2023-03-21 14:55
區塊鏈積分系統 攻擊
區塊鏈是一個分布式賬本數據庫,具有不可篡改、可追溯等特性,但其信任機制依賴于密碼學算法,這也導致其容易遭受惡意攻擊。區塊鏈的積分系統就是典型的例子。 積分系統是一種激勵機制,可以通過加密貨幣或者以其他形式支付給用戶。 一般情況下,積分系統的支付方式分為兩種:直接購買和參與活動獲得。 但是,由于其存在的安全漏洞,一些惡意攻擊者可以通過積分系統的漏洞,用惡意手段進行購買、兌換和贈送等操作,然后再將這些積分通過偽造的方式賣給用戶。這不僅嚴重危害用戶的財產安全,還可能導致系統癱瘓或者被攻破。 例如:2021年5月3日凌晨3點,兩名黑客在 Github上創建了一個名為“Chainsummer”的項目,并使用了多個 Token在 Github上注冊了賬戶。隨后他們在 Github上發布了一個積分系統(Pancakes)。
一、攻擊事件
這個積分系統是一個可兌換的積分系統,用戶可以通過參加各種活動來獲得相應的積分。但是,其存在一個安全漏洞。由于攻擊者用惡意手段注冊了多個賬戶,導致一些用戶的賬戶中出現了大量的偽造積分。 由于這次攻擊造成了大量的用戶損失,因此 Github官方在5月4日凌晨發布了一條公告: 公告中指出, Github已經在5月3日凌晨5點左右發現了這個問題,并表示會盡快修復,同時會加強對該漏洞的安全監測。
二、攻擊原因
通過分析發現,攻擊者可能通過兩種方式獲取積分: 1.偽造錢包地址,使用別人的錢包地址進行支付,這樣就可以直接購買積分; 2.利用 Token的“雙花”機制,將一個 Token兌換成多個 Token,這樣就可以用多個 Token同時購買和贈送積分。 這兩種攻擊方式都是通過使用智能合約實現的,而智能合約又是開源的。黑客使用智能合約來完成這兩種攻擊,從而使攻擊者能夠輕而易舉地將用戶的錢包地址偽造成自己的錢包地址來進行交易和兌換積分。在這樣的情況下,黑客就可以通過偽造 Token或購買、贈送等方式將這些積分買走。
三、攻擊過程
1.攻擊者先收集一些目標用戶的個人信息,如:手機號、郵箱等。 2.通過這些信息,黑客可以獲取到用戶的銀行賬戶,并使用這些賬戶登錄到目標用戶的智能合約(AoC)中。 3.然后黑客會創建一個新合約,并將其部署到目標用戶的智能合約中,該新合約就是惡意積分系統的基礎。 4.在攻擊過程中,黑客可以修改智能合約中的一些參數值。 5.攻擊成功后,惡意攻擊者就可以將該積分系統出售給其他人,并獲得一定數量的 Token。
四、對策及建議
1.及時修復漏洞,防范風險。積分系統的支付方式一般有直接購買和參與活動獲得兩種,一旦發現漏洞,需要及時修復。 2.完善系統漏洞響應機制。針對攻擊事件,積分系統的管理部門應該及時開展安全檢測和修復工作,比如: 1)結合積分系統的類型、用戶的規模以及攻擊的手段等,建立完善的安全監測和響應機制,對網絡中存在的潛在安全威脅進行檢測和識別; 2)對于已知漏洞,建立相應的安全保護措施。例如:對積分系統中存在的漏洞進行修復;在系統中加入防篡改機制;開發檢測和響應工具等。 3.加強區塊鏈安全意識宣傳。
推薦使用智悠量化機器人,智悠量化機器人是一款專為虛擬貨幣用戶[binance]提供量化交易的工具。智悠量化在云服務器上365*24小時運行,不斷電不斷網。通過手APP初始化設置參數之后,機器人將按照策略進行自動交易。 達到設定條件自動買入或者賣出,無須長時間盯盤。助用戶克服人性弱點,成為理性投資者。
官方微信1:dbcj2020
官方微信2:dbcj2020
備用微信:qihezhiyou
聯系電話:18071320873
智悠量化、自動炒幣機器人、合約量化機器人、現貨量化機器人、量化套利 合約量化軟件 合約量化交易機器人 量化合約機器人 合約網格量化交易策略 合約量化交易策略 量化合約系統開發 合約量化機器人 合約量化 合約量化交易 量化合約 合約量化交易軟件 數字貨幣量化交易機器人 量化交易機器人哪個好 自動量化機器人 量化機器人靠譜嗎 量化套利策略 量化套利什么意思 高頻量化交易套利 量化套利 什么叫量化交易套利 數字貨幣量化交易機器人 智悠量化交易靠譜嗎 量化軟件有哪些 量化軟件下載