小蔥導讀
以太坊智能合約的漏洞真是多的不要不要的了。三天內連續被黑客攻擊,蔡文勝的BEC中招,物聯網概念的SMT今晨也中招。
就連以太坊錢包Myetherwallet也被黑了,截止小蔥發稿為止,黑客總共盜竊了550個eth。小蔥不禁要問,還有更安全的區塊鏈技術嗎?如何做好安全防範措施?讓我們拭目以待!
4月25日早間,火幣Pro公告,SMT項目方反饋今日凌晨發現其交易存在異常問題。受此影響,火幣Pro現決定暫停所有幣種的充提幣業務。
目前所有基於ERC20的幣種仍然恢復充提業務,可見這次智能合約的漏洞影響多嚴重,直接打垮了所有基於ERC20的幣種。而同樣深到SMT影響的還有另外一個交易所OKEX。
雖然交易所可以採取“交易回滾”的方式處理異常交易,但是如果錢包裡的幣被到了,那就怎麼也追不回來了。
譬如昨晚,就有黑客攻擊了以太坊錢包Myetherwallet
雖然收到了不安全的提示,但他仍然嘗試繼續登陸。
儘管我身體的每個細胞都告訴我不要嘗試登錄,但我還是強行登錄了。在我強行登陸後,出現約10秒鐘的倒計時,然後我錢包中的ETH就被髮送到另一個錢包中!
等到從Etherscan上看到交易已經完成,這時他才意識自己可能是被騙了。在該用戶發帖時,總計約 524ETH 收已經被轉入到兩個黑客地址中。
地址如下:
0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29
0xf203a3B241deCAFD4BdEBBb557070db337d0Ad27
不久以太坊錢包Myetherwallet通過官推發佈一篇推文,確認Myetherwallet服務器遭到DNS劫持攻擊:
這波針對以太坊錢包Myetherwallet的是DNS攻擊,總共持續約4小時。如果這4小時中,登錄過以太坊錢包Myetherwallet的用戶私鑰都可能被偷。
所以小蔥溫馨提醒各位手裡有著很多姨太或者持有建立在以太坊智能合約上幣種的朋友,趕緊登陸自己的賬戶,檢查下資金。
那麼,為何以太坊的智能合約等會有這麼多漏洞,而比特幣到目前為止還沒有類似的?小蔥以為,這主要是以太坊和比特幣的技術生態不同大有關係。
由於以太坊支撐礦池、錢包、web3、 Smart Contract、Dapp,為了全部生態的便利,增加了認證和鑑權環節,所有基於以太坊的項目可以間接挪用智能合約。而比特幣的生態包含礦池、錢包、Lightning Network,有認證環節,所以在這方面是絕對平安。
但小蔥葉還得提醒一句,比特幣一樣存在著延展性攻擊,雙花等可以被利用的BUG。所以,還有更安全的區塊鏈技術嗎?我們一起拭目以待。
那麼,針對以太坊頻頻暴露的安全漏洞,有什麼好的防範措施呢?
最後,小蔥在各位提供一下有關持有基於以太坊生態上的幣種六大安全建議:
1. 變動默許的 RPC API 端口,設置辦法如:–rpcport 8377 或 –wsport 8378
2. 變動 RPC API 監聽地點為內網,設置辦法如:–rpcaddr 192.168.0.100 或 –wsaddr 192.168.0.100
3. 設置 iptables 限定對 RPC API 端口的拜訪,舉例:只許可 192.168.0.101 拜訪 8545 端口:
iptables -A INPUT -s 192.168.0.101 -p TCP –dport 8545 -j ACCEPT
iptables -A INPUT -p TCP –dport 8545 -j DROP
4. 賬戶信息(keystore)不要存放在節點上
5. 任何轉賬均用 web3 的 sendTransaction 和 sendRawTransaction 發送私鑰署名過的 transaction
6. 私鑰物理斷絕(如冷錢包、手工謄寫)或許高強度加密存儲並保證密鑰的平安
閱讀更多 區塊連線 的文章
