区块链安全生存指南 Blockchain Security Guide 长亭科技 ConsenSys 比特大陆 联合发布 区块链安全生存指南 Blockchain Security Guide 目录 CONTENT 前言 3 |01| 区块链概况 4 1/1 始于比特币 1/2 不只是比特币 5 5 |02| 区块链原理及特征 6 2/1 技术原理 2/2 区块链特征 7 7 |03| 行业划分与安全诉求 8 3/1 9 数字货币 3/1/1 矿力 3/1/2 钱包 3/1/3 交易 9 10 11 3/2 技术应用 11 3/2/1 金融 3/2/2 数据存证 3/2/3 底层服务 12 12 13 |04| 区块链安全攻击实例及分析 15 4/1 应用层 16 4/1/1 交易所服务器未授权访问 4/1/2 交易所DDoS攻击 16 18 区块链安全生存指南 Blockchain Security Guide 4/1/3 员工主机安全问题 4/1/4 恶意程序感染 18 19 4/2 智能合约层 22 4/2/1 重入攻击 4/2/2 未授权访问攻击 4/2/3 Solidity开发安全 22 24 29 4/3 底层结构层 37 4/3/1 区块链实现层安全隐患 4/3/2 DApp社区DoS攻击问题 4/3/3 EVM安全隐患 37 37 38 4/4 基础设施层 40 4/4/1 云服务商安全问题 40 4/5 安全意识与管理 41 4/5/1 4/5/2 4/5/3 4/5/4 41 42 42 43 社会工程学攻击 内部攻击 第三方风险控制失败 钓鱼攻击 |05| 应对策略-区块链安全开发生命周期 5/1 5/2 5/3 5/4 5/5 5/6 培训 需求 设计 实现 验证 发布与响应 45 46 47 47 48 49 50 区块链安全生存指南 Blockchain Security Guide 前言 FOREWORD 闻名世界的索马里海盗,执行者一般几个人、一艘船、并不强大的火力,抢船 成功后动辄百万、千万美金的赎金要求,拼的不是火力,不是船的大小,更多是对 海域的熟悉、地理位置的利用和敢想敢做的行为。 总结历史发生的所有区块链安全案例来看,这个新兴乍起的行业所遭受的攻击 过程和恶劣结果,会让人时不时恍惚觉得,这种攻击力量对比、手法策略和获利的 丰厚程度非常相似,现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。 当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始,索马里 海盗因为正规军的介入而逐渐销声匿迹。当前的区块链企业似乎也急需专业正规军的 介入,通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维 度进行深入研究,提出切实可行的有效手段,对当前“无墙”的攻击进行遏制。 由此产生了长亭科技、ConsenSys和比特大陆的此次联手。 随着整个区块链行业的兴起,长亭科技服务了多个相关企业,囊括多种类型。 在这个过程中,长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识, 但针对区块链安全的了解却是匮乏的;国内外研究区块链安全技术的机构并非不存 在,但信息渠道的不畅通导致了知识获取的延迟,遂决定通过多年在安全行业的积 累,联合优质且真正能解决问题的资源,将各自的研究成果集合,在当前阶段,给 区块链从业者一个相对客观的可参考、可查找资源。 长亭科技因擅长攻防技术的背景,是国内最早开始研究并服务区块链企业的网 络安全公司之一,积攒了丰富的素材,并利用多年攻防研究和实战经验,梳理了相 对成熟的方法论;ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年,总 部位于纽约,全球团队超过600人,旗下安全团队ConsenSys Diligence为以太坊 生态提供安全服务、工具和最佳实践指南;比特大陆创始人吴忌寒,是第一个将比 特币创始人中本聪的论文翻译成中文的人,2013年联合詹克团创立比特大陆,这家 成立不到五年的中国公司,被称为比特币产业链上的隐形帝国。三家企业从更丰富 的视角对报告内容进行了补充,尽量为区块链从业者提供更多维度的参考信息。 区块链安全生存指南 Blockchain Security Guide |01| 区块链概况 Overview of Blockchain 区块链安全生存指南 Blockchain Security Guide 1/1 始于比特币 区块链(Blockchain)最早由“中本聪”(Satoshi Nakamoto)于2008年 在其论文《比特币:一种点对点电子现金系统》中提出,比特币也成为了目前最广 为人知的区块链应用案例。广义上讲,区块链技术是利用将打包的数据区块串接成 链进行验证与存储数据、利用点对点网络技术和共识算法来生成和更新数据、利用 密码学方式保证数据传输的安全、利用自动化脚本代码(也就是智能合约)来操作 1 数据的一种全新的分布式架构与计算范式 。 整体来看,区块链是融汇了密码学、数学、计算机科学、网络科学、社会学等多 门学科的产物。从创新角度看,区块链巧妙融合升级了多种现有技术,如非对称加 密、点对点网络技术、哈希算法和共识算法,它是一次工程学意义上而非科学理论 2 上的创新 。 1/2 不只是比特币 随着比特币社区的壮大和多种数字货币的发行,同期诞生大批与数字货币挂钩 的产品及服务,如矿机、数字钱包、数字货币交易所等。区块链概念在2013年左右 开始走进大众视野,随之而来的则是共识机制的多样化和升级,以及智能合约的大 范围开发应用。2014年前后,业界开始认识到区块链技术本身的重要潜在价值,并 开始尝试将其应用到数字货币以外的场景,如众募、资产交易、权属管理、身份认 证等领域,这些应用则被称作去中心化应用(DApp)。 伴随着一项新技术的发展和版图扩张,尤其如区块链技术般爆炸式发展,其各层 面、各方向上的安全问题也呈现爆炸趋势。虽然区块链还在发展初期,众多技术应 用项目仍处于试验阶段,截至目前的攻击事件也多集中在数字货币相关领域,但安 全隐患已然暴露出来。本次报告会通过深入剖析区块链技术的原理及特点,梳理具 体行业的安全诉求,分析已知的安全事件进行详细解读,并给出在区块链行业中如 何安全生产的指导意见。 05 1.工信部,中国区块链技术和应用发展白皮书,中国区块链技术和产业发展论,2016 , http://www.sohu.com/a/224324631_711789 2.刘瑜恒和周沙骑,证券区块链的应用探索、问题挑战与监管对策,金融监管研究,2017年第4期, http://www.cbrc.gov.cn/chinese/files/2017/355591F79E5743CE86F0F765F0573454.pdf 区块链安全生存指南 Blockchain Security Guide |02| 区块链原理及特征 Historical Theory of Blockchain 区块链安全生存指南 Blockchain Security Guide 2/1 技术原理 经过近十年发展,区块链行业早已不仅仅是比特币区块链加上社区用户的个人 电脑那么简单。基础设施中出现了专业矿机及集群算力;根据链的架构,则有公有 链、私有链、联盟链等种类;而其中又衍生出多种针对不同场景、需求的共识机 制;智能合约的灵活应用则让各型应用的繁荣成为了可能。 应用层 钱包 交易所 实时跨境支付 资产交易 合约层 程序语言编写的智能合约 核心层 区块 + 链 + P2P网络 + 共识机制 服务层 节点 BaaS 矿机 图2-1 区块链的层级结构 具体的说,区块链的基本工作原理是通过标准算法、加密技术将一个文件或数 据转换为一个哈希值,该哈希值与文件或数据一一对应。这个文件或数据可以是记 录着一种事实、一笔交易、一笔资产或者一项权益等等,形成数据代码与现实世界 3 的关联。这个哈希值被写入一个区块链交易中,并 被 打 上 时 间 戳 。一定数量的哈希 值形成一个区块,经过节点的核查最终按时间顺序被加入区块链中。因此区块链中 的数据总是前后相继、有据可循。在此之上的智能合约是程序语言编写的合约条 款,在满足预设条件时,合约条款将被强制执行。而且智能合约运行在全网所有节 点,个体无法将其强行停止。自动执行的智能合约极大的扩展了区块链的功能,丰 富了上层应用。 2/2 区块链特征 一、同步性。去中心的结构省去了传统模式下的中转中心,可极大提升信息、 价值的传递效率,来自于区块链的分布式存储模式及其点对点网络系统。区块链上 的加密数据分散保存在接入区块链的终端节点中,任何区块更新后,链上的所有节 点都能够获知并进行同步。 二、可信任性。独特运行机制省去了第三方认证机构,使节点间可以依靠区块链 直接达成信任,来自于非对称加密、哈希算法、共识机制等技术。区块链上的数据 与事实一一对应,并被链上节点共同验证真伪。即使区块链上个别节点不正确运 行,只要其数量不达到一定的阈值,整个区块链账本的真实准确性就不会受到影 响。 三、可溯源性。来自于时间戳和链式数据结构,依照其链式结构可以对任一个状 态进行溯源。区块链中的每个区块都记录着前一区块的哈希值,以此形成单向链结 构。而区块中存储的交易或状态转换(transactions)总是前后相连形成事实唯一 的链条。 07 3.刘瑜恒和周沙骑,证券区块链的应用探索、问题挑战与监管对策,金融监管研究,2017年第4期, http://www.cbrc.gov.cn/chinese/files/2017/355591F79E5743CE86F0F765F0573454.pdf 区块链安全生存指南 Blockchain Security Guide |03| 行业划分与安全诉求 Roadmap and Ecosystem of Security Challenges 区块链安全生存指南 Blockchain Security Guide 目前市场上多达几百家的区块链相关公司,可将其大致划分为数字货币和技术应 用两大类,根据不同应用场景和具体行业分析可归类对应的应用特性及安全诉求。 矿机 矿力 矿池 云算力 热钱包 数字货币 比特大陆 Butterfly Labs 蚂蚁矿池 BTC.com 算力宝 CEX Bitcoin Core Parity 钱包 冷钱包 数字货币交易 Ledger Nano S 币安 火币 Mt.Gox 交易 区块链 实时跨境支付 金融 共享经济

pdf文档 20180509-《区块链安全生存指南》(blockchain_security_guide_20180507)

云计算·大数据 > 大数据 > 数据分析 > 文档预览
53 页 4 下载 981 浏览 0 评论 0 收藏 3.0分
温馨提示:当前文档最多只能预览 20 页,若文档总页数超出了 20 页,请下载原文档以浏览全部内容。
本文档由 xyz1030532019-10-31 10:46:49上传分享
给文档打分
您好可以输入 255 个字符
文库之家的网址是?( 答案:wenkuzhijia.cn )
评论列表
  • 暂时还没有评论,期待您的金玉良言