隨著區(qū)塊鏈技術的飛速發(fā)展,從金融到供應鏈,從版權保護到物聯(lián)網(wǎng),區(qū)塊鏈逐漸滲透到各行各業(yè)。與此同時,區(qū)塊鏈自身的安全問題也越來越引起人們的重視,區(qū)塊鏈相關安全事故頻發(fā),給用戶帶來極大的經(jīng)濟損失,更體現(xiàn)出了安全的重要性。區(qū)塊鏈具有去中心化、不可篡改、匿名性三大特性,由于其利用了公鑰簽名、哈希算法、梅克爾樹等密碼學技術,使得區(qū)塊鏈一直被認為是安全高效的電子貨幣。然而事實證明,只要是人類編寫的程序,比如區(qū)塊鏈客戶端、錢包應用、交易所等,難免出現(xiàn)各種各樣的被黑客利用的漏洞。例如2015年比特幣主程序爆出整數(shù)溢出漏洞,造出天價比特幣,導致比特幣區(qū)塊回滾;2016年以太坊“The Dao”事件中,黑客利用智能合約的重入攻擊漏洞盜走價值六千萬美元的以太幣,并導致以太坊硬分叉;各大交易所持續(xù)不斷被黑客入侵,盜走巨額電子貨幣的事件屢見不鮮。本論文正是基于這樣一個背景,研究針對區(qū)塊鏈的攻擊方法和防御技術,揭露區(qū)塊鏈相關系統(tǒng)的脆弱性事實,主要是終端安全、Web交易所安全和智能合約安全,并提出相應的防御技術。本論文研究成果與創(chuàng)新點主要包括:1、本論文通過三個真實案例詳細分析了區(qū)塊鏈系統(tǒng)的脆弱性和攻擊方式。第一個... 

【文章來源】：北京郵電大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：71 頁

【學位級別】：碩士

【部分圖文】：

圖２－１區(qū)塊鏈安全威脅分層結構圖??２．１共識與獎勵機制??

訪問瀏覽器歷史記錄等。??ｂ．業(yè)務漏洞??對于一些風險較高的操作，如彈出廣告、扣費短信、惡意安裝ＡＰＰ等行為，??可通過監(jiān)控程序自動化的完成異常行為檢測，發(fā)現(xiàn)或阻止攻擊行為；但對于某??些業(yè)務強相關的邏輯層漏洞，如登錄驗證不完善、不可信的敏感數(shù)據(jù)交付、業(yè)??務流程不健全等問題，就依賴人工分析來發(fā)現(xiàn)。??２．３智能合約安全??本節(jié)主要分析基于以太坊的智能合約的安全問題。??２．３．１整數(shù)溢出??以太坊虛擬機為２５６位系統(tǒng)，一個無符號整數(shù)的表示范圍為０？２Ａ２５６－１。對??無符號整數(shù)進行運算時，若結果超出此范圍，就會發(fā)生整數(shù)溢出，得出錯誤的??結果。例如計算２〃２５５＋２〃２５５，結果是０。下面看一個實例代碼，假設某代幣合??約中的批量轉(zhuǎn)賬功能函數(shù)如圖２－２所示。??

的合約邏輯。當遞歸深度達到最大１０２４時，程序會立即異常退出，調(diào)用合約后??邊的代碼不會繼續(xù)執(zhí)行。??圖２－３和圖２－４是重入攻擊的代碼實例。其中Ｍｙｃｏｉｎ合約是包含重入攻擊??漏洞的合約，代表某代幣合約，合約地址為??卯＜§３沿，ＶｉｒｔｕａｌＵｓｅｒ?合約是攻擊者??合約，代表某個虛擬的用戶。??攻擊步驟：??１、

【參考文獻】：
期刊論文
[1]區(qū)塊鏈安全及標準化[J]. 黃永洪,王惠蒞,伍前紅.  信息技術與標準化. 2018(03)
[2]區(qū)塊鏈在金融行業(yè)的應用分析[J]. 楊麗.  勞動保障世界. 2017(14)
[3]關于區(qū)塊鏈原理及應用的綜述[J]. 姚忠將,葛敬國.  科研信息化技術與應用. 2017(02)

碩士論文
[1]動靜結合的Android應用軟件脆弱性分析技術研究[D]. 黃夢媛.北京郵電大學 2017



本文編號：3142631