雖然有著越來越多的人參與到區(qū)塊鏈的行業(yè)之中，然而由于很多人之前并沒有接觸過區(qū)塊鏈，也沒有相關(guān)的安全知識(shí)，安全意識(shí)薄弱，這就很容易讓攻擊者們有空可鉆。面對(duì)區(qū)塊鏈的眾多安全問題，慢霧特推出區(qū)塊鏈安全入門筆記系列，向大家介紹區(qū)塊鏈安全相關(guān)名詞，讓新手們更快適應(yīng)區(qū)塊鏈危機(jī)四伏的安全攻防世界。

異形攻擊 Alien Attack

異形攻擊（Alien Attack）實(shí)際上是一個(gè)所有公鏈都可能面臨的問題，又稱地址池污染，是指誘使同類鏈的節(jié)點(diǎn)互相侵入和污染的一種攻擊手法，漏洞的主要原因是同類鏈系統(tǒng)在通信協(xié)議上沒有對(duì)不同鏈的節(jié)點(diǎn)做識(shí)別。

這種攻擊在一些參考以太坊通信協(xié)議實(shí)現(xiàn)的公鏈上得到了復(fù)現(xiàn)：以太坊同類鏈，由于使用了兼容的握手協(xié)議，無(wú)法區(qū)分節(jié)點(diǎn)是否屬于同個(gè)鏈，利用這一點(diǎn)，攻擊者先對(duì)以太坊節(jié)點(diǎn)地址進(jìn)行收集并進(jìn)行惡意握手操作，通過跟節(jié)點(diǎn)握手達(dá)成污染地址池的目的，使得不同鏈的節(jié)點(diǎn)互相握手并把各自地址池里已知的節(jié)點(diǎn)推送給了對(duì)方，導(dǎo)致更多的節(jié)點(diǎn)互相污染，最終擴(kuò)散致整個(gè)網(wǎng)絡(luò)。遭受異形攻擊的節(jié)點(diǎn)通常會(huì)通信性能下降，最終造成節(jié)點(diǎn)阻塞、主網(wǎng)異常等現(xiàn)象。相關(guān)公鏈需要注意持續(xù)保持主網(wǎng)健康狀態(tài)監(jiān)測(cè)，以免出現(xiàn)影響主網(wǎng)穩(wěn)定的攻擊事件出現(xiàn)。

釣魚攻擊 Phishing

所謂“釣魚攻擊（Phishing）”，指的是攻擊者偽裝成可以信任的人或機(jī)構(gòu)，通過電子郵件、通訊軟件、社交媒體等方式，以獲取收件人的用戶名、密碼、私鑰等私密信息。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)釣魚攻擊不僅可以托管各種惡意軟件和勒索軟件攻擊，而且更糟糕的是這些攻擊正在呈現(xiàn)不斷上升的趨勢(shì)。

2018 年 2 月 19 日，烏克蘭的一個(gè)黑客組織，通過購(gòu)買谷歌搜索引擎中與加密貨幣相關(guān)的關(guān)鍵詞廣告，偽裝成合法網(wǎng)站的惡意網(wǎng)站鏈接，從知名加密貨幣錢包 Blockchain.info 中竊取了價(jià)值超過 5000 萬(wàn)美元的數(shù)字加密貨幣。而除了上述這種域名釣魚攻擊（即使用與官網(wǎng)相似的網(wǎng)址）外，其他類型的釣魚攻擊包括郵件釣魚攻擊、Twitter 1 for 10（支付 0.5-10ETH 返利 5-100ETH）、假 App 和假工作人員等。2019 年 6 月份，就有攻擊者向多家交易所發(fā)送敲詐勒索信息，通過郵件釣魚攻擊獲取了超 40 萬(wàn)美元的收益。

慢霧安全團(tuán)隊(duì)建議用戶保持警惕，通過即時(shí)通訊 App、短信或電子郵件獲取到的每條信息都需要謹(jǐn)慎對(duì)待，不要在通過點(diǎn)擊鏈接到達(dá)的網(wǎng)站上輸入憑據(jù)或私鑰，在交易時(shí)盡可能的使用硬件錢包和雙因素認(rèn)證（2FA），生態(tài)中的項(xiàng)目方在攻擊者沒有確切告知漏洞細(xì)節(jié)之前，不要給攻擊者轉(zhuǎn)賬，若項(xiàng)目方無(wú)法準(zhǔn)確判斷和獨(dú)自處理，可以聯(lián)系安全公司協(xié)助處理。

木馬攻擊 Trojan Horse Attack

木馬攻擊（Trojan Horse Attack）是指攻擊者通過隱藏在正常程序中的一段具有特殊功能的惡意代碼，如具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和 DDoS 攻擊等特殊功能的后門程序，將控制程序寄生于被控制的計(jì)算機(jī)系統(tǒng)中，里應(yīng)外合，對(duì)被感染木馬病毒的計(jì)算機(jī)實(shí)施操作?？捎脕砀`取用戶個(gè)人信息，甚至是遠(yuǎn)程控制對(duì)方的計(jì)算機(jī)而加殼制作，然后通過各種手段傳播或者騙取目標(biāo)用戶執(zhí)行該程序，以達(dá)到盜取密碼等各種數(shù)據(jù)資料等目的。

在區(qū)塊鏈領(lǐng)域，諸如勒索木馬、惡意挖礦木馬一直是行業(yè)內(nèi)令人頭疼的安全頑疾，據(jù)幣世界報(bào)道，隨著比特幣的飆升，推動(dòng)整個(gè)數(shù)字加密貨幣價(jià)格回升，與幣市密切相關(guān)的挖礦木馬開始新一輪活躍，僅 2019 年上半年挖礦木馬日均新增 6 萬(wàn)個(gè)樣本，通過分析發(fā)現(xiàn)某些新的挖礦木馬家族出現(xiàn)了快速、持續(xù)更新版本的現(xiàn)象，其功能設(shè)計(jì)越來越復(fù)雜，在隱藏手法、攻擊手法方面不斷創(chuàng)新，與殺軟廠商的技術(shù)對(duì)抗正在不斷增強(qiáng)。

供應(yīng)鏈攻擊 Supply Chain Attack

供應(yīng)鏈攻擊（Supply Chain Attack）是一種非?？膳碌墓舴绞?，防御上很難做到完美規(guī)避，由于現(xiàn)在的軟件工程，各種包/模塊的依賴十分頻繁、常見，而開發(fā)者們很難做到一一檢查，默認(rèn)都過于信任市面上流通的包管理器，這就導(dǎo)致了供應(yīng)鏈攻擊幾乎已經(jīng)成為必選攻擊之一。把這種攻擊稱成為供應(yīng)鏈攻擊，是為了形象說明這種攻擊是一種依賴關(guān)系，一個(gè)鏈條，任意環(huán)節(jié)被感染都會(huì)導(dǎo)致鏈條之后的所有環(huán)節(jié)出問題。

供應(yīng)鏈攻擊形式多樣，它可能出現(xiàn)在任何環(huán)節(jié)。2018 年 11 月，Bitpay 旗下 Copay 遭遇供應(yīng)鏈攻擊事件，攻擊者的攻擊行為隱匿了兩個(gè)月之久。攻擊者通過污染 EvenStream（NPM 包）并在后門中留下針對(duì) Copay 的相關(guān)變量數(shù)值，對(duì) Copay 發(fā)起定向攻擊從而竊取用戶的私鑰信息。而就在2019 年 6 月 4 日，NPM Inc 安全團(tuán)隊(duì)剛與 Komodo 聯(lián)手成功挫敗了一起典型的供應(yīng)鏈攻擊，保護(hù)了超過 1300 萬(wàn)美元的數(shù)字加密貨幣資產(chǎn)，攻擊者將惡意程序包放入 Agama 的構(gòu)建鏈中，通過這種手段來竊取錢包應(yīng)用程序中使用的錢包私鑰和其他登錄密碼。

供應(yīng)鏈攻擊防不勝防且不計(jì)代價(jià)，慢霧安全團(tuán)隊(duì)建議所有數(shù)字加密貨幣相關(guān)項(xiàng)目（如交易所、錢包、DApp 等）都應(yīng)該強(qiáng)制至少一名核心技術(shù)完整審查一遍所有第三方模塊，看看是否存在可疑代碼，也可以通過抓包查看是否存在可疑請(qǐng)求。