ddos攻击区块链 ddos攻击方式有哪些

一、区块链有哪些安全软肋

区块链有哪些安全软肋

区块链是比特币中的核心技术，在无法建立信任关系的互联网上，区块链技术依靠密码学和巧妙的分布式算法，无需借助任何第三方中心机构的介入，用数学的方法使参与者达成共识，保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。

区块链技术常被人们提及的特性是去中心化、共识机制等，由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一，正在成就出新的一批亿万级富豪。像币安交易平台，成立短短几个月，就被国际知名机构评级市值达400亿美金，成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今，交易所被攻击、资金被盗事件层出不穷，且部分数字货币交易所被黑客攻击损失惨重，甚至倒闭。

一、令人震惊的数字货币交易所被攻击事件

从最早的比特币，到后来的莱特币、以太币，目前已有几百种数字货币。随着价格的攀升，各种数字货币系统被攻击、数字货币被盗事件不断增加，被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。

2014年2月24日，当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空，承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。

经分析，原因大致为Mt.Gox存在单点故障结构这种严重的错误，被黑客用于发起DDoS攻击：

比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络，结果伪造的请求可以提现成功，而正常的提现请求在交易平台中出现异常并显示为失败，此时黑客实际上已经拿到提现的比特币了，但是他继续在Mt.Gox平台请求重复提现，Mt.Gox在没有进行事务一致性校验（对账）的情况下，重复支付了等额的比特币，导致交易平台的比特币被窃取。

2016年8月4日，最大的美元比特币交易平台Bitfinex发布公告称，网站发现安全漏洞，导致近12万枚比特币被盗，总价值约为7500万美元。

2018年1月26日，日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击，导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗，这是史上最大的数字货币盗窃案。

2018年3月7日，世界第二大数字货币交易所币安（Binance）被黑客攻击的消息让币圈彻夜难眠，黑客竟然玩起了经济学，买空卖空“炒币”割韭菜。根据币安公告，黑客的攻击过程包括：

1)在长时间里，利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。

2)黑客获得账号后，自动创建交易API，之后便静默潜伏。

3) 3月7日黑客通过盗取的API Key，利用买空卖空的方式，将VIA币值直接拉暴100多倍，比特币大跌10%，以全球总计1700万个比特币计算，比特币一夜丢了170亿美元。

二、黑客攻击为什么能屡屡得手

基于区块链的数字货币其火热行情让黑客们垂涎不已，被盗金额不断刷新纪录，盗窃事件的发生也引发了人们对数字货币安全的担忧，人们不禁要问：区块链技术安全吗？

随着人们对区块链技术的研究与应用，区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外，还将由于其特性而面临独有的安全挑战。

1.算法实现安全

由于区块链大量应用了各种密码学技术，属于算法高度密集工程，在实现上比较容易出现问题。历史上有过此类先例，比如NSA对RSA算法实现埋入缺陷，使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞，可以说构成区块链整个大厦的地基将不再安全，后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件，理论上，在签名过程中两次使用同一个随机数，就能推导出私钥。

2.共识机制安全

当前的区块链技术中已经出现了多种共识算法机制，最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全，需要更严格的证明和时间的考验。

3.区块链使用安全

区块链技术一大特点就是不可逆、不可伪造，但前提是私钥是安全的。私钥是用户生成并保管的，理论上没有第三方参与。私钥一旦丢失，便无法对账户的资产做任何操作。一旦被黑客拿到，就能转移数字货币。

4.系统设计安全

像Mt.Gox平台由于在业务设计上存在单点故障，所以其系统容易遭受DoS攻击。目前区块链是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技术盗窃外，还得管理好人，防止人为盗窃。

总体来说，从安全性分析的角度，区块链面临着算法实现、共识机制、使用及设计上挑战，同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前，黑客攻击已经在对区块链系统安全性造成越来越大的影响。

三、如何保证区块链的安全

为了保证区块链系统安全，建议参照NIST的网络安全框架，从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分，来感知、阻断区块链风险和威胁。

除此之外，根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。

针对算法实现安全性：一方面选择采用新的、本身经得起考验的密码技术，如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆，增加黑客逆向攻击的难度和成本。

针对共识算法安全性：PoW中使用防ASIC杂凑函数，使用更有效的共识算法和策略。

针对使用安全性：对私钥的生成、存储进行保护，敏感数据加密存储。

针对设计安全性：一方面要保证设计的功能尽量完善，如采用私钥白盒签名技术，防止病毒、木马在系统运行过程中提取私钥；设计私钥泄露追踪功能，尽可能减少私钥泄露后的损失。另一方面，应对某些关键业务设计去中心化，防止单点故障攻击。

二、区块链的未来是大趋势

区块链采用P2P技术、密码学和共识算法等技术，具有数据不可篡改、系统集体维护、信息公开透明等特性。区块链提供一种在不可信环境中，进行信息与价值传递交换的机制，是构建未来价值互联网的基石。

趋势一：区块链行业应用加速推进，从数字货币向非金融领域渗透扩散

区块链技术作为一种通用性术，从数字货币加速渗透至其他领域，和各行各业创新融合。我们认为，未来区块链的应用将由两个阵营推动。一方面，IT阵营，从信息共享着手，以低成本建立信用为核心，逐步覆盖数字资产等领域。另一方面，加密货币阵营从货币出发，逐渐向资产端管理、存证领域推进，并向征信和一般信息共享类应用扩散。

趋势二：企业应用是区块链的主战场，联盟链/私有链将成为主流方向

目前，企业的实际应用集中数字货币领域，属于虚拟经济。我们认为，未来的区块链应用将脱虚向实，更多传统企业使用区块链技术来降成本、提升协作效率，激发实体经济增长，是未来一段时间区块链应用的主战场。

与公有链不同，在企业级应用中，大家更关注区块链的管控、监管合规、性能、安全等因素。因此，我们认为，联盟链和私有链这种强管理的区块链部署模式，更适合企业在应用落地中使用，是企业级应用的主流技术方向。

趋势三：应用催生多样化的技术方案，区块链性能将不断得到优化

未来，区块链应用将从单一到多元方向发展。票据、支付、保险、供应链等不同应用，在实时性、高并发性、延迟和吞吐等多个维度上将高度差异化。这将催生出多样化的技术解决方案。我们认为，区块链技术还远未定型，在未来一段时间还将持续演进，共识算法、服务分片、处理方式、组织形式等技术环节上都有提升效率的空间。

趋势四：区块链与云计算的结合越发紧密，BaaS有望成为公共信任基础设施

云计算是大势所趋。我们认为，区块链与云的结合也是必然的趋势。区块链与云的结合，有两种模式，一种是区块链在云上，一种是区块链在云里。后面一种，也就是BaaS，Blockchain-as-a-Service，是指在云服务商直接把区块链作为服务提供给用户。未来，云服务企业越来越多地将区块链技术整合至云计算的生态环境中，通过提供BaaS功能，有效降低企业应用区块链的部署成本，降低创新创业的初始门槛。

趋势五：区块链安全问题日益凸显，安全防护需要技术和管理全局考虑

区块链系统从数学原理上讲，是近乎完美的，具有公开透明、难以篡改、可靠加密、防DDoS攻击等优点。但是，从工程上来看，它的安全性仍然受到基础设施、系统设计、操作管理、隐私保护和技术更新迭代等多方面的制约。未来需要从技术和管理上全局考虑，加强基础研究和整体防护，才能确保应用安全。

趋势六：区块链的跨链需求增多，互联互通的重要性凸显

随着区块链应用深化，支付结算、物流追溯、医疗病历、身份验证等领域的企业或行业，都将建立各自区块链系统。我们认为，未来这些众多的区块链系统间的跨链协作与互通是一个必然趋势。可以说，跨链技术是区块链实现价值互联网的关键，区块链的互联互通将成为越来越重要的议题。

趋势七：区块链竞争日趋激烈，专利争夺成为竞争重要领域

随着参与主体的增多，区块链的竞争将越来越激烈，竞争是全方位的，包括技术、模式、专利等多维度。我们认为，未来，企业将在区块链专利上加强布局。2014年以来，区块链专利申请数量出现爆发式增长。区块链专利主要分布在北美洲的美国、欧洲的英国、亚洲的中国和韩国，未来将维持这类格局。中美专利差距在减小，中国2016年申请量已超越美国。可以预见，未来的区块链专利争夺将日趋激烈。

趋势八：区块链投资持续火爆，代币众筹模式累积风险值得关注

区块链成为资本市场追逐的热点。未来投资还将延续2014-2016年不断上升的趋势。与其他科技领域的融资模式不同，区块链领域出现了一种称为“代币众筹”的模式，即Initial Coin Offering（ICO），是创业公司发行代币、募集资金的一种众筹方式。随着代币众筹交易量攀升，很多项目缺乏审核、价值波动巨大、处于监管边缘等风险将随之增大，值得关注。今天下午还有群友跟我私聊询问到所谓的黄金链，需要靠1传2 2传4 4传16这样的模式去获得收益，这是明显的传销盘拉人头举动，但是还是有很多刚入币圈的朋友，刚了解区块链的朋友会被蒙蔽希望能认清本质，为自己的资金负责！

趋势九：区块链技术与监管存在冲突，但矛盾有望进一步调和

区块链的去中心化、去中介和匿名性等特性与传统的企业管理和政府监管体系不协调。但也应该看到区块链给监管带来的机遇。我们认为，未来企业将积极迎合监管需求，在技术方案和模式设计上主动内置监管要求，不仅要做到合规运作，还能大幅度节约监管合规的成本。我们也认为，未来全球的监管部门也将拥抱区块链这项新的监管科技，用新科技提升政府监管效能。

趋势十：可信是区块链的核心要求，标准规范的重要性日趋凸显

在未来以区块链为基础的价值传递网络上，我们把将完全用算法和软件来构建信任基础。但我们认为，这是远远不够的，还需要标准为区块链增信。未来，区块链的标准，将从用户的角度出发、以业务为导向，从智能合约、共识机制、私钥安全、权限管理等维度，规范区块链的技术和治理，增强区块链的可信程度，给区块链的信任增加砝码。

总结

以上就是总结的十大趋势。总结一下有四点：一是区块链是价值网络的基础，逐渐成为未来互联网不可或缺的一部分。二是随着应用场景日益丰富，应用将推动着区块链技术不断完善，区块链与云的结合日趋紧密。三是区块链虽在数学上具有完备性，但也存在安全问题，未来还需要从工程和管理等层面加强安全，也需要标准提升可信程度。四是区块链技术未来将逐步适应监管政策要求，逐步成为监管科技的重要工具。

三、区块链几大共识机制及优缺点

首先，没有一种共识机制是完美无缺的，各共识机制都有其优缺点，有些共识机制是为解决一些特定的问题而生。

1.pow( Proof of Work）工作量证明

一句话介绍：干的越多，收的越多。

依赖机器进行数学运算来获取记账权，资源消耗相比其他共识机制高、可监管性弱，同时每次达成共识需要全网共同参与运算，性能效率比较低，容错性方面允许全网50%节点出错。

优点：

1)算法简单，容易实现；

2)节点间无需交换额外的信息即可达成共识；

3)破坏系统需要投入极大的成本；

缺点：

1)浪费能源；

2)区块的确认时间难以缩短；

3)新的区块链必须找到一种不同的散列算法，否则就会面临比特币的算力攻击；

4)容易产生分叉，需要等待多个确认；

5)永远没有最终性，需要检查点机制来弥补最终性；

2.POS Proof of Stake，权益证明

一句话介绍：持有越多，获得越多。

主要思想是节点记账权的获得难度与节点持有的权益成反比，相对于PoW，一定程度减少了数学运算带来的资源消耗，性能也得到了相应的提升，但依然是基于哈希运算竞争获取记账权的方式，可监管性弱。该共识机制容错性和PoW相同。它是Pow的一种升级共识机制，根据每个节点所占代币的比例和时间，等比例的降低挖矿难度，从而加快找随机数的速度

优点：在一定程度上缩短了共识达成的时间；不再需要大量消耗能源挖矿。

缺点：还是需要挖矿，本质上没有解决商业应用的痛点；所有的确认都只是一个概率上的表达，而不是一个确定性的事情，理论上有可能存在其他攻击影响。例如，以太坊的DAO攻击事件造成以太坊硬分叉，而ETC由此事件出现，事实上证明了此次硬分叉的失败。

DPOS与POS原理相同，只是选了一些“人大代表”。

BitShares社区首先提出了DPoS机制。

与PoS的主要区别在于节点选举若干代理人，由代理人验证和记账。其合规监管、性能、资源消耗和容错性与PoS相似。类似于董事会投票，持币者投出一定数量的节点，代理他们进行验证和记账。

DPoS的工作原理为：

去中心化表示每个股东按其持股比例拥有影响力，51%股东投票的结果将是不可逆且有约束力的。其挑战是通过及时而高效的方法达到51%批准。为达到这个目标，每个股东可以将其投票权授予一名代表。获票数最多的前100位代表按既定时间表轮流产生区块。每名代表分配到一个时间段来生产区块。所有的代表将收到等同于一个平均水平的区块所含交易费的10%作为报酬。如果一个平均水平的区块含有100股作为交易费，一名代表将获得1股作为报酬。

网络延迟有可能使某些代表没能及时广播他们的区块，而这将导致区块链分叉。然而，这不太可能发生，因为制造区块的代表可以与制造前后区块的代表建立直接连接。建立这种与你之后的代表(也许也包括其后的那名代表)的直接连接是为了确保你能得到报酬。

该模式可以每30秒产生一个新区块，并且在正常的网络条件下区块链分叉的可能性极其小，即使发生也可以在几分钟内得到解决。

成为代表：

成为一名代表，你必须在网络上注册你的公钥，然后分配到一个32位的特有标识符。然后该标识符会被每笔交易数据的“头部”引用。

授权选票：

每个钱包有一个参数设置窗口，在该窗口里用户可以选择一个或更多的代表，并将其分级。一经设定，用户所做的每笔交易将把选票从“输入代表”转移至“输出代表”。一般情况下，用户不会创建特别以投票为目的的交易，因为那将耗费他们一笔交易费。但在紧急情况下，某些用户可能觉得通过支付费用这一更积极的方式来改变他们的投票是值得的。

保持代表诚实：

每个钱包将显示一个状态指示器，让用户知道他们的代表表现如何。如果他们错过了太多的区块，那么系统将会推荐用户去换一个新的代表。如果任何代表被发现签发了一个无效的区块，那么所有标准钱包将在每个钱包进行更多交易前要求选出一个新代表。

抵抗攻击：

在抵抗攻击上，因为前100名代表所获得的权力权是相同的，每名代表都有一份相等的投票权。因此，无法通过获得超过1%的选票而将权力集中到一个单一代表上。因为只有100名代表，可以想象一个攻击者对每名轮到生产区块的代表依次进行拒绝服务攻击。幸运的是，由于事实上每名代表的标识是其公钥而非IP地址，这种特定攻击的威胁很容易被减轻。这将使确定DDOS攻击目标更为困难。而代表之间的潜在直接连接，将使妨碍他们生产区块变得更为困难。

优点：大幅缩小参与验证和记账节点的数量，可以达到秒级的共识验证。

缺点：整个共识机制还是依赖于代币，很多商业应用是不需要代币存在的。

3.PBFT：Practical Byzantine Fault Tolerance，实用拜占庭容错

介绍：在保证活性和安全性（liveness& safety）的前提下提供了(n-1)/3的容错性。

在分布式计算上，不同的计算机透过讯息交换，尝试达成共识；但有时候，系统上协调计算机（Coordinator/ Commander）或成员计算机（Member/Lieutanent）可能因系统错误并交换错的讯息，导致影响最终的系统一致性。

拜占庭将军问题就根据错误计算机的数量，寻找可能的解决办法，这无法找到一个绝对的答案，但只可以用来验证一个机制的有效程度。

而拜占庭问题的可能解决方法为：

在 N≥ 3F+ 1的情况下一致性是可能解决。其中，N为计算机总数，F为有问题计算机总数。信息在计算机间互相交换后，各计算机列出所有得到的信息，以大多数的结果作为解决办法。

1）系统运转可以脱离币的存在，pbft算法共识各节点由业务的参与方或者监管方组成，安全性与稳定性由业务相关方保证。

2）共识的时延大约在2~5秒钟，基本达到商用实时处理的要求。

3）共识效率高，可满足高频交易量的需求。

缺点：

1)当有1/3或以上记账人停止工作后，系统将无法提供服务；

2)当有1/3或以上记账人联合作恶，且其它所有的记账人被恰好分割为两个网络孤岛时，恶意记账人可以使系统出现分叉，但是会留下密码学证据

下面说两个国产的吧~

4.dBFT： delegated BFT授权拜占庭容错算法

介绍：小蚁采用的dBFT机制，是由权益来选出记账人，然后记账人之间通过拜占庭容错算法来达成共识。

此算法在PBFT基础上进行了以下改进：

将C/S架构的请求响应模式，改进为适合P2P网络的对等节点模式；

将静态的共识参与节点改进为可动态进入、退出的动态共识参与节点；

为共识参与节点的产生设计了一套基于持有权益比例的投票机制，通过投票决定共识参与节点（记账节点）；

在区块链中引入数字证书，解决了投票中对记账节点真实身份的认证问题。

优点：

1)专业化的记账人；

2)可以容忍任何类型的错误；

3)记账由多人协同完成，每一个区块都有最终性，不会分叉；

4)算法的可靠性有严格的数学证明；

缺点：

1)当有1/3或以上记账人停止工作后，系统将无法提供服务；

2)当有1/3或以上记账人联合作恶，且其它所有的记账人被恰好分割为两个网络孤岛时，恶意记账人可以使系统出现分叉，但是会留下密码学证据；

以上总结来说，dBFT机制最核心的一点，就是最大限度地确保系统的最终性，使区块链能够适用于真正的金融应用场景。

5.POOL验证池

基于传统的分布式一致性技术，加上数据验证机制。

优点：不需要代币也可以工作，在成熟的分布式一致性算法（Pasox、Raft）基础上，实现秒级共识验证。

缺点：去中心化程度不如bictoin；更适合多方参与的多中心商业模式。