【TopDapp“你问我答”】成都链安：揭秘安全事件后的“黑客攻击手法”

成都链安

于 2019-07-16 13:41:03 发布

阅读量403

点赞数

640?wx_fmt=png

2019 年 7月 12日19：00，成都链安安全负责人H·TECHILA在TopDapp“你问我答”直播群进行了直播分享。

640?wx_fmt=jpeg

以下根据群内的语音直播整理成文。

【十七：记得一月份的时候链安做个一个2018年关于区块链安全事件及损失的研报，现在2019年也过去一半了，你们认为2019与2018年相比，区块链安全方面的情况怎么样，是否进步了？】

H·TECHILA：有一定的进步，通过对上半年的安全事件进行分析，可以很明显的发现，针对以太坊、EOS发起的攻击事件较去年有明显的下降，当然这个下降有多方面的原因，但是，也从一方面说明了这些公链上的DAPP安全性有较大的提升。今年区块链安全事件主要发生在波场、交易所以及钱包方面，其中，交易所是攻击的重点目标，受影响的资金也是最多的。

所以说，我们不要光看到自己的进步，也要看到我们对手的进步。攻击者们一直在更新他们的攻击手段和方式，我们不但要跟上他们的脚步，甚至要在他们之前作出安全防护，安全应对。比如说交易所，需要做好自身的安全防护，做好员工安全意识培训，合约方面做好自身的安全开发，安全管理等等，这些都是我们需要考虑到的。

【十七：针对如此频发的发生的区块链安全事件，您有什么针对性的建议吗？】

H·TECHILA：针对于今年的区块链安全事件，按照事件对象可以分成三部分来说，一部分是合约层面，第二部分是交易所层面。第三部分是与用户密切相关的钱包层面，首先我们来说合约层面。首先我们来说合约层面。波场今年可以算是最活跃的公链之一了，最近统计的数据来看，波场已经拥有了500多款DAPP了，数量已经接近了EOS，交易额已经超过了EOS，导致更多的攻击者将目光放到波场上，今年波场发生了多起安全事件，其中有的安全事件是因为项目方刚接触波场合约开发，对波场trx10代币未彻底掌握，导致合约里面校验代码存在漏洞，被假币攻击，造成了很大损失。这之后发生的攻击主要利用波场的交易回滚机制对游戏发起攻击，攻击者回滚了对自己不利的交易，使自己一直获利。对此，我的建议是DAPP开发者需要了解开发过程中所涉及的协议标准，特别是在进行资金相关的操作过程中，对资金涉及到的各个方面都有完备的检查，避免假币攻击这种问题。另外就是需要对以往发生的安全事件进行一些了解，比如波场的回滚攻击，这类攻击手法在去年已经出现过很多次了，如果开发者在开发前对此有过了解，其实是很好规避的。

交易所层面主要是内网被入侵，导致签名服务器被控制，然后攻击者对转账交易进行签名，转出了交易所钱包中存储的资产。安全建议就是做好冷热钱包分离，加强内网防护，另外就是做好人员安全意识培训，不要运行陌生的软件，不要点击未知的链接。

钱包这块主要是用户私钥泄露的问题，这块造成的损失比较小，另外一个和钱包相关的就是中心化钱包项目方跑路的情况，这块建议大家使用可信的去中心化钱包。

【十七：最近在链安报道的风险预警中多次提到了区块链安全态势感知系统，能简单介绍下这款产品吗？】

H·TECHILA：鹰眼是我们公司在目前区块链生态环境的安全形势下，面对区块链特有的交易风险以及安全威胁推出的一款态势感知和安全管控平台。以链上数据收集、分析为核心，结合交易所、钱包、DAPP等环节的威胁情报，利用大数据技术解决现有区块链安全防御手段上没有全局视角统一安全监管、无法将生态中各相关方串联起来挖掘出有价值的安全威胁的问题。把区块链生态各环节的信息孤岛串联起来，全面检测链上资产、区块链生态中各相关方的安全漏洞、威胁和交易风险，对发生的安全事件进行第一时间的响应处置，对存在的安全威胁及时提出预警。为用户的应用项目提供安全和运营方面的全面保障，使用户聚焦于自身的业务实现上，可将安全保障和运营监控分析依托于Beosin-Eagle Eye。目前已有多家项目方入驻，也欢迎大家进行使用。

另外就是我们会根据感知系统的安全报警，我们会及时通过合作媒体发出一些预警也就是一些相关的新闻，请大家关注一下，可第一时间了解这方面的安全资讯，避免造成自己的财产损失，比如说游戏合约被攻击了，交易所被盗了，钱包要跑路了，这些方面我们都会在相关媒体上发布。

【十七：Defi是今年比较热门的话题，能简单谈谈Defi吗？】

H·TECHILA：DeFi，又叫做去中心化金融、分布式金融、可编程金融，是将区块链技术与金融相结合，构造出的一种新的金融生态。传统的金融科技主要依赖于一套官僚和信任机制，更多的依赖于对某个金融公司的信任，而不是代码本身。DeFi借助区块链的特性，大大降低了对信任机制的依赖，DeFi项目的所有执行逻辑都是开放的，人人可查，不会有一个恶意的中心化群体，可以把控这套系统，整个金融环境的运行透明度大大增加了。目前比较常用的项目类型有稳定币（DAI），借贷（Maker）、预测市场（Agular）、支付（闪电网络）、去中心交易所（0x）、保密隐私交易(AZTEC)

【十七：facebook前段时间公开加密货币Libra计划，你对此如何看待呢？】

H·TECHILA：对于普通用户来说，Libra就是一种新的稳定币，与当前区块链上的稳定币相比，Libra设计上有一些比较重大的突破：

1. 不和某一种货币挂钩，目前的区块链稳定币基本都是和美元挂钩的，它是和某些低波动的资产挂钩，比如银行存款和来自稳定和信誉良好的中央银行的货币的短期政府证券。这样就能保证Libra的币值一直是处于一个比较稳定的状态，也比较适用于全球化的一个支付环境。

2. 第二点就是相对于当前的区块链稳定币，Libra更加的去中心化，目前使用比较多的稳定币其实并不像宣传中那么去中心化，经常能够从网上看到某某稳定币大量增发的新闻，影响了用户的信心，Libra协会云集了一大帮行业巨头，单个创始会员只能获得 1 票或者 1% 的总票数。此举可以有效地防止财团垄断。

3. 最后一点比较重要的是他的目标是做支付，这是目前的稳定币做不到的。就像一个支付宝或者微信，在今天中国来说，支付宝微信支付对于我们带出行来说带来多大的支付方便，若真的实现一个全球化的支付宝或者微信这样的支付功能，区块链将真正进入广大普通用户的视野中。

技术上Libra也进行了很多创新，此处就不展开了。就像问题里提到的那样，算你不说，白皮书提到的愿景很美好，但它面临着一个最大的问题，就是政策的问题。当然如果Libra真的实现了白皮书中所描述的功能，我认为它将会是区块链历史上一次重要的突破。

提问互动环节：

1. 请问波场回滚攻击手法和EOS有什么不同？一直没见过波场相关资料。

波场的回滚攻击更像是以太坊曾经发生的回滚攻击，都是利用一次交易执行时抛出异常，整个交易回滚的特性。

EOS的回滚攻击稍有不同，EOS的交易可以分为多个inline action，其中的一个inline action异常，整个交易回滚。

2. 没有黑名单这类吧？就是单纯revert命令？

攻击者会有一个逻辑判断，如果没有盈利，那么就抛异常，revert整个交易。

3. 攻击方式是不是越来越多样和复杂？

是的，攻击方式是越来越多样性和复杂性的，大家一定要与时俱进，关注我们每天发的安全新闻，了解新的攻击方式以及防御手段。目前最容易出现的就是我刚才说到的交易回滚攻击，这也是最近大部分波场游戏合约遭受攻击的主要攻击手法。这种攻击手段防御起来也比较简单，就是把下注和开奖进行分开，分到两笔交易中，这样就能避免被回滚攻击，这是目前针对于游戏行业比较普遍的一个攻击。

欢迎大家体验：

一、智能合约自动形式化验证平台VaaS精简版，准确率达到95%以上

Beosin（成都链安科技）已向全球发布VaaS平台，全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台，准确率达到95%以上。

VaaS（精简版）系统为所有区块链从业者提供方便而免费的智能合约安全审计服务，对智能合约安全漏洞进行形式化验证，从容应对常规合约安全问题。欢迎大家登陆官方网址体验：

官方网址：

https://beosin.com/vaas/index.html#/audit/ptsj

640?wx_fmt=jpeg

▲VaaS 精简版平台

二、在线 Beosin-IDE 免费版本

Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境，可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。

欢迎大家免费体验：通过浏览器访问

https://beosin.com/BEOSIN-IDE/index.html#/

（如下图，推荐Chrome浏览器）。

640?wx_fmt=jpeg

▲Beosin EOS-IDE

Beosin官方发表正式声明：

为了全球化市场战略需要，公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司，“Beosin”力求为行业保驾护航，以打造区块链全生态安全为宗旨，竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp渗透测试、区块链平台安全检测、交易所安全服务、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图：

640?wx_fmt=jpeg

近期，有XX链安科技与成都链安科技重名，且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司，与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌，谨防上当受骗，一切消息以官网及官方公众号为准。

成都链安科技官方公众号名称：Beosin成都链安

成都链安科技官方网址：

www.lianantech.com

——Beosin

640?

关于Beosin：

Beosin成都链安是一家专门从事区块链安全的公司，由从事航空、航天、军事安全领域10多年的，形式化验证技术专家电子科技大学杨霞、郭文生两位教授联合创立，团队核心员工由海外知名高校和实验室、具留学经历的教授、博士后、博士以及曾任职于阿里、华为等知名企业的精英组成。

是全球最早一批将形式化验证技术应用到区块链安全领域的团队，率先研发了国际领先、同时支持多个区块链平台（ETH，EOS，Fabric，蚂蚁BaaS、ONT、BCOS等）的智能合约自动形式化验证平台VaaS（准确率达到95%以上），并搭建了一站式区块链安全服务平台，建立了一整套“区块链安全开发—— 基于形式化验证的安全检测——运行时安全监控与防护”的完善安全防御体系，用户数已超过2万人，申请软件发明专利和著作权10多项，已审计智能合约近千份，审计链平台几十个，精通多个主流区块链平台。

目前成都链安已获得分布式资本、界石资本、盘古创富等著名投资机构的股权投资，与蚂蚁金服、普华永道、微众银行、ONT、NEO、Qtum、布比区块链、R3V等国内外60多家区块链企业，Huobi、OKEx、KuCoin、抹茶、链上等近百家数字货币交易所建立长期战略合作关系。

640?wx_fmt=png