点击蓝字 关注我们
背景
区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。我们要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一批关键核心技术,加快推动区块链技术和产业创新发展。
01
区块链技术架构与攻击面
02
合约虚拟机安全
可以通过让nodeos执行abort函数导致DOS
校验操作数类型,校验失败,抛出异常,导致DOS
构造特殊ResultType,导致调用Errors::unreachable(),DOS
03
公链安全
此处遍历数组将xKey.ID直接拼接到keyStore的路径中,然后将json数据写入该路径中。可以通过../的方式跨目录任意写入文件,通过控制id参数将文件路径指向系统文件/etc/bash.bashrc环境变量文件,每个系统用户在登录的时候都会触发这个文件。在覆盖写入环境变量文件之后,我们模拟用户登录,最终远程触发poc命令touch /tmp/test,最终成功创建 /tmp/test文件。
04
数字钱包安全
Ledger钱包钱包存在设计缺陷
Bitfi钱包遭遇冷启动攻击
05
网络协议和基础数据安全
06
共识算法安全
共识机制威胁案例—BTG双花攻击
07
矿池安全
08
智能合约安全
The Dao合约存在重入攻击
假充值漏洞
BEC合约存在整数溢出漏洞
时间操纵漏洞
09
交易所安全
很多项目方为了交易所快速接入,提供针对交易所的充值上账,提现出账方法,这些方法多数情况是依赖节点和地址私钥存放在一起,只有这样钱包才能监听到节点的充值,提现;节点的开发性会暴露很多未知的漏洞,从而使攻击者拿到交易所钱包的私钥,包括ETH都曾发生过类似事件。
攻击者主要是利用转账时候需要unlockAccount账户信息时,不断的发送eth_sendTransaction;keystore存放在节点上 就会出现ETH及代币被盗。
10
学习技能方向(参考慢雾技能树)
致谢
文章部分实战案例来自于知道创宇404安全实验室、慢雾安全团队、腾讯安全实验室,非常感谢!!!
本文始发于微信公众号(WhITECat安全团队):浅谈区块链安全与学习技能方向规划
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论