首頁|必讀|視頻|專訪|運營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計算|芯片報告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 論壇 >> 正文

區(qū)塊鏈?zhǔn)鞘澜缱畎踩W(wǎng)絡(luò)?這9大理由讓你保持警惕

2018年3月22日 10:35  網(wǎng)易科技  作 者:小小

3月22日消息,據(jù)ZDNet報道,全球在線賬簿網(wǎng)絡(luò)——區(qū)塊鏈真的安全嗎?它的支持者認(rèn)為的確如此,因為它將交易或智能合同分配給不可變的分類帳,并可由多方驗證。然而,最近發(fā)表的論文指出,有些漏洞可能會導(dǎo)致區(qū)塊鏈陷入低效、黑客攻擊以及其他犯罪活動中。

區(qū)塊鏈?zhǔn)鞘澜缱畎踩W(wǎng)絡(luò)?這9大理由讓你保持警惕

這篇論文由香港理工大學(xué)的李曉淇(Xiaoqi Li)、姜鵬(Peng Jiang)和羅夏普(Xiapu Luo)、中國電子科技大學(xué)的陳婷(Ting Chen)以及北京大學(xué)的溫巧燕(Qiaoyan Wen)共同發(fā)表的,他們聲稱,區(qū)塊鏈有幾個漏洞,用戶需要對它們保持警惕。

隨著區(qū)塊鏈逐漸成為業(yè)務(wù)運營的重要組成部分,需要對這種新興技術(shù)帶來的潛在安全責(zé)任進(jìn)行更仔細(xì)的審視。李曉淇等人表示:“隨著這種分布式應(yīng)用數(shù)量的增長,區(qū)塊鏈的隱私泄露風(fēng)險將會變得更加嚴(yán)重。分布式應(yīng)用本身,以及應(yīng)用程序和互聯(lián)網(wǎng)之間的通信過程,都面臨著隱私泄露的風(fēng)險!

他們敦促采用更安全的技術(shù)來應(yīng)對挑戰(zhàn),比如代碼混淆、應(yīng)用程序硬化以及執(zhí)行可信任的計算等。研究人員概述了區(qū)塊鏈已知的九大關(guān)鍵風(fēng)險因素:

1.區(qū)塊鏈效率

對于新手來說,區(qū)塊鏈本身的效率可能會因復(fù)雜的共識機制(consensus mechanism)和無效數(shù)據(jù)而超載。李曉琪和他的合著者指出,互聯(lián)網(wǎng)上使用的共識機制是計算資源的基礎(chǔ)。例如,區(qū)塊鏈中最流行的共識機制就是工作證明系統(tǒng)(Proof of Work),研究人員稱之為“浪費計算資源”。他們表示,目前正在努力開發(fā)更高效和混合的共識機制,將工作證明系統(tǒng)和權(quán)益證明系統(tǒng)(Proof of Stake)結(jié)合起來。

此外,區(qū)塊鏈將產(chǎn)生大量數(shù)據(jù),包括區(qū)塊信息、交易數(shù)據(jù)、契約字節(jié)碼等,它們?nèi)菀走^時且無用。研究人員認(rèn)為:“有很多智能合同不包含任何代碼,或者在以太坊中使用完全相同的代碼,而且許多智能合同在部署后永遠(yuǎn)不會被執(zhí)行。為了提高區(qū)塊鏈系統(tǒng)的執(zhí)行效率,需要高效的數(shù)據(jù)清理和檢測機制!

2.51%的脆弱性

區(qū)塊鏈依賴于分布式的共識機制建立相互信任。然而,共識機制本身有51%的漏洞,即攻擊者可以利用它來控制整個區(qū)塊鏈。更準(zhǔn)確地說,在以工作證明系統(tǒng)為基礎(chǔ)的區(qū)塊鏈中,如果單個礦商的散列功率占整個區(qū)塊鏈總散列功率的50%以上,那么51%的攻擊可能就會被啟動。因此,集中在少數(shù)幾個礦池的采礦力量可能導(dǎo)致對疏忽情況的恐懼,例如單個礦池控制超過一半的計算能力。

3.私鑰安全

當(dāng)使用區(qū)塊鏈時,用戶的私鑰被視為身份和安全憑證,由用戶而不是第三方機構(gòu)生成和維護(hù)。舉例來說,當(dāng)在比特幣區(qū)塊鏈中創(chuàng)建冷存儲錢包時,用戶必須輸入他/她的私鑰。攻擊者可以恢復(fù)用戶的私鑰,因為在簽名過程中它并非完全依賴隨機性生成。一旦用戶的私鑰丟失,它將無法恢復(fù)。由于區(qū)塊鏈不依賴于任何集中的第三方可信機構(gòu),如果用戶的私鑰被竊取,則很難跟蹤犯罪行為并恢復(fù)修改的區(qū)塊鏈信息。

4.犯罪活動

通過支持比特幣的第三方交易平臺,用戶可以購買或出售任何產(chǎn)品。由于這個過程是匿名的,所以很難追蹤用戶行為,更不用說讓他們受到法律制裁了。與比特幣相關(guān)的犯罪活動通常包括勒索贖金、地下市場和洗錢。

5.重復(fù)支出

雖然區(qū)塊鏈的共識機制可以驗證交易,但仍然不可能避免重復(fù)支出,或者在交易中多次使用相同的加密貨幣。攻擊者可以利用兩次交易發(fā)起和確認(rèn)之間的中間時間來快速發(fā)起攻擊。

6.交易隱私泄漏

不幸的是,區(qū)塊鏈的隱私保護(hù)措施并不是很健全。犯罪智能合同可能導(dǎo)致機密信息的泄露、竊取密鑰,以及各種現(xiàn)實世界的罪行(如謀殺、縱火、恐怖主義等)。

7.智能合同中的漏洞

由于應(yīng)用程序在區(qū)塊鏈中運行,智能合同可能有由程序缺陷引起的安全漏洞。舉例來說,一項研究發(fā)現(xiàn),在19366個以太坊智能合同中,有8833個容易受到錯誤的影響,比如交易順序依賴、時間戳依賴、錯誤異常處理以及重入性漏洞。

8.未充分優(yōu)化的智能合同

當(dāng)用戶與在以太坊中部署的智能合同進(jìn)行交互時,會收取一定數(shù)量的“氣體”。這種氣體可以用以太坊的加密貨幣——以太幣來兌換。這就導(dǎo)致了“無用代碼相關(guān)模式”和“循環(huán)相關(guān)模式”,其中包括“死代碼、不透明謂詞和循環(huán)中昂貴操作”。

9.定價偏低的操作

根據(jù)執(zhí)行時間、帶寬、內(nèi)存占用率和其他參數(shù),以太坊設(shè)置“氣體”價值。一般來說,氣體的價值與操作消耗的計算資源成正比。然而,要準(zhǔn)確測量單個操作的計算資源消耗量非常困難,因此有些氣體的價值是不準(zhǔn)確的。例如,有些氣體值設(shè)置得太低,因此這些操作可以在某個交易中大量執(zhí)行。通過這種方式,攻擊者可以發(fā)起對以太坊的拒絕服務(wù)攻擊。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請在30日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張云明:大部分國家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動 共筑信息保障堤壩
2023MWC上海世界移動通信大會
中國5G商用四周年
2023年中國國際信息通信展覽會
CCTIME推薦
關(guān)于我們 | 廣告報價 | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像