数字货币交易平台面临着哪些安全威胁?
|
其实在初期使用第三方外包开发的方式本来未尝不可,就传统的银行领域来说,大量的中小规模银行的信息系统也会使用第三方公司的产品来定制,因为政府层面的严格监管以及这一类开发公司长久的技术积累,银行使用的类似系统通常安全性是有足够保证的。但是在数字货币行业则不同,部分从事这一类开发的个人和团队对于产品质量的保障能力很有限,导致通用型漏洞频发也就不奇怪了。 对于这一部分安全威胁的解决方法来说,通过渗透测试,代码审计等安全服务,挖掘并修复系统存在的安全漏洞,可以参考传统金融行业的安全规范和最佳实践结合自身情况完善安全体系的建设。 2. 智能合约安全漏洞 以太坊被称为“区块链2.0”技术的代表,因为它支持智能合约的运行。可以这么来理解,比特币系统就是在底层区块链技术的基础之上,加上一个定义了奖励分发规则的“合约”所构成的。而以太坊的出现,提供了现成的底层区块链网络,开发者可以在这个基础之上,使用Solidity等程序开发语言,开发部署自己的智能合约,包括模拟一个类似比特币一样的产品。因为Solidity是图灵完备的程序开发语言,因此理论上,可以用来实现各类分布式应用。 开发者编写好智能合约代码之后,将代码部署到区块链上,程序在以太坊节点的EVM虚拟机上执行。代码上链之后,各节点执行相同的操作,同步数据状态。 和传统的程序一样,智能合约也不可避免的会存在安全漏洞,不同的是,由于区块链技术的不可篡改特性,一旦合约部署好之后,就很难再修复其中的问题。一些存在例如整型溢出等漏洞的代币分发合约部署之后,代币上线交易所交易,接着漏洞被触发利用,短时间内超发大量代币影响市值,对交易所和用户来说都会造成巨大的经济损失。 这部分安全威胁,就与传统的信息安全漏洞大不一样了。在传统金融市场中,也存在类似的攻击,例如20世纪末期亚洲金融危机时,索罗斯对港元的操作。不同的是,在传统金融市场要发动这样的攻击需要巨量的资金支持才能实现。而在数字货币领域,拥有挖掘合约漏洞能力的人理论上都有可能实现这样的攻击。 下图是部分基于以太坊ERC-20智能合约标准开发的代币合约的漏洞信息:
实际的威胁情况可能比这还要严重得多。我们说智能合约之所以“智能”,是因为一旦部署上链之后,它的执行过程透明可见,不可篡改,无需人工干预,自然解决了执行过程中的信任问题,这也是区块链技术出现时所想要解决的根本问题。然而虽然解决了程序“运行”阶段的问题,但是如果合约代码存在漏洞,开始执行之后被利用,背离了原本的涉及初衷,那区块链技术的这些优秀特性反而会成为挽救损失的障碍。 应对这部分安全威胁,需要交易所在上线新的代币之前,先经过完善的合约代码安全审计工作,防患于未然,将可能的攻击威胁降到最低。 【编辑推荐】
点赞 0 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
