文档介绍:长亭科技ConsenSys比特大陆联合发布区块链安全生存指南BlockchainSecurityGuide目录 CONTENT 前言|01|区块链概况 1/1始于比特币 1/2不只是比特币|02|区块链原理及特征 2/1技术原理 2/2区块链特征|03|行业划分与安全诉求34 5 56 7 783/1数字货币93/1/1矿力3/1/2钱包3/1/3交易3/2技术应用3/2/1金融3/2/2数据存证3/2/3底层服务|04|区块链安全攻击实例及分析4/1应用层4/1/1交易所服务器未授权访问4/1/2交易所DDoS攻击9 10 11 11 12 12 1315 16 16 18区块链安全生存指南 BlockchainSecurityGuide4/1/3员工主机安全问题4/1/4恶意程序感染4/2智能合约层4/2/1重入攻击4/2/2未授权访问攻击4/2/3Solidity开发安全4/3底层结构层4/3/1区块链实现层安全隐患4/3/2DApp社区DoS攻击问题4/3/3EVM安全隐患4/4基础设施层4/4/1云服务商安全问题4/5安全意识与管理18 1922 22 24 2937 37 37 3840 40414/5/14/5/24/5/34/5/4社会工程学攻击内部攻击第三方风险控制失败钓鱼攻击41424243|05|应对策略-区块链安全开发生命周期455/15/25/35/45/55/6培训需求设计实现验证发布与响应464747484950区块链安全生存指南 BlockchainSecurityGuide前言FOREWORD区块链安全生存指南 BlockchainSecurityGuide闻名世界的索马里海盗,执行者一般几个人、一艘船、并不强大的火力,抢船成功后动辄百万、千万美金的赎金要求,拼的不是火力,不是船的大小,更多是对海域的熟悉、地理位置的利用和敢想敢做的行为。 总结历史发生的所有区块链安全案例来看,这个新兴乍起的行业所遭受的攻击过程和恶劣结果,会让人时不时恍惚觉得,这种攻击力量对比、手法策略和获利的丰厚程度非常相似,现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。 当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始,索马里海盗因为正规军的介入而逐渐销声匿迹。当前的区块链企业似乎也急需专业正规军的介入,通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维度进行深入研究,提出切实可行的有效手段,对当前“无墙”的攻击进行遏制。 由此产生了长亭科技、ConsenSys和比特大陆的此次联手。 随着整个区块链行业的兴起,长亭科技服务了多个相关企业,囊括多种类型。在这个过程中,长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识,但针对区块链安全的了解却是匮乏的;国内外研究区块链安全技术的机构并非不存在,但信息渠道的不畅通导致了知识获取的延迟,遂决定通过多年在安全行业的积累,联合优质且真正能解决问题的资源,将各自的研究成果集合,在当前阶段,给区块链从业者一个相对客观的可参考、可查找资源。 长亭科技因擅长攻防技术的背景,是国内最早开始研究并服务区块链企业的网络安全公司之一,积攒了丰富的素材,并利用多年攻防研究和实战经验,梳理了相对成熟的方法论;ConsenSys由以太坊联合创始人JosephLubin成立于2015年,总部位于纽约,全球团队超过600人,旗下安全团队ConsenSysDiligence为以太坊生态提供安全服务、工具和最佳实践指南;比特大陆创始人吴忌寒,是第一个将比特币创始人中本聪的论文翻译成中文的人,2013年联合詹克团创立比特大陆,这家成立不到五年的中国公司,被称为比特币产业链上的隐形帝国。三家企业从更丰富的视角对报告内容进行了补充,尽量为区块链从业者提供更多维度的参考信息。区块链安全生存指南 BlockchainSecurityGuide|01| 区块链概况OverviewofBlockchain1/1始于比特币 区块链(Blockchain)最早由“中本聪”(SatoshiNakamoto)于2008年区块链安全生存指南 BlockchainSecurityGuide05在其论文《比特币:一种点对点电子现金系统》中提出,比特币也成为了目前最广为人知的区块链应用案例。广义上讲,区块链技术是利用将打包的数据区块串接成链进行验证与存储数据、利用点对点网络技术和共识算法来生成和更新数据、利用密码学方式保证数据传输的安全、利用自动化脚本代码(也就是智能合约)来操作 1 整体来看,区块链是融汇了密码学、数学、计算机科学、网络科学、社会学等多门学科的产物。从创新角度看,区块链巧妙融合升级了多种现有技术,如非对称加密、点对点网络技术、哈希算法和共识算法,它是一次工程学意义上而非科学理论