《《区块链的十大攻击、漏洞及弱点》.docx》由会员分享,可在线阅读,更多相关《《区块链的十大攻击、漏洞及弱点》.docx(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、过去三年较大规模的去中心化黑客攻击日期协议金额2020 Q1bZX$318,0002020 Q1bZX$636,0002020 Q2Bancor$135,2292020 Q2Bisq$250, 0002020 Q2UniSwap$300, 0002020 Q2Lendf.me2500万美元2020 Q3Balancer$500, 0002020 Q3Yearn Finance (emmence)1500万美元2020 Q3Opyn$371,0002020 Q3bZX810万美元2020 Q4Cover Protocol440万美元2020 Q4Cover Protocol400万美元2020
2、Q4Value: DeFi600万美元2020 Q4Axion$500, 0002020 Q4Warp Finance770万美元2020 Q4wLEO$42,0002020 Q4Cheese Bank330万美元2020 Q4Origin Protocol700万美元2020 Q4Pickle Finance1970万美元2020 Q4Akropolis200万美元2020 Q4Harvest Finance2400万美元2021 Q1Roll (WHALE, RARE, and PICA)570万美元2021 Q1DODO DEX380万美元2021 Q1PAID Network316万美
3、元2021 Q1Furucombo (iouCOMBO)1400万美元2021 Q1CREAM Finance + Alpha Finance (Alpha Homora)3750万美元2021 Q1Year.Finance1100万美元2021 Q2EasyFi8100万美元2021 Q2Eleven.Finance450万美元2021 Q2Alchemix650万美元2021 Q2Bogged Finance300万美元2021 Q2Belt Finance620万美元2021 Q2Rari Capital1000万美元2021 Q2Value.Defi (governance Recov
4、erUnsupported()1000万美元2021 Q2Value.Defi (vSwap AMM vSwap pools)1100万美元2021 Q2bEarn1100万美元2021 Q2Xtoken2450万美元2021 Q2Pancake Bunny4500万美元2021 Q2Spartan Protocol3050万美元2021 Q2Burger Swap720万美元2021 Q3Chainswap80万美元2021 Q3Chainswap800万美元2021 Q3ThorChain500万美元2021 Q3ThorChain800万美元2021 Q3AnySwap790万美元202
5、1 Q3Bondly590万美元2021 Q3Levyathen150万美元2021 Q3Popsicle Finance2000万美元2021 Q3Poly Network6.11亿美元3. 51%攻击51%攻击是对工作量证明(Proof Of Work)区块链的一种攻击,即一群捽制着网络 50%以上的挖矿哈希值的矿工利用这种控制力阻止新的交易被确认,或推翻在控制下完 成的交易,导致双花攻击(double-spend attack) o 一旦发生这种情况,往往没有任 何区块链技术可以阻止这种攻击。51%的攻击导致的最大损失是丧失区块链的信心。知名的51%攻击影响范围包括: Krypton S
6、hift MonaCoin Bitcoin gold Zencash Litecoin Cash Feathercoin Vertcoin Bitcoin Gold Ethereum Classic Verge Bitcoin SV3.1案例研究2020年8月,ETC经历了一次51%的攻击,造成7000多个区块的重组,大约相当于 两个采矿日。四个主要的交易所受到双花的影响,造成460万美元的损失。3 . 2缓解51%攻击51%的攻击导致的双花给区块链带来了平安和信任问题。一种改善平安协议和控制 的方式可以通过交易所完成。一些交易所要等待6个确认区块深度才允许使用货币,并 且一旦区块链通知交易所
7、攻击正在进行,那么可能会扩展到30个或更多确实认区块深度。 其目的是让49%的少数矿工有更多的时间重新获得区块链的哈希值并挫败攻击。这对交 易所有利,因为他们不会因为双花而损失货币。4 .钓鱼钓鱼攻击在区块链经济内外都很常见。在传统的网络钓鱼攻击中,犯罪分子会通过 广撒网和群发邮件来“钓取”目标,冒充合法机构来欺骗读者提供敏感数据,如用户 名、密码、银行和信用卡信息以及其他个人身份信息。网络钓鱼已经超出了电子邮件的 范围,包括 、短信和社交媒体平台。在加密空间中越来越常见的是非常有针对性的鱼叉式钓鱼攻击。在这些类型的攻击 中,犯罪分子拥有关于受害者的额外细节,他们可以利用这些细节来定制他们的攻
8、击, 而且往往看起来是来自更值得信赖的来源。在加密货币硬件钱包供应商Ledger的数据泄露后,许多买家收到了鱼叉式钓鱼邮 件,声称用户需要使用所提供的链接更新他们的种子短语。然而,这样做的结果是攻击 者获得了用户的私钥副本,使他们完全控制了 Ledger所持有的所有加密货币。B pH opr919 LCU年 IYbu have received a sensitive Document from Kee* van DijkhuUen, Brtonic E_i n早早y势必计 a喑咆A0 AfCfvwForward 西 MowIMtt ReMkVrvM CMooftM FoBm SMretoMU
9、p TeemsHi *, You have received a sensitive Document from Kees van Dijkhuizen, Bitonic Exchangeo Unkedln via Kees van Dykhuizen noreply0budgett.To: Mxj have 1 New Sensitive DocumentMxj have 1 New Sensitive DocumentKees van DijkhuizenView DocunwntNever ram and moeMge G. the Lintedln app 币安(Binance) 币安
10、 CEO 赵长鹏(Changpeng zhao) CoinDesk CoinbaseGemini Kucoin和波场(Tron)创始人孙宇晨(Justin Sun)的Twitter账户被黑客 入侵。这些帐户中的每一个都发布或转发了以下内容:j 冷 KUCOINV kucoincomWe have partnered with CryptoForHealth and are giving back 5000 BTC to the community.See more here: cryptoforhealth 12:40 PM - Jul 15, 2020 Twitter Web App83 R
11、etweets and comments 55 Likes该网站声称将分发5000个BTC作为赠品,条件是如果个人向捐赠地址发送0.1 个BTC到20个BTC,那么Cryptoforhealth将返还两倍的金额。在最初的推特浪潮之后,包括杰夫贝佐斯(Jeff Bezos)、优步(Uber)、巴拉 克奥巴马(Barack Obama) 乔拜登(Joe Biden)和埃隆马斯克(Elon Musk) 在内的多个账户遭到入侵。这些被泄露的账户直接引用了比特币加倍骗局,其中还包括 了比特币存款地址,而不是将受害者重定向到一个网站。结果,所提供地址中的比特币 数量开始飙升。Joe Biden . Joe
12、Biden - 2mI am giving back to the community.All Bitcoin sent to the address below will be sent back doubled! If you send $1,000,1 will send back $2,000. Only doing this for 30 minutes.bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlhEnjoy!o 922Q 544. 2缓解倍增骗局虽然利用多个验证Twitter账户等信任标记是为了欺骗用户,让他们认为比特币倍 增骗局是合法的,但
13、与被入侵账户的广泛覆盖范围相比,黑客获得的金额微缺乏道。这 可以归结为两个主要因素:一是正当交易所的反洗钱(AML)系统实施阻止了新用户在 诈骗高峰期向黑客发送他们的代币,二是当涉及到常见的加密币诈骗时,加密币用户对 此更加了解了。大多数诈骗受害者可能已经在数字货币交易所开设了账户,因为即使是通过自动清 算系统(ACH)转账,在信誉良好的交易所开设账户并在一天内完成存款和转账几乎是 不可能的。在可以更快地开户的交易所中,用户通常会要求以电汇的方式而不是自动清 算系统的方式进行法定存款。在电汇完成之前,这些账户将无法交易任何加密货币,这 可能需要三天时间来完成。而这正可能阻止了黑客利用那些尚未持
14、有加密货币或在交易 所维持账户的人。9 .勒索自从加密货币被广泛采用以来,网络敲诈企图急剧增加。其中有一种特别常见的勒 索方式性勒索。犯罪分子可以使用来自Yahoo!、Experian和Facebook漏洞所盗取的数据来个性化他们的通信,以欺骗电子邮件收件人,让他们相信自己被录下了 观看网络色情或参与其他危害他人的活动。在一个例子中,勒索者威胁要公开一段分屏 视频,其中一半显示正被进行勒索的接收者,另一半那么显示他们当时正在观看的视频。 这位“性勒索者”提出,如果受害者将付款发送到一个比特币地址中,就可以让他们脱 身。有时,勒索者声称已经用恶意软件感染了一个色情网站,利用受害者的电脑记录按 键
15、,以访问显示屏和网络摄像头。勒索邮件显示的是过去某个时间点的真实密码。然而, 这些密码是通过数据泄漏得到的而不是通过受感染的站点所获取的。这些鱼叉式网络钓 鱼攻击为电子邮件增加了一层真实性,增加了受害者付款的可能性。诈骗者进一步声称已经获取了受害者的通讯记录,并威胁他们说,如果没有收到赎 金,他们就会把视频发送到名单上的人。赎金通常在几百美元到一千多美元不等。 CipherTrace对在线勒索支付地址的分析说明,大多数这些在线勒索邮件都是极具欺诈性的,但这些邮件足够吓人,即使是无辜的受害者也可能出于恐惧而支付赎金。9.1 防止勒索攻击通常情况下,这些勒索骗局都是假的一一这意味着支付或不支付都将导致相同的结 果:什么事都没有。建议不要为勒索骗局支付或回复这些电子邮件。勒索诈骗通常通过鱼叉式网络钓鱼获得合法性。为了保护自己免受此类攻击,人 们可以做的一件事是冻结所有信用机构账户,如Equifax、Experian、Transunion、 Innovis和NCTUE (由Equifax所有)。APWG加密货币工作组还建议消费者通过致 电 1-888-5-OPT-OUT (1-888-567-8688)或访问 0p