はじめに: 過去 2 か月間に発生したセキュリティ インシデントを整理するとき、筆者は、セキュリティ インシデントが頻繁に発生した時期もあったインターネットの初期のことを思い出さずにはいられませんでした。現在でも、インターネット業界におけるセキュリティインシデントは完全には根絶されていません。実際、どんな新しいものにも安全上のリスクが伴います。 18年間の狂乱を経て、ブロックチェーンは徐々に合理性を取り戻し、さまざまな実用的なアプリケーション製品が徐々に登場しています。新興産業にとって、セキュリティ インシデントを経験することは不可欠です。 そのため、Cheetah Blockchain Security は今後も毎月セキュリティ インシデントをレビューしていきます。そうしながら、私たちも皆様とともに、そしてブロックチェーン業界全体とともに成長してまいります。 2019年1月16日 — ETHコンスタンチノープルのアップグレードが延期背景 計画によれば、イーサリアムコミュニティは当初、ブロック高7,080,000、つまり中国では2019年1月16日頃にコンスタンチノープルフォークを実施する予定だった。しかし、アップグレードの前夜(1月15日)、ChainSecurityはコンスタンティノープルのアップグレードに関連する潜在的な問題を発表しました。慎重を期して、イーサリアム財団はフォークを延期することを決定しました。 脆弱性の種類: 再入脆弱性 インシデントプロセスと安全性分析
セキュリティレパードの意見 現実と合理性の間には常に一定の距離があります。数行の単純なコードにより、Ethereum のアップグレードのペースが遅くなりました。 POS に完全に移行する前に、どのような困難に遭遇するでしょうか?シャーディングやライトニングネットワークなどの優れた技術はいつ利用可能になるのでしょうか?イーサリアムが「世界のコンピューター」になるには、まだ長い道のりが残っています。 2019年1月6日 - ETCの51%が攻撃を受けた背景 The Dao事件のハードフォーク産物としては、時価総額で世界第2位のフォークチェーンです。フォーク後、ETC は POW アルゴリズムを使用してきましたが、ネットワーク全体の計算能力は比較的低いレベルにあり、その結果、1 月 6 日に ETC メインネットは 51% の二重支払い攻撃を受けました。 損失: 約110万ドル 攻撃タイプ: 51% 攻撃 (二重支出) インシデントプロセスと安全性分析
セキュリティレパードの意見 基本的に、51% 攻撃を事前に監視する方法はありません。 51% 攻撃を完全に防ぐには、ネットワーク全体の計算能力を高めるか、コンセンサス アルゴリズムを変更する方法しかありません。セキュリティ企業の観点からは、攻撃によって得られる可能性のあるコンピューティングパワーとトークンの購入コストを計算し、現在の通貨価格を参照することで、ある時点でパブリックチェーンが51%になる可能性を総合的に判断できます。完全に防ぐことは不可能ですが、51%攻撃が発生した場合、各取引の確認ブロック数を増やし、この通貨の入出金を停止することで損失を最小限に抑えることができます。 2019年2月 - EOS DAPPが大量に攻撃された背景 2019年1月、EOSパブリックチェーン上の一連の推測ゲームが、新しいタイプのトランザクションブロック攻撃を受けました。影響を受けるアプリケーションには、EOS.Win、FarmEOS、Shadow Dice、LuckBet、GameBet、EOSDice、STACK DICE などの人気の DAPP が含まれます。 被害規模:約20件、500万ドル 脆弱性の種類: 攻撃のブロックなど インシデントプロセスと安全性分析
セキュリティレパードの意見 EOS の脆弱性は頻繁に発生しており、その多くは開発者の不注意が原因です。著者の理解によれば、多くの DApp には 1 ~ 2 人のプログラマーしかおらず、完全なテスターさえ存在しません。この場合、脆弱性の可能性が非常に高く、攻撃を受ける可能性が高くなります。 現在、EOS 開発者は多くなく、成熟した開発者はさらに少ないです。しかし、EOS のようなパブリック チェーンの場合、これは必ず経験しなければならない段階です。昨年と比較すると、EOS 上の Dapps とユーザーの数は劇的に増加しました。セキュリティ企業の努力も相まって、将来の見通しは依然として非常に明るい。 2019年1月14日 - Cryptopia取引所がハッキングされる背景 Cryptopia はニュージーランドにある小規模な取引所で、国内では C-net として知られています。 1日平均取引量は約300万米ドルで、500種類以上の通貨が取引されています。 損失: 約1,600万ドル 脆弱性の種類: 秘密鍵の漏洩 インシデントプロセスと安全性分析
セキュリティレパードの意見 C ネットワークの混乱と秘密鍵の管理の不注意が悲劇を招いたことがわかります。この事件は、取引所とユーザーに秘密鍵の管理を尊重する必要があることを改めて認識させました。秘密鍵を 100% 安全に保護することは、ブロックチェーンの世界で最も基本的なルールです。 さらに、ご存知のとおり、C.com は業界では通貨の数が豊富であることで有名です。その理由の 1 つは、C.com にアルトコインをリストするのが非常に単純かつ粗雑であることです。必要なのは、お金(BTC)の支払いと投票の 2 つのステップだけです。このため、C.com ではほとんどの通貨の取引量が低く、主に仮想通貨取引の楽園となっています。著者は、コインをリストするこのモデルは非常に悪いと考えています。これにより、大規模から小規模まですべての取引所は、コインを上場する前にプロジェクトのセキュリティ監査のプロセスを備える必要があることが推奨されます。これは、ユーザーの最も基本的かつ責任ある具体化です。 取引所のその他のセキュリティインシデント:
2019年1月 – Ryukランサムウェアが猛威を振るう背景 米国のサイバーセキュリティ企業は、コンピューターのファイルをロックし、被害者にビットコインを要求し、参加者にウイルスを拡散させる動機を与えることでインターネット上で拡散した、悪名高いランサムウェアウイルス「Ryuk」を追跡した。 <Ryukランサムウェアの例> 損失: 約370万ドル 脆弱性の種類: ランサムウェア インシデントプロセスと安全性分析
要約する 現在、業界におけるセキュリティインシデントの件数は高いままです。これには多くの理由があり、ブロックチェーン業界には統一された技術標準や仕様が存在せず、各企業が独自のインフラストラクチャを持っていることなどが挙げられます。開発者とユーザーのセキュリティ意識が十分でないため、企業チームと開発チームの両方がこの分野でのトレーニングを強化する必要があります。最後に、業界にはセキュリティ組織と専門的なセキュリティ人材があまりにも少ないです。終わりのないハッカー攻撃に直面し、より多くのセキュリティ人材が緊急に必要とされています。 実際、ブロックチェーンの技術的特性に基づいて、どの開発者も強いセキュリティ意識を持つ必要があります。最初のコードから始めて、遭遇する可能性のある基本的なセキュリティの問題を認識しておく必要があります。そうすることで、プロジェクトの認識コストを削減できます。 |
<<: 2,100イーサリアムを「誤って受け取った」後、Spark Mining Poolは資金を返金するか、分割しますか?
>>: ビットコインATMマシンの金採掘の秘密:月間収益は3万ドルに達し、手数料は最大20%
最近、暗号通貨のマイニング産業は日本、ロシア、ベトナムなど多くの国の注目を集めており、国や地域が次々...
プロフェッショナリズムと集中力、双方に利益のある協力免責事項: 技術的な概念をある言語から別の言語に...
ブルームバーグは、ビットコインが最近の記録的な高値から下落を続けており、重要な技術的レベルを試してい...
Binanceは問題を抱えており、ブルームバーグとロイターから非難されている。ブルームバーグによると...
11月29日のDazhi Astock News Agencyによると、ビットコインの対人民元の価...
BNPパリバ証券サービスは、フランスのクラウドファンディングプラットフォームSmartAngelと提...
Primavera De Filippi は、ハーバード大学のハッカーでありブロックチェーン研究者で...
概要: メインネットが起動した後は、K=32 の P ディスク ファイル (プロット ファイル) の...
元JPモルガン・チェース幹部のブライス・マスターズ氏は、ビットコインの基盤技術であるブロックチェーン...
私たちは古いものに別れを告げ、新しいものを迎え、2016 年に別れを告げ、2017 年を迎えます。2...
公開文書によると、投資銀行大手のゴールドマン・サックスは、ゴールドマン・サックス・イノベートDeFi...
ビットコインは危機に瀕している。危機は碑文から始まった。鉱山労働者、開発業者、意見の異なる地域住民、...
JPモルガン・チェース、マイクロソフト、インテルなど20社を超える企業が、企業によるイーサリアム・...
デロイトは最近行われた3日間のハッカソンで、ブロックチェーン技術を使用して製品ポリシーを改善する方法...
米証券取引委員会(SEC)は10月1日、19b-4申請を受け入れるかどうかの決定にはさらに時間が必要...