区块链公链应用的典型安全问题综述-魏松杰，吕伟龙，李莎莎.pdf

上善若水

172

32页

2次

2022-05-19

免费下载



区块链公链应用的典型安全问题综述

魏松杰,吕伟龙,李莎莎

(南京理工大学计算机科学与工程学院,江苏南京210094)

通信作者:吕伟龙,E-mail:118106043462@njust.edu.cn

摘　要:区块链作为互联网金融的颠覆性创新技术,吸引学术研究和工程应用领域广泛关注,并被持续推广应用到

各种行业领域中.以公有链为代表的区块链系统具有弱中心化、信任共识、平台开放、系统自治、用户匿名、数

据完整等特点,在缺乏集中可信的分布式场景中实现可信数据管理和价值交易.但区块链作为新兴信息技术,由于

自身机制和周边设施不够完善、用户安全观念不够成熟等原因,也面临安全威胁和挑战.本文首先介绍了区块链

技术,回顾其面临的安全风险;其次以比特币和以太坊两个典型系统为例,剖析了针对面向代币交易和应用的区块

链系统的各类安全威胁以及应对方法;接着分析了钱包交易所等区块链周边设施和区块链用户的安全隐患;最后

对文中安全问题进行了分类总结,提出可行技术线路和防御方法,展望当前区块链安全的研究热点和发展趋势.

关键词:区块链;公链安全;攻击流程;防御策略;共识安全

中图法分类号:TP309

中文引用格式:魏松杰,吕伟龙,李莎莎.区块链公链应用的典型安全问题综述.软件学报,2022,33(1):324–355.http://www.

jos.org.cn/1000-9825/6280.htm

英文引用格式:WeiSJ,LüWL,LiSS.OverviewonTypicalSecurityProblemsinPublicBlockchainApplications.RuanJianXue

Bao/JournalofSoftware,2022,33(1):324–355(inChinese).http://www.jos.org.cn/1000-9825/6280.htm

Overview on Typical Security Problems in Public Blockchain Applications

WEISong-Jie,LÜWei-Long,LISha-Sha

SchoolofComputerScienceandEngineering,NanjingUniversityofScienceandTechnology,Nanjing210094,China)

Abstract:Originated as Internet financial technology, blockchain is prevailing in many application scenarios and attracting attentions from

both academia and industry. Typical blockchain systems are characterized with decentralization, trustworthiness, openness, autonomy,

anonymity, and immutability, which brings trustworthiness for data management and value exchange in distributed computation

environment without centralized trust authority. However, blockchain is still developing as a continuously evolving new technique. Its

mechanisms, peripheral facilities, and user maturity in security are yet to be optimized, resulting in various security threats and frequent

security incidents. Thispaperfirst overviews the blockchain technology and its potential security vulnerabilities when being used for token

transaction and exchange. Then the mostly-seen security problems are enumerated and analyzed with Bitcoin and Ethereum as two sample

systems. The security problems encountered by blockchain peripheral facilities and users are presented, and their root causes are probed.

Finally, the surveyed problems are categorized and the possible countermeasures or defenses are proposed to address them. Promising

researchareasandtechnologyevolvingdirectionsarebrieflycoveredforthefuture.

Key words:blockchain;publicchainsecurity;attackprocedure;defensestrategy;consensussecurity



1 绪　论



1.1 区块链介绍

自中本聪在《比特币:点对点的电子现金系统》一文中首次提出区块链架构至今,历经10年光阴.10年间,



*

基金项目:国家自然科学基金(61802186,61472189);国家重点研发计划(2020YFB1804604)

收稿时间:2020-03-05;修改时间:2020-05-07,2020-11-07;采用时间:2020-12-04;jos在线出版时间:2021-01-15



软件学报ISSN1000-9825,CODENRUXUEW E-mail:jos@iscas.ac.cn

Journal of Software,2022,33(1):324−355[doi:10.13328/j.cnki.jos.006280] http://www.jos.org.cn

区块链技术飞速发展,广泛应用于各个领域.从比特币、莱特币等加密货币的区块链1.0时代,到以太坊、超级账

本等支持智能合约的平台的区块链2.0时代,再到目前面向去中心化应用DApp服务的百花齐放,区块链经历了

数次技术迭代

[1,2]

.近些年来,区块链与金融、农业、能源、公益、医疗等领域深度结合,市场上出现大量与区块

链相关的应用,众多学者也投身于区块链的研究之中.区块链技术无疑成为当前最热门的技术之一.但目前区块链

技术和应用方兴未艾,多数处于试验阶段,安全漏洞和攻击事件层出不穷,给用户与区块链服务提供商带来了不小

的经济损失,因此区块链的安全问题受到了各方的广泛关注.同时,区块链智能合约一旦在分布式、去中心化网络

中部署,就难以修改,这种特性一方面防止了数据操纵,有利于建立起基于广泛分布共识的信任机制;但另一方面,

当面对安全攻击时,该特性也阻碍了区块链系统建立起有效的纠正机制,难以有效及时的挽回损失

[3,4]

本文在调研过程中,发现大多数区块链的安全问题是由于系统自身设计缺陷或是规则漏洞而引起的,少数区

块链安全攻击的对象主要包括交易所、数字钱包、矿池矿场以及区块链用户,而交易所、数字钱包和矿池矿场可

归类为区块链周边设施.因此本文将所有公有区块链安全问题分为3类,即区块链自身系统、区块链周边设施和

区块链用户,依次在第2、3、4节综述并分析它们各自面临的安全问题.本文重点讨论区块链作为分布式系统应

用时面临的安全威胁,并不涉及对底层通信、P2P对等网络、加密算法、数据存储等传统系统和网络安全问题的

讨论.全文讨论的安全问题总览如图1所示.



区块链自身

面临的安全问题

区块链周边设施

面临的安全问题

区块链用户

面临的安全问题

区块链 1.0

面临的安全问题

区块链 2.0

面临的安全问题

双

花

攻

击

芬

尼

攻

击

贿

赂

攻

击

币

龄

累

计

攻

击

通

用

挖

矿

攻

击

交易所

面临的安全问题

DDoS

攻击

账户盗窃

攻击

交易延展

性攻击

私钥盗窃

攻击

自私挖矿

攻击

社会工程

学攻击

中间人

攻击

跳池攻击扣块攻击撞库攻击

数字钱包

面临的安全问题

矿池/矿场

面临的安全问题

种

族

攻

击

重

放

攻

击

边

界

网

关

劫

持

攻

击

攻

击

粉

尘

攻

击

空

块

攻

击

女

巫

攻

击

日

蚀

攻

击

长

程

攻

击

简

单

攻

击

变

节

攻

击

权

益

流

损

攻

击

整

数

溢

出

攻

击

调

用

深

度

攻

击

时

间

戳

依

赖

攻

击

交

易

顺

序

依

赖

攻

击

可

重

入

攻

击

削

弱

攻

击

平

衡

攻

击

漏

洞

攻

击

无

利

害

关

系

攻

击

图1　区块链安全问题总览



1.2 区块链典型安全事件回顾

(1)2017年7月Parity多重签名钱包被盗事件

Parity是目前使用最广泛的以太坊钱包之一.本次事件主要是由于智能合约代码编写不严谨导致的,约有时价

3000万美元的15万以太币(ETH)被盗.攻击造成了ETH从235美元暴跌至196美元左右.事后人们逐渐认识到

智能合约的编写必须遵守严格的安全规范或模式,智能合约部署前最好先由专业的机构进行安全审计

[5]

(2)2018年11月EOS.win游戏合约遭受随机数攻击事件

EOS是一种为商用分布式应用(DApp)设计的区块链操作系统,EOS.win是在该平台下实现的竞猜游戏.在

魏松杰等:区块链公链应用的典型安全问题综述 325

of 32

免费下载

软件学报计算机技术

关注

评论