区块链安全生存指南.pdf-资料库

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第1页.png

第1页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第2页.png

第2页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第3页.png

第3页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第4页.png

第4页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第5页.png

第5页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第6页.png

第6页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第7页.png

第7页 / 共53页

0c9e87c5-1392-42d0-8ad2-01dbe298552a.pdf-第8页.png

第8页 / 共53页

区块链安全生存指南 Blockchain Security Guide 长亭科技 ConsenSys 比特大陆联合发布

区块链安全生存指南 Blockchain Security Guide 目录 CONTENT 前言 |01| 区块链概况 1/1 始于比特币 1/2 不只是比特币 |02| 区块链原理及特征 2/1 技术原理 2/2 区块链特征 |03| 行业划分与安全诉求 3/1 数字货币 3/1/1 矿力 3/1/2 钱包 3/1/3 交易 3/2 技术应用 3/2/1 金融 3/2/2 数据存证 3/2/3 底层服务 |04| 区块链安全攻击实例及分析 15 4/1 应用层 4/1/1 交易所服务器未授权访问 4/1/2 交易所DDoS攻击 16 16 18 3 4 5 5 6 7 7 8 9 9 10 11 11 12 12 13

区块链安全生存指南 Blockchain Security Guide 4/1/3 员工主机安全问题 4/1/4 恶意程序感染 4/2 智能合约层 4/2/1 重入攻击 4/2/2 未授权访问攻击 4/2/3 Solidity开发安全 4/3 底层结构层 4/3/1 区块链实现层安全隐患 4/3/2 DApp社区DoS攻击问题 4/3/3 EVM安全隐患 4/4 基础设施层 4/4/1 云服务商安全问题 4/5 安全意识与管理 4/5/1 社会工程学攻击 4/5/2 内部攻击 4/5/3 第三方风险控制失败 4/5/4 钓鱼攻击 18 19 22 22 24 29 37 37 37 38 40 40 41 41 42 42 43 |05| 应对策略-区块链安全开发生命周期 45 5/1 培训 5/2 需求 5/3 设计 5/4 实现 5/5 验证 5/6 发布与响应 46 47 47 48 49 50

区块链安全生存指南 Blockchain Security Guide 前言 FOREWORD 闻名世界的索马里海盗，执行者一般几个人、一艘船、并不强大的火力，抢船成功后动辄百万、千万美金的赎金要求，拼的不是火力，不是船的大小，更多是对海域的熟悉、地理位置的利用和敢想敢做的行为。总结历史发生的所有区块链安全案例来看，这个新兴乍起的行业所遭受的攻击过程和恶劣结果，会让人时不时恍惚觉得，这种攻击力量对比、手法策略和获利的丰厚程度非常相似，现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始，索马里海盗因为正规军的介入而逐渐销声匿迹。当前的区块链企业似乎也急需专业正规军的介入，通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维度进行深入研究，提出切实可行的有效手段，对当前“无墙”的攻击进行遏制。由此产生了长亭科技、ConsenSys和比特大陆的此次联手。随着整个区块链行业的兴起，长亭科技服务了多个相关企业，囊括多种类型。在这个过程中，长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识，但针对区块链安全的了解却是匮乏的；国内外研究区块链安全技术的机构并非不存在，但信息渠道的不畅通导致了知识获取的延迟，遂决定通过多年在安全行业的积累，联合优质且真正能解决问题的资源，将各自的研究成果集合，在当前阶段，给区块链从业者一个相对客观的可参考、可查找资源。长亭科技因擅长攻防技术的背景，是国内最早开始研究并服务区块链企业的网络安全公司之一，积攒了丰富的素材，并利用多年攻防研究和实战经验，梳理了相对成熟的方法论；ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年，总部位于纽约，全球团队超过600人，旗下安全团队ConsenSys Diligence为以太坊生态提供安全服务、工具和最佳实践指南；比特大陆创始人吴忌寒，是第一个将比特币创始人中本聪的论文翻译成中文的人，2013年联合詹克团创立比特大陆，这家成立不到五年的中国公司，被称为比特币产业链上的隐形帝国。三家企业从更丰富的视角对报告内容进行了补充，尽量为区块链从业者提供更多维度的参考信息。

区块链安全生存指南 Blockchain Security Guide |01| 区块链概况 Overview of Blockchain

区块链安全生存指南 Blockchain Security Guide 1/1 始于比特币区块链（Blockchain）最早由“中本聪”（Satoshi Nakamoto）于2008年在其论文《比特币：一种点对点电子现金系统》中提出，比特币也成为了目前最广为人知的区块链应用案例。广义上讲，区块链技术是利用将打包的数据区块串接成链进行验证与存储数据、利用点对点网络技术和共识算法来生成和更新数据、利用密码学方式保证数据传输的安全、利用自动化脚本代码（也就是智能合约）来操作数据的一种全新的分布式架构与计算范式。 1 整体来看，区块链是融汇了密码学、数学、计算机科学、网络科学、社会学等多门学科的产物。从创新角度看，区块链巧妙融合升级了多种现有技术，如非对称加密、点对点网络技术、哈希算法和共识算法，它是一次工程学意义上而非科学理论上的创新。 2 1/2 不只是比特币随着比特币社区的壮大和多种数字货币的发行，同期诞生大批与数字货币挂钩的产品及服务，如矿机、数字钱包、数字货币交易所等。区块链概念在2013年左右开始走进大众视野，随之而来的则是共识机制的多样化和升级，以及智能合约的大范围开发应用。2014年前后，业界开始认识到区块链技术本身的重要潜在价值，并开始尝试将其应用到数字货币以外的场景，如众募、资产交易、权属管理、身份认证等领域，这些应用则被称作去中心化应用（DApp）。伴随着一项新技术的发展和版图扩张，尤其如区块链技术般爆炸式发展，其各层面、各方向上的安全问题也呈现爆炸趋势。虽然区块链还在发展初期，众多技术应用项目仍处于试验阶段，截至目前的攻击事件也多集中在数字货币相关领域，但安全隐患已然暴露出来。本次报告会通过深入剖析区块链技术的原理及特点，梳理具体行业的安全诉求，分析已知的安全事件进行详细解读，并给出在区块链行业中如何安全生产的指导意见。 05 1.工信部，中国区块链技术和应用发展白皮书，中国区块链技术和产业发展论，2016 ， http://www.sohu.com/a/224324631_711789 2.刘瑜恒和周沙骑，证券区块链的应用探索、问题挑战与监管对策，金融监管研究，2017年第4期， http://www.cbrc.gov.cn/chinese/files/2017/355591F79E5743CE86F0F765F0573454.pdf

区块链安全生存指南 Blockchain Security Guide |02| 区块链原理及特征 Historical Theory of Blockchain

区块链安全生存指南 Blockchain Security Guide 2/1 技术原理经过近十年发展，区块链行业早已不仅仅是比特币区块链加上社区用户的个人电脑那么简单。基础设施中出现了专业矿机及集群算力；根据链的架构，则有公有链、私有链、联盟链等种类；而其中又衍生出多种针对不同场景、需求的共识机制；智能合约的灵活应用则让各型应用的繁荣成为了可能。应用层合约层核心层服务层钱包交易所实时跨境支付资产交易程序语言编写的智能合约区块 + 链 + P2P网络 + 共识机制节点 BaaS 矿机图2-1 区块链的层级结构具体的说，区块链的基本工作原理是通过标准算法、加密技术将一个文件或数据转换为一个哈希值，该哈希值与文件或数据一一对应。这个文件或数据可以是记录着一种事实、一笔交易、一笔资产或者一项权益等等，形成数据代码与现实世界的关联。这个哈希值被写入一个区块链交易中，并被打上时间戳。一定数量的哈希 3 值形成一个区块，经过节点的核查最终按时间顺序被加入区块链中。因此区块链中的数据总是前后相继、有据可循。在此之上的智能合约是程序语言编写的合约条款，在满足预设条件时，合约条款将被强制执行。而且智能合约运行在全网所有节点，个体无法将其强行停止。自动执行的智能合约极大的扩展了区块链的功能，丰富了上层应用。 2/2 区块链特征一、同步性。去中心的结构省去了传统模式下的中转中心，可极大提升信息、价值的传递效率，来自于区块链的分布式存储模式及其点对点网络系统。区块链上的加密数据分散保存在接入区块链的终端节点中，任何区块更新后，链上的所有节点都能够获知并进行同步。二、可信任性。独特运行机制省去了第三方认证机构，使节点间可以依靠区块链直接达成信任，来自于非对称加密、哈希算法、共识机制等技术。区块链上的数据与事实一一对应，并被链上节点共同验证真伪。即使区块链上个别节点不正确运行，只要其数量不达到一定的阈值，整个区块链账本的真实准确性就不会受到影响。三、可溯源性。来自于时间戳和链式数据结构，依照其链式结构可以对任一个状态进行溯源。区块链中的每个区块都记录着前一区块的哈希值，以此形成单向链结构。而区块中存储的交易或状态转换（transactions）总是前后相连形成事实唯一的链条。 07 3.刘瑜恒和周沙骑，证券区块链的应用探索、问题挑战与监管对策，金融监管研究，2017年第4期， http://www.cbrc.gov.cn/chinese/files/2017/355591F79E5743CE86F0F765F0573454.pdf

资料库

区块链安全生存指南.pdf

相关推荐

安全技术

热门标签

最新资料