22峰區(qū)塊鏈安全態(tài)勢(shì)_第1頁
22峰區(qū)塊鏈安全態(tài)勢(shì)_第2頁
22峰區(qū)塊鏈安全態(tài)勢(shì)_第3頁
22峰區(qū)塊鏈安全態(tài)勢(shì)_第4頁
22峰區(qū)塊鏈安全態(tài)勢(shì)_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、“博覽Boolan”服務(wù)號(hào)區(qū)塊鏈安全態(tài)勢(shì)360 - Red Team議程區(qū)塊鏈基本概念與國內(nèi)外現(xiàn)狀區(qū)塊鏈安全現(xiàn)狀及趨勢(shì)區(qū)塊鏈安全BLC-Summit32101區(qū)塊鏈基本概念BLC-Summit區(qū)塊鏈發(fā)展3.0?2.0ETH1.0BTCBLC-Summit區(qū)塊鏈對(duì)稱/非對(duì)稱加密算法公鑰和私鑰技術(shù)數(shù)字簽名和防偽技術(shù)學(xué)&數(shù)字簽名共識(shí)算法工作量證明(POW、POS、DPOS等)零知識(shí)證明技術(shù)KEY-VALUE簽名和 區(qū)塊數(shù)據(jù)HASH算法P2P網(wǎng)絡(luò)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)通信鄰節(jié)點(diǎn)路由及發(fā)現(xiàn)技術(shù)數(shù)據(jù)驗(yàn)證BLC-Summit國際區(qū)塊鏈標(biāo)準(zhǔn)現(xiàn)狀BLC-SummitISO:2016年9月,成立了ISO/TC307區(qū)塊鏈及化

2、的分布式賬本技術(shù)組,IEEE:2017年12月,正式成立IEEE區(qū)塊鏈資產(chǎn)委員會(huì),將致力于推動(dòng)區(qū)塊鏈負(fù)責(zé)區(qū)塊鏈及分布式賬本技術(shù)的標(biāo)準(zhǔn)研制,設(shè)立參考架構(gòu)研究組、安全和隱私研究組、智能合約研究組等。資產(chǎn)相關(guān)國際標(biāo)準(zhǔn)的制訂,對(duì)市場(chǎng)上的代幣進(jìn)行評(píng)測(cè)和認(rèn)證。ITU : 2017 年, ITU-T成立三個(gè)焦點(diǎn)組、一個(gè)問題小組和多個(gè)項(xiàng)目,區(qū)塊W3C:2016年7月,舉辦區(qū)塊鏈專題會(huì)議,探討在Web中應(yīng)用及Web技術(shù)支鏈整體發(fā)展、安全及物聯(lián)網(wǎng)、下一代網(wǎng)絡(luò)演進(jìn)、數(shù)據(jù)管理應(yīng)用等開展標(biāo)準(zhǔn)化工作。持分布式記賬技術(shù),開展API和據(jù)格式、識(shí)別和等標(biāo)準(zhǔn)化工作區(qū)塊鏈通信機(jī)制、技術(shù)和應(yīng)用發(fā)展白皮書(2016)提出了典型的區(qū)塊鏈

3、技術(shù)架構(gòu),機(jī)制、安全機(jī)制、共識(shí)機(jī)制、應(yīng)用組件等。BLC-Summit02區(qū)塊鏈安全現(xiàn)狀及態(tài)勢(shì)BLC-Summit區(qū)塊鏈2016年10月,互聯(lián)網(wǎng)應(yīng)急中心聯(lián)合360代碼衛(wèi)士團(tuán)隊(duì)25 款具有代表性的區(qū)塊鏈開源進(jìn)行安全檢測(cè),發(fā)布了區(qū)塊鏈開源安全漏洞分析報(bào)告。本次檢測(cè)總計(jì)發(fā)現(xiàn)高危漏洞 746 個(gè),中危漏洞 3497 個(gè)。BLC-Summit區(qū)塊鏈開源高危漏洞分布n 輸入驗(yàn)證與表示漏洞 緩沖區(qū)溢出 跨站腳本 注入等n 代碼質(zhì)量問題 未使用的局部變量 空指針解n 安全特性 越權(quán)等 不安全的隨機(jī)數(shù)等BLC-Summit安全趨勢(shì)BLC-Summit安全造成的損失BLC-Summit疑問1.是如何的呢?2. 區(qū)塊

4、鏈產(chǎn)業(yè)哪些部分會(huì)呢?3. 我們應(yīng)該如何防御呢?BLC-Summit區(qū)塊鏈安全態(tài)勢(shì)數(shù)字貨幣底層技術(shù)漏洞數(shù)字貨幣所安全工程學(xué)低成本高數(shù)字貨黑產(chǎn)下游的套利方案數(shù)字錢包問題BLC-Summit工程學(xué)區(qū)塊鏈,工程學(xué)風(fēng)靡,各種頻出:個(gè)人的APT將會(huì)越來越多利用幣圈的明星效應(yīng)進(jìn)行ICO私募的安全隱患BLC-Summit個(gè)人APT比特幣大戶的APT將會(huì)越來越多: APT的手法在于隱匿,特定對(duì)象,長期、有計(jì)往往是以劃性和組織性地竊取數(shù)據(jù)。但是這種或大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo) 區(qū)塊鏈的APT有可能以或者公司作為目標(biāo)變?yōu)閭€(gè)人電腦或者中數(shù)字貨幣錢包的私鑰。BLC-Summit利用幣圈的明星效應(yīng)進(jìn)行: 以太坊創(chuàng)始人V

5、italik Buterin下的BLC-SummitICO私募安全隱患王團(tuán)長私募群詐騙過程:趁夜里管理員不在,王團(tuán)長的頭像和名字,然后在群里發(fā)收幣地址缺乏安全意識(shí)的網(wǎng)友向假地址打幣BLC-Summit數(shù)字貨幣所COINSECURE錢包竊取取438比特幣COINSECURE價(jià)值超過300萬MT.GOX曾經(jīng)世界第一的所被導(dǎo)致其最終被迫宣布損失約3.6億美金幣安所用戶數(shù)據(jù)者操縱幣市,通過做空單獲利約1.1億美金COINCHECK遭5.3億美金。BLC-Summit黑產(chǎn)方案與時(shí)俱進(jìn)數(shù)字貨黑產(chǎn)下游的方案:服務(wù)器植入挖礦程序勒索羊毛黨:空投、分糖果向量較高的的頁面中植入挖礦腳本,所有該頁面的用戶都會(huì)成為挖

6、礦的節(jié)點(diǎn),向的礦池提供算力。以幣為主挖礦帶來的新型IOT安全問題對(duì)公網(wǎng)開放的礦機(jī),通過漏洞或者的進(jìn)入礦機(jī),配置的礦池地址BLC-Summit數(shù)字錢包安全n 私鑰安全性n 隨機(jī)數(shù)安全n 弱口令n BLC-Summit區(qū)塊鏈底層漏洞n共識(shí)機(jī)制安全51%算力(XVG挖礦)n智能合約安全THE DAO整數(shù)溢出漏洞:BEC/SMT/HXGBLC-SummitFOMO3DBLC-SummitFOMO3D游戲:fomo3D是一款部署在以太坊網(wǎng)絡(luò)上的樂透游戲類(Dapp)游戲相關(guān)的智能合約代碼完全公開,游戲開發(fā)對(duì)游戲沒有修改和的權(quán)限這款DAPP是完全去中心化的,一直可以運(yùn)行直到以太坊網(wǎng)絡(luò)掛掉無論獎(jiǎng)金池里的資金

7、有多么誘人,系統(tǒng)只會(huì)按照智能合約寫定的規(guī)則來進(jìn)行分配游戲規(guī)則:運(yùn)行邏輯:24 小時(shí)KeyBuy為什么要買入key?怎么保證后來者甘心花高價(jià)買key? 游戲什么情況下結(jié)束?游戲結(jié)束后會(huì)怎樣?BLC-Summit區(qū)塊鏈安全風(fēng)險(xiǎn)分析設(shè)計(jì)安全風(fēng)險(xiǎn)實(shí)現(xiàn)安全風(fēng)險(xiǎn)使用安全風(fēng)險(xiǎn)開源安全漏洞私鑰竊取/托管錢包口令盜取/算法協(xié)議安全漏洞共識(shí)協(xié)議安全漏洞比如51%智能合約程序漏洞錢包安全漏洞系統(tǒng)開發(fā)安全漏洞木馬隱私 P2P通信協(xié)議安全漏洞 泄露終端運(yùn)行環(huán)境安全風(fēng)險(xiǎn) BLC-Summit03360區(qū)塊鏈安全BLC-Summit區(qū)塊鏈安全DAppsSmartContractDigital WalletInfrastru

8、ctureMining PoolCryptocurrencyExchangeBLC-Summit智能合約智能合約系統(tǒng)(區(qū)塊鏈態(tài)勢(shì)感知子系統(tǒng)):異常tranion和 ether轉(zhuǎn)賬智能合約自動(dòng)化審 靜態(tài)審 動(dòng)態(tài)審:BLC-Summit智能合約-靜態(tài)審計(jì)靜態(tài)分析: 基于源碼直接運(yùn)行 詞法分析、語法分析、AST分析、流分析、污點(diǎn)分析、無效代碼分析等 規(guī)則匹配命中、符號(hào)執(zhí)行等流分析、數(shù)據(jù)BLC-Summit智能合約-動(dòng)態(tài)審計(jì)動(dòng)態(tài)分析: 基于程序執(zhí)行 使用人工、自動(dòng)生成測(cè)試案例 輸出結(jié)果錯(cuò)誤、程序、違背斷言等 動(dòng)態(tài)符號(hào)執(zhí)行、Fuzzing等技術(shù)BLC-Summit所安全威脅主機(jī)安全業(yè)務(wù)邏輯支付體系賬戶體系BLC-Summit礦池礦機(jī)安全威脅0Day滲透 弱口令獎(jiǎng)勵(lì)地址被篡改算力BLC-Summit數(shù)字貨幣錢包安全威脅代碼未加固BLC-Summit數(shù)字貨幣錢包安全威脅BLC-SummitDAPPS安全威脅認(rèn)證會(huì)話管理合約審計(jì)利用Dapp函數(shù)合約BLC-Summit公鏈安全威脅通信安全-P2P、51%安全-數(shù)據(jù)庫加密安全-sha256問題共識(shí)機(jī)制-Pow、PoS、DpoS、More激勵(lì)機(jī)制-獎(jiǎng)勵(lì)不合理礦工下線,51%BLC-SummitBLC-SummitBLC-Summit即將推出區(qū)塊鏈安全白皮書(2018)新趨勢(shì)、新浪潮下的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論