企業導入區塊鏈隱藏的資安危機 駭客攻擊手法一次破解

時至今日，區塊鏈技術已被廣泛應用在各行各業之中，Gartner研究報告指出，除了加密貨幣外，企業導入區塊鏈技術可應用在資產追蹤、保險理賠、身分管理/KYC(know your customer)、文件紀錄、金流支付、智慧城市/IoT物聯網、貿易融資等等，企業級區塊鏈正逐漸提升不同商業生態系之間的信任與透明度，成為數位轉型的關鍵支柱。區塊鏈透明公開的特性可儲存公開驗證及不可竄改的紀錄，點對點的系統提供了可驗證的帳本維護，從而解決中心化系統單點故障和單點信任問題。儘管區塊鏈技術帶來許多好處，然而也出現了相關的安全風險，以下將從區塊鏈架構、點對點系統、區塊鏈應用程式三個層面來探討區塊鏈資安問題。

區塊鏈架構

智能合約漏洞

智能合約(Smart Contracts)是區塊鏈中制定合約所使用的特殊協議，負責將雙方的協議條款寫入代碼中，此外智能合約也可以把Dapp(去中心化應用程式)放到區塊鏈上，把Dapp轉成區塊鏈聽得懂的語言。2016年的the Dao遭竊事件即是智能合約漏洞的典型代表，該次事件中駭客成功盜領約370萬顆以太幣，並迫使以太坊進行了硬分叉；2021年的Compound被盜事件則是發生在之前一次協議更新中引入的錯誤，導致用戶在Reservoir金庫上調用某個特定函數時就會將大量COMP代幣分發到錯誤的地址，造成總共1.62億美元的損失。

Slither是一個用 Python 編寫的 Solidity 的靜態檢測工具，可以用於檢測Solidity程式漏洞，其功能和優點包括：

• 檢測 Solidity的常見程式漏洞

• 標識錯誤在源程式中發生的位置

• 可以集成到 CI/CD 中使用

• 正確解析 99.9% 的所有公共 Solidity 程式

• 掃描速度快，每個智能合約平均執行時間少於 1 秒

如以太坊的智能合約程式一旦發布便無法更改，也因此程式的安全性尤為重要，使用Slither等檢測工具對程式碼進行檢測，可避免因程式漏洞所引致的各種損失。

開放原始碼漏洞

根據 Gartner 的「軟體結構分析市場指南」(Market Guide for Software Composition Analysis) 指出，幾乎所有企業在進行程式開發時都會使用到開發原始碼軟體，也因此很容易成為資安漏洞，讓惡意程式和惡意程式碼取得機密程式碼並駭入企業基礎架構。DevOps流程可讓一個應用程式開發減少至少650小時以上的時間，然而SecOps與DevOps 彼此之間卻經常出現流程不連貫、工具無法搭配以及溝通困難的問題。

開放原始碼漏洞掃描工具snyk可以與Gitlab、Github、BitBucket等源碼平台整合，實現CI/CD流程，並協助管理軟體授權的風險與責任，讓資安團隊掌握原本看不到的程式碼漏洞。

區塊鏈點對點系統

區塊鏈底層的點對點架構是其安全性及可訪問性的核心，也促使了多半的攻擊都發生在此處，包含DDoS攻擊、DNS攻擊、BGP挾持攻擊、日蝕攻擊(Eclipse attacks) 、51%攻擊等等。

DDoS攻擊、DNS攻擊、BGP挾持攻擊、日蝕攻擊(Eclipse attacks)

DDoS攻擊是最常見的網路攻擊手法，不僅發生在區塊鏈技術，也發生在所有網路技術之中，攻擊者透過不斷向區塊鏈發起的大量無用交易致使整個程式服務中斷或停擺，日蝕攻擊則是攻擊者控制網路節點的訪問，使受害者只能接收由攻擊者操縱的訊息。2022年「邊走邊賺(Move to Earn)」遊戲項目STEPN即在三個月內連續遭受三次DDoS攻擊導致伺服器停擺。

藉由植入惡意節點資訊的DNS挾持攻擊和藉由挾持路由器來達到控制全節點的BGP挾持攻擊，皆會誘導用戶連結到惡意網路之中，進而竊取用戶憑證及其他個資。

對此IMPERVA Application Security提供了完整的雲端安全解決方案，三秒即可啟動防禦，在Gartner評比中是全球唯一一家連續八年獲選領導者象限的供應商，藉由隱藏企業的IP位址及DNS變更，將流量導向全球雲端處理中心針對每個請求進行過濾，加上IMPERVA擁有強大的WAF與規則引擎，可針對OWASP頒布的Top 10進行有效防禦，大幅降低被攻擊的可能性，基於雲端式防禦服務，所有的防護資料庫皆會即時更新，IMPERVA 提供後台便於管理及接入(Implement)可快速接入應用服務保護應用資產，其服務包含了：

• SLA保證3秒即可啟動防禦機制

• 提供3/4層~第七層的DDoS防護

• DNS防護

• BGP(Border Gateway Protocol )流量清洗

• Edge IP(DDoS Protection for Individual IPs)

• 機器人管理(Bot Management)

• ABP進階機器人保護

• ATP帳戶侵權保護(Account Takeover Protection)

• 應用程式安全(API Security)

 51%攻擊

51%攻擊又稱為多數人攻擊(Majority Attack)，意思是指只要50%左右的計算能力就可以攻擊，已達成雙重支付(雙花攻擊)Double Spending，但實際上要耗損的成本過高，因此現實中比特幣、以太坊皆沒有被此手法攻擊過，然而卻有可能會發生在小型區塊鏈系統中。

區塊鏈應用程式

私鑰竊取

近年來發生許多加密貨幣交易所遭駭客入侵盜走鉅額資產等新聞層出不窮，但許多時候原因並非出在區塊鏈本身被破解，而是私鑰被竊取。因此私鑰管理就成為企業導入區塊鏈的一大課題。

Vault 是由Hashicorp 所開發、完全開源的秘密管理(Secret Management)系統，可集中是管理API憑證、密碼、證書等等，除了儲存靜態秘密，Vault 也能動態生成秘密(Dynamic Secret)，讓應用程式只能在一段時間內存取敏感資料。Vault提供了「加密即服務」（Encryption as a Service, EaaS）技術，在雲原生(Cloud Native)環境中，雲服務平台如AWS、GCP、Azure都有相對應的整合方案，包括Kubernetes、MySQL 等都有整合 Vault 的方式。Vault 支援開發者能夠為其開發因為不同需求的外掛程式，開發者可將金庫簽章的條件及方法寫成外掛程式，透過API與Vault串接，即可在金庫裡完成私鑰簽章同時不需對使用者揭露私鑰目的，透過此方法來保管私鑰。

反組譯程式碼

隨著智慧手機、平板的普及，企業在開發App應用程式時安全的重要性也跟著提高。appGuard採用AES-256加密技術，將App應用程式加上一層保護外殼，提供企業安全的APK (Android平台)或IPA (iOS平台)的App軟體，再提供終端使用者下載使用，針對App運作中需要特別保護的資安數位高敏感性訊息標的，如記憶體區間、原始碼，加上法規規範的諸如電子憑證、交易憑證等關鍵使用者行為訊息，提供完整的保護措施。appGuard提供三大關鍵保護功能包含:

• 防止反編譯，針對App的原始碼做獨家加密保護，並同時提供完整性校驗以防止App被竄改。

• 防止手機記憶體被駭客掃描，阻斷各式各樣的惡意自動偵測，制止從手機記憶體上洩漏任何機敏資訊的機會。

• 強化保護市面流行的WebView開發的App，針對關鍵HTML或Java等檔案做持續性的加密儲存，降低App開發團隊的資安風險與研發負擔。

端點防護

 加密貨幣挖礦挾持(Cryptojacking)、勒索軟體、網路釣魚

除了區塊鏈技術衍生的相關安全風險之外，「端點」也是不可忽略的一環，從桌上型電腦、筆記型電腦、智慧手機等企業員工賴以發揮生產力的裝置，當端點連接至企業網路外的數位資源時，更是將自身暴露在風險之中。CrowdStrike 是第一家也是唯一一家整合了次世代防毒(AV)、端點檢測和回應 (EDR) 以及7天24小時威脅偵測服務服務的公司，使用複雜的非特徵比對的人工智慧、機器學習與以攻擊行為進行分析(IOA)的威脅預防技術，在抓取及記錄端點活動時阻擋攻擊，並運用豐富的 API 自動化管理、偵測及回應可以完全取代傳統的防毒軟體，保護企業免於受到各種網路攻擊。

如有任何問題，歡迎洽詢：Alex Kuo
email: alex.kuo@gaia.net
手機: 0916-961-302
Telegram: @amkuo
Line: amkkkkkk

微信: amkuo117