5月19日,研究人员在基于区块链的EOS平台上发现了一系列漏洞,可对参与的节点达成远程控制。几天前,物联网平台HDAC的采矿池服务器受到攻击,影响了绝大多数矿工。1月份,加利福尼亚州发生了最大规模的加密货币盗窃事件,造成Coincheck交易所损失了价值5.32亿美元的NEM硬币。由于越来越受欢迎和获利颇丰,网络犯罪分子一直以来都将目标锁定在区块链上。McAfee Advanced Threat Research团队的分析人员发布了“McAfee Blockchain Threat Report ”,详解了种种针对区块链用户和实施者的威胁。
一、区块链
即使你没有听说过区块链,那也可能听说过加密货币,即比特币。2017年底每枚比特币的价值达到20,000美元,这引发了人们对加密货币的极大兴趣,其中也包括网络犯罪分子在内。加密货币建立在区块链之上,它以分散的方式记录交易,并在不信任的参与者之间建立可信的“分类账”。分类账中的每个块都链接到下一个块,创建一个链。因此,该系统被称为区块链。该链使任何人都可以验证所有交易而无需外部源。这使得诸如比特币等去中心化的货币备受人们追捧。
区块链工作原理简图,源: https://bitcoin.org/bitcoin.pdf.
二、区块链攻击
攻击者采取了许多针对用户和企业的方法。主要攻击媒介包括网络钓鱼、恶意软件、漏洞利用和技术。在1月份的钓鱼攻击中,Iota cryptocurrency在持续数月的诈骗案中损失了400万美元。恶意软件作者也经常改变关注点,2017年末至2018年初,一些人从部署勒索软件转移到加密货币挖掘。目前,已经发现它们使用开源代码,例如基于系统的挖掘软件XMRig 和挖掘服务Coinhive。
源: McAfee Labs
实现过程中的漏洞是新技术和工具建立在区块链之上时引入的。最近的EOS攻击就是一个例子。2017年7月中旬,Iota遭受了一次攻击,攻击者可以从任何钱包中窃取货币。另一种货币Verge被发现存在许多漏洞,利用这些漏洞的攻击者能够在不花费任何挖掘力的情况下生成硬币。
对核心区块链技术的已知攻击要难以实施,尽管它们并非前所未闻。最广为人知的攻击是51%攻击或大多数攻击,攻击者可以随意创建自己的链。51 Crew 针对包括Krypton在内的小型硬币,并将其作为赎金的一种。另一起攻击,即Sybil,可以让攻击者完全控制目标受害者的分类账。2016年已经发生过大规模的Sybil攻击。
三、字典攻击
区块链是一项相对较新的技术,但这并不意味着旧的攻击无法奏效。主要是由于用户行为不安全,所以字典攻击还是可以对一些区块链开展攻击的。Brain或基于弱密码的钱包不安全,但人们仍在使用它们。这些钱包经常被盗,就像从下面的钱包中偷走BTC60一样:
这个钱包在2018年3月5日记录了两笔交易,在15分钟内发生了一笔转入交易和一笔转出交易。源: https://blockchain.info.
四、攻击下的交易所
区块链中大多数参与者的目的就是加密货币交易。加密货币交易所可以被认为是用户创建账户、管理财务甚至交易货币(包括传统货币)的银行。最著名的事件之一就是Mt.Gox遭到攻击,2011年至2014年期间先后有价值4.5亿的比特币被盗,结果导致公司被清盘并关闭。前面提到的Coincheck在攻击中幸免于难,于2018年3月开始赔偿受害者的损失。并非所有交易所都表现如此出色,例如,Bitcurex突然关闭并进行正式调查; Youbit遭受两次攻击,导致该公司破产。
波兰交易所Bitcurex关闭的广告
五、总结
区块链技术和其用户都遭到了为利润所驱动的网络犯罪分子的重度攻击。当前,攻击者正在改变战术,新的组织正在进入这个领域。随着越来越多的企业希望通过区块链来解决他们的业务问题,用户越来越依赖这些技术,我们必须努力了解威胁所在,以实现适当和量身定制的风险管理。新的实施方案必须将安全置于最前沿。网络犯罪分子已经在针对区块链的用户和实现方面取得成功,所以我们必须做好相应的准备。
