企业区块链：被围困但仍然脆弱

您如何破解企业区块链？我们可能很快就会发现。

企业区块链产品主要被设计为专用网络，仅限于授权方。这应该使它们比诸如比特币和以太坊这样的公共链更有效率，因为更少的计算机必须就谁拥有什么达成协议，并且在某种意义上更安全，因为参与者彼此了解。

这些产品将最初为“狂野西部”加密货币开发的技术应用于一系列毫不含糊的公司活动，包括跨境交易，存储记录以及跟踪商品和信息。他们的承诺吸引了一些全球最大的公司和软件供应商。

但是，与所有软件一样，理论上也可以对它们进行黑客攻击，尽管如何防止黑客入侵的相关文献还没有充分记载。

咨询巨头安永全球区块链负责人保罗·布罗迪（Paul Brody）表示：“我不记得一家大型公司宣布因私有区块链遭到黑客入侵而造成任何形式的损失。”

阅读更多：认识红色约会，中国大区块链愿景背后鲜为人知的科技公司

随着公司开始将这些门控系统带出实验室并投入实际使用，这种情况可能会在不久的将来改变。

莫斯科反病毒软件供应商卡巴斯基（Kaspersky）的区块链负责人帕维尔?波克罗夫斯基（Pavel Pokrovsky）说：“大公司已经从事区块链应用了两年了。” “很快，他们将开始将这些应用程序投入生产，并且在管理风险方面可能面临新的挑战。随着更多此类解决方案的部署，对它们的攻击可能会变得更加频繁。”

内部工作

Pokrovsky和Brody都说，一个问题是，经过许可的私有系统最容易受到内部人员的威胁。

安永的布罗迪说：“在私有区块链中，内部人的风险特别高，因为与公共网络相比，在私有网络中通常用于保护信息的工作非常少。”为开放系统而苦恼“在公共网络上，我们广泛使用零知识证明和其他工具来使敏感数据保持脱链状态。”

他说，安永公司的企业客户中只有一两个达到了这种长度。 “结果，如果您可以访问网络或作为内部人员已经拥有它，则几乎所有关键数据实际上对所有成员都是可见的。”

一般来说，Pokrovsky说，理论上可以针对企业区块链网络使用的最常见的攻击类型是拒绝服务攻击。这与DDoS或分布式拒绝服务不同，后者的公司服务器被无用的请求所淹没，淹没了它们。

阅读更多：矿工把戏Stablecoin协议PegNet，将11美元变成了将近700万美元的ard积

另一方面，拒绝服务是一种针对性的攻击，它使用知识（也许是前雇员）而不是电子肌肉力量。

“假设某公司的员工被解雇，他对前雇主感到愤怒。他进入了黑暗的网络，并将对系统漏洞的了解卖给了黑客。” Pokrovsky说。

对于企业区块链，攻击者将需要知道节点的地址以及可以使它们脱机的内容。

Pokrovsky说：“攻击者可能淹没节点的数据存储容量，使无用的计算泛滥成灾。” “例如，我们客户的一个节点不能处理非常大的数字，例如12个零或更多。他们只会冻结。”

他说，解决这种攻击的方法是正确过滤进入节点的数据：“这是一个非常普遍的错误，而不是过滤传入的数据。”

把戏

当您知道节点在哪里时，利用此漏洞就很容易，并且与DDoS不同，它不需要以僵尸程序形式填充僵尸流量的僵尸程序来购买流量，也不需要部署大量硬件来攻击服务器。

“您只需编写一个简单的脚本并将其发送到节点，” Pokrovsky说。然后，节点脱机。博克罗夫斯基说，这可以用于犯罪目的，从破坏竞争对手到恐怖袭击。

事实是，为私有区块链设置节点的最便捷方法是使用云基础架构，从而使公司不必弄清楚如何在其办公室中设置物理节点的事实会加剧这种情况。

Brody说：“大多数私有区块链只有很少的节点，而且在许多情况下，它们都驻留在单个云基础架构中，从而造成单点故障。” “这也意味着它们远不是一成不变的信息存储，实际上很容易擦除或关闭。”

风险可能会有所不同。例如，Masterchain是在俄罗斯中央银行的主持下开发的银行企业区块链，是以太坊区块链的分支或经修改的副本，该区块链使用了工作量证明共识机制。拆除此类网络上的节点将导致在其余节点之间重新分配共识，这将继续验证交易。

不过，波克罗夫斯基说，如果事实证明，所有其余节点都由中央银行控制，那么网络参与者可能会争辩说，在其他所有人倒闭时记录的交易都是不合法的。

阅读更多：DeFi Project dForce在遭受2500万美元的黑客攻击后向所有受影响的用户退款

“ DDoS攻击组织起来既简单又便宜，但也很容易预防，Cloudflare等服务可以识别并有效地阻止它。但拒绝服务是无法通过此类服务使用的过滤器来识别的。”波克罗夫斯基说，并补充说，有时攻击者甚至不需要内部人员来定位节点-可以通过开源情报方法找到此类信息。

他说：“在发生攻击时，要修复这些漏洞非常困难，当一切崩溃时，每个人都到处乱跑，一切都着火了。” –最好在测试环境中预测此类情况。

不太聪明的合同

Pokrovsky说，如果区块链使用智能合约，它们也会受到攻击。

他说：“对于企业区块链而言，典型的攻击是合同包含的变量对于每个节点而言可能会有所不同，例如时间戳或随机数。” “在这种情况下，每个节点都会以不同的结果执行智能合约，因此交易不会记录到区块链中。”

如果智能合约引用了文档，则还有另一种可能的方法来攻击它：在文档中插入恶意代码。

阅读更多：黑客利用分散式比特币交易所Bisq中的漏洞窃取了25万美元

“与SQL注入攻击相同，为防止这种情况，您需要过滤传入数据并通过智能合约限制对外部数据的使用，” Pokrovsky说。

布罗迪说，大多数私有区块链没有得到广泛的区块链社区的关注也是一个弱点。

他说：“也许私有区块链带来的最大风险是自满的风险。” “没有被广泛使用并且没有进行社区社区严格测试和检查的开源代码，其安全性和可靠性远不如像比特币和以太坊这样的系统那样安全和可靠，后者几乎不断受到攻击和公开检查的影响而不断得到加强。”

卡巴斯基的角度

为了扩大收入来源，卡巴斯基于2018年进入了面向区块链的研究和咨询，首先专注于包括比特币和以太坊在内的公共区块链。

卡巴斯基一直在与加密货币交易所合作，并于2018年10月完成了对交易软件公司Merkeleon的安全审计。

在2019年10月，卡巴斯基也开始使用企业区块链。 Pokrovsky告诉CoinDesk，该公司审核了许多这样的系统，他只能公开命名其中两个：俄罗斯的区块链初创公司Insolar和Waves，自去年以来一直将重点从公共区块链转移到私有区块链。

卡巴斯基软件已于3月被《 PC Magazine》（PC Magazine）列为全球十大防病毒产品之一，但自2017年以来，由于美国对俄罗斯干预2016年总统大选的回应，卡巴斯基软件被禁止在美国政府计算机上安装。这项禁令导致美国和欧洲的销售骤降，但在俄罗斯和非洲的销售都在扩大。卡巴斯基报告称，2018年收入增长4％。

卡巴斯基的Waves审核从2019年11月到2020年1月底进行了三个月。“任务是检查节点，网络基础结构和节点的Web界面的安全性，” Pokrovsky说。

这家安全公司进行了所谓的“灰盒”测试，测试人员无法访问区块链平台的完整代码，但可以访问系统的管理员级别。这种测试将显示可能的内部威胁，例如前员工流氓。

测试结束后，卡巴斯基向客户端显示漏洞列表，客户端对其进行修复。然后再次运行测试。

Pokrovsky不会透露必须在Waves的区块链上“修复”哪些弱点。 （Waves确认聘用了卡巴斯基。）

—-

原文链接：https://www.coindesk.com/enterprise-blockchains-walled-off-yet-vulnerable

原文作者：Anna Baydakova

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。