區塊鏈的漏洞_360發現區塊鏈史詩級漏洞是什麼情況

1. 區塊鏈是什麼禍害(區塊鏈是好是壞)

區塊鏈面臨哪些風險需要解決的？

雖然在資本和人才湧入的推動下，區塊鏈行業迎來快速發展，但是作為一個新興產業，其安全漏洞頻繁示警的狀況引發了人們對區塊鏈風險的擔憂。

國家信息技術安全研究中心主任俞克群指出，對於隱私暴露、數據泄露、信息篡改、網路詐騙等問題，區塊鏈的出現給人們帶來了很多期望。但區塊鏈的安全問題依然存在諸多的挑戰。

俞克群表示，目前區塊鏈還處在初級階段，存在著密碼演算法的安全性、協議安全性、使用安全性、系統安全性等諸多的挑戰。

國家互聯網應急中心運行部主任嚴寒冰也指出，區塊鏈如果要在全球經濟佔有重要地位，必須首先解決其面臨的安全問題。

嚴寒冰指出，區塊鏈安全問題包含多個方面。比如說傳統的安全問題，包括私鑰的保護，包括應用層軟體傳統的漏洞等。另外，新的協議層面也有一些新的協議帶來的漏洞。

去中心化漏洞平台(DVP)提供的數據也顯示區塊鏈安全問題的嚴峻性。DVP負責人吳家志透露，自7月24日來的一周內，DVP就已經收到白帽子所提供的312個漏洞，涉及175個項目方。其中包括智能合約、知名公鏈，交易所等一系列項目。高危漏洞達122個，占所有漏洞的39.1%，中危漏洞53個，占所有漏洞的17%。

中國信息安全測評中心主任助理李斌分析說，當前區塊鏈分為公有鏈、私有鏈、聯盟鏈三種，無論哪一類在演算法、協議、使用、時限和系統等多個方面都面臨安全挑戰。尤為關鍵的是，目前區塊鏈還面臨的是51%的攻擊問題，即節點通過掌握全網超過51%的算例就有能力成功的篡改和偽造區塊鏈數據。

值得注意的是，除了外部惡意攻擊風險，區塊鏈也面臨其內生風險的威脅。俞克群提醒說，如何圍繞著整個區塊鏈的應用系統的設備、數據、應用、加密、認證以及許可權等等方面構築一個完整的安全應用體系，是各方必須要面臨的重要問題。

吳家志也分析說，作為新興產業，區塊鏈產業的從業人員安全意識較為缺乏，導致目前的區塊鏈相關軟硬體的安全系數不高，存在大量的安全漏洞，此外，整個區塊鏈生態環節眾多，相較之下，相關的安全從業人員力量分散，難以形成合力來解決問題。迎接上述挑戰需要系統化的解決方案。

內容來源中新網

區塊鏈交易有哪些風險

進行區塊鏈交易時，3個最需要注意的災難性的風險是（嚴重性從高到低排序）：個人風險、平台風險和政策風險最大風險：個人風險如果沒有把控好個人風險，可能會遇到：1.密碼，私鑰被盜，錢包和交易平台里的所有數字資產丟失（無法找回）2.你的信息會被地下黑產賣來賣去，幾乎沒有隱私3.如果你在其他地方（銀行，證券交易平台）使用相同或類似的密碼，其他地方的資產也會被盜如何規避個人風險：增加密碼強度，不要重復使用密碼，不要在網上發送密碼…電腦不要裸奔（不裝安全殺毒軟體），不要上亂七八糟的網站（「黃賭毒」的網站是木馬病毒的重災區）所有需要

為什麼很多人說區塊鏈是騙人的？

區塊鏈並不是騙人的，騙人的是打著區塊鏈當幌子騙人的人。其實區塊鏈騙局就是利用人們對該技術的不了解，然後騙子依靠各式各樣又花里胡哨的手段設置騙局，很多人做投資只看錶面，最終被高利所誘惑掉入陷阱。

當前社會有越來越多的人願意去冒這個風險去做投資，以此來獲取豐厚的回報，但也並非所有人都能藉此獲利，畢竟有利益的地方就有許許多多的人在蹲守著，他們會設下圈套讓人上鉤。

(1)區塊鏈的漏洞擴展閱讀：

注意事項

區塊鏈是一種技術，簡單地說：這項技術是基於密碼學等數據管理的新方式。區塊鏈技術因為具有去中心化、不可篡改、全程留痕、可以追溯等優點，有著廣闊的應用前景。而發幣則是依靠區塊鏈技術衍生出來的一種行為。目前絕大多數以發幣、炒幣為主的區塊鏈應用都有非法集資嫌疑。

區塊鏈技術還在早期發展中，應用落地也有不小難度。如果僅靠一個白皮書就宣稱有了應用，本身就是一個欺騙行為。

區塊鏈成傳銷新騙術，區塊鏈到底是什麼？

前段時間，一張中國大媽現身區塊鏈大會現場的照片在網上走紅，一時之間引發了熱議，網友們紛紛表示：「大媽們已經被區塊鏈盯上。」事實上，從幾年前開始，當區塊鏈的概念出來的時候，就有一些不法分子打著區塊鏈的名義進行傳銷活動，成為傳銷的最新變種之一。事實上，對著區塊鏈的發展，各種虛擬貨幣也是應運而生，其中大多數都是騙局，騙子打著「虛擬貨幣」、「區塊鏈」的名義，開展騙局，這主要就是利用投資者不懂虛擬貨幣、區塊鏈，卻又想要趕上虛擬貨幣投資熱潮的心理。這種騙局看似復雜，其實也是非常簡單的，但是一旦上當之後，投資也是很難收回來的。

那麼，區塊鏈到底是什麼？

從區塊鏈的網路定義上看，區塊鏈就是一個信息技術領域的術語。從本質上講，它是一個共享資料庫，存儲於其中的數據或信息，具有「不可偽造」「全程留痕」「可以追溯」「公開透明」「集體維護」等特徵。基於這些特徵，區塊鏈技術奠定了堅實的「信任」基礎，創造了可靠的「合作」機制，具有廣闊的運用前景。區塊鏈是一種分布式數據存儲、點對點傳輸、共識機制、加密演算法等計算機技術的新型應用模式，它也是比特幣的一個重要概念，其本質上是一個去中心化的資料庫，同時也是比特幣的底層技術，是一串使用密碼學方法相關聯產生的數據塊，每一個數據塊中包含了一批次比特幣網路交易的信息，用於驗證其信息的有效性（防偽）和生成下一個區塊。

最近幾年以來，區塊鏈技術在全世界范圍內迅速發展，中國的區塊鏈技術也發展迅速，政府也針對區塊鏈出台了一系列的政策文件。事實上，政府對區塊鏈技術也是非常重視的，它也被視為「戰略性前沿技術」。在2016年12月的時候，國務院就印發了《「十三五」國家信息化規劃》，其中就有區塊鏈技術。在2017年的時候，國務院又印發了《關於進一步擴大和升級信息消費持續釋放內需潛力的指導意見》，在這個文件中，政府鼓勵開源代碼開發個性化軟體，開展基於區塊鏈、人工智慧等新技術的試點應用。到了2018年的時候，工信部信息中心正式發布《2018年中國區塊鏈產業發展白皮書》，事實上，這也是中國第一份官方發布的區塊鏈產業白皮書，可見政府對區塊鏈技術還是非常重視的。

總而言之，區塊鏈技術其實並不是騙局，而是被騙子利用了，利用信息的不對稱，欺騙投資者。

2. 區塊鏈的瓶頸是什麼(區塊鏈的局限)

公有鏈的性能瓶頸有哪些

速度、容量。

1、速度，性能問題從區塊鏈最開始就被大家意識到，直觀的體驗就是速度，也就是一個交易多久能被確認，在吞吐量問題解決之後，速度上的體驗又會回到交易確認延遲這個事情上。

2、容量，容量問題包含兩個方面，一個是內存中的賬簿狀態，每個用戶的余額以及智能合約的狀態，另一個是磁碟中歸檔的歷史交易記錄。

區塊鏈容量瓶頸遭質疑，生態令技術突發「奇思妙想」？

在當前區塊鏈技術從成為主流應用技術的態勢下，區塊鏈系統最首要的容量瓶頸本質上受限於單台全節點的內存容量，這一點直接制約了吞吐量。而生態令就吞吐量問題，利用新技術解決區塊鏈容量遭質疑的問題。

只要是區塊鏈技術系統，無論使用何種共識演算法機制，無論是POW、POS，還是委託權益證明，都將面臨同樣的問題。假設物理網路的延遲和帶寬可以忽略不計，就像基於信息中心高速鏈路的EOS，系統第二個瓶頸是受限的賬本存儲容量，本質上被單台全節點的內存容量所限制，這一點直接限制了區塊網路可以承載多少個參與者地址，和多少個DApp應用。

當前大部分主流的區塊鏈技術系統，包括以太坊、比特幣區塊鏈、EOS等，都存在當下問題，並且更為不幸的是，這個問題也是無解的。多級緩存的信息庫技術可以稍微改善一下所面臨的限制，使得只有用戶活躍才會受到存儲容量限制，而總用戶基數局限於硬碟的容量。但是這也指標不治本，難以從根本上解決這個問題。

於是，ECOL生態令技術將其關注點聚焦於吞吐量，在解決吞吐量這個短板的問題基礎上，將區塊所存在的容量問題暴露出。

ECOL生態令了解到共識演算法其實幫不了解決性能和容量的瓶頸，便試圖從標新立異的共識演算法出發，提升區塊鏈系統性能的努力。基於ECOL生態令信用體系基礎，採用信用准入原則，借現有區塊鏈賬本確定性和唯一性，將各節點進行單點廣播權確定和驗證的系統完美協調。ECOL生態令的POCM共識機制規避了POW工作量證明的不夠環保節能，有算力壟斷，中化心趨向問題，解決了POS的權益不均問題，並處理了DPOS的操作效率弊病。

一般的「區塊+鏈式」架構，所有的交易要打包到區塊才生效。如果區塊的容量存儲小，則交易量大時，許多交易打包速度變慢，甚至有失敗風險。如果區塊容量存儲大，則會使區塊鏈信息迅速膨脹，普通電腦無法運行全節點，全節點的運行權則掌握在少數人手裡，這將與去中心化的結果相悖。這也是比特幣擴容之爭的根本矛盾點。ECOL生態令沒有區塊這一概念，所以解決了傳統區塊+鏈式結構先天性的悖論兩難問題。

總之，面臨容量瓶頸，分布式技術系統設計上的巧思概念極為重要，這和共識演算法有關，也和密碼學有關，ECOL生態令在這一點上做得非常好

區塊鏈所面臨的問題？

維護成本非常高：

傳統的中心化資料庫只需要寫入一次，而區塊鏈需要被寫入成千上萬次；傳統的中心化資料庫只需要檢驗一次數據，區塊鏈需要對數據進行成千上萬次檢驗；傳統的中心化資料庫只需要傳輸一次數據就可以儲存，區塊鏈需要將數據傳輸成千上萬次。

激勵結構很難設計：

如何確保獎勵與網路目標一致？為什麼節點會保留或更新數據？當兩段數據沖突時，是什麼使它們選擇一段數據而不是另一段數據？這些問題都都還有待探索、解答，區塊鏈不僅需要在開始時保持一致，還需要在未來的所有時間節點上保持一致。

所有的升級都是自發的：

區塊鏈最重要的一點在於它不是在單個實體的控制之下，不可能強制升級。所有的升級都必須向後兼容。這顯然是相當困難的，尤其是如果你想要添加新特性，以及從測試的角度考慮時會更加困難。軟體的每個版本都為測試矩陣添加了很多內容，並延長了發布時間。

擴展很困難

擴展的困難程度至少比傳統的中心化系統高出幾個量級。同樣的數據必須存在於成百上千個地方，而不是在一個單一的地方。傳輸、驗證和存儲的成本是巨大的，因為必須用支付資料庫中的每一個獨立節點的成本，來代替傳統的中心化資料庫中只支付一次的成本。

以上所有導致區塊鏈至今沒有殺手級的應用（比特幣除外）

援引自：為什麼說區塊鏈沒那麼簡單

區塊鏈目前面臨的挑戰有哪些

現階段，區塊鏈領域的應用項目主要分為兩個方面：一是與區塊鏈技術較為匹配的新商業模式，比如跨境支付、供應鏈金融、產品溯源等等場景；二是基於已有中心化業務進行改革的應用，即利用Token的經濟激勵機制。

隨著技術的發展，該領域應用項目的數量正迅速膨脹，不少人認為2018年將會是區塊鏈真正與實體經濟結合並爆發的一年。不過區塊鏈技術當前仍處於早期發展階段，面臨著包括監管環境、人才匱乏、技術認知等方面的挑戰。

從技術層面來看，將區塊鏈技術應用至實際行業場景中，需要解決交易速度、數據共識、節點維護等問題。當前比特幣網路每秒僅能處理七筆交易，而較為領先的超級賬本技術也只能達到200到300筆的水平；這與每秒上萬筆交易處理能力的中心化系統相比，還有一大段距離。此外，目前領域內缺乏相關激勵機制，使得參與節點間較難有序運行。從監管層面來看，雖然大部分國家都積極擁抱區塊鏈技術，但是現階段還未有較為完善的監管法規及行業標准。而不適當的監管措施，或許會阻礙著這類新興技術的創新發展。

受到底層技術有待進一步成熟、智能合約公鏈平台缺乏、各類Token生態兼容不足、政府監管不明等等多方面因素的影響；現階段區塊鏈應用項目的落地較為緩慢，同時還呈現出項目質量良莠不齊的情況。為此分析人士表示，相較於通用型區塊鏈，短期內將得到突破的或許是面向特定場景及應用的聚焦式區塊鏈。

區塊鏈行業正迎來市場新風口，區塊鏈行業的發展，存在哪些瓶頸問題？

區塊鏈技術是一種新的分布式基礎架構和計算範式，可實現分布式賬本的共享，復制和授權。它具有多點共識的特點，難以篡改。它解決了如何在商業網路中實現跨機構信任交易的問題，將涉及金融服務的所有各方聯系在一起，並帶來了打破數據孤島和提高數據質量的挑戰。它具有安全性，降低交易成本的潛在優勢。增強風險控制能力，在金融領域具有廣闊的應用前景。區塊鏈行業正迎來市場新風口，區塊鏈行業的發展，存在著一些瓶頸問題。只有突破這些瓶頸，才能迎來區塊鏈的春天。帶來更好的發展。

首先，區塊鏈技術面臨著法律問題。區塊鏈技術勢必會挑戰現有的法律框架。它主要是關於分布式分類帳的法律問題。區塊鏈系統本質上是一個軟體系統，在軟體系統中不可避免地存在缺陷。當軟體缺陷導致分類賬數據中的錯誤或不一致時，需要從法律層面深入研究如何在分布式分類賬中收集數據。當前的法律框架尚未涵蓋區塊鏈的基本要素，並且智能合約的實施還沒有健全的法律基礎。另外，在區塊鏈技術的應用中，如何避免由於共享分類賬數據的共享而引起的敏感信息的泄露和個人隱私也需要從法律層面進行規范。

此外，區塊鏈帶來隱私保護問題。區塊鏈已經實現了去中介化和不信任，但是它仍然需要解決由交易雙方之間的信息不對稱引起的許多問題。這就需要一套信息公開機制，對身份和信譽相關信息進行多角度三維公開。當前大多數應用程序都需要通信功能。如果區塊鏈應用的通信功能仍然基於集中式伺服器，那麼不僅不能保護隱私，而且直接建立智能合約關系也很困難。

最後，區塊鏈技術的發展會帶來一定的網路的安全問題。要重視和解決信息安全和網路安全問題。區塊鏈技術並不是天生的安全。任何軟體系統都不可避免地存在缺陷和漏洞，並且將面臨來自網路的攻擊。設計不良和管理不善的區塊鏈系統可能很容易受到攻擊。在金融行業的應用中，數據是一種資產，因此我們應該對區塊鏈的安全性有一個全面的了解，首先將安全性設計和自我控制放在首位，避免發生比特幣被盜的事件。

區塊鏈技術存在的不足的地方有哪些？

金窩窩網路分析區塊鏈應用技術的不足之處有如下幾點：

第一，藉助第三方機構來處理信息的模式擁有點與點之間缺乏信任的內生弱點，商家為了提防自己的客戶，會向客戶索取完全不必要的信息，但仍然不能避免一定的欺詐行為;

第二，中介機構的存在，增加了交易成本，限制了實際可行的最小交易規模;

第三，數字簽名本身能夠解決電子身份問題，如果還需要第三方支持才能防止雙重消費，則系統將失去價值。

3. 360發現區塊鏈史詩級漏洞是什麼情況

近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

5月29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網路負責人表示，在修復這些問題之前，不會將EOS網路正式上線。

EOS超級節點攻擊：虛擬貨幣交易完全受控

在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程式控制制。

由於已經完全控制了節點的系統，攻擊者可以「為所欲為」，如竊取EOS超級節點的密鑰，控制EOS網路的虛擬貨幣交易；獲取EOS網路參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。

更有甚者，攻擊者可以將EOS網路中的節點變為僵屍網路中的一員，發動網路攻擊或變成免費「礦工」，挖取其他數字貨幣。

來源：科技訊

導航:首頁 > 觀區塊鏈 > 區塊鏈的漏洞

區塊鏈的漏洞

與區塊鏈的漏洞相關的資料