上周,逾2500个ETH遭窃,区块链生态安全为何漏洞百出?

5月21日,加密货币交易应用程序Taylor遭到一场灾难性的黑客攻击,丢失了2578.98个ETH,总价值达150万美元。次日上午,Taylor团队才发现已经遭到黑客入侵,所有资产全部被盗走,不仅包含那2500多个ETH,还有这个团队自己的Tay代币。

Taylor团队表示,黑客很可能与今年3月份从CypheriumChain项目中偷走超过1.7万个ETH(约合900万美元)的作案者是同一个人/团伙,因为这两次被盗代币都被转移到了同一个地址:

0x94f20ccff70d82d1579d8B11f2985F8dE9B287Cf。但是除此之外,Taylor对黑客的其他信息一无所知。

在作案手段上,Taylor认为黑客是“以某种方式”获得了该团队一个设备的访问权,然后控制了一个1Password应用(1Password是Taylor管理用户密码的应用程序),然后黑客再用平台用户的账户密码窃取了这些代币。

为了尽快恢复项目,这个团队将会发布新的代币。但是从以往黑客窃取加密货币事件来看,Taylor本次损失的资金基本上收不回来了。

人们常说币圈无宁日。除了Taylor和CypheriumChain之外,今年3月还有网络犯罪分子,用比特币钱包应用Electrum的恶意仿冒产品Electrum Pro窃取用户的秘钥。国内也有相关交易平台被黑的事件发生。当然,国内外类似的事情还有很多。可以说,进入2018年还没几个月,比特币交易平台被黑的事件就频频发生。

区块链平台安全建设严重滞后

近年来,数字货币交易平台繁荣发展,各平台都专注于核心业务,但在信息安全方面投入的精力十分有限,相应的防御措施十分薄弱,因此安全事件才频繁出现。

从信息安全角度来讲,黑客能够得逞的原因主要有三个:一是通过钓鱼等手段窃取并冒用身份;二是利用区块链交易平台的网络漏洞,其中就包括账号密码中的弱口令、口令复用等导致的漏洞;三是内部恶意人员监守自盗,或盗用相关同事身份,或离职后仍有访问权限。

可以看出,虽然区块链技术具有去中心化、防篡改的特点,但是区块链业务在账户准入方面还存在严重的安全问题。

全面提升区块链业务账户安全

针对这些问题,锦佰安科技推出了一个综合的安全解决方案,以加强区块链交易平台各个环节的抵御能力,提升区块链业务的账户安全。

在用户的业务端

一、便捷安全的身份认证方式

用户既可以通过SecID AI行为识别,或SecID线上快速身份认证来进行身份识别,确保只有本人才能登录账户和执行敏感操作。

(1)SecID AI行为识别身份认证

锦佰安科技自主研发的SecID AI行为识别系统,能通过手机中的多个传感器,多维度、多规则地收集用户日常登录的操作行为和使用习惯,然后利用卷积神经网络、循环神经网络、贝叶斯网络等方法,对这些特征进行持续深度学习,为每个用户单独建立识别模型,并与用户本人进行相似度匹配,即可对用户身份进行身份确认。通过这些核心技术,SecID不仅能有效分辨当前操作者是人还是机器,而且还能精确辨别其是否为用户本人。

具体应用到区块链交易平台的业务端,相关APP用户在进行注册、登录、支付、转账等敏感性操作时,其行为数据会同步与用户的AI模型对比,只有相似度达到一定阈值时才允许执行相关操作,从而有效拦截了非本人授权的操作(包括黑客远程操作及机器操作等),确保账户内资金的安全。值得一提的是,整个过程是在用户无感知状态下完成的,用户完全无需改变操作习惯。

(2)SecID快速身份认证

SecID快速身份认证基于FIDOUAF1.0协议标准实现,能够在用户名和密码的基础上完成多因素身份认证。这种方式就是在用户名和密码的基础上,结合日趋成熟的生物特征识别(如指纹识别)与系统锁屏(密码、九宫格、PIN码等)完成简化版的多因素身份认证。

针对区块链交易平台的业务网站及服务器的登录、敏感操作等环节,采用硬件隔离即插即用的本地身份认证,用户隐私、生物特征信息及其产生的私钥不会上传到云端,而是保存在手机硬件可信环境之中,从而有效保护隐私。

二、大额交易时的身份识别与授权

在大额交易等关键操作环节,SecID身份识别与交叉授权机制加大审核力度。对授权人和被授权人,通过指纹识别或人脸识别等手段进行身份识别。与此同时,单独的审计日志还能对交易行为进行追溯和审计。

通过以上技术手段,SecID阻断了敏感操作环节用户身份被冒用的可能。

针对区块链交易所内部办公环境

区块链交易所内部办公环境也存在黑客攻击风险。针对这一问题,SecID对内网办公环境中涉及的网络准入(VPN/WiFi)、办公PC登陆、访问电子邮件系统、访问其他Web类办公系统等登陆操作,集成了多因素二次认证(一件确认、图片密码、指纹识别、人脸识别等),确保只有合法可信的人进入对应系统。

SecID统一身份认证管理平台可有效防止钓鱼、弱密码、账户职权混乱及区块链交易所内部恶意人员等导致的安全隐患,同时又能方便安全审计、责任到人。

持续性安全监测

除此之外,锦佰安科技还提供每月两次的高频次安全检测,贯穿软件系统整个生命周期的安全服务,上线前360度全方位安全检测等,防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。

身份安全是重中之重

由于区块链生态中虚拟货币的属性,哪怕出现一丝安全问题,都有可能造成真金白银的损失。在区块链生态安全体系中,用户的身份安全是重中之重。作为国内领先的身份识别综合解决方案提供商,锦佰安科技将为区块链生态安全打造更可信的身份识别方式,全面提升交易平台的账户安全。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180529A1E48700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券