当前位置 主页 > 行业资讯 >

黑客攻击事件频发 区块链App如何谈安全?

栏目:行业资讯 时间:2018-12-25 09:39


  文/昊华、小C
 
  编辑/邓龙
 
  在英剧《神秘博士》中,主人公的时间机器Tardis是一个电话亭。虽然从外面看着很小,但里面的空间巨大无比。
 
  如果Tardis放在互联网世界中,它便是手机中一个小小的APPStore。
 
  据工信部发布的数据,截至今年5月底,我国一共有415万款移动应用。
  图片来源于网络
 
  聊天、煲剧、点外卖、订票……现在的年轻人已越发离不开一个个APP。相似的场景,在不久后,也将发生在区块链上。
 
  在区块链上的APP,被称作DApp,即去中心化的APP。DApp基于智能合约,双方将约定的内容写进程序中,从而无法被篡改。
  DApp其实也是智能合约+App。
 
  目前,基于公链开发的DApp数量保持高速增长。根据DApp.com数据显示,今年前三季,以太坊上已有超过900个DApp,而在去年第二季度末,DApp的数量只有7个。
 
  此外,如今市场上60%的DApp都是游戏,在今年第三季度EOS上推出的60中新DApp中,超过一半是投注、博彩类应用。
 
  在高速增长背后,DApp的安全问题不容忽视。一个小小的漏洞,会造成巨大损失。
  图片来源于网络
 
  今年10月底,基于EOS主网开发的DAppEOSCast游戏遭遇黑客攻击,团队账户共损失了超过7万枚EOS。据EOS当前价格估算,本次攻击中,EOSCast平台损失超255万元人民币。
 
  由于区块链上的数字资产采用的是匿名交易的原则,数字资产丢失后,几乎无法找回。一旦发生黑客攻击事件,运营团队和用户只能自认倒霉。
 
  据PeckShield的最新数据,截至2018年12月12日,共发生35起DApp安全事件,共损失超过41万个EOS,市值近1000万元人民币。
 
  据锌财经了解,目前DApp的安全问题主要在以下三个方面:
 
  一是游戏的逻辑设计问题,本身出现Bug;二是DApp遭遇黑客攻击,资产被盗走;三是菠菜(博彩)类游戏随机算法被攻破。
 
  DApp被黑客攻击事件频发,安全问题就成为DApp发展过程中绕不过的坎。
 
  如何解决这些难题?如何在设计DApp时就防范有可能产生的安全问题?当DApp大规模爆发时,又会给公链带来怎样的压力和挑战?
 
  12月20日,锌财经举办了本月第三场区块链主题分享活动,锌财经创始人潘越飞邀请了PeckShieldEOS安全负责人施华国对上述问题做出解答。
 
  施华国原是网秦安全响应负责人、360高级安全研究员、阿里巴巴高级安全专家,有10年移动互联网安全经验,主要专注于软件攻防和数据安全方向。
 
  ZN
 
  为什么说DApp已到大爆发时期?
 
  施华国
 
  目前三大主流DApp公链有ETH、EOS和TRON。先看以下三个公链的特点比较。
  ETH、EOS和TRON的特点比较
 
  左边的ETH属于DApp的第一代公链,从2015年7月30日上线,虽然已运行三年多,但由于高额GAS费用和每秒不到10个的交易速度,极大制约了它的发展。目前ETH上的DApp总数只有1705个,由于性能限制,在ETH上很难有高频操作的游戏。现在用户活跃较高的DApp主要是去中心化交易所和低频交易的游戏。
 
  而随着EOS在2018年6月9日上线,经过了3个多月的稳定过度期,在10月初EOS开始出现大规模爆发,现在EOS上DApp数量已经达到238个。
 
  下面这张图是三网的DApp日活跃度数据对比。
  数据截止到2018年12月13日
 
  从图中可以看到,EOS在10月初出现DAU(日活跃用户数量)大幅上涨,最高时是ETH的6、7倍。但EOS的DAU数据波动比较大,这和安全事件、群控刷量行为等诸多因素有关。
 
  在看浅蓝色的TRON的DAU数据,数据量虽然最高只有5000,但毕竟它上线比EOS更晚,体量又小,从长远看,我认为TRON的未来会有较大的发展空间。
 
  下面这张图是三网DApp交易额数据对比,数据分析也是截止到2018年12月13日。
  可以看到黄颜色的EOS交易额数据要比ETH和TRON高的多。
 
  总的来说,区块链DApp爆发,可以看作EOS是公链上的DApp爆发。
 
  ZN
 
  如何看目前大家戏称EOS沦为博彩公链?
 
  施华国
 
  EOS目前的现状确实是竞猜类游戏为主,总数在DApp中占据了一半以上,并且交易额排名前几的都是竞猜类游戏。这个是不得不承认的事实。
 
  但是同时我们也可以看到,仍然会有些优秀的DApp保持稳定、健康增长。比如去中心化交易所Newdex,现在交易额已经排名在第六。而另一款卡牌类游戏EOSKnights,在去除假量的真实DAU排名中,一直稳定在前五的位置,也拥有忠实玩家。
 
  近期又有些开发者从ETH上的DApp和传统游戏领域开始转型加入EOSDApp开发的队伍中。
 
  ZN
 
  从行业度看,哪条链能获得最大规模的开发者?哪种类型的DApp最有机会跑出来?
 
  施华国
 
  DApp用户群体最大、热度最高的还是EOS,开发者肯定是要集中最优的资源在大平台上做更大投入了。除了EOS,TRON发展的势头也很迅猛,通过我们的数据分析,发现两个公链的DApp用户活跃度确实会有部分相互影响,未来TRON或许会成为EOS的一个不可忽视的竞争对手。
 
  至于哪类DApp会成为新的KillerDApp,这个不好说。好多DApp上线时都号称自己是KillerDApp,宣传搞得火热但没多久就凉了。不过目前看,游戏至少是一个好的开端。
 
  ZN
 
  如何看带生态安全对于DApp发展的威胁?开发者将如何应对?
 
  施华国
 
  截至2018年12月12日,共发生35起DApp安全事件,共损失超过41万个EOS,市值近1000万元人民币。
 
  我们发现从EOS生态早期到现在,黑客攻击原理其实是在不断演变的,从最早的溢出攻击到合约RAM吞噬问题,再到重放攻击、假EOS、假通知攻击,以及近一两个月比较活跃的随机数和交易回滚攻击等。黑客的攻击手段越来越复杂,也越来越成体系,攻击者还会定期用已知攻击扫描漏洞尝试攻击新上线的游戏,这给EOS本来就薄弱的早期发展生态带来了更大的挑战。
 
  开发者一定要对安全有足够的防范意识,首先开发阶段需要参考安全编码规范进行编写代码,以降低被已知漏洞攻击的风险;其次需要找专业的安全团队对合约代码进行安全审计;最后一点也是最重要的,你永远无法预知未来是否会遭到黑客攻击。所以开发者一定要有一套完整的应急响应风控系统,确保当真正遭受攻击时,会及时预警并做熔断处理。
 
  本文版权归“锌财经”所有
原文链接:https://new.qq.com/omn/20181224/20181224A0CCHB.html
相关推荐:
快雀蜘蛛池 涉及30余省市黑产链被端,黑客只有初中文化 智能玩具数据库也被黑客盯上 当心孩子隐私遭泄露 NASA服务器遭黑客攻击 12以来数据库信息遭泄露 黑客犯罪频发 已成涉网犯罪核心、“链条化” 新型木马病毒大爆发,2小时致使十万台电脑遭病毒攻击 勒索病毒事件多发,为网络安全敲响警钟 不法之徒为索取比特币在全球多个国家发起大量炸弹威胁事件 某男子自称“黑客教父”因非法利用信息网络牟利终被捕获 “中国间谍芯片”事件调查结束,被证明为“莫须有”是陷害! 外媒报道称闲散黑客靠寻找漏洞最高年赚50万美金 黑客利用火狐‘11岁’漏洞进行网络诈骗 Linux系统官网被攻击,遭黑客留“菊花”讽刺 万豪集团遭黑客“薅羊毛”长达5年 ,盗取5亿用户后黑市销赃 天津社保主体公司官网遭黑客攻击,打开竟是不良网站 日活艰难 DAPP遭黑客肆虐 未来将如何? 黑客再出新花样 “薅羊毛也薅出勒索病毒! 中国的增长黑客,距离美国还有多少路要走? 全球超出40万台设备受遭恶意软件攻击 路由器也被劫持挖矿? ================================== ==================================================================== 网站被劫持检测、网站监控 站群批量SEO查询 六大搜索引擎 模拟蜘蛛 批量替换工具 - 多行批量替换 服务器专用下载工具 iis日志分析工具 批量PING,服务器批量添加网卡IP小工具 远程同步备份工具 整站下载工具 批量远程桌面连接工具 iis网站批量管理
缩小 缩小 缩小 缩小
IIS7整站下载工具 IIS7批量查询排名 IIS7远程桌面连接工具 iis7-iis网站批量管理 iis7批量替换工具 IIS7服务器专用下载工具 IIS7日志分析工具 IIS7批量PING,服务器批量添加网卡IP小工具 IIS7远程同步备份工具
IIS7网站监控 站群批量SEO查询 批量获取排名域名 批量关键词排名查询 模拟各种蜘蛛 批量友情链接监测 批量检测死链 搜索引擎大全 批量查询外链
批量查询网站标题 批量查询KeyWords 批量查询描述 批量查询网站IP 批量百度收录查询 批量查询百度日收录 批量查询百度周收录 批量查询百度月收录 批量查询360总收录 批量查询360日收录 批量查询网站年龄 批量查询360PC权重 批量查询爱站移动权重 批量查询站长移动权重 批量查询360移动权重 批量查询神马权重 批量查询谷歌PR 批量查询搜狗PR 批量查询百度反链 批量查询爱站首页反链 批量查询爱站内页反链 批量查询百度快照 批量查询搜狗快照 批量icp备案查询 批量网站ip地址查询 批量查询导出链接 批量查询百度V认证 批量查询百度安全 批量查询站长PC权重 批量查询爱站PC权重 批量查询搜狗总收录 站长资源大全 IIS7-cms大全 IIS7站群大全 IIS7虚拟空间大全 IIS7服务器大全 IIS7-VPS大全 服务器代购 站群专用 美国站群服务器 香港站群服务器 特供站群vps 亚洲服务器 菲律宾HS 韩国首尔 香港PCCW 香港沙田电信 香港PowerLine 日本多机房 新加坡多机房 韩国大带宽 香港新世界 香港Pangnet 台湾 美国服务器 加州RS 美国vps母鸡租用 洛杉矶MC 洛杉矶C3 特价促销区 洛杉矶NS 洛杉矶Cera高防 洛杉矶HS高防 SK高防 洛杉矶WX 加州RH 芝加哥AT VPS云主机 香港沙田电信 韩国首尔 香港Pangnet 新加坡SG 香港PL 洛杉矶SK 抗攻击 洛杉矶C3 日本大阪 洛杉矶Cera 抗攻击 洛杉矶MC 纽约 SSD 抗攻击 大容量备份VPS 国庆大促 俄罗斯