freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网安信:SWARM(BZZ)即将于6月21日主网上线,有哪些潜在的风险值得注意
2021-06-18 12:02:31

ETH存储项目Swarm(BZZ)官方近日在推特宣布:Swarm(BZZ)将在6月21日分发除 MaximineList公募和空投外的所有代币,包含种子轮和私募轮,而MaximineList公募参与者将在8月2日前后获得代币,并同时启动主网上线。这一消息,让备受煎熬的各大Swarm(BZZ)运营企业心中的石头终于落了地。

这不禁让我们想起去年IPFS主网上线前,数千家IPFS运营企业疯狂抢占市场的情形,用盛况空前来形容也不为过。但与IPFS上线前夕举办了一次“时空竞赛”活动不同的是,Swarm(BZZ)并没有举办上线前的任何竞赛活动,各大Swarm(BZZ)运营企业都显得略微低调一些,一切布局都在悄悄进行当中。

1.jpg

当然,这样相对来说能有效避免各Swarm(BZZ)运营企业之间的恶性竞争,有利于整个Swarm(BZZ)生态的稳定发展。那是不是Swarm(BZZ)就不存在任何安全风险了呢?显然不是。事实上,相对于IPFS,基于以太坊公链的Swarm(BZZ)存在着更多潜在风险和威胁,尤其是外部的威胁,更加成熟且多样。

网安信安全团队结合自身多年在区块链领域的安全研究及近段时间的Swarm(BZZ)实践经验,一共总结出了目前Swarm(BZZ)正面临着10种来自内部、外部以及公链上的安全威胁,下面网安信安全团队就为大家一一进行分析。

1、基于bee连接界面的安全威胁

Swarm(BZZ)网络是通过数以万计的bee和clef组成的节点一起在geth公链上运行而组成,它相当于是一个内部的循环网络,但Swarm(BZZ)网络的中每个bee都必须与外网连接才能正常运行,而每个bee与外网的连接界面就是最易受到恶意攻击的地方。

(1)RCE远程代码执行漏洞攻击

RCE远程代码执行漏洞攻击是基于以太坊公链最常见的攻击方式之一,它可以让攻击者直接向Swarm(BZZ)服务器远程注入操作系统命令或者代码,例如挖矿代码,病毒等,从而控制整个后台系统,随心所欲的进行各种恶意操作,严重威胁Swarm(BZZ)服务器的安全。

(2)API越权漏洞攻击

Swarm(BZZ)网络上存在着多种多样的API接口,作为一种新经济模式,将会遭受更为猛烈的API越权漏洞攻击,它可以让攻击者很轻易的获取Swarm(BZZ)服务器中的各类敏感信息,甚至是服务器管理员的相关信息,这同样能威胁到Swarm(BZZ)服务器的安全。

(3)Dos拒绝服务攻击

Dos拒绝服务攻击是geth公链经常发生的一种攻击,它可以通过Swarm(BZZ)网络上的漏洞和网络协议实现中的缺陷对Swarm(BZZ)服务器造成内存损耗或带宽损耗,从而让Swarm(BZZ)服务器不能正常地对外界提供服务。

(4)DDos分布式拒绝服务攻击

DDos分布式拒绝服务攻击与Dos拒绝服务攻击一样是通过Swarm(BZZ)网络上的漏洞和网络协议实现中的缺陷实现攻击,但它更具威胁,它是通过控制分布在世界各个角落的“肉鸡”计算机形成僵尸网络进行更加猛烈且隐秘的攻击。

2.jpeg

(5)女巫攻击

作为一种新经济模式,Swarm(BZZ)网络的节点和算力还处于发展初期,就极容易遭受女巫攻击,女巫攻击核心是利用Swarm(BZZ)网络的数据冗余机制,通过虚假行为伪装成多个恶意的服务器节点,对被攻击服务器进行最大链接请求,导致被攻击服务器无法正常运行。

(6)日蚀攻击

日蚀攻击也是geth公链常见的攻击方式之一,它的作用与女巫攻击类似,通过伪造数以万计的恶意节点将Swarm(BZZ)网络上的某个节点重重包围,无法对外实现链接,就好像这个节点完全“消失”了一样。

2、基于clef钱包的内部管理风险                                                            

Clef钱包节点是存放BZZ代币的地方,因此它是Swarm(BZZ)网络中最重要的组成部分,也是各大Swarm(BZZ)运营企业重点保护的对象。虽然它不连接外网,但由于是重资产的地方,来自企业内部的管理风险将更具威胁。

(1)不安全的操作

特指企业内部技术人员对文件进行不安全的处理,黑客最擅长的就是将各种恶意代码隐藏在文件(图片、链接、文章)中,如果采用不安全的方式进行处理,就存在很大风险。

(2)社会工程学

企业内部人员或离职人员,通过掌握的部分重要信息资料,包括员工姓名、职位、工作内容等,威胁、收买或串通企业其他在职的技术人员,对企业重要资产进行盗取或恶意破坏。

(3)监守自盗

企业内部人员利用企业内部的安全流程管理漏洞,私自获取高级权限泄密或自盗;或在离开公司后,对公司不满,利用已掌握的流程和安全控制方面的漏洞发起攻击。

3.jpg

3、基于geth公链的同步问题风险

在一家企业内部肯定是每位员工负责不同的工作,且每位员工之间的工作具有依赖性,只有在统一执行和相互配合的前提下才能顺利完成各项任务,但如果其中某个员工或多个员工不能保持步调一致,就会很容易出现任务无法完成甚至流产,Swarm(BZZ)网络同样面临同步问题的威胁,Swarm(BZZ)网络是由数以万计的bee节点组成,每个节点都必须在同一个时间和相互配合来完成各自的工作,才能实现快速交易和出块,同样,如果其中某个节点或多个节点出现不同步问题,就会影响整个Swarm(BZZ)网络的运行,出现算力降低,资源严重浪费等不良现象。

当然,针对以上10种安全威胁,网安信安全团队早已准备了成熟的解决方案,例如针对REC、API等漏洞攻击威胁,网安信安全团队可以提供完善的渗透测试和漏洞扫描等风险评估服务,以及基于代码层面的漏洞加固服务;针对DDos、女巫、日蚀等特殊攻击威胁,网安信安全团队可以提供基于区块链安全大数据技术的白IP(安全名单)服务;基于企业内部管理风险,网安信安全团队可以提供7X24小时的智能安全监控与运维服务,时刻对企业内部各类操作行为进行安全审计等等。

# 渗透测试 # 数据泄露 # 服务器安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者