CSA GCR：区块链的十大攻击、漏洞及弱点（2022）（30页）.pdf

1、2022 云安全联盟大中华区-版权所有1区块链的十大攻击、漏洞及弱点2022 云安全联盟大中华区-版权所有3序序 言言分布式账本技术（DLT）被称为技术基础结构和协议，用于在分布于多个位置的网络中以不变的方式进行验证，同时访问和记录更新。由于 DLT 在各个领域和行业中的潜力， 因此在技术领域正变得越来越流行。 自 12 年前比特币问世以来，加密货币和支持它们的平台一直是攻击的目标。 攻击者期望的结果是尽可能多地偷取加密货币利润。为实现这一目标，不良行为者可以针对区块链协议本身攻击特定平台。区块链的十大攻击、漏洞及弱点（Top 10 Blockchain Attacks，Vulnerabili

2、ties & Weaknesses）这份报告覆盖了针对加密货币和 DLT 的十大攻击类型。也对这十大攻击类型进行了整体概述。虽然每种攻击类型都可以成为一篇单独的文章，因为篇幅有限，在此次报告中只总结描述了十大攻击，并提供了说明性示例和代价高昂的教训。本文可以帮助开发者，安全合规人员以及日常加密货币用户教育自己如何避免落入许多相同的陷阱。文章深入浅出，总结详尽，值得大家参考。李雨航 Yale LiCSA 大中华区主席兼研究院院长2022 云安全联盟大中华区-版权所有4致致 谢谢本文档区块链的十大攻击、漏洞及弱点(Top-10-Blockchain-Attacks-Vulnerabilities-

3、&-Weaknesses)由 CSA 专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组中文版翻译专家组（排名不分先后）：组长：顾伟翻译组：余晓光付艳艳鹿淑煜冯昌盛 苏泰泉刘洁周轩立郑宁审校组：姚凯余晓光付艳艳鹿淑煜冯昌盛苏泰泉刘洁周轩立感谢以下单位对本文档的支持与贡献（按拼音排序）：北京三未信安科技发展有限公司华为技术有限公司OPPO 广东移动通信有限公司上海市数字证书认证中心有限公司英文版英文版专家组：专家组：原创作者:Julio BarraganJohn JefferiesDaveJevans原创贡献者:Bill IzzoAshish MehtaJyoti Ponnapal

4、liKurt SeifriedAdalberto ValleCSA 研究项目经理：Hillary BaronCSA 员工：Claire Lehnert (Design)AnnMarie Ulskey (Cover)特别鸣谢：CipherTrace在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱：researchc-； 云安全联盟 CSA 公众号。2022 云安全联盟大中华区-版权所有5目录目录序 言. 3致 谢.4执行摘要. 7十大 DLT 攻击类型.81. 交易所黑客攻击.82. DeFi 黑客攻击.112.1 案例研究. 123. 51% 攻击

5、.143.1 案例研究. 153.2 缓解 51%攻击. 154. 钓鱼. 154.1 案例研究. 175. 抽地毯/退出骗局.175.1 案例研究.186.勒索软件. 196.1 勒索软件即服务（RaaS）.196.2 打击勒索软件. 206.3 将损害降至最低的最佳做法. 207. SIM 卡交换攻击. 217.1 SIM 卡交换攻击的工作原理. 217.2 防止 SIM 卡交换攻击.217.3 案例研究.228. 投资骗局. 239. 高调倍增骗局. 249.1 案例研究.249.2 缓解倍增骗局. 2610.勒索.2610.1 防止勒索攻击.2711.额外红利：钱包安全.2811.1

6、伪造的软件钱包. 282022 云安全联盟大中华区-版权所有611.2 伪造的硬件钱包. 29总结. 31参考材料. 322022 云安全联盟大中华区-版权所有7执行摘要执行摘要注意：对于虚拟资产的顶级攻击将会针对企业区块链再次发生注意：对于虚拟资产的顶级攻击将会针对企业区块链再次发生有一种强烈的误解，认为分布式账本技术 (DLT) 系统的不可篡改性使其本质上是安全的。但是，针对区块链应用程序的攻击途径广泛存在，攻击针对从密码学原语到共识机制漏洞或智能合约漏洞的范围。自 12 年前比特币问世以来， 加密货币和支持它们的平台一直是攻击的目标。攻击者期望的结果是尽可能多地偷取加密货币利润。为实现这