黑客“炒币”割韭菜 区块链交易安全太愁人

一个懂得经济学的黑客会怎样?当金融家与黑客联手又会反生怎样的化学反应?

一个懂得经济学的黑客会怎样?当金融家与黑客联手又会反生怎样的化学反应?

北京时间3月7日晚,黑客以“币安Binance交易所”为目标发起的一波攻击,给整个数字货币圈上演了一场极为“漂亮”的“币圈买空卖空获利”经典教学!

看看人家黑客玩“炒币”,大手笔啊!!!

简单来说,就是黑客盗用“币安Binance交易所”里部分用户身份,大玩数字货币买空卖空,恶意拉爆,狠狠的割了一大波数字货币的韭菜。

从本次事件上能够看出来,黑客策划周密,前期准备十分充足,且做好了预案——直接套现或通过做空交易完成收割。

目前的公开信息里暴露出两个安全问题,第一就是API key“意外丢失”,导致部分用户账号被盗;第二则是部分用户的币安账户Google二步验证失效,使得异常操作未能被用户察觉并阻止。

梆梆安全专家分析发现,要想获得“币安Binance交易所”用户的账号信息有以下3种方式:

(1)直接入侵币安后台数据库;

(2)通过社工获得币安用户的部分信息,再通过撞库等方式获得完整的账号信息;

(3)借助加好“料”的数字货币交易机器人,广泛搜集各数字货币交易所用户账号密码等,从中选出币安用户信息。注意,如果黑客采用了这一方式,意味着被盗账号的用户将不仅仅会是币安一家。

数字货币背后的区块链技术强调“去中心化”,然而各类交易所却恰恰是典型的“中心化”产物。如何才能掌控好二者之间安全的平衡性?

区块链虽然是一个去中心化的数据基础设施,但是落地到企业级应用后还是存在中心化的核心系统,承担了诸如用户帐号管理、区块链“交易”等管理功能。在梆梆安全专家看来,区块链核心系统所面临的网络安全风险目前主要趋于传统范畴,包括但不限于:

1、Web攻击,例如跨站、注入等;

2、业务连续性,例如DDoS;

3、数据安全,例如撞库、中间人攻击。

区块链的所有应用,都需要一个客户端来实现用户侧功能,例如利用区块链追踪食品的生命周期时,在中间某些节点,物流企业需要通过客户端记录流转详情,并由客户端写入区块链网络存储起来,而每次记录操作由于需先证明其合法性,采用的方法是利用客户端持有的私钥对数据进行加密,由此可见针对私钥的保护非常重要。目前客户端正在面临如下风险:

1、针对客户端的反编译;

2、针对密钥的直接偷窃,例如内存读取;

3、侧信道攻击。

在区块链安全技术薄弱,监管法律法规尚不完善的当下,黑客能够从任意一点偷走你的数字货币。近两年来,数字货币被盗事件频繁发生,有的是黑客直接对数字钱包下手,有的则是通过攻击交易所进行“抢夺”。而本次黑客攻击事件更是叫绝,黑客的一系列攻击仅仅是敲门砖,后继的连锁操作则完美再现了《华尔街:金钱永不眠》里的诸多精彩操盘手段。

区块链技术上的显着优势,使得全球大型金融机构纷纷对其进行投资,希望能够获得更多发展良机。这意味着,未来将形成全新的基于区块链的金融系统,而黑客则能够利用区块链实施中的安全隐患(例如智能合同所暴露的安全问题)找寻到新的“生财之路”。

好消息是,全球各国政府、金融监管机构都在开始抓紧对数字货币交易的约束,一条条“安全紧箍咒”被陆续抛出。同时,梆梆安全的专家们也在针对区块链交易场景安全、区块链应用层面安全、区块链用户安全展开研究,如保障用户的电子钱包应用安全,让区块链的智能合约更为健壮等。

梆梆安全针对区块链安全隐患,坚持从保护的角度做安全,从以下方面引入区块链安全防护能力:

1、提供针对核心系统的保护。通过自适应安全防御平台RASP和SingleClick云防平台截断攻击路径,通过遍布全国的抗DDoS节点保障业务连续性,通过MSSP应用风险管理平台封住漏洞隐患。

2、提供针对区块链客户端的保护。通过移动应用加固技术针对冷热钱包提供立体防御,辅以威胁感知系统监测实时风险,针对硬件钱包提供TEE芯片级解决方案,彻底锁住私钥不外泄。

3、针对区块链上层的智能合约,彻底贯彻SDLC安全,针对其编程语言提供代码扫描和审计,提前发现逻辑漏洞,对编译后代码提供混淆防止逆向,同时利用航空领域的数学方法在逻辑上进行形式化验证。

“区块链终将改变世界,而我们不是一个旁观者,梆梆安全在让区块链更加安全!”

——梆梆安全创始人 阚志刚博士

来源:业界供稿

0赞

好文章,需要你的鼓励

2018

03/12

17:11

分享

点赞

邮件订阅
白皮书