EOS:區塊鏈安全入門筆記(六)

隨著越來越的人參與到區塊鏈這個行業中來，為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏，給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件，慢霧特推出區塊鏈安全入門筆記系列，向大家介紹區塊鏈安全相關名詞，讓新手們更快適應區塊鏈危機四伏的安全攻防世界！系列回顧：區塊鏈安全入門筆記(一)|慢霧科普區塊鏈安全入門筆記(二)|慢霧科普區塊鏈安全入門筆記(三)|慢霧科普區塊鏈安全入門筆記(四)|慢霧科普區塊鏈安全入門筆記(五)|慢霧科普智能合約SmartContract

智能合約(SmartContract)并不是一個新的概念，早在1995年就由跨領域法律學者NickSzabo提出：智能合約是一套以數字形式定義的承諾(Promises)，包括合約參與方可以在上面執行這些承諾的協議。在區塊鏈領域中，智能合約本質可以說是一段運行在區塊鏈網絡中的代碼，它以計算機指令的方式實現了傳統合約的自動化處理，完成用戶所賦予的業務邏輯。隨著區塊鏈智能合約數量的與日俱增，隨之暴露出來的安全問題也越來越多，攻擊者常能利用漏洞入侵系統對智能合約用戶造成巨大損失，據SlowMistHacked統計，截止目前僅ETH、EOS、TRON三條鏈上因智能合約被攻擊而導致的損失就高達＄126,883,725.92，具有相同攻擊特征的手法更是呈現出多次得手且跨公鏈的趨勢，接下來我們將為大家介紹近年來一些常見的智能合約攻擊手法。交易回滾攻擊RollBackAttack

聲音 | 鏈人國際CEO：區塊鏈產業人才建設面臨需求不匹配等四個問題:金色財經報道，鏈人國際CEO杭斯喬在接受采訪時表示，目前區塊鏈產業人才建設主要面臨四個典型問題：其一，需求不匹配。主要體現在，傳統的人才培養模式沒有實現產業端與教育端的有效對接，產業需求沒有納入到人才培養的過程中，導致人才培養與人才需求不匹配；其二，質量不滿足。人才需求與人才培養的脫節導致人才質量難以滿足產業需要，尤其是在各種新興產業與技術方向，人才質量矛盾尤為突出。無論是人才培養還是跨界融合，都需要一個適應期和磨合期，度過了這個磨合期，人才質量才能有較大的飛躍；其三，結構不合理。區塊鏈行業薪酬較傳統行業更高，吸引了大批周邊行業人員涌入，然而，核心人才的供給量非常少，掌握關鍵技術的人才更少之又少，開發人員嚴重供不應求；最后，分布不均勻。這里主要包括行業分布不均、地區分布不均。行業不均主要體現在金融、互聯網、計算機軟件這三種是人才集中的行業，地區不均就更明顯了，北上深為第一梯隊，加起來占了人才招聘的大半壁江山。[2019/12/18]

交易回滾攻擊(RollBackAttack)，故名思義，指的是能對交易的狀態進行回滾。回滾具體是什么意思呢？回滾具體指的是將已經發生的狀態恢復成它未發生時候的樣子。那么，交易回滾的意思就是將已經發生的交易變成未發生的狀態。即攻擊者本來已經發生了支付動作，但是通過某些手段，讓轉賬流程發生錯誤，從而回滾整個交易流程，達到交易回滾的目的，這種攻擊手法多發于區塊鏈上的的智能合約游戲當中，當用戶的下注動作和合約的開獎動作在一個交易內的時候，即內聯交易。攻擊者就可以通過交易發生時檢測智能合約的某些狀態，獲知開獎信息，根據開獎信息選擇是否對下注交易進行回滾。該攻擊手法早期常用于EOSDApp上，后逐步向波場等其他公鏈蔓延，截止目前，已有12個DApp遭遇攻擊，慢霧安全團隊建議開發者們不要將用戶的下注與開獎放在同一個交易內，防止攻擊者通過檢測智能合約中的開獎狀態實現交易回滾攻擊。交易排擠攻擊TransactionCongestionAttack

動態 | Gartner報告：2025年 20%的頂級食品零售商將應用區塊鏈技術:Gartner在最新報告中預計，到2025年，全球20%的頂級食品零售商將把區塊鏈用于食品安全及溯源之中，進而使得其生產、質量及新鮮度可見。Gartner高級研究主管Joanne Joliet表示：“區塊鏈可以幫助零售商向客戶傳遞信心，建立并保持信任和忠誠。隨著食品零售商被要求達到更高的透明度和可追溯性標準，他們將引領區塊鏈的發展，但我們預計它（區塊鏈技術）將擴展到所有零售領域。”[2019/5/1]

交易排擠攻擊(TransactionCongestionAttack)是針對EOS上的使用defer進行開獎的游戲合約的一種攻擊手法，攻擊者可以通過某些手段，在游戲合約的defer開獎交易前發送大量的defer交易，惡意侵占區塊內的CPU資源，使得智能合約內本應在指定區塊內執行的defer開獎交易因資源不足無法執行，只能去到下一個區塊才執行。由于很多EOS上的游戲智能合約使用區塊信息作為智能合約本身的隨機數，同一個defer開獎交易在不同區塊內的執行結果是不一樣的。通過這樣的方式，攻擊者在獲知無法中獎的時候，就通過發送大量的defer交易，強行讓智能合約重新開獎，從而達到攻擊目的。該攻擊手法最早在黑客loveforlover向EOS.WIN發起攻擊時被發現，隨后相同的攻擊手法多次得手，據SlowMistHacked統計僅2019年就有22個競猜類DApp因此損失了大量資金，慢霧安全團隊建議智能合約開發者對在不同區塊內執行結果不同的關鍵的操作不要采用defer交易的方式，降低合約被攻擊的風險。隨機數攻擊RandomNumberAttack

行情 | A股收盤：區塊鏈板塊整體上漲1.02%:A股收盤，區塊鏈板塊整體上漲1.02% 。79只概念股中，62只收漲、13只收跌、1只平盤、3只停牌。漲幅前三為：高升控股（+10.06%），聚龍股份（+9.98%），新國都設（+6.42%）；跌幅前三為：奧馬電器（-9.99%），第一創業（-2.81%），金溢科技（-2.28%）。[2018/10/31]

隨機數攻擊(RandomNumberAttack)，就是針對智能合約的隨機數生成算法進行攻擊，預測智能合約的隨機數。目前區塊鏈上很多游戲都是采用的鏈上信息作為游戲合約的隨機數源，也稱隨機數種子。使用這種隨機數種子生成的隨機數被稱為偽隨機數。偽隨機數不是真的隨機數，存在被預測的可能。當使用可被預測的隨機數種子生成隨機數的時候，一旦隨機數生成的算法被攻擊者猜測到或通過逆向等其他方式拿到，攻擊者就可以根據隨機數的生成算法預測游戲即將出現的隨機數，實現隨機數預測，達到攻擊目的。2018年11月11日，攻擊者向EOS.WIN發起連續隨機數攻擊，共獲利20,000枚EOS，在此慢霧安全團隊建議智能合約開發者使用安全的隨機數源作為合約隨機數，如通過使用鏈下的隨機數種子生成隨機數的方式上傳至鏈上，降低合約被攻擊的風險。

聲音 | Hontao Qiao: 區塊鏈數字資產管理是華爾街未來最大機會:2018虛擬貨幣對沖基金峰會上，前摩根大通資產管理執行理事Hontao Qiao表示，區塊鏈數字資產管理是華爾街未來的最大機會 ，大型公司將會更多專注于技術開發，區塊鏈技術將會顛覆傳統金融領域，為經濟生態系統帶來信任。在數據方面，項目管理不會出現操縱市場者，更加透明化；資產方面，個人可以在不需披露持股的情況下獲得項目管理方和投資方的信任。[2018/8/2]

Tags：區塊鏈ACKEOSFER區塊鏈存證證件具有更高的信任等級quack幣發行量EOS AuctionREFER價格

FTX