区块链:区块链安全入门笔记（九）

随着越来越的人参与到区块链这个行业中来，为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏，给了攻击者更多的可乘之机。面对频频爆发的安全事件，慢雾特推出区块链安全入门笔记系列，向大家介绍区块链安全相关名词，让新手们更快适应区块链危机四伏的安全攻防世界！越权访问攻击ExceedAuthorityAccessAttack

和传统安全的定义一样，越权指的是访问或执行超出当前账户权限的操作，如本来有些操作只能是合约管理员执行的，但是由于限制做得不严谨，导致关键操作也能被合约管理员以外的人执行，导致不可预测的风险，这种攻击在以太坊和EOS上都曾出现过多次。以EOS上著名的BetDice游戏为例，由于在游戏合约内的路由(EOS内可自定义的事件转发器)中没有对来源账号进行严格的校验，导致普通用户能通过pushaction的方式访问到合约中的关键操作transfer函数，直接绕过转账流程进行下注，从而发生了越权攻击，事后虽然BetDice官方紧急修复了代码，并严格限制了来源账号，但这个漏洞已经让攻击者几乎无成本薅走BetDice奖池内将近5万EOS。又如在以太坊使用solidity版本为0.4.x进行合约开发的时候，很多合约开发者在对关键函数编写的时候不仅没有加上权限校验，也没有指定函数可见性，在这种情况下，函数的默认可见性为public，恶意用户可以通过这些没有进行限制的关键函数对合约进行攻击。慢雾安全团队建议智能合约开发者们在进行合约开发的时候要注意对关键函数进行权限校验，防止关键函数被非法调用造成合约被攻击。交易顺序依赖攻击Transaction-OrderingAttack

腾讯数字资源版权鉴权专利获授权，应用于区块链网络中:金色财经报道，9月21日，腾讯科技(深圳)有限公司“一种数字资源版权鉴权方法、装置、系统和存储介质”专利获授权，公开号为CN108932410B。企查查专利摘要显示，所述数字资源版权鉴权方法，应用于区块链网络中，区块链网络中包含有鉴权节点和存储节点；所述方法，包括：鉴权节点扫描网络中传播的数字资源；如果所述鉴权节点确定扫描到的数字资源为版权保护资源，则从所述存储节点读取所述数字资源对应的版权流转信息；所述鉴权节点根据读取的版权流转信息，确定鉴权结果；所述鉴权节点将鉴权结果存储至所述存储节点中。（企查查APP）[2021/9/22 16:57:51]

在区块链的世界当中，一笔交易内可能含有多个不同的交易，而这些交易执行的顺序会影响最终的交易的执行结果，由于在挖矿机制的区块链中，交易未被打包前都处于一种待打包的pending状态，如果能事先知道交易里面执行了哪些其他交易，恶意用户就能通过增加矿工费的形式，发起一笔交易，让交易中的其中一笔交易先行打包，扰乱交易顺序，造成非预期内的执行结果，达成攻击。以以太坊为例，假如存在一个Token交易平台，这个平台上的手续费是通过调控合约中的参数实现的，假如某天平台项目方通过一笔交易请求调高交易手续费用，这笔交易被打包后的所有买卖Token的交易手续费都要提升，正确的逻辑应该是从这笔交易开始往后所有的Token买卖交易的手续费都要提升，但是由于交易从发出到被打包存在一定的延时，请求修改交易手续费的交易不是立即生效的，那么这时恶意用户就可以以更高的手续费让自己的交易先行打包，避免支付更高的手续费。慢雾安全团队建议智能合约开发者在进行合约开发的时候要注意交易顺序对交易结果产生的影响，避免合约因交易顺序的不同遭受攻击。女巫攻击SybilAttack

A股收盘：深证区块链50指数下跌1.28%:金色财经消息，A股收盘，上证指数报3539.12点，收盘下跌0.01%，深证成指报14992.9点，收盘上涨0.14%，深证区块链50指数报3749.44点，收盘下跌1.28%。区块链板块收盘下跌0.12%，数字货币板块收盘上涨0.5%。[2021/7/19 1:02:18]

传闻中女巫是一个会魔法的人，一个人可以幻化出多个自己，令受害人以为有多人，但其实只有一个人。在区块链世界中，女巫攻击(SybilAttack)是针对服务器节点的攻击。攻击发生时候，通过某种方式，某个恶意节点可以伪装成多个节点，对被攻击节点发出链接请求，达到节点的最大链接请求，导致节点没办法接受其他节点的请求，造成节点拒绝服务攻击。以EOS为例，慢雾安全团队曾披露过的EOSP2P节点拒绝服务攻击实际上就是女巫攻击的一种，攻击者可以非常小的攻击成本来达到瘫痪主节点的目的。详情可参考:https://github.com/慢雾安全团队建议在搭建全节点的情况下，服务器需要在系统层面上对网络连接情况进行监控，一旦发现某个IP连接异常就调用脚本配置iptables规则屏蔽异常的IP，同时链开发者在进行公链开发时应该在P2P模块中对单IP节点连接数量添加控制。假错误通知攻击FakeOnerrorNotificationAttack

众安科技发起防伪溯源联盟，区块链等技术构建信任闭环:4月19日，第六届中国（上海）国际技术进出口交易会在上海成功举办，会上众安信息技术服务有限公司和上海连陌信息技术有限公司牵头成立众源联盟，联盟旨在运用区块链等技术，构建安全、开放、互信的防伪溯源生态。通过将物联网、区块链、智能防伪等技术进行有机结合，联盟成员可在相应节点上完成防伪溯源全流程，实现品牌价值增长。联盟所形成的防伪溯源生态，可帮监管者实现智能监管。目前联盟合作方涵盖了质检、保险、物流、品牌等在内的多家机构。[2018/4/20]

EOS上存在各种各样的通知，只要在action中添加require_recipient命令，就能对指定的帐号通知该action，在EOS上某些智能合约中，为了用户体验或其他原因，一般会对onerror通知进行某些处理。如果这个时候没有对onerror通知的来源合约是否是eosio进行检验的话，就能使用和假转账通知同样的手法对合约进行攻击，触发合约中对onerror的处理，从而导致被攻击合约资产遭受损失。慢雾安全团队建议智能合约开发者在进行智能合约开发的时候需要对onerror的来源合约进行校验，确保合约帐号为eosio帐号，防止假错误通知攻击。

Cofe Coin咖啡厅将在首尔东大门durian区块链中心举办线下讲座:韩国‘Cofe Coin’咖啡厅将于本月26日在首尔东大门durian区块链中心举办线下讲座。Cofe Coin的现场讲座是以亚洲经济电视台，环球经济报，摩卡黄金经济研究所和durian区块链中心的专家和学生一起以提问和回答的形式进行。[2018/3/21]

标签：区块链EOSTACION区块链dapp开发公司THEOSTACU交易所的TAC币MetaNations

币安app官方下载最新版热门资讯