浅谈区块链安全与学习技能方向规划

  • A+
所属分类:安全闲碎

点击蓝字  关注我们

浅谈区块链安全与学习技能方向规划

背景

浅谈区块链安全与学习技能方向规划

区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。我们要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一批关键核心技术,加快推动区块链技术和产业创新发展。

浅谈区块链安全与学习技能方向规划

01

区块链技术架构与攻击面

浅谈区块链安全与学习技能方向规划

02

合约虚拟机安全

浅谈区块链安全与学习技能方向规划

浅谈区块链安全与学习技能方向规划

可以通过让nodeos执行abort函数导致DOS

浅谈区块链安全与学习技能方向规划

校验操作数类型,校验失败,抛出异常,导致DOS

浅谈区块链安全与学习技能方向规划

构造特殊ResultType,导致调用Errors::unreachable(),DOS

浅谈区块链安全与学习技能方向规划

03

公链安全

浅谈区块链安全与学习技能方向规划

此处遍历数组将xKey.ID直接拼接到keyStore的路径中,然后将json数据写入该路径中。可以通过../的方式跨目录任意写入文件,通过控制id参数将文件路径指向系统文件/etc/bash.bashrc环境变量文件,每个系统用户在登录的时候都会触发这个文件。在覆盖写入环境变量文件之后,我们模拟用户登录,最终远程触发poc命令touch /tmp/test,最终成功创建 /tmp/test文件。

浅谈区块链安全与学习技能方向规划

04

数字钱包安全

浅谈区块链安全与学习技能方向规划

Ledger钱包钱包存在设计缺陷

浅谈区块链安全与学习技能方向规划

Bitfi钱包遭遇冷启动攻击

浅谈区块链安全与学习技能方向规划

05

网络协议和基础数据安全

浅谈区块链安全与学习技能方向规划

浅谈区块链安全与学习技能方向规划

浅谈区块链安全与学习技能方向规划

06

共识算法安全

浅谈区块链安全与学习技能方向规划
共识机制威胁案例—BTG双花攻击

浅谈区块链安全与学习技能方向规划

07

矿池安全

浅谈区块链安全与学习技能方向规划

浅谈区块链安全与学习技能方向规划

08

智能合约安全

浅谈区块链安全与学习技能方向规划
The Dao合约存在重入攻击

浅谈区块链安全与学习技能方向规划

假充值漏洞

浅谈区块链安全与学习技能方向规划

BEC合约存在整数溢出漏洞

浅谈区块链安全与学习技能方向规划

浅谈区块链安全与学习技能方向规划

时间操纵漏洞

浅谈区块链安全与学习技能方向规划

09

交易所安全

浅谈区块链安全与学习技能方向规划
很多项目方为了交易所快速接入,提供针对交易所的充值上账,提现出账方法,这些方法多数情况是依赖节点和地址私钥存放在一起,只有这样钱包才能监听到节点的充值,提现;节点的开发性会暴露很多未知的漏洞,从而使攻击者拿到交易所钱包的私钥,包括ETH都曾发生过类似事件。

浅谈区块链安全与学习技能方向规划

攻击者主要是利用转账时候需要unlockAccount账户信息时,不断的发送eth_sendTransaction;keystore存放在节点上 就会出现ETH及代币被盗。

10

学习技能方向(参考慢雾技能树)

浅谈区块链安全与学习技能方向规划

致谢

文章部分实战案例来自于知道创宇404安全实验室、慢雾安全团队、腾讯安全实验室,非常感谢!!!

浅谈区块链安全与学习技能方向规划

本文始发于微信公众号(WhITECat安全团队):浅谈区块链安全与学习技能方向规划

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: