区块链:区块链安全入门笔记(二)

虽然有着越来越多的人参与到区块链的行业之中，然而由于很多人之前并没有接触过区块链，也没有相关的安全知识，安全意识薄弱，这就很容易让攻击者们有空可钻。面对区块链的众多安全问题，慢雾特推出区块链安全入门笔记系列，向大家介绍十篇区块链安全相关名词，让新手们更快适应区块链危机四伏的安全攻防世界。系列回顾：区块链安全入门笔记(一)公链PublicBlockchain

公有链(PublicBlockchain)简称公链，是指全世界任何人都可随时进入读取、任何人都能发送交易且能获得有效确认的共识区块链。公链通常被认为是完全去中心化的，链上数据都是公开透明的，不可更改，任何人都可以通过交易或挖矿读取和写入数据。一般会通过代币机制(Token)来鼓励参与者竞争记账，来确保数据的安全性。由于要检测所有的公链的工作量非常大，只靠一家公司不可能监测整个区块链生态安全问题，这就导致了黑客极有可能在众多公链之中找寻到漏洞进行攻击。2017年4月1日，Stellar出现通胀漏洞，一名攻击者利用此漏洞制造了22.5亿的Stellar加密货币XLM，当时价值约1000万美元。

昆明市支持区块链基础平台推广应用，支持规划建设区块链算力中心:昆明市政府近日印发《昆明市关于支持数字经济发展的若干政策（试行）》。政策指出，昆明市将支持区块链技术及产业的发展，其中包括：1．支持知名区块链基础平台在昆明市的推广应用和给予试点示范应用项目补贴。对认定并在本地提供区块链技术服务的基础平台，或采用区块链技术自主投资建设平台与实体经济融合，解决经济发展中有关问题的项目，分别按基础平台建设投入、上链费用、项目投入费用的30%、20%、20%给予最高不超过500万元补助；2．优先安排一批区块链项目作为全市的智慧城市建设重点项目。对党政机关申报区块链试点示范项目建设的，给予优先安排建设，力争建设3—5个区块链项目；3．鼓励本地区块链企业做大做强，对国家网信办认定为境内区块链信息服务名称及备案编号的昆明企业给予一次性20万元补贴；4．支持规划建设区块链算力中心。将昆明“算力中心”用地纳入昆明市土地利用总体规划，根据落地园区政策给予用地支持，给予用地价格优惠。（昆明市政府网站）[2020/8/11]

图片来自SlowMistHacked交易所Exchange

进出口银行四川省分行发挥区块链平台优势助力外贸企业复工复产:新冠肺炎疫情发生以来，进出口银行四川省分行运用跨境金融区块链服务平台为某出口型企业办理了6笔合计2.01亿元的出口商业发票贴现贸易融资业务，确保疫情期间资金不断档，支持企业复工复产，扩大产品出口。据了解，该服务平台是由国家外管局利用区块链技术搭建的国家级金融基础设施。通过建立银企间端对端的可信信息交换和有效核验、银行间的贸易融资信息实时互动两个机制，打造跨境金融领域信用生态环境。借助该平台，企业可远程发起业务申请，银行可即时受理、审核业务。据进出口银行四川省分行有关负责人介绍，相对于传统的业务场景，通过区块链平台办理相关业务可从原来的5-6天缩短为1-2天，大幅提升业务办理效率，减少了企业融资等待时间，进一步增强了企业融资获得感。（四川新闻网）[2020/4/22]

与买卖股票的证券交易所类似，区块链交易所即数字货币买卖交易的平台。数字货币交易所又分为中心化交易所和去中心化交易所。去中心化交易所：交易行为直接发生在区块链上，数字货币会直接发回使用者的钱包，或是保存在区块链上的智能合约。这样直接在链上交易的好处在于交易所不会持有用户大量的数字货币，所有的数字货币会储存在用户的钱包或平台的智能合约上。去中心化交易通过技术手段在信任层面去中心化，也可以说是无需信任，每笔交易都通过区块链进行公开透明，不负责保管用户的资产和私钥等信息，用户资金的所有权完全在自己手上，具有非常好的个人数据安全和隐私性。目前市面上的去中心化交易所有WhaleEx、Bancor、dYdX等中心化交易所：目前热门的交易所大多都是采用中心化技术的交易所，使用者通常是到平台上注册，并经过一连串的身份认证程序(KYC)后，就可以开始在上面交易数字货币。用户在使用中心化交易所时，其货币交换不见得会发生在区块链上，取而代之的可能仅是修改交易所数据库内的资产数字，用户看到的只是账面上数字的变化，交易所只要在用户提款时准备充足的数字货币可供汇出即可。当前的主流交易大部分是在中心化交易所内完成的，目前市面上的中心化交易所有币安，火币，OKEx等。由于交易所作为连接区块链世界和现实世界的枢纽，储存了大量数字货币，它非常容易成为黑客们觊觎的目标，截止目前全球数字货币交易所因安全问题而遭受损失金额已超过29亿美元(数据来源SlowMistHacked)。

动态 | 迪拜将于2020年推出以KYC为重点的区块链企业联盟:据阿联酋新闻社7月31日报道，迪拜国际金融中心（DIFC），Mashreq银行和金融科技公司Norbloc 达成了新合作伙伴关系，旨在于2020年推出基于区块链的Know Your Customer（KYC）数据共享联盟。作为该项目的一部分，各方将建立一个联合体协议，以合并未来参与的金融机构和政府机构的KYC工作。该程序据称将创建一个单一的数字KYC记录，随后可以使用电子ID进行身份验证，允许用户与其他金融机构共享数据。[2019/8/1]

图片来自SlowMistHacked数字货币领域，攻击者的屠戮步伐从未停止。激烈的攻防对抗之下，防守方处于绝对的弱势，其攻击手法多种多样，我们会在之后的文章中为大家进行介绍。职业黑客往往会针对数字货币交易所开启定向打击，因此慢雾安全团队建议各方交易所加强安全建设，做好风控和内控安全，做到：“早发现，早预警，早止损。”相关交易所防御建议可参考：慢雾红色警报：交易所接连被黑的防御建议节点Node

动态 | 贸易公司Gem Correspondent推出基于区块链的钻石交易平台:据Business Wire 7月25日消息，Gem Correspondent Company, LLC宣布推出结合加密货币和区块链技术的Gem Correspondent Platform（GCP），提供钻石交易和中继平台。据悉，Gem Correspondent是总部设在亚美尼亚的贸易公司，专门从事钻石和彩色宝石的购买、加工、分销和贸易。GCP提供了使用GCP代币买卖钻石和宝石的平台。[2019/7/25]

在传统互联网领域，企业所有的数据运行都集中在一个中心化的服务器中，那么这个服务器就是一个节点。由于区块链是去中心化的分布式数据库，是由千千万万个“小服务器”组成。区块链网络中的每一个节点，就相当于存储所有区块数据的每一台电脑或者服务器。所有新区块的生产，以及交易的验证与记帐，并将其广播给全网同步，都由节点来完成。节点分为“全节点”和“轻节点”，全节点就是拥有全网所有的交易数据的节点，那么轻节点就是只拥有和自己相关的交易数据节点。由于每一个全节点都保留着全网数据，这意味着，其中一个节点出现问题，整个区块链网络世界也依旧能够安全运行，这也是去中心化的魅力所在。RPC

远程过程调用(RemoteProcedureCall，缩写为RPC)是一个计算机通信协议。以太坊RPC接口是以太坊节点与其他系统交互的窗口，以太坊提供了各种RPC调用：HTTP、IPC、WebSocket等等。在以太坊源码中，server.go是核心逻辑，负责API服务的注入，以及请求处理、返回。http.go实现HTTP的调用，websocket.go实现WebSocket的调用，ipc.go实现IPC的调用。以太坊节点默认在8545端口提供了JSONRPC接口，数据传输采用JSON格式，可以执行Web3库的各种命令，可以向前端提供区块链上的信息。以太坊黑人节漏洞

ETHBlackValentine'sDay2018年3月20日，慢雾安全团队观测到一起自动化盗币的攻击行为，攻击者利用以太坊节点Geth/ParityRPCAPI鉴权缺陷，恶意调用eth_sendTransaction盗取代币，持续时间长达两年，单被盗的且还未转出的以太币价值就高达现价2千万美金(以当时ETH市值计算)，还有代币种类164种，总价值难以估计。

通过慢雾安全团队独有的墨子系统对全球约42亿IPv4空间进行扫描探测，发现暴露在公网且开启RPCAPI的以太坊节点有1万多个。这些节点都存在被直接盗币攻击的高风险。这起利用以太坊RPC鉴权缺陷实施的自动化盗币攻击，已经在全球范围内对使用者造成了非常严重的经济损失。漏洞详情及修复方案可点击：以太坊生态缺陷导致的一起亿级代币盗窃大案以太坊黑人节事件数据统计及新型攻击手法披露注：本系列文章在imTokenFans、币乎、巴比特、星球日报、Seebug、FreeBuf、安全客、币世界、火星财经、哔哔News、Unitimes等平台上均有同步发布。

标签：区块链以太坊数字货币RPC区块链存证是什么意思以太坊币k线图数字货币平台案例RPC价格

FTX热门资讯