回滚攻击(RollBackAttack),故名思义,指的是能对交易的状态进行回滚。回滚具体是什么意思呢?回滚具体指的是将已经发生的状态恢复成它未发生时候的样子。那么,交易回滚的意思就是将已经发生的交易变成未发生的状态。即攻击者本来已经发生了支付动作,但是通过某些手段,让转账流程发生错误,从而回滚整个交易流程,达到交易回滚的目的,这种攻击手法多发于区块链上的的智能合约游戏当中,当用户的下注动作和合约的开奖动作在一个交易内的时候,即内联交易。攻击者就可以通过交易发生时检测智能合约的某些状态,获知开奖信息,根据开奖信息选择是否对下注交易进行回滚。该攻击手法早期常用于EOSDApp上,后逐步向波场等其他公链蔓延,截止目前,已有12个DApp遭遇攻击,慢雾安全团队建议开发者们不要将用户的下注与开奖放在同一个交易内,防止攻击者通过检测智能合约中的开奖状态实现交易回滚攻击。交易排挤攻击TransactionCongestionAttack
动态 | 湖南省区域医疗基础设施开通 充分运用区块链等技术:据湖南日报今日消息,12月27日,湖南省区域医疗基础设施正式开通。湖南省“创新型省份建设专项”支持立项了支撑全网运营的新一代区域医疗信息基础设施关键技术研发与应用项目。项目旨在充分利用区块链、大数据、人工智能等先进信息技术,推动区域医疗资源共享,提高优质医疗资源可及性和医疗服务的同质化水平,提升区域内整体医疗卫生服务能力和人民群众满意度。[2019/12/29]
交易排挤攻击(TransactionCongestionAttack)是针对EOS上的使用defer进行开奖的游戏合约的一种攻击手法,攻击者可以通过某些手段,在游戏合约的defer开奖交易前发送大量的defer交易,恶意侵占区块内的CPU资源,使得智能合约内本应在指定区块内执行的defer开奖交易因资源不足无法执行,只能去到下一个区块才执行。由于很多EOS上的游戏智能合约使用区块信息作为智能合约本身的随机数,同一个defer开奖交易在不同区块内的执行结果是不一样的。通过这样的方式,攻击者在获知无法中奖的时候,就通过发送大量的defer交易,强行让智能合约重新开奖,从而达到攻击目的。该攻击手法最早在黑客loveforlover向EOS.WIN发起攻击时被发现,随后相同的攻击手法多次得手,据SlowMistHacked统计仅2019年就有22个竞猜类DApp因此损失了大量资金,慢雾安全团队建议智能合约开发者对在不同区块内执行结果不同的关键的操作不要采用defer交易的方式,降低合约被攻击的风险。随机数攻击RandomNumberAttack
行情 | A股收盘:区块链板块下跌0.89%:A股收盘,上证指数收跌0.71%,区块链板块下跌0.89%。84只概念股中,20只上涨,62只下跌,2只平盘。上涨前三为:科蓝软件(+10.00%)、汇金科技(+6.15%)、视觉中国(+5.22%);跌幅前三为:中南建设(-4.58%)、紫光股份(-4.14%)、新国都(-4.13%)。[2019/8/9]
随机数攻击(RandomNumberAttack),就是针对智能合约的随机数生成算法进行攻击,预测智能合约的随机数。目前区块链上很多游戏都是采用的链上信息作为游戏合约的随机数源,也称随机数种子。使用这种随机数种子生成的随机数被称为伪随机数。伪随机数不是真的随机数,存在被预测的可能。当使用可被预测的随机数种子生成随机数的时候,一旦随机数生成的算法被攻击者猜测到或通过逆向等其他方式拿到,攻击者就可以根据随机数的生成算法预测游戏即将出现的随机数,实现随机数预测,达到攻击目的。2018年11月11日,攻击者向EOS.WIN发起连续随机数攻击,共获利20,000枚EOS,在此慢雾安全团队建议智能合约开发者使用安全的随机数源作为合约随机数,如通过使用链下的随机数种子生成随机数的方式上传至链上,降低合约被攻击的风险。
声音 | 雄安集团:2017年底以来部分雄安重大建设项目使用了区块链系统:据雄安发布的消息,中国雄安集团23日与区块链技术公司ConsenSys在京进行座谈,双方就区块链技术的发展应用展开了深入交流,并签署谅解备忘录。中国雄安集团副总经理翟伟表示,雄安新区在区块链运用方面已有所实践,未来能够为区块链技术的发展提供广阔的实验平台和应用市场。2017年底以来,雄安9号地块一区造林项目等雄安重大建设项目,都使用了区块链系统,国内不少商业银行都与雄安区块链平台进行了对接。[2018/7/25]
8月15日,加密信用评估创业公司Graychain发布了一份长达26页的Defi借贷产品报告,报告显示,加密借贷目前价值超47亿美元,但放贷人仅赚取8600万美元的利息收入.
1900/1/1 0:00:00编者按:本文来自Unitimes,作者:Bruno?kvorc,编译:Summer,Odaily星球日报经授权转载。首先,我们试着来理解什么是finality(最终性).
1900/1/1 0:00:00区块链浪潮正席卷全球,除了中本聪,这背后还有很多对加密货币生态有贡献的人,不管他们如今身附盛名还是背负骂名,都值得被一一记录.
1900/1/1 0:00:00Odaily星球日报译者|Moni你有多久没有听到初始代币发行的消息了?虽然初始代币发行的热度大幅下降,但它似乎并没有在加密货币市场里完全消失,而且从最近一些监管态度中可以看出.
1900/1/1 0:00:00产业解读这两天,大家都在关注OKB、HT双双创新年内高,OKB最高3.78美元,HT最高也5.05美元了,BNB呢,还在弱势调整,这一轮从高点下来,现在还有22%的跌幅.
1900/1/1 0:00:00编者按:本文来自EthFans,作者:郭宇@SECBIT,Odaily星球日报经授权转载。引言:我认为区块链很难称为一个“技术”。它更像是一个领域,包罗万象.
1900/1/1 0:00:00