51页TokenClub2018年区块链安全研究报告

2018年8月1区块链安全研究报告2018年8月目录1.区块链安全行业综述-----------------------------------------------------31.1区块链行业----------------------------------------------------------------31.2区块链安全性---------------------------------------------------------------52.行业安全问题---------------------------------------------------------------72.1行业安全分类---------------------------------------------------------------72.1.1区块链自身机制-----------------------------------------------------------72.1.2区块链生态安全-----------------------------------------------------------82.1.3区块链使用安全----------------------------------------------------------92.2区块链安全事件-------------------------------------------------------------102.2.1安全事件统计--------------------------------------------------------------102.2.2重大安全事件摘要-----------------------------------------------------------143.行业中坚力量分析---------------------------------------------------------153.1知道创宇------------------------------------------------------------------153.2链安科技------------------------------------------------------------------163.3慢雾科技----------------------------------------------------------------173.4360区块链安全-----------------------------------------------------------193.5Certik------------------------------------------------------------------------194.行业安全板块---------------------------------------------------------------204.1交易所钱包安全审计-------------------------------------------------------204.2链安全审计----------------------------------------------------------------224.3智能合约安全审计-----------------------------------------------------------234.4安全顾问-------------------------------------------------------------------244.5安全运营-------------------------------------------------------------------242区块链安全研究报告2018年8月4.6威胁情报-------------------------------------------------------------------254.7漏洞赏金-------------------------------------------------------------------265.攻防技术分析--------------------------------------------------------------285.1钓鱼攻击----------------------------------------------------------------285.2拒绝服务攻击-------------------------------------------------------------305.3双花攻击----------------------------------------------------------------335.3.1种族攻击--------------------------------------------------------------345.3.2芬妮攻击---------------------------------------------------------------345.3.3Vector76攻击-----------------------------------------------------------355.3.4替代历史攻击-----------------------------------------------------------355.3.551%算力攻击-----------------------------------------------------------355.4整数溢出攻击-------------------------------------------------------------375.5女巫攻击----------------------------------------------------------------406.区块链安全行业应用--------------------------------------------------------416.1使用身份验证保护边界设备安全-------------------------------------------416.2改进机密性和数据完整性-------------------------------------------------426.3保护隐私信息--------------------------------------------------------------436.4改进甚至代替公钥基础设施-----------------------------------------------446.5更安全的DNS-------------------------------------------------------------456.6减少DDoS攻击----------------------------------------------------------467.未来展望---------------------------------------------------------------------478.参考文献---------------------------------------------------------------------483区块链安全研究报告2018年8月1.区块链安全行业综述1.1区块链行业区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算技术的新应用模式。作为比特币的底层技术，它通过时间戳将区块首尾相连形成一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。自比特币诞生以来，区块链行业发展已有近十个年头。在这段过程中，第一家加密货币交易所上线，Paypal、Bitpay等支付商与比特币厂商建立合作关系，自此加密数字货币顺理成章的融入了整个世界的金融体系中。随着区块链技术进一步成熟、生态进一步扩大、用户人数以及应用场景进一步发展，各种围绕着数字货币的应用以及基础设施也不断地丰富完善。目前最大的基础设施主要包括以下六类：钱包、交易所、服务性网站以及矿商、区块链应用、数字货币为主题的商城等等。4区块链安全研究报告2018年8月基础设施的发展与完善相当于为用户开辟了一条更宽阔的路径，更便利的体验能够吸引更多的用户参与到这个市场，更多的用户又能激励更多的服务商提供服务。与此同时，区块链技术本身也在进一步向前推进，2017年更是借助以太坊在智能合约上的优势带动了整个行业的大爆发。到目前为止，基于各种应用的参与方式，区块链主要分为公有链、联盟链、私有链。除了我们接触较多的公有链及链上的应用，联盟链与私有链也需要安全技术保驾护航。公有链联盟链私有链公有链：世界上任何个体或者团体都可以发送交易，且交易能够获得区块链的有效确认，任何人都可以参与共识过程。公有链是最早的区块链，也是目前共识最广泛的区块链。是指像比特币区块链这种完全去中心化不受任何机构控制的区块链。联盟链：是指有若干组织或机构共同参与管理的区块链，每个组织或机构控制一个或多个节点，共同记录交易数据，并且只有这些组织和机构能够对联盟链中的数据进行读写和发送交易。私有链：也就是完全私有区块链（Fullyprivateblockchains），是指写入权限完全在一个组织手里的区块链，所有参与到这个区块链中的节点都会被严格控制。5区块链安全研究报告2018年8月1.2区块链安全性2018年1月7日，整个加密数字货币总市值达到历史最高的8000亿美元的市值。基于区块链行业仍处于一个早期阶段，很多安全漏洞尚未被发现以及部分技术人员的安全防护工作并不是很成熟，巨大利益的诱惑下吸引了互联网行业大量的攻击者。共识机制系统安全加密算法使用安全区块链安全吗？通常在描绘比特币特点的时候，人们会将安全性加入其中，这主要是因为比特币的加密算法SHA256保证了私钥的难攻破性；另一方面区块链中拥有更多的节点，保证了即便单一节点被攻破，仍然有其他节点保护整个数据库的安全性与完整性。但这两种特点并不能代表区块链安全的全部内容，区块链作为一个庞大的生态，用户作为市场的参与者与投资者，需要对数字货币的买卖与使用。这涉及到从钱包、交易所、私钥保存到共识机制、协议及整个系统的安全性，在这些方面区块链安全问题依然没能得到很好的解决。6区块链安全研究报告2018年8月随着区块链技术的广泛应用，随之而来的安全问题也愈发增多。由于区块链技术拥有全球性、去中心化、匿名性等一系列特点，目前在资本行业被大量使用，其中用于投资的场景也越来越多。正因为这一系列的特性与场景结合，随之而来的各类攻击也开始不断出现。主要体现在从之前的区块链底层安全技术研究曝光，发展到后来越来越多的虚拟货币被盗，交易所被攻击等事件。而这些只是目前被暴露的一部分，随着区块链技术所产生的价值越来越高，所面临的攻击将持续增加。频发的安全问题严重影响了行业参与者的数字资产安全，这会影响投资者的信心与体验，行业中的各项基础设施也无法快速稳步的推进；同时对于行业外的人进入到区块链行业也会有很大的影响，从而导致整个行业陷入沉寂。因此，在行业良性发展的同时，针对行业中安全问题频发的板块，通过技术手段做到治理与防范，是这个行业的重中之重。7区块链安全研究报告2018年8月2.行业安全问题2.1行业安全分类区块链行业发展到现在，安全事故频频发生，经统计主要集中