您的位置:首页>>区块链

区块链安全前沿技术探析 腾讯安全深度揭秘以太坊RPC攻击

发布时间:2018-09-12 18:34:23  来源:互联网    采编:孙月  背景:

  “针对区块链的攻击才刚刚开始。”

  在CSS2018腾讯安全探索论坛(TSec)上,来自腾讯安全湛泸实验室高级安全研究员王凯通过议题《看好你的钱包!从攻击和防御角度分析以太坊RPC攻击》,指出了“区块链”这个号称最安全技术的安全隐患。

  王凯在议题中从攻击和防御的角度全面剖析了黑客对全球第二大公共区块链平台以太坊RPC的攻击,同时指出这种攻击仍在全球范围内进行;此外以太坊主网络中,面临安全威胁的节点仍为数众多、黑客采取的攻击手段越来越多样。

  据了解,腾讯安全探索论坛(TSec)是由腾讯安全打造的全球前沿、尖端安全技术的高质量安全信息交流论坛,议题涉及物联网、人工智能、区块链等众多热门领域,为加速安全技术创新、共享重要技术成果提升连接价值。凭借在议题专业性和研究价值上的突出表现,王凯的议题获得了今年TSec技术奖。

  (腾讯安全湛泸实验室高级安全研究员王凯)

  区块链安全事件显著增加 以太坊RPC现多种攻击手法

  近年来,数字加密货币市场风光无限,仅单枚比特币的价值就曾飙升至两万元,吸引了众多投资者的目光。然而,与加密货币安全相关的问题也从未间断。根据腾讯安全发布的《2018上半年区块链安全报告》显示,基于区块链数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。并且,随着数字货币参与者的增加,各种原因导致的安全事件也显著增加。

  全球第二大公共区块链平台——以太坊的安全问题无疑备受瞩目。在TSec现场,王凯介绍了团队分析以太坊安全问题的详细过程。腾讯安全湛泸实验室的安全研究团队通过腾讯云节点在亚、欧、美洲部署了三个测试设备,进行了为期一个月的试验。从蜜罐捕获的数据分析结果来看,位于以太网主网中的安全脆弱节点已成为攻击者的目标,且以太坊RPC接口攻击主要存在“数字货币窃取”、“账户暴力破解”和“丢失挖矿奖励”三大攻击手段。

  研究团队发现,主网中的安全脆弱节点约占总脆弱节点数目的1/3,剩余2/3的节点则分别来自于基于以太坊修改的、名为Akroma的区块链网络以及以太坊的各类测试网络。在窃取数字货币的攻击方面,以太坊主网络中,暴露的RPC模块包含eth或personal,暴露了账户信息的节点,攻击者不仅可以实现实时窃取受害者余额,还可以签署交易信息,在认为合适的时刻发布到区块链网络中。

  统计结果显示,攻击者尝试用于暴力破解账户的密码字典约700余条,且目前的以太坊主网络中仍有120余节点、5万余账户面临着此类攻击的威胁。此外,针对以太坊主网络中暴露的RPC模块包含miner,攻击者可以将该节点接受挖矿奖励的钱包地址,设置为自己的地址进行牟利,目前已有攻击者针对该安全脆弱的节点开展攻击,根据腾讯安全团队的探测数据显示,主网络中尚有超过50个节点正遭受此类攻击的威胁。

  区块链安全挑战刚刚开始 应加强部署节点RPC接口保护

  虚拟货币价值的攀升,赋予了由算法和数字堆砌的区块链巨大的金融价值,也让盗币者竭尽所能地采用更多方式实现目标。针对以太坊RPC接口的攻击只是区块链安全问题的冰山一角,对于去中心化交易的安全问题,以及将来面临的一系列挑战,实际上才刚刚开始。

  针对目前暴露的以太坊RPC攻击,王凯建议,一方面,区块链的开发社区需加强对节点RPC接口保护,警惕以太坊客户端所使用的松散RPC接口战略。若安全策略依赖于RPC地址是否对外公开、是否得到一些保护,没有实现对于RPC发送者请求健全,则必然使得有远程RPC需求用户面临风险;另外,配置不当的节点也可能面临相应的攻击风险。且由于基于RPC开展节点功能配置的系统设计并非以太坊独有,对于其他的区块链系统同样需要加强对于RPC接口的保护。

  另一方面,对于以太坊节点的部署者,建议尽量避免远程RPC控制节点需求,如果不能避免则可以利用修改RPC端口号,设置防火墙策略等方式保证自身节点的安全。

  同时,王凯表示,“蜜罐恢恢,疏而不漏”,针对以太坊RPC攻击,每个区块链团队蜜罐设计的合理性以及捕获相应攻击行为的能力也在不断提升,一般攻击行为很容易被蜜罐捕获出来报告出来。参与数字虚拟币交易的网民,更应充分了解可能存在的安全风险,可借助腾讯安全提供的PC端、移动端安全软件加强防护,避免数字虚拟币钱包被盗等事件发生。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页 本文来源:互联网

本文评论
区块链安全前沿技术探析 腾讯安全深度揭秘以太坊RPC攻击
“针对区块链的攻击才刚刚开始。”
  在CSS2018腾讯安全探索论坛(TSec)上,来自腾...
日期:09-12
低成本 高安全 华为云区块链推动企业跨入云时代
近两年,区块链成为业界绝对的热点话题,什么是区块链?一句话解释,即区块链是一种数据的组织形式,以时...
日期:09-12
网易星球联手《逆水寒》 区块链+游戏场景落地新突破
近日,网易旗下首款区块链产品网易星球正式公测,同时宣布网易区块链服务NBaaS正式上线。作为国内领...
日期:09-06
打怪升级竟然也能赚比特币,全球首个区块链挖矿游戏上线
目前,有关区块链的话题在全球掀起热潮,现阶段如何将区块链实际落地应用成为了广大用户最为关心的...
日期:08-23
VNT Chain周峰:聚合链架构是底层公链首选
2018年8月16日,VNT Chain联合发起人周峰出席比升资本主办的BRC Talk第一期活动,与到场观众分享了...
日期:08-20
互动百科战略投资“石榴财经”,打造区块链媒体专业化
近期,全球领先的社会化知识媒体平台互动百科集团完成对专业的区块链资讯平台“石榴财经&rdquo...
日期:08-17
VCT董云杰:构建专属数字经济系统,区块链为实体经济赋能
8月12日,VCT 的PMO董云杰出席在北京国际会议中心隆重召开的第七届iWeb峰会(HTML5峰会)暨攻城师嘉年...
日期:08-13
节点财经对话影链:如何用token激活一亿用户的影视生态?
每个项目方都说自己的团队靠谱,技术过硬,经济系统设计合理,那么是不是真的经得起推敲呢?
日期:08-10
上海区块链企业发展促进联盟第二届年度大会开幕
8月9日,由众安科技主办的区块链创新与应用论坛暨上海区块链企业发展促进联盟第二届年度大会在上海...
日期:08-09
揭秘!51%攻击成现实 区块链安全超出你想象
2018上半年,伴随着区块链技术的不断发展,经济价值的不断升高,与之相关的安全问题也日益突出。腾...
日期:08-08
Lucidity:用区块链实现更好的数字广告投放
广告欺诈是个严重的问题,行业甚至为此成立了工作组来建立区块链技术的使用标准。
日期:08-07
创新亦须落地,透明重构未来——Adrealm暨Xhance发布会在沪成功举办
8月2日,“透明·重构未来——Adrealm公链生态暨Xhance产品发布会”在上...
日期:08-03
用区块链重构全球电力市场,ELONCITY让家庭用电自给自足
以「区块赋能,链接未来」为主题的中美创投峰会区块链论坛于美国当地时间 7 月 21 日下午在硅谷成功...
日期:08-01
Armors研究院:如何做出像Fomo 3D一样火爆的区块链游戏?
最近,Fomo 3D这款游戏着实火遍了区块链圈子。作为一款区块链游戏,这款游戏主要是基于以太坊智能合...
日期:07-31
InterValue——Barton Chao如何带领一群博士加速区块链4.0进程
“冰”“火”两重天
  这个夏天注定有点热,除了室外的气温,还有...
日期:07-31
区块链中的甲骨文——Bluzelle 发布第一个版本Lovelace
被誉为区块链中的甲骨文——Bluzelle,最近发布了数据库的第一个版本,名为Lovelace,可...
日期:07-19
区块链六大发展趋势发布,迅雷链克开启共享经济新时代
日前,在“世界区块链大会·乌镇”分会场“机遇与挑战——区块链赋...
日期:07-18
AMO汽车数据架构 引领汽车信息交互革命
韩国信息安全厂商Penta公司宣布将要实施建立一个以区块链为基础的数据市场的计划,以便为汽车用户,...
日期:07-18
技术改变生活  区块链正在改变你的生活方式
7月16日,由阿萨石科技、哩咕游戏、金树科技三方联合主办的聚势破界·价值互联——...
日期:07-17
Contentos与本体达成战略合作,将开创全球内容生态新模式
越来越多的专业投资机构正在向Contentos伸出橄榄枝,Contentos将用区块链技术重塑内容生态,持续挖掘内容价值。
日期:06-15