蜜罐技術區塊鏈
⑴ 我聽很多人說蜜獾家族mcf系統是所有中心化交易所幣幣交易業務的噩夢,為啥
就問賬號密碼被盜,交易所資金捲逃等可怕不?這些都是中心化交易所的弊端,也是投資者最擔心的問題。蜜罐家族一個全新的系統,技術過硬,能在這個系統上發幣,交易。交易是全部運行在蜜罐家族的公鏈上,是錢包與錢包之間幣的直接交易,將中心化的交易所的交易是將交易者的幣及資金存在交易所這個大錢包內的弊端很好的避免,你說蜜罐如此大的優勢,中心化交易所能不是噩夢嗎?哈哈哈,蜜罐就是牛!
⑵ Chainge技術沙龍(0414)-區塊鏈技術的安全隱患
虛擬機設計
零錢整理
慢霧科技介紹
01| The Dao事件
以太坊第一個安全大事件
智能合約的取款
新建一個Bank,存入一部分錢,用Dao框架不停取錢。
取款-判斷余額-取款操作框架-轉空該賬戶下的所有錢。
簡單的例子就是,你的銀行卡有餘額100萬,你需要買一個10塊錢的飲料,但是支付的過程有漏洞,所以你銀行卡的所有錢都被轉走。
一、外部調用
02| 以太坊黑色情人節
起源:第一轉賬時間是2.14
ETH節點統計
客戶端、客戶端版本、OS系統。整個系統的龐雜
蜜罐檢測 (部署陷阱能檢測出黑客的點來)
net_version
判斷是主網還是測試網,只攻擊主網
3000+主網節點完全暴露
eth_accounts
獲取錢包賬號,涉及錢包賬號
eth_getBanlance
獲取有多少錢,被盜46000+ETH
why?
unlockAccount 函數介紹
該函數將使用密碼從本地的keystore 里提取private key 並存儲在內存中,函數第三個參數ration 表示解密後private key 在內存中保存默認是300 秒; 如果設置為0,則表的時間,示永久存留在內存,直至Geth/Parity 退出。
詳見:
https://github.com/ethereumgethereum/wiki/Management-APIs#personal_unlockaccount
節點存用戶的keystore信息(嚴重危險)
eth_getBlockByNumber
墨子掃描引擎,掃描有問題的節點,慢霧的以太坊安全事件的披露
被盜ETH,市值,被盜錢包數
具體內容可以查看慢霧發布的 以太坊黑色情人節專題
生態相關
ETH:礦池、錢包、web3、smart contract、dapp
BTC:礦池、錢包、Lightning Network
BTC RPC
防禦建議
管理數十萬用戶安全的接近百萬的比特幣
華人世界唯一被bitcoin.org網站展示的錢包
比特派多種區塊鏈資產(BTC、ETH、Token、分叉)
冷熱結合,確保安全
比特派-熱錢包
比特護盾-冷錢包/硬體錢包
區塊鏈安全事件
私鑰決定了區塊鏈資產的所有權,丟了私鑰也就相當於丟了一切。私鑰就是一個隨機數,這個隨機數的概率空間很大(256 位,即2^256)
錢包=生態入口
需要在安全的同時做到盡可能的開放
玩法的開放,技術的開放,通用的技術介面,生態的開放,把自己的資源進行導入。合作夥伴計劃:技術咨詢、區塊鏈技術支持、開放平台、入口支持、生態支持、海外市場合作。幫助夥伴實現區塊鏈轉型或區塊鏈項目孵化,安全、便捷實現真正落地的區塊鏈應用場景。
聯系方式 [email protected]
用戶風控系統,數百萬的數字貨幣用戶。
最大可能保持我們的數字資產
騙子故事:搶數字貨幣份額,錢沒到賬,冒充官方,交出助記詞
惡意錢包地址庫
詐騙錢包、黑客錢包、羊毛黨錢包
惡意網站庫
釣魚網站、空投網站、交易所、眾籌
風險合約庫
重名幣、空格幣、風險合約
安全事件庫
歷史安全事件提醒
最新事件提醒
盜幣風險監控
安全意識教育
可能出現被盜的情況
游戲即資產,稀缺資源,成為游戲運營者。最後大BOSS死於暴露了自己的密鑰。
通過社工(社會工程學)【欺騙的藝術】黑客攻擊手法,虛擬景象做出錯誤判斷讓自己陷入危機。
人始終是系統中最薄弱的環節,幣安背鍋的黑客事件。大客戶泄露自己的賬戶,調用API介面,自動交易。雖然沒丟幣但是黑客在期貨市場盈利。
關於安全錢包的帖子(來自小白憤怒控訴,實際沒有理解整個機制):
1、我沒私鑰和交易密碼,東西都在你們那我不知道安全在哪裡
2、密語算個毛,你告訴我拿著你們的密語能做什麼。
汽車和自行車事件,出了問題之後,弱勢的一方被原諒。負責的是更大的一方。平台替沒有安全意識的用戶背鍋。
對於大部分用戶來說,交易所的安全性比普通用戶自己管理的安全性要高,用戶的安全意識沒有提高,交給交易所幫助、協助你來管理你的錢包提示很多風險操作。
為什麼要隨機生成256位的密鑰,為什麼不能用戶自己去設置,如果自己設置會處於一個集中的區域,隨機值不夠,私鑰生成時就處於危險的狀態。
自己的安全認識不夠,所以自己造成的損失,先懟交易所先懟錢包。先想到得是你們的問題和漏洞造成的,不是我的操作失誤和密鑰泄露造成的。
幣派做的是大神和小白的交流之間的翻譯,做畫漫畫,寫段子的逗比。
幣小寶防騙指南漫畫,貢獻題材和內容。
⑶ 用於身份管理的區塊鏈:需要考慮的影響
隨著我們的生活越來越多地在網上度過,物理世界變得越來越數字化,身份的概念正在發生巨大變化。驗證我們是誰以及我們如何在線代表對個人和組織來說都至關重要。
人們希望對自己的身份擁有權力,並控制如何以及與誰共享他們的信息。毛球 科技 認為,組織正在面臨更高的安全威脅,同時需要在數字經濟中競爭、優化工作流程以及改善客戶和員工體驗。圍繞身份的不斷重組和不確定性只會減緩戰略創新。
身份和訪問管理( IAM )已成為管理和驗證數字身份的核心構建塊。但是,組織在IAM流程的設計和安全性方面面臨挑戰,促使他們考慮新技術。
區塊鏈不同於現有的IAM架構,因為區塊鏈本質上是分散的。DLT支持共享記錄保存,交易、身份驗證和交互通過網路而不是單個中央機構進行記錄和驗證。
隨著網路犯罪、威脅、欺詐和資產泄露事件的激增,組織在保護敏感數據、保護IT和運營基礎設施(OT)以及保護人們的身份方面發揮著至關重要的作用。許多企業IAM領導者和IT專業人士都在質疑DLT和共識技術的相關優勢和風險,毛球 科技 整理如下:
在IAM流程中使用DLT的問題涉及技術、法律、商業和文化影響。這些影響應該是支持IAM 的任何架構投資的決策過程的基礎。
在評估DLT可以在何處以及如何改進組織的IAM基礎設施和最終用戶體驗時,需要考慮下面14個因素。
公司習慣於中央和專有數據存儲的基礎設施,這為盜竊、破壞、黑客、欺詐和丟失創建了一個蜜罐。這種模式加劇了身份憑證持有者與尋求使用它們的人(包括最終用戶)之間的權力失衡。分布式身份驗證和治理有望提高效率以及個人和機構的利益,但與中心化的現狀背道而馳。
獲得許可的區塊鏈架構是一個需要關鍵考慮的因素,因為很少有企業用例可以完全公開。相反,用例需要保密性和許可權才能讀寫已知參與者的託管區塊鏈。這種區別對安全性、計算和可擴展性還有其他一些影響。
訪問級別、特權和限制會發生變化,可識別的屬性也是如此。DLT必須能夠在各種連接和物聯網環境中以最小的延遲准確處理驗證的頻率和復雜性。
用於驗證和分布式訪問的共識演算法會影響以可擴展和可持續的方式交付服務級別協議所需的速度和計算能力。這些限制推動了IAM區塊鏈的研發,並且是實施范圍不可或缺的一部分。
數字身份功能需要可移植。區塊鏈設計可以確保個人信息、可驗證性和適當的控制在用戶從一個組織過渡到另一個組織時跟隨他們。可以調整這些設計以及時促進此過程。
積累大量個人身份信息(PII)的組織面臨著新的和不斷變化的風險、法規、以隱私為重點的競爭以及消費者日益增長的不信任。DLT支持的用例——例如自我主權身份和數據最小化——通過諸如零知識證明之類的技術提供了更強大的隱私保護。信息和共享控制可以保留在最終用戶手中,而不是在數百個組織中復制和存儲PII。
存在許多身份和認證標准,包括角色、屬性、密鑰和權利。這些必須符合通常不存在的區塊鏈技術和跨鏈互操作性標准。
從集中式範式到分布式範式的轉變需要數據、API、系統和治理機制的互連和協調。這不僅發生在IT和OT資產和環境日益多樣化的大型組織中,而且發生在其他組織和生態系統合作夥伴中。
法規圍繞個人數據,從國際、聯邦和州數據保護法的拼湊到生物識別等特定領域。這些都與IAM和區塊鏈架構決策相關。例如,GDPR的被遺忘權使公民能夠刪除他們的個人信息——這一概念與將PII注冊到資料庫的不變性不一致。
不變性——無法刪除分類賬上的記錄——有利於安全,但它會影響PII的隱私。確定哪些信息保留在鏈上與鏈下對於此列表中的其他標准很重要。鏈上不變性必須平衡各方的要求和保障措施。
確保個人在任何特定時間擁有用於任何任務的正確加密密鑰需要能夠更新、撤銷和更新訪問許可權。這是一個獨特的IAM要求,DLT必須通過設計加以考慮。
IAM UX是分布式或集中式的,是數字身份、個人身份識別和個人數據控制機制的介面。雖然成功的IAM架構掩蓋了最終用戶的復雜性,但IAM UX的設計者不能忽視界面對於教育、同意、易用性和可訪問性的重要性。
隨著數據集的生成和使用規模越來越大——例如,生物識別、 情感 和基因組學——IAM領導者必須考慮當前和長期的風險和合規問題。他們應該專注於數據最小化和隱私工程技術。
新功能、設計和最佳實踐正在不斷改變IAM格局——更不用說區塊鏈、密碼學、人工智慧、網路安全、雲計算、量子計算和數字錢包等關鍵概念的突破性發展。這些都必須在設計時和實施後加以考慮。
與任何新興技術一樣,組織應該首先定義問題。然而,IAM-DLT決策不僅僅是另一項IT盡職調查工作。由於監視資本主義、權力動態、地緣政治威脅、可持續商業模式和人權問題是數字身份模型的基礎,因此IAM-DLT機會會對個人、機構和經濟產生影響。