22峰区块链安全态势

1、“博览Boolan”服务号区块链安全态势360 - Red Team议程区块链基本概念与国内外现状区块链安全现状及趋势区块链安全BLC-Summit32101区块链基本概念BLC-Summit区块链发展3.0？2.0ETH1.0BTCBLC-Summit区块链对称/非对称加密算法公钥和私钥技术数字签名和防伪技术学&数字签名共识算法工作量证明（POW、POS、DPOS等）零知识证明技术KEY-VALUE签名和 区块数据HASH算法P2P网络点对点网络通信邻节点路由及发现技术数据验证BLC-Summit国际区块链标准现状BLC-SummitISO：2016年9月，成立了ISO/TC307区块链及化

2、的分布式账本技术组，IEEE：2017年12月，正式成立IEEE区块链资产委员会，将致力于推动区块链负责区块链及分布式账本技术的标准研制，设立参考架构研究组、安全和隐私研究组、智能合约研究组等。资产相关国际标准的制订，对市场上的代币进行评测和认证。ITU ： 2017 年， ITU-T成立三个焦点组、一个问题小组和多个项目，区块W3C：2016年7月，举办区块链专题会议，探讨在Web中应用及Web技术支链整体发展、安全及物联网、下一代网络演进、数据管理应用等开展标准化工作。持分布式记账技术，开展API和据格式、识别和等标准化工作区块链通信机制、技术和应用发展白皮书（2016）提出了典型的区块链

3、技术架构，机制、安全机制、共识机制、应用组件等。BLC-Summit02区块链安全现状及态势BLC-Summit区块链2016年10月，互联网应急中心联合360代码卫士团队25 款具有代表性的区块链开源进行安全检测，发布了区块链开源安全漏洞分析报告。本次检测总计发现高危漏洞 746 个，中危漏洞 3497 个。BLC-Summit区块链开源高危漏洞分布n 输入验证与表示漏洞 缓冲区溢出 跨站脚本 注入等n 代码质量问题 未使用的局部变量 空指针解n 安全特性 越权等 不安全的随机数等BLC-Summit安全趋势BLC-Summit安全造成的损失BLC-Summit疑问1.是如何的呢？2. 区块

4、链产业哪些部分会呢？3. 我们应该如何防御呢？BLC-Summit区块链安全态势数字货币底层技术漏洞数字货币所安全工程学低成本高数字货黑产下游的套利方案数字钱包问题BLC-Summit工程学区块链，工程学风靡，各种频出：个人的APT将会越来越多利用币圈的明星效应进行ICO私募的安全隐患BLC-Summit个人APT比特币大户的APT将会越来越多： APT的手法在于隐匿，特定对象，长期、有计往往是以划性和组织性地窃取数据。但是这种或大型企业的关键基础设施为目标 区块链的APT有可能以或者公司作为目标变为个人电脑或者中数字货币钱包的私钥。BLC-Summit利用币圈的明星效应进行： 以太坊创始人V

5、italik Buterin下的BLC-SummitICO私募安全隐患王团长私募群诈骗过程：趁夜里管理员不在，王团长的头像和名字，然后在群里发收币地址缺乏安全意识的网友向假地址打币BLC-Summit数字货币所COINSECURE钱包窃取取438比特币COINSECURE价值超过300万MT.GOX曾经世界第一的所被导致其最终被迫宣布损失约3.6亿美金币安所用户数据者操纵币市，通过做空单获利约1.1亿美金COINCHECK遭5.3亿美金。BLC-Summit黑产方案与时俱进数字货黑产下游的方案：服务器植入挖矿程序勒索羊毛党：空投、分糖果向量较高的的页面中植入挖矿脚本，所有该页面的用户都会成为挖

6、矿的节点，向的矿池提供算力。以币为主挖矿带来的新型IOT安全问题对公网开放的矿机，通过漏洞或者的进入矿机，配置的矿池地址BLC-Summit数字钱包安全n 私钥安全性n 随机数安全n 弱口令n BLC-Summit区块链底层漏洞n共识机制安全51%算力（XVG挖矿）n智能合约安全THE DAO整数溢出漏洞：BEC/SMT/HXGBLC-SummitFOMO3DBLC-SummitFOMO3D游戏：fomo3D是一款部署在以太坊网络上的乐透游戏类（Dapp）游戏相关的智能合约代码完全公开，游戏开发对游戏没有修改和的权限这款DAPP是完全去中心化的，一直可以运行直到以太坊网络挂掉无论奖金池里的资金

7、有多么诱人，系统只会按照智能合约写定的规则来进行分配游戏规则：运行逻辑：24 小时KeyBuy为什么要买入key？怎么保证后来者甘心花高价买key? 游戏什么情况下结束？游戏结束后会怎样？BLC-Summit区块链安全风险分析设计安全风险实现安全风险使用安全风险开源安全漏洞私钥窃取/托管钱包口令盗取/算法协议安全漏洞共识协议安全漏洞比如51%智能合约程序漏洞钱包安全漏洞系统开发安全漏洞木马隐私 P2P通信协议安全漏洞 泄露终端运行环境安全风险 BLC-Summit03360区块链安全BLC-Summit区块链安全DAppsSmartContractDigital WalletInfrastru

8、ctureMining PoolCryptocurrencyExchangeBLC-Summit智能合约智能合约系统（区块链态势感知子系统）：异常tranion和 ether转账智能合约自动化审 静态审 动态审：BLC-Summit智能合约-静态审计静态分析： 基于源码直接运行 词法分析、语法分析、AST分析、流分析、污点分析、无效代码分析等 规则匹配命中、符号执行等流分析、数据BLC-Summit智能合约-动态审计动态分析： 基于程序执行 使用人工、自动生成测试案例 输出结果错误、程序、违背断言等 动态符号执行、Fuzzing等技术BLC-Summit所安全威胁主机安全业务逻辑支付体系账户体系BLC-Summit矿池矿机安全威胁0Day渗透 弱口令奖励地址被篡改算力BLC-Summit数字货币钱包安全威胁代码未加固BLC-Summit数字货币钱包安全威胁BLC-SummitDAPPS安全威胁认证会话管理合约审计利用Dapp函数合约BLC-Summit公链安全威胁通信安全-P2P、51%安全-数据库加密安全-sha256问题共识机制-Pow、PoS、DpoS、More激励机制-奖励不合理矿工下线，51%BLC-SummitBLC-SummitBLC-Summit即将推出区块链安全白皮书(2018)新趋势、新浪潮下的