www.久久久久|狼友网站av天堂|精品国产无码a片|一级av色欲av|91在线播放视频|亚洲无码主播在线|国产精品草久在线|明星AV网站在线|污污内射久久一区|婷婷综合视频网站

當前位置:首頁 > 物聯(lián)網(wǎng) > 區(qū)塊鏈
[導(dǎo)讀] 隨著越來越的人參與到區(qū)塊鏈這個行業(yè)中來,為行業(yè)注入新活力的同時也由于相關(guān)知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發(fā)的安全事件,慢霧特推出區(qū)塊鏈安全入門筆記系列,向大家介

隨著越來越的人參與到區(qū)塊鏈這個行業(yè)中來,為行業(yè)注入新活力的同時也由于相關(guān)知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發(fā)的安全事件,慢霧特推出區(qū)塊鏈安全入門筆記系列,向大家介紹區(qū)塊鏈安全相關(guān)名詞,讓新手們更快適應(yīng)區(qū)塊鏈危機四伏的安全攻防世界。

越權(quán)訪問攻擊 Exceed Authority Access Attack

和傳統(tǒng)安全的定義一樣,越權(quán)指的是訪問或執(zhí)行超出當前賬戶權(quán)限的操作,如本來有些操作只能是合約管理員執(zhí)行的,但是由于限制做得不嚴謹,導(dǎo)致關(guān)鍵操作也能被合約管理員以外的人執(zhí)行,導(dǎo)致不可預(yù)測的風險,這種攻擊在以太坊和 EOS 上都曾出現(xiàn)過多次。

以 EOS 上著名的 BetDice 游戲為例,由于在游戲合約內(nèi)的路由(EOS 內(nèi)可自定義的事件轉(zhuǎn)發(fā)器)中沒有對來源賬號進行嚴格的校驗,導(dǎo)致普通用戶能通過 push action 的方式訪問到合約中的關(guān)鍵操作 transfer 函數(shù),直接繞過轉(zhuǎn)賬流程進行下注,從而發(fā)生了越權(quán)攻擊,事后雖然 BetDice 官方緊急修復(fù)了代碼,并嚴格限制了來源賬號,但這個漏洞已經(jīng)讓攻擊者幾乎無成本薅走 BetDice 獎池內(nèi)將近 5 萬 EOS。又如在以太坊使用 solidity 版本為 0.4.x 進行合約開發(fā)的時候,很多合約開發(fā)者在對關(guān)鍵函數(shù)編寫的時候不僅沒有加上權(quán)限校驗,也沒有指定函數(shù)可見性,在這種情況下,函數(shù)的默認可見性為 public,惡意用戶可以通過這些沒有進行限制的關(guān)鍵函數(shù)對合約進行攻擊。

慢霧安全團隊建議智能合約開發(fā)者們在進行合約開發(fā)的時候要注意對關(guān)鍵函數(shù)進行權(quán)限校驗,防止關(guān)鍵函數(shù)被非法調(diào)用造成合約被攻擊。

交易順序依賴攻擊 Transaction-Ordering Attack

在區(qū)塊鏈的世界當中,一筆交易內(nèi)可能含有多個不同的交易,而這些交易執(zhí)行的順序會影響最終的交易的執(zhí)行結(jié)果,由于在挖礦機制的區(qū)塊鏈中,交易未被打包前都處于一種待打包的 pending 狀態(tài),如果能事先知道交易里面執(zhí)行了哪些其他交易,惡意用戶就能通過增加礦工費的形式,發(fā)起一筆交易,讓交易中的其中一筆交易先行打包,擾亂交易順序,造成非預(yù)期內(nèi)的執(zhí)行結(jié)果,達成攻擊。以以太坊為例,假如存在一個 Token 交易平臺,這個平臺上的手續(xù)費是通過調(diào)控合約中的參數(shù)實現(xiàn)的,假如某天平臺項目方通過一筆交易請求調(diào)高交易手續(xù)費用,這筆交易被打包后的所有買賣 Token 的交易手續(xù)費都要提升,正確的邏輯應(yīng)該是從這筆交易開始往后所有的 Token 買賣交易的手續(xù)費都要提升,但是由于交易從發(fā)出到被打包存在一定的延時,請求修改交易手續(xù)費的交易不是立即生效的,那么這時惡意用戶就可以以更高的手續(xù)費讓自己的交易先行打包,避免支付更高的手續(xù)費。

慢霧安全團隊建議智能合約開發(fā)者在進行合約開發(fā)的時候要注意交易順序?qū)灰捉Y(jié)果產(chǎn)生的影響,避免合約因交易順序的不同遭受攻擊。

女巫攻擊 Sybil Attack

傳聞中女巫是一個會魔法的人,一個人可以幻化出多個自己,令受害人以為有多人,但其實只有一個人。在區(qū)塊鏈世界中,女巫攻擊(Sybil Attack)是針對服務(wù)器節(jié)點的攻擊。攻擊發(fā)生時候,通過某種方式,某個惡意節(jié)點可以偽裝成多個節(jié)點,對被攻擊節(jié)點發(fā)出鏈接請求,達到節(jié)點的最大鏈接請求,導(dǎo)致節(jié)點沒辦法接受其他節(jié)點的請求,造成節(jié)點拒絕服務(wù)攻擊。以 EOS 為例,慢霧安全團隊曾披露過的 EOS P2P 節(jié)點拒絕服務(wù)攻擊實際上就是女巫攻擊的一種,攻擊者可以非常小的攻擊成本來達到癱瘓主節(jié)點的目的。詳情可參考:

https://github.com/slowmist/papers/blob/master/EOSIO-P2P-Sybil-Attack/zh.md

慢霧安全團隊建議在搭建全節(jié)點的情況下,服務(wù)器需要在系統(tǒng)層面上對網(wǎng)絡(luò)連接情況進行監(jiān)控,一旦發(fā)現(xiàn)某個IP連接異常就調(diào)用腳本配置 iptables 規(guī)則屏蔽異常的 IP,同時鏈開發(fā)者在進行公鏈開發(fā)時應(yīng)該在 P2P 模塊中對單 IP 節(jié)點連接數(shù)量添加控制。

假錯誤通知攻擊 Fake Onerror Notification Attack

EOS 上存在各種各樣的通知,只要在 action 中添加 require_recipient 命令,就能對指定的帳號通知該 action,在 EOS 上某些智能合約中,為了用戶體驗或其他原因,一般會對 onerror 通知進行某些處理。如果這個時候沒有對 onerror 通知的來源合約是否是 eosio 進行檢驗的話,就能使用和假轉(zhuǎn)賬通知同樣的手法對合約進行攻擊,觸發(fā)合約中對 onerror 的處理,從而導(dǎo)致被攻擊合約資產(chǎn)遭受損失。

慢霧安全團隊建議智能合約開發(fā)者在進行智能合約開發(fā)的時候需要對 onerror 的來源合約進行校驗,確保合約帳號為 eosio 帳號,防止假錯誤通知攻擊。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: 驅(qū)動電源

在工業(yè)自動化蓬勃發(fā)展的當下,工業(yè)電機作為核心動力設(shè)備,其驅(qū)動電源的性能直接關(guān)系到整個系統(tǒng)的穩(wěn)定性和可靠性。其中,反電動勢抑制與過流保護是驅(qū)動電源設(shè)計中至關(guān)重要的兩個環(huán)節(jié),集成化方案的設(shè)計成為提升電機驅(qū)動性能的關(guān)鍵。

關(guān)鍵字: 工業(yè)電機 驅(qū)動電源

LED 驅(qū)動電源作為 LED 照明系統(tǒng)的 “心臟”,其穩(wěn)定性直接決定了整個照明設(shè)備的使用壽命。然而,在實際應(yīng)用中,LED 驅(qū)動電源易損壞的問題卻十分常見,不僅增加了維護成本,還影響了用戶體驗。要解決這一問題,需從設(shè)計、生...

關(guān)鍵字: 驅(qū)動電源 照明系統(tǒng) 散熱

根據(jù)LED驅(qū)動電源的公式,電感內(nèi)電流波動大小和電感值成反比,輸出紋波和輸出電容值成反比。所以加大電感值和輸出電容值可以減小紋波。

關(guān)鍵字: LED 設(shè)計 驅(qū)動電源

電動汽車(EV)作為新能源汽車的重要代表,正逐漸成為全球汽車產(chǎn)業(yè)的重要發(fā)展方向。電動汽車的核心技術(shù)之一是電機驅(qū)動控制系統(tǒng),而絕緣柵雙極型晶體管(IGBT)作為電機驅(qū)動系統(tǒng)中的關(guān)鍵元件,其性能直接影響到電動汽車的動力性能和...

關(guān)鍵字: 電動汽車 新能源 驅(qū)動電源

在現(xiàn)代城市建設(shè)中,街道及停車場照明作為基礎(chǔ)設(shè)施的重要組成部分,其質(zhì)量和效率直接關(guān)系到城市的公共安全、居民生活質(zhì)量和能源利用效率。隨著科技的進步,高亮度白光發(fā)光二極管(LED)因其獨特的優(yōu)勢逐漸取代傳統(tǒng)光源,成為大功率區(qū)域...

關(guān)鍵字: 發(fā)光二極管 驅(qū)動電源 LED

LED通用照明設(shè)計工程師會遇到許多挑戰(zhàn),如功率密度、功率因數(shù)校正(PFC)、空間受限和可靠性等。

關(guān)鍵字: LED 驅(qū)動電源 功率因數(shù)校正

在LED照明技術(shù)日益普及的今天,LED驅(qū)動電源的電磁干擾(EMI)問題成為了一個不可忽視的挑戰(zhàn)。電磁干擾不僅會影響LED燈具的正常工作,還可能對周圍電子設(shè)備造成不利影響,甚至引發(fā)系統(tǒng)故障。因此,采取有效的硬件措施來解決L...

關(guān)鍵字: LED照明技術(shù) 電磁干擾 驅(qū)動電源

開關(guān)電源具有效率高的特性,而且開關(guān)電源的變壓器體積比串聯(lián)穩(wěn)壓型電源的要小得多,電源電路比較整潔,整機重量也有所下降,所以,現(xiàn)在的LED驅(qū)動電源

關(guān)鍵字: LED 驅(qū)動電源 開關(guān)電源

LED驅(qū)動電源是把電源供應(yīng)轉(zhuǎn)換為特定的電壓電流以驅(qū)動LED發(fā)光的電壓轉(zhuǎn)換器,通常情況下:LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: LED 隧道燈 驅(qū)動電源
關(guān)閉