您的位置:首页 > 区块链

区块链安全前沿技术探析 腾讯安全深度揭秘以太坊RPC攻击

发布时间:2018-09-12 18:34:23  来源:互联网     背景:

  “针对区块链的攻击才刚刚开始。”

  在CSS2018腾讯安全探索论坛(TSec)上,来自腾讯安全湛泸实验室高级安全研究员王凯通过议题《看好你的钱包!从攻击和防御角度分析以太坊RPC攻击》,指出了“区块链”这个号称最安全技术的安全隐患。

  王凯在议题中从攻击和防御的角度全面剖析了黑客对全球第二大公共区块链平台以太坊RPC的攻击,同时指出这种攻击仍在全球范围内进行;此外以太坊主网络中,面临安全威胁的节点仍为数众多、黑客采取的攻击手段越来越多样。

  据了解,腾讯安全探索论坛(TSec)是由腾讯安全打造的全球前沿、尖端安全技术的高质量安全信息交流论坛,议题涉及物联网、人工智能、区块链等众多热门领域,为加速安全技术创新、共享重要技术成果提升连接价值。凭借在议题专业性和研究价值上的突出表现,王凯的议题获得了今年TSec技术奖。

  (腾讯安全湛泸实验室高级安全研究员王凯)

  区块链安全事件显著增加 以太坊RPC现多种攻击手法

  近年来,数字加密货币市场风光无限,仅单枚比特币的价值就曾飙升至两万元,吸引了众多投资者的目光。然而,与加密货币安全相关的问题也从未间断。根据腾讯安全发布的《2018上半年区块链安全报告》显示,基于区块链数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。并且,随着数字货币参与者的增加,各种原因导致的安全事件也显著增加。

  全球第二大公共区块链平台——以太坊的安全问题无疑备受瞩目。在TSec现场,王凯介绍了团队分析以太坊安全问题的详细过程。腾讯安全湛泸实验室的安全研究团队通过腾讯云节点在亚、欧、美洲部署了三个测试设备,进行了为期一个月的试验。从蜜罐捕获的数据分析结果来看,位于以太网主网中的安全脆弱节点已成为攻击者的目标,且以太坊RPC接口攻击主要存在“数字货币窃取”、“账户暴力破解”和“丢失挖矿奖励”三大攻击手段。

  研究团队发现,主网中的安全脆弱节点约占总脆弱节点数目的1/3,剩余2/3的节点则分别来自于基于以太坊修改的、名为Akroma的区块链网络以及以太坊的各类测试网络。在窃取数字货币的攻击方面,以太坊主网络中,暴露的RPC模块包含eth或personal,暴露了账户信息的节点,攻击者不仅可以实现实时窃取受害者余额,还可以签署交易信息,在认为合适的时刻发布到区块链网络中。

  统计结果显示,攻击者尝试用于暴力破解账户的密码字典约700余条,且目前的以太坊主网络中仍有120余节点、5万余账户面临着此类攻击的威胁。此外,针对以太坊主网络中暴露的RPC模块包含miner,攻击者可以将该节点接受挖矿奖励的钱包地址,设置为自己的地址进行牟利,目前已有攻击者针对该安全脆弱的节点开展攻击,根据腾讯安全团队的探测数据显示,主网络中尚有超过50个节点正遭受此类攻击的威胁。

  区块链安全挑战刚刚开始 应加强部署节点RPC接口保护

  虚拟货币价值的攀升,赋予了由算法和数字堆砌的区块链巨大的金融价值,也让盗币者竭尽所能地采用更多方式实现目标。针对以太坊RPC接口的攻击只是区块链安全问题的冰山一角,对于去中心化交易的安全问题,以及将来面临的一系列挑战,实际上才刚刚开始。

  针对目前暴露的以太坊RPC攻击,王凯建议,一方面,区块链的开发社区需加强对节点RPC接口保护,警惕以太坊客户端所使用的松散RPC接口战略。若安全策略依赖于RPC地址是否对外公开、是否得到一些保护,没有实现对于RPC发送者请求健全,则必然使得有远程RPC需求用户面临风险;另外,配置不当的节点也可能面临相应的攻击风险。且由于基于RPC开展节点功能配置的系统设计并非以太坊独有,对于其他的区块链系统同样需要加强对于RPC接口的保护。

  另一方面,对于以太坊节点的部署者,建议尽量避免远程RPC控制节点需求,如果不能避免则可以利用修改RPC端口号,设置防火墙策略等方式保证自身节点的安全。

  同时,王凯表示,“蜜罐恢恢,疏而不漏”,针对以太坊RPC攻击,每个区块链团队蜜罐设计的合理性以及捕获相应攻击行为的能力也在不断提升,一般攻击行为很容易被蜜罐捕获出来报告出来。参与数字虚拟币交易的网民,更应充分了解可能存在的安全风险,可借助腾讯安全提供的PC端、移动端安全软件加强防护,避免数字虚拟币钱包被盗等事件发生。






特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
BlockTower基金的联合创始人兼CIO Ari Paul加盟Hedera Hashgraph担任顾问
Paul 曾是芝加哥大学捐赠基金的管理人,之后联合创立了BlockTower基金。...
日期:04-10
数字身份赢得V神青睐 看IDHub如何破解数字身份的基因密码
6月3日,“2018以太坊技术及应用大会(中国)”在北京正式举行,以太坊创始人Vitalik Buter......
日期:06-04
2018华为云区块链全球开发者大赛收官 加速推进区块链落地
日前,“2018华为云区块链全球开发者大赛”总决赛在深圳华侨城洲际酒店举行。本次大赛由华......
日期:12-20
中农网·沐甜科技推出糖业溯源平台:区块链技术初体验
日前,受云南糖业协会委托,中农网旗下沐甜科技股份有限公司研发的“云南糖业溯源平台”......
日期:05-17
网心科技中标国企联盟链项目 迅雷区块链应用边界再扩展
3月4日,互链脉搏观察到中国招标投标公共服务平台上,发布了一则国企采购区块链项目的中标公告。...
日期:03-05
蚂蚁金服区块链推出开放联盟链,可处理每秒 10 万笔跨链消息
4月16日消息 4月16日,蚂蚁区块链面向中小企业正式推出「开放联盟链」,首次全面开放蚂蚁区块链的技......
日期:04-16
区块链 人工智能 大数据 零售巨头们如何用前沿技术驱动运营
近日,家乐福表示,它将使用IBM开发的区块链技术。而且到2022年将把区块链系统的使用范围扩大到其在......
日期:10-17
再现监管突破 比特币大涨破1900关口
北京商报讯(记者 崔启斌 岳品瑜)比特币又现监管突破。据报道,欧洲法院日前正式裁决,将欧元等传统货币......
日期:10-26
陈博君:区块链的去中心化不意味着没有监管
区块链是下一代互联网的基础技术,也是推动大数据发展的关键基础设施。...
日期:06-13
福布斯:中国的区块链已经实现突破性领先
近日,据金融时报报道,中国的区块链技术专利数量已经超过世界上其他国家,位列第一。而这只是中国......
日期:05-06
万亿企业服务市场蓄势待发 ESIC携区块链破局
在互联网消费场景的更迭趋势下,近几年B2C市场竞争可谓是十分激烈。不断革新的消费思维让各2C企业开......
日期:06-21
火币网比特币:英财政大臣奥斯本支持数字货币
中国最大的比特币交易平台火币网www.huobi.com行情显示,截止11月12日上午12点,火币网比特币价格从1815......
日期:11-12
火币网出席中国移动电商峰会 比特币创业如何成为第一
火币网的快速发展得益于敢于打破行业规则、重视用户交易体验、专注技术研发等发展战略。...
日期:08-31
2019中国区块链出海记:资本与技术齐飞,迅雷链领跑
一众互联网公司出海寻求新市场之际,区块链也正在走出国门向外落地。...
日期:08-16
百度超级链揭晓生态伙伴合作计划 共同推动区块链产业化发展
3月25日,百度超级链新品及生态合作计划云端发布会通过云端直播的形式召开,会上重磅推出最新产品矩......
日期:03-25
火币网:比特币投资戴维斯双击临近
“创新有时需要离开常走的大道,潜入森林,你就肯定会发现前所未见的东西。”——......
日期:10-21
时隔一年火币网比特币价格再破3000元大关
沉寂一年的比特币近期在区块链技术的推动下出现大涨,继续上演数字货币界的神话。...
日期:11-05
秒级确认,韩国Color Platform让区块链技术走近普罗大众
近日,随着央行数字货币呼之欲出的消息引发全民关注,区块链相关概念再度升温。然而,对于区块链行业而......
日期:09-18
Ruff将助力广东金融高新区“区块链+”金融科技创新与应用落地
上海2018年12月25日电-- 备受瞩目的第六届“灯湖论剑”广东金融高新区“区块链+&rdq......
日期:12-25
火币网技术副总裁张健 出席中国第二届CTO高峰论坛
12月17日,中国第二届互联网+电商CTO高峰论坛在上海召开。中国最大的比特币交易平台火币网(www.huobi.co......
日期:12-18