有哪些不可忽视的安全问题,硬件冷钱包碧盾获

以区块链数字货币安全为研发主体的北京光合信诚科技有限公司于近日完成七百万人民币天使轮融资,由英诺天使基金、雄岸全球区块链创新基金、火币生态基金投资,孵化方启赋资本也在本轮追加了投资。

图片 1

碧盾创始人任锋表示,本轮融资资金将主要用于加密货币硬件钱包的研发与生产。同时,碧盾官网也将正式上线,并同期开启官方预售。

区块链在几个方向有很大的应用前景。

光合信诚主要的业务是进行加密货币硬件钱包的研发。目前,该公司研发出的产品「碧盾」,是一款数字货币硬件钱包。

目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。

目前市面上目前存在两类钱包。

区块链政策导向

2016 年 10 月,工业和信息化部发布《中国区块链技术和应用发展白皮书 (2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。

2016 年 12 月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。

2017 年 1 月,工信部发布《软件和信息技术服务业发展规划 (2016-2020 年)》,提出区块链等领域创新达到国际先进水平等要求。2017 年 8 月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。

2017 年 10 月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。

2018 年 3 月,工信部发布《2018 年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。

2017 年 9 月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。

一类是热钱包,即联网的虚拟货币钱包,它比较容易遭到黑客的攻击。另一类是冷钱包,即不联网的钱包,断网操作可以避免线上攻击。碧盾就是一款冷钱包,它拥有团队自主研发的国密级金融安全芯片的钱包操作系统——BTXOS。

区块链面临的安全威胁

图片 2

2018 年 5 月 29 号,根据 coinmarketcap.com 发布的数据,目前比特币市值 1200 千亿美金,紧随其后的是以太坊,大概五百多亿美金。13 年比特币大概 600 块钱,现在涨到了八千块钱,这是大家能够直观感受到的。

图片 3

钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化, 11 年出现了第一次比特币安全事件,当时丢失 102 万美金,14 年全球区块链的资金损失大概是 4.6 亿美金。18 年上半年,这个数字达到 19 亿美金。

以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。

图片 4

我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有 13.4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了 12.4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿厂矿工的一些病毒事件等等。

图片 5

根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。

全球约有3000万人拥有数字货币。随着代币的增多,持币人数还在不断上涨。为方便数字货币的交易,各种钱包应运而生,其中热销的包括Trezor和Ledger Nano S。

区块链自身机制

图片 6

数据层。区块链数据可能是链式结构,也可能是 DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。

网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能 20 多个节点,其中几个节点被人 DoS 下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击垮了。

共识层。共识机制也非常重要,比特币的共识算法 PoW 决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前 PoS、DPoS 越来越多,PoS 涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。

合约层和业务层。今年 2 月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。

这次事件涉及的漏洞一年多之前就被网络曝光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。

用户私钥放在硬件中,不与网络连接,提高资产的安全性。然而,冷钱包在国内用户中使用的比例并不高。光合信诚科技创始人任锋看来,除了安全意识之外,现有钱包的产品设计也存在不足。

区块链生态引发的安全威胁

区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括 PoW 机制下的矿场和矿池、PoS 机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp 应用,以及面向未来 dApp 应用的区块链网关系统等。

区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51% 等攻击的存在,导致区块链数据的安全收到威胁。

交易所被 DDoS 攻击案例

2017.5 月,某区块链货币交易平台突然遭遇猛烈 UDP FLOOD 攻击,受到的攻击流量和数据包峰值瞬间飙升到 84517Mbps 和 30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了 10 天。

10 天后,攻击者纠集了 6 万个肉鸡僵尸,CC 攻击流量急剧攀升到 51023.30GB。

三个小时后,攻击者再次利用 51890 个肉鸡,制造高达 12238.33GB 的 CC 流量。

目前,该平台每天仍遭受 20 余万次恶意扫描,38 余万次危险攻击。

数字钱包所面临的风险

数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。

冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。

某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。

某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。

使用者面临的安全威胁欺诈案例——钓鱼攻击

2018 年 3 月 7 日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。

根据交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。

2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudong zheng 发表了一篇论文,题目是《Phishing with Unicode Domains》,中文为“利用 unicode 网址钓鱼”。

欺诈案例——不了解私钥的特性

2017 年 7 月 1 日,中原油田某小区居民 188.31 个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值 280 万美元。

2017 年 10 月,东莞一名 imToken 用户发现 100 多个 ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。

图片 7

易攻击:

在设备遗失的情况下,黑客可采取物理攻击或非侵入式攻击。以往的安卓离线钱包将密钥存储于系统中,黑客拿到钱包后,可以直接拷贝盗取密钥。

而「碧盾」将密钥放入了安全芯片,如果带电破解会触发芯片数据自毁。同时,该芯片能够抵御一定的电子探测攻击。

操作流程上出现伪造交易指:

黑客可通过攻破计算机、手机的客户端软件,诱骗用户签署伪冒交易。针对这一点,市面上大部分钱包采取了独立显示屏设计,如Ledger的第二代产品Ledger Nano S,就在硬件钱包上安装了显示屏。保证了在电脑、手机端不可信的情况下,不遭到伪造交易攻击。

「碧盾」在这一基础上,在显示屏安装在硬件钱包上的同时,将交易过程及最终确认通过PC端进行。交易最后确认的时候,需要在电脑上手动输入硬件钱包显示屏上的哈希值末6位,防止黑客程序的自动输入,从而对交易进行再次确认,避免了硬件本身受到攻击时带来的风险。

对硬件进行篡改:

许多硬件钱包如Ledger Nano S等会使用多张芯片参与操作,其中包括了存储密钥的安全芯片和控制操作流程的非安全芯片。黑客可通过对非安全的控制芯片进行数据篡改,并通过连接存储密钥芯片的可信通道,将篡改的指令传输给存储密钥的芯片,实现对交易信息的篡改。

而「碧盾」的一大亮点是,在设计上将整个操作系统运行在一张安全芯片上,同时,在外围不使用非安全控制芯片。这样的设计使整个的硬件系统安全性提高,正如创始人任锋说的,“最简单的电路,往往是最难被攻破的。”

本文由新葡萄京娱乐在线赌场发布于澳门新葡萄赌场娱乐,转载请注明出处:有哪些不可忽视的安全问题,硬件冷钱包碧盾获

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。