首页
学习
活动
专区
工具
TVP
发布

以太坊钱包又遭黑客攻击,保卫区块链生态安全任重道远

区块链交易平台安全事件频频发生,往往是一波未平一波又起,这个圈子里的人早已屡见不鲜。

本周二又曝出新闻,最受欢迎的以太坊钱包MyEtherWallet(MEW)遭到DNS劫持攻击。许多安全意识较低的用户,在登录MEW网站时无视“网站不安全”的提示,强行访问。攻击者因此得到了受害者的在线钱包密码、私钥明文等,几秒钟之内就把他们钱包里的ETH全部转走。

据悉,此次攻击持续了两小时左右,黑客卷走的ETH总价值超过13000美元。不过,也有一些人看到安全提醒没有继续登录,从而避免了遭受损失。

1

币圈无宁日

近年来,数字货币交易平台繁荣发展,各平台都专注于核心业务,但在信息安全方面投入的精力十分有限,导致安全建设严重滞后,因此安全事件才频繁出现。

2014年,日本比特币交易平台Mt.Gox遭到黑客攻击,用户丢失约75万枚比特币,并最终导致该平台破产。虽然有此前车之鉴,但国内外数字货币交易平台在安全建设方面仍然力度不够,遭受黑客攻击的事件更是有增无减,给平台及其用户造成了极大损失。

从信息安全角度来讲,黑客能够得逞的原因主要有三个:

一是通过钓鱼等手段进行身份冒用。本文开头提到的MEW遭DNS劫持攻击,在本质上就是钓鱼。另外,黑客还经常用邮件钓鱼,或者电话、短信等方式的社工等方式。

二是利用区块链交易平台的网络漏洞。除了网络协议中的各种漏洞,也有账号密码中的弱口令、密码复用等导致的漏洞。

三是内部恶意人员。首先,公司管理员有可能利用自身权限监守自盗;其次,静态密码、传统令牌等方式“认令不认人”,存在内部恶意人员盗用相关同事身份的风险,而且,事发后也无法追溯;再次,因为缺乏统一的用户管理平台,随着员工角色的变动,有些账号不能及时增删,有时离职员工仍然拥有账号权限,导致信息泄漏。

以上三种情况使区块链交易平台存在多种攻击路线的安全风险,所以相关平台需要从各个环节、由内而外地加强抵御能力。

2

账户安全是关键

虽然区块链本身具有中心化、防篡改的特点,但通过上文的分析可以看出,区块链业务在账户准入方面仍然存在安全问题。针对这一问题,锦佰安科技推出了一套综合的安全解决方案。

针对用户的业务端

一、便捷安全的身份认证方式

用户可以通过SecID AI行为识别,或SecID线上快速身份认证来进行身份识别,确保只有本人才能登录账户和执行敏感操作

(1)SecID AI行为识别

锦佰安科技自主研发的SecID AI行为识别系统,能通过手机中的多个传感器,多维度、多规则地收集用户日常登录的操作行为和使用习惯,然后利用卷积神经网络、循环神经网络、贝叶斯网络等方法,对这些特征进行持续深度学习,为每个用户单独建立识别模型,并与用户本人进行相似度匹配,即可对用户身份进行身份确认。通过这些核心技术,SecID不仅能有效分辨当前操作者是人还是机器,而且还能精确辨别其是否为用户本人。

具体应用到区块链交易平台的业务端,相关APP用户在进行注册、登录、支付、转账等敏感性操作时,其行为数据会同步与用户的AI模型对比,只有相似度达到一定阈值时才允许执行相关操作,从而有效拦截了非本人授权的操作(包括黑客远程操作及机器操作等),确保账户内资金的安全。值得一提的是,整个过程是在用户无感知状态下完成的,用户完全无需改变操作习惯。

(2)SecID线上快速身份认证

SecID线上快速身份认证基于FIDO UAF1.0协议标准实现:在用户名和密码的基础上,结合日趋成熟的生物特征识别(如指纹识别)与系统锁屏(密码、九宫格、PIN码等)完成简化版的多因素身份认证。

针对区块链交易平台的业务网站及服务器的登录、敏感操作等环节,采用硬件隔离即插即用的本地身份认证,用户隐私、生物特征信息及其产生的私钥不会上传到云端,而是保存在手机硬件可信环境之中,从而有效保护隐私。

二、大额交易时的身份识别与授权

在大额交易等关键操作环节,SecID身份识别与交叉授权机制加大审核力度。对授权人和被授权人,通过指纹识别或人脸识别等手段进行身份识别。与此同时,单独的审计日志还能对交易行为进行追溯和审计

通过以上技术手段,SecID杜绝了敏感操作环节身份被冒用的可能。

针对区块链交易所内部办公环境

一、明确账户对应的应用,降低运维成本

SecID统一身份认证管理平台支持用户分组管理模式,明确每个账户对应的应用,避免员工因职位变动、权限不明等带来的安全隐患

此外,SecID后台提供一站式批量化管理,支持单个及批量用户的创建、修改、删除等操作。也就是说,在员工离职时只需一键删除其SecID账户,即可取消对方所有的账户权限,从而避免离职员工登录原有账户窃取信息

二、安全审计,责任到人

SecID后台可记录管理员操作日志及用户登录认证日志,方便安全审计和追溯

三、多因素二次认证,确保合法可信的人进入对应系统

SecID对内网办公环境中涉及的网络准入(VPN/WiFi)、办公PC登录、访问电子邮件系统、访问其他Web类办公系统等登录操作,集成了多因素二次认证(一键确认、图片密码、指纹识别、人脸识别等),确保只有合法可信的人才能进入对应系统

综上所述,通过SecID统一身份认证管理平台,可有效防止钓鱼、弱密码、账户职权混乱及区块链交易所内部恶意人员等导致的安全隐患,同时又能方便安全审计和追溯

持续性安全监测

除此之外,锦佰安科技还提供每月两次的高频次安全检测,贯穿软件系统整个生命周期的安全服务,上线前360度全方位安全检测等,防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。

3

结语

千里之堤毁于蚁穴。由于区块链生态中虚拟货币的属性,哪怕出现一丝安全问题都有可能造成极大损失。保卫区块链生态安全任重道远,用户的身份安全更是重中之重。

锦佰安科技结合安全服务及SecID身份识别系统,在保障用户账号安全的基础上,为区块链交易平台打造了一套综合的安全解决方案,进一步推动了区块链生态安全的建设。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180428A1ATX800?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券