区块链攻击向量：区块链技术的主要漏洞（上）

区块链不再是炒作；它是一种广泛且可靠的财务和数据管理技术。许多组织投资区块链，使用它们来存储和共享数据，并在其业务流程中实施它们。但区块链也吸引了网络犯罪分子的大量关注，他们的目标是敏感的企业数据和加密资产。

保护区块链网络免受黑客攻击需要不断审核和研究新的漏洞和潜在的攻击媒介。在本文中，我们概述了关键的区块链安全漏洞，探讨了常见的攻击媒介，并分享了我们关于减轻允许这些攻击的风险的知识。

本文对于正在考虑开发或采用基于区块链的应用程序并正在寻找检查和确保其安全性的方法的企业非常有用。

为什么黑客经常攻击区块链？

随着区块链技术在处理数据和财务方面变得司空见惯，对基于区块链的应用程序和网络的成功攻击经常出现在新闻中。让我们看一下区块链受到攻击的关键原因：

信息处理不安全。许多企业使用区块链不是为了管理财务和代币，而是为了存储数据：健康相关信息、供应链记录、商业秘密，甚至投票详细信息。如果未加密或以其他方式保护，此类记录总是会吸引恶意行为者，因为它们可用于恶意活动：在暗网上出售数据、勒索组织、实施欺诈等。

大量且无法追踪的加密货币。加密货币和交易平台成为投资、资金处理和国际交易的常见工具，使其成为黑客攻击的目标。2022 年，黑客从加密相关服务中窃取了超过 38 亿美元。按照设计，区块链网络内的交易很难追踪到特定的人，这使得加密货币窃贼能够逍遥法外。

将黑客绳之以法的挑战。调查区块链攻击需要面临许多技术和法律挑战。区块链交易是匿名且加密的，这意味着调查人员需要大量时间才能将欺诈交易追溯到黑客。此外，攻击者及其受害者通常生活在不同的国家，并受不同的区块链相关立法（如果有）管辖，这进一步使调查变得复杂。

区块链实施的安全性差。尽管区块链网络和应用程序如雨后春笋般涌现，但并非所有开发它们的组织都对安全性给予足够的重视。例如，由于Rab13s 漏洞，超过 280 个包含价值 250 亿美元加密货币的网络面临遭受攻击的风险。缺乏保护措施实际上是对网络犯罪分子的邀请。

修复能力有限。作为去中心化的解决方案，区块链应用程序及其核心逻辑通常由开源代码管理。如果在该代码中发现漏洞，每个人都会知道它。此外，修复区块链代码具有挑战性，有时甚至是不可能的，因为它一旦发布就不可更改。

缺乏防止攻击的网络安全人才。保护区块链应用程序免受攻击不仅涉及安全设计和实施，还涉及定期安全审核和修复新发现的漏洞。此类工作需要许多组织所不具备的网络安全专业知识。

尽管区块链在网络安全中的用例很多，但我们不断看到成功的区块链攻击。攻击次数也逐年增加。跟踪加密货币盗窃案的 Comparitect 报告称，2021 年成功发生了 136 起加密货币盗窃案，2022 年发生了 199 起，2023 年 1 月至 11 月期间发生了 220 起。 

让我们来看看 2023 年以来针对区块链的几起毁灭性攻击：

• 欧拉金融遭遇一系列闪贷攻击，导致超过 1.95 亿美元被盗。攻击者滥用了平台协议中的一个漏洞，该漏洞允许他们从 Euler 的存款池借钱，而无需抵押资产。欧拉与黑客协商归还大部分被盗资金，并启动了对其平台的独立审计。

• Bonq的智能合约遭遇了甲骨文黑客攻击，攻击者可以操纵某些加密货币的交易价格。由于这次黑客攻击，Bonq 失去了大部分投资者。他们暂停了被利用协议的使用，但无法追回被盗资金。

• Mixin Network损失了价值 2 亿美元的主网资产。该网络使用托管在云中的集中式数据库。攻击者破坏了该数据库并获得了对主网的未经授权的访问。被盗资金并未归还，但 Mixin Network 承诺退还用户损失的 50%。

正如您所看到的，即使是拥有数百万美元的区块链网络也不够安全，无法确保保护用户的财务。让我们看一下恶意行为者可以利用的关键潜在漏洞。

区块链安全威胁的主要来源 

了解可能的漏洞是保护应用程序安全的第一步。以下是导致常见类型区块链攻击成为可能的漏洞的主要来源：

联网

网络是区块链系统的核心方面之一，它由多个相互通信的节点组成。区块链节点应该可以被其他节点发现、同步并且能够抵御攻击和数据包丢失。底层网络逻辑由以下各项管理：

• 一种网络协议，负责在节点之间传输事务和块。可发现性是该协议的重要组成部分，因为它可能会影响节点接收的数据。 

• 共识协议，决定大多数网络参与者都同意的网络当前状态。 

节点之间保护不善的网络可能会导致攻击者破坏或修改通信。

密码学

加密算法允许区块链使用公私密钥对加密消息并验证签名。在去中心化平台中实施此类算法消除了第三方颁发私钥的需要。相反，任何人都可以使用必要的软件和正确实现加密算法来生成密钥。

一般来说，密码学有助于保护区块链交易免遭未经授权的访问。但如果实施不当，它可能会创建后门并授予恶意行为者访问权限。

贮存

区块链依赖于去中心化存储来包含用户和钱包详细信息以及交易记录等数据。区块链平台不仅在节点之间同步数据，还检查每笔交易中使用的输入是否唯一。当网络增长到数十万个区块时，这可能需要很多时间。为了提高效率，区块链平台使用处理块和事务的索引器来提供对数据的快速访问。 

建立存储和设计索引器需要谨慎的方法，因为它可能会引入双重支出或依赖未经确认的交易等问题。

治理

尽管区块链技术具有许多安全优势，但基于区块链的平台仍然由人管理。通常，所有网络参与者都成为利益相关者，网络的任何变化都需要利益相关者达成共识。比特币经典就是此类网络的一个例子。公共治理可以保护网络免受可疑更改和袭击尝试的影响，但如果未经大多数节点批准，它也会阻止有意义的改进。

一些区块链平台与链上去中心化治理相集成，例如Tezos及其自我修正协议。这种方法使集成改进成为一个顺利的过程，并降低了网络分裂的风险。

应用代码

开发错误可能会导致区块链应用程序出现意外行为。如果编程语言使用不当，甚至会导致程序崩溃。考虑到区块链系统的去中心化性质，如果由于特定交易而发生崩溃，则可能会停止所有节点。

如果应用程序存在逻辑错误，它将无法处理所有负面的使用场景。例如，函数在处理余额时可能会正确运行，直到传递了不正确的负值。

在下一节中，我们将概述恶意内部人员经常用来利用这些区块链漏洞的攻击。我们还研究了对您的网络有用的区块链攻击向量和预防技术。