区块链应用系统若干脆弱性分析与评测

发布时间：2021-04-17 02:25

　　随着区块链技术的飞速发展,从金融到供应链,从版权保护到物联网,区块链逐渐渗透到各行各业。与此同时,区块链自身的安全问题也越来越引起人们的重视,区块链相关安全事故频发,给用户带来极大的经济损失,更体现出了安全的重要性。区块链具有去中心化、不可篡改、匿名性三大特性,由于其利用了公钥签名、哈希算法、梅克尔树等密码学技术,使得区块链一直被认为是安全高效的电子货币。然而事实证明,只要是人类编写的程序,比如区块链客户端、钱包应用、交易所等,难免出现各种各样的被黑客利用的漏洞。例如2015年比特币主程序爆出整数溢出漏洞,造出天价比特币,导致比特币区块回滚;2016年以太坊“The Dao”事件中,黑客利用智能合约的重入攻击漏洞盗走价值六千万美元的以太币,并导致以太坊硬分叉;各大交易所持续不断被黑客入侵,盗走巨额电子货币的事件屡见不鲜。本论文正是基于这样一个背景,研究针对区块链的攻击方法和防御技术,揭露区块链相关系统的脆弱性事实,主要是终端安全、Web交易所安全和智能合约安全,并提出相应的防御技术。本论文研究成果与创新点主要包括:1、本论文通过三个真实案例详细分析了区块链系统的脆弱性和攻击方式。第一个... 

【文章来源】：北京邮电大学北京市 211工程院校 教育部直属院校

【文章页数】：71 页

【学位级别】：硕士

【部分图文】：

图２－１区块链安全威胁分层结构图??２．１共识与奖励机制??

访问浏览器历史记录等。??ｂ．业务漏洞??对于一些风险较高的操作，如弹出广告、扣费短信、恶意安装ＡＰＰ等行为，??可通过监控程序自动化的完成异常行为检测，发现或阻止攻击行为；但对于某??些业务强相关的逻辑层漏洞，如登录验证不完善、不可信的敏感数据交付、业??务流程不健全等问题，就依赖人工分析来发现。??２．３智能合约安全??本节主要分析基于以太坊的智能合约的安全问题。??２．３．１整数溢出??以太坊虚拟机为２５６位系统，一个无符号整数的表示范围为０？２Ａ２５６－１。对??无符号整数进行运算时，若结果超出此范围，就会发生整数溢出，得出错误的??结果。例如计算２〃２５５＋２〃２５５，结果是０。下面看一个实例代码，假设某代币合??约中的批量转账功能函数如图２－２所示。??

的合约逻辑。当递归深度达到最大１０２４时，程序会立即异常退出，调用合约后??边的代码不会继续执行。??图２－３和图２－４是重入攻击的代码实例。其中Ｍｙｃｏｉｎ合约是包含重入攻击??漏洞的合约，代表某代币合约，合约地址为??卯＜§３沿，ＶｉｒｔｕａｌＵｓｅｒ?合约是攻击者??合约，代表某个虚拟的用户。??攻击步骤：??１、

【参考文献】：
期刊论文
[1]区块链安全及标准化[J]. 黄永洪,王惠莅,伍前红.  信息技术与标准化. 2018(03)
[2]区块链在金融行业的应用分析[J]. 杨丽.  劳动保障世界. 2017(14)
[3]关于区块链原理及应用的综述[J]. 姚忠将,葛敬国.  科研信息化技术与应用. 2017(02)

硕士论文
[1]动静结合的Android应用软件脆弱性分析技术研究[D]. 黄梦媛.北京邮电大学 2017



本文编号：3142631