CONTENT 目录 前言3 |01| 区块链概况 4 1/1始于比特币5 1/2不只是比特币5 |02| 区块链原理及特征6 2/1技术原理7 2/2区块链特征7 |03| 行业划分与安全诉求 8 3/1 数字货币9 3/1/1矿力9 3/1/2钱包10 3/1/3交易11 3/2技术应用11 3/2/1金融12 3/2/2数据存证12 3/2/3底层服务13 |04| 区块链安全攻击实例及分析 15 4/1应用层16 4/1/1交易所服务器未授权访问16 4/1/2交易所DDoS攻击18 4/1/3员工主机安全问题18 4/1/4恶意程序感染19 4/2智能合约层22 4/2/1重入攻击22 4/2/2未授权访问攻击24 4/2/3Solidity开发安全29 4/3底层结构层37 4/3/1区块链实现层安全隐患37 4/3/2DApp社区DoS攻击问题37 4/3/3EVM安全隐患38 4/4基础设施层40 4/4/1云服务商安全问题40 4/5安全意识与管理41 4/5/1社会工程学攻击41 4/5/2内部攻击42 4/5/3第三方风险控制失败42 4/5/4钓鱼攻击43 |05| 应对策略-区块链安全开发生命周期45 5/1培训46 5/2需求47 5/3设计47 5/4实现48 5/5验证49 5/6发布与响应50 Blockchain Security Guide区块链安全生存指南 前言3 |01| 区块链概况 4 1/1始于比特币5 1/2不只是比特币5 |02| 区块链原理及特征6 2/1技术原理7 2/2区块链特征7 |03| 行业划分与安全诉求 8 3/1 数字货币9 3/1/1矿力9 3/1/2钱包10 3/1/3交易11 3/2技术应用11 3/2/1金融12 3/2/2数据存证12 3/2/3底层服务13 |04| 区块链安全攻击实例及分析 15 4/1应用层16 4/1/1交易所服务器未授权访问16 4/1/2交易所DDoS攻击18 4/1/3员工主机安全问题18 4/1/4恶意程序感染19 4/2智能合约层22 4/2/1重入攻击22 4/2/2未授权访问攻击24 4/2/3Solidity开发安全29 4/3底层结构层37 4/3/1区块链实现层安全隐患37 4/3/2DApp社区DoS攻击问题37 4/3/3EVM安全隐患38 4/4基础设施层40 4/4/1云服务商安全问题40 4/5安全意识与管理41 4/5/1社会工程学攻击41 4/5/2内部攻击42 4/5/3第三方风险控制失败42 4/5/4钓鱼攻击43 |05| 应对策略-区块链安全开发生命周期45 5/1培训46 5/2需求47 5/3设计47 5/4实现48 5/5验证49 5/6发布与响应50 Blockchain Security Guide区块链安全生存指南 前言FOREWORD Blockchain Security Guide区块链安全生存指南 闻名世界的索马里海盗，执行者一般几个人、一艘船、并不强大的火力，抢船 成功后动辄百万、千万美金的赎金要求，拼的不是火力，不是船的大小，更多是对 海域的熟悉、地理位置的利用和敢想敢做的行为。 总结历史发生的所有区块链安全案例来看，这个新兴乍起的行业所遭受的攻击 过程和恶劣结果，会让人时不时恍惚觉得，这种攻击力量对比、手法策略和获利的 丰厚程度非常相似，现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。 当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始，索马里 海盗因为正规军的介入而逐渐销声匿迹。当前的区块链企业似乎也急需专业正规军的 介入，通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维 度进行深入研究，提出切实可行的有效手段，对当前“无墙”的攻击进行遏制。 由此产生了长亭科技、ConsenSys和比特大陆的此次联手。 随着整个区块链行业的兴起，长亭科技服务了多个相关企业，囊括多种类型。 在这个过程中，长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识， 但针对区块链安全的了解却是匮乏的；国内外研究区块链安全技术的机构并非不存 在，但信息渠道的不畅通导致了知识获取的延迟，遂决定通过多年在安全行业的积 累，联合优质且真正能解决问题的资源，将各自的研究成果集合，在当前阶段，给 区块链从业者一个相对客观的可参考、可查找资源。 长亭科技因擅长攻防技术的背景，是国内最早开始研究并服务区块链企业的网 络安全公司之一，积攒了丰富的素材，并利用多年攻防研究和实战经验，梳理了相 对成熟的方法论；ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年，总 部位于纽约，全球团队超过600人，旗下安全团队ConsenSys Diligence为以太坊 生态提供安全服务、工具和最佳实践指南；比特大陆创始人吴忌寒，是第一个将比 特币创始人中本聪的论文翻译成中文的人，2013年联合詹克团创立比特大陆，这家 成立不到五年的中国公司，被称为比特币产业链上的隐形帝国。三家企业从更丰富 的视角对报告内容进行了补充，尽量为区块链从业者提供更多维度的参考信息。 。。。。。。