區塊鏈時間戳漏洞

『壹』 【區塊鏈知識】當我們遇到分叉問題時，該怎麼辦

遇到分叉問題，羨拿該聽誰的？

假想這樣一個場景，在區塊鏈中，一定會遇到這樣的情況，區塊甲和區塊乙同時把一條信息記錄下來，並且做好編碼和時間戳。

他們兩個區塊同時發布信息，說這個編碼為4495662的信息是我記賬的，它的報酬應該歸我！

然後，大家就有的認為報酬應該歸區塊甲，有的則認為歸區塊乙，而報酬只有一份，只能給一個區塊。這下好了，出現不同意見了，該怎麼辦？

更嚴重的是，有的區塊會認為這件事是區塊甲做的，也記下來，順著編碼繼續往後記賬；另外一些區塊則認為這件事是區塊乙做的，跟著在區塊乙後邊繼續記賬。

這樣事情就大條了！原本嚴謹的唯一的一條信息鏈，到區塊甲和區塊乙這里，硬生生給分開了，它們各自後邊分別跟著常常的鏈條。

這種情況持續下去，就導致每個人都無法辨別自己掌握的信息鏈，是否正確了！

為了解決這個問題，區塊鏈技術又出台了一個新的規則:每條記錄都要頂格寫，同時要保證激灶中心離田字格上邊緣要保持0.897  57毫米的位置上。

為了符合要求，每個人都得拿著尺子去量好位置，然後才能開始記錄。這樣記兄鉛搭錄每條信息時，增加了難度，延長了操作時間。

只要一個人做好了記錄，大喊一聲，我記錄好了！

其他人就停筆不再記錄這條信息，反而開始記錄這條信息是某某記錄的接著那個編碼繼續往下記錄。

遇到分叉問題，就是這樣解決的。

『貳』 360發現區塊鏈史詩級漏洞是什麼情況

近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

5月29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網路負責人表示，在修復這些問題之前，不會將EOS網路正式上線。

EOS超級節點攻擊：虛擬貨幣交易完全受控

在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程式控制制。

由於已經完全控制了節點的系統，攻擊者可以「為所欲為」，如竊取EOS超級節點的密鑰，控制EOS網路的虛擬貨幣交易；獲取EOS網路參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。

更有甚者，攻擊者可以將EOS網路中的節點變為僵屍網路中的一員，發動網路攻擊或變成免費「礦工」，挖取其他數字貨幣。

來源：科技訊

『叄』 區塊鏈安全問題應該怎麼解決

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。
當然，區塊鏈開發者們也可以採取一些措施
一是使用專業的代碼審計服務，
二是了解安全編碼規范，防患於未然。
密碼演算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。
當然，除了改變演算法，還有一個方法可以提升一定的安全性：
參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。
共識機制的安全性
當前的共識機制有工作量證明（Proof of Work，PoW）、權益證明（Proof of Stake，PoS）、授權權益證明（Delegated Proof of Stake，DPoS）、實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）等。
PoW 面臨51%攻擊問題。由於PoW 依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。
在PoS 中，攻擊者在持有超過51%的Token 量時才能夠攻擊成功，這相對於PoW 中的51%算力來說，更加困難。
在PBFT 中，惡意節點小於總節點的1/3 時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。
對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。
智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016 年6 月，以太坊最大眾籌項目The DAO 被攻擊，黑客獲得超過350 萬個以太幣，後來導致以太坊分叉為ETH 和ETC。
對此提出的措施有兩個方面：
一是對智能合約進行安全審計，
二是遵循智能合約安全開發原則。
智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug 和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。
數字錢包的安全性
數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014 年底，某簽報因一個嚴重的隨機數問題（R 值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面：
一是確保私鑰的隨機性；
二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；
三是使用冷錢包；
四是對私鑰進行備份。

『肆』 ag區塊鏈到底出現了什麼漏洞

終端漏洞風險：
這里的終端指的就是電腦、手機、平板等這些可以接觸到區塊鏈的終端設備。這大概是區塊鏈本身之外最有可能存在的安全漏洞之一。

『伍』 區塊鏈怎麼解決電子存證中的自證問題

電子存證是指通過時間戳，哈希演算法，電子簽名指紋認證信息保密技術手段來實現自證問題的，都是具有法律效力的。
1.時間戳：真實的事件記錄，證明事件在什麼時間、什麼地點發生過，它是由我國中科院國家授時中心與北京聯合信任技術服務有限公司負責建設的我國第三方可信時間戳認證服務。由國家授時中心負責時間的授時與守時監測
2.哈希演算法： 比如，我們在一個乘法網注冊一個賬號，如果網站把密碼保存起來，那這個網站不論有多安全，也會有被盜取的風險。但是如果用保存密碼的哈希值代替保存密碼，就沒有這個風險了，因為哈希值加密過程是不可逆的。
當前也有很多有遠見企業涉足這個領域，他們普遍都是通過一個第三方機構在乘法網存證，創建商業保密體系，他們卻無法從技術上修改過數據，目前可以通過「區塊鏈」技術很好的解決這一自證問題。