首页 > 新手入门 > 正文

警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!

分类:观点网安信科技网安信科技 2020-09-14 18:13

 

  谈到区块链,大家可能都不会怀疑他的安全性,但事实上,世界上没有任何一个系统是安全的,包括区块链也是一样。因为区块链毕竟只是一项技术,使用了区块链技术的平台,还集成了更多的生态体系,这里面任何一环,都会存在非常多的不安全性。

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!

  尤其是在数字货币大行其道的今天,区块链已经成为黑客攻击的高危行业。在过去的几年,很多加密货币交易所都经历了盗币的事件,每年黑客盗取的数字货币都在逐年增大,2019年就有超过整整10亿的数字货币被盗取。为了让大家有一个清楚的认知,网安信收集整理了一份黑客惯用的区块链攻击手段,赶快来看看吧!

 

  1、薅羊毛
  薅羊毛是黑客非法牟利的最常见的攻击手段,尤其是新平台上线,为了获客一般会推出系列补贴政策,黑客会通过各类手段绕过平台规则,伪造大量用户来获取补贴。如果你是新的区块链平台,上线后的第一个问题也许就是羊毛党,无论你多么的低调,你平台一旦上线就会被很多人盯上。

 

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!


那么,如何判断羊毛党呢?如果你平台上线一段时间后,发现在几天内就有一次用户数激增的情况,就应该引起警惕了。当然,对于创业公司来说,大家会觉得这种用户激增是件非常好的事情。但如果这种用户激增发生在你们还没做太多宣传,出现这么多用户就肯定不太正常。
薅羊毛如何防范?如果发现用户激增有异常,就必须立刻马上的去查这些用户到底来自哪,他们为什么要注册,用什么邮箱等,如果这些用户都来自境外,且注册的邮箱有一定的规律,那么就100%确定是一种恶意行为,就有必要采取封号、封IP等处理措施。

  2、女巫攻击

当然,如果黑客仅仅是恶意注册了许多新用户没有采取任何行动,那很能是为了将来实施女巫攻击。女巫攻击就是一个攻击者可以控制很多账号,将来会对网站的一些决策做一些影响。那最简单的一个例子,大家可能去做一些评论,很多人去攻击一家餐厅,说这家餐厅很难吃,把他的评分降下来,这就是一种常见的女巫攻击。

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!


还有一种是正面的评论或点赞,核心也是为了非法牟利。例如,某新平台上线有个机制,任意一篇文章如果能获得大量用户的五颗星,就能获得丰厚的奖励。黑客就会发布很多一些写的质量很差文章,然后控制很多账号去点赞,从而获得很多奖励,这种虽然是正面的,但对于用户来说,是不太正常的,也需要做一些防范。
女巫攻击的防范措施有很多,比如用Sigmoid,或者用逻辑回归来做,这样的好处是刚开始的时候,用户在平台上的分数很低,只有当写了很多高质量文章后才会有比较快速的增长。也就说在经过平台一定的考验之后才会有比较好的分数,才会有比较好的奖励,这样不仅可以控制女巫攻击所能攻击的范围,同时也可以把最初的羊毛党全部找出来。

  3、假充值

假充值也是一种非常常见的区块链安全问题。什么是假充值呢?很好理解,就是如果有用户在你们平台做了一次充值,但这笔充值一直都没有到他的账户上,当你通过区块链官方浏览器进行查询时,你会发现浏览器上确确实实有这笔充值记录,但你用其他区块链浏览器查询的时候,却没有发现这笔交易,基本上就可以判定这是一笔空交易或者其实是一个什么都没有发生的交易。

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!


那么,为什么会出现这样的情况呢?这是因为黑客找到了一个方法,或利用区块链官方浏览器的漏洞,伪造了一个交易骗过了区块链官方浏览器,让区块链官方浏览器相信这笔交易发生了。也就是说区块链官方浏览器是可以被骗过的,存在一些被黑客利用的漏洞。
防止假充值最安全的做法就是数据可视化,正所谓文不如表,表不如图。当我们在数据库里看数据,很难一眼看明白。但如果将其变成图表的形式就很方便。如果我们把表格的形式转换成图的形式会更加直观,能清楚的知道平台上发生了什么,有多少个数字货币的转换,有多少取款,有多少存款,有多少写文章,有多少人得到了多少分。让整个平台更加可控。

  4、撞库攻击

撞库攻击堪称最恐怖的区块链攻击,黑客通过一些泄露的数据库(数据库里可能有用户名和密码)来尝试登录你的区块链平台,如果成功了,黑客就可以为所欲为了。即使非常有名的币安交易所,也在撞库攻击面前束手无策,黑客通过撞库攻击从币安的系统里提走了7000个比特币。

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!


那么什么是撞库攻击?如果你突然发现平台打开非常慢,重启服务器和数据库后过了五分钟出现同样的问题,这时你会发现,服务器的cpu被占了100%,而且这种情况不是永远的,而是在几分钟之前一下从非常低的cpu占到100%的cpu。遇到这种情况,建议你去查看登录接口有没有出现被调用次数非常巨大的情况(比如超过几十万次),如果有则可以初步判定你的平台正在遭受撞库攻击。
如果你再通过查看详细数据,发现所有的语句都是类似于:他的用户名是什么,密码是什么,然后通过一个SELECT语句来做撞库。而这些用户名在我们数据库里直接找是找不到的。也就是说并不是一些真实的用户在尝试用他们的用户名和密码登录你的平台,而是在用一些根本不存在的数据库里面的用户名尝试登录平台。这就是典型的撞库攻击。
对于撞库攻击,首先要做的就是先确认攻击者来自哪个国家,再把这个国家的IP全部封掉,这样做可以为彻底解决问题争取时间。首先需要修改登录的验证码,不能过于简单,搞得更加复杂一点,譬如算术计算,或者说滑动验证码;其次强制所有有风险的用户,将他们密码全部进行加固和修改,改的更加复杂,甚至可以采用动态密码来确认用户身份;最后,制定完善的风险规则,制定Risk Control,关闭自动取款功能。此外,有技术实力,可以加入AI识别或指纹识别,可以将这些攻击者进行更彻底的封杀。

  5、社工攻击

社工攻击(社会工程学攻击)是一种新的攻击手段,也是目前为止最厉害的一种攻击手段,它可以黑掉任何一个网站,任何一个企业,而且社会工程学无处不在。
举个例子。某区块链平台交易所接到一个客户投诉,说他取款失败了,取款并没有到账上,但平台却说取款已经成功,客户的语气非常强硬。客服人员通过区块链官方浏览器查询客户某笔交易ID,并没有发现这笔交易,但通过另外浏览器却又能看到这笔交易,且是一笔成功的交易,再去看这个客户的钱包,发现他的余额真的是零。在这种情况下,客服人员可能会判定客户确实没有取款成功,给予客户补偿。但事实上,这个是一种社会工程学攻击,客户在欺骗这个平台的客服,也就是说客户已经把账户前转移到了另外一个地址,然后来对客服进行欺骗。

  警惕 | 区块链其实没有你想象的那么安全,快来看看,黑客都用什么手段在攻击你!


其实社会工程学的案子很多,例如黑客有可能冒充一个manager通过邮件给你发一个链接,说他在测试这个东西,请你帮他点开一下,但这个链接中黑客已经植入了一些脚本,通过脚本他可以把你的一些session等全部都搜集下来。更可怕的是,发邮件是可以匿名的,黑客可以以任何人的名义,甚至以你公司邮箱的名义发邮件。可想而知,大家如果收到这样的邮件,一定会点开链接。一旦点开这个链接,很多东西就都被黑客盗走,这也是一种社会工程学。所以说社会工程学无处不在。

  6、小结


随着区块链平台越来越复杂,将会经历各种各样的安全问题,需要花费大量精力去进行运维,但百密一疏,也许存在一个未知漏洞就能给平台造成巨大损失。所以,建议区块链企业,选择一些靠谱的第三方公司合作,一起来进行平台的安全运维,随时发现平台的各种漏洞,并及时修复。
本文标签:区块链 安全 黑客 攻击

上一篇:白话区块链,没想到区块链也能这么有趣易懂!

下一篇:区块链分叉是不可避免的是破坏还是升级?

猜您喜欢
关于我们联系我们作者投稿APP下载