区块链的十大攻击、漏洞及弱点.pdfVIP

区块链的十大攻击、漏洞

及弱点

©2022云安全联盟大中华区-版权所有1

序言

分布式账本技术（DLT）被称为技术基础结构和协议，用于在分布于多个位置

的网络中以不变的方式进行验证，同时访问和记录更新。由于DLT在各个领域和

行业中的潜力，因此在技术领域正变得越来越流行。自12年前比特币问世以来，

加密货币和支持它们的平台一直是攻击的目标。攻击者期望的结果是尽可能多地

偷取加密货币利润。为实现这一目标，不良行为者可以针对区块链协议本身攻击

特定平台。

《区块链的十大攻击、漏洞及弱点》（Top10BlockchainAttacks，

VulnerabilitiesWeaknesses）这份报告覆盖了针对加密货币和DLT的十大攻

击类型。也对这十大攻击类型进行了整体概述。虽然每种攻击类型都可以成为一

篇单独的文章，因为篇幅有限，在此次报告中只总结描述了十大攻击，并提供了

说明性示例和代价高昂的教训。本文可以帮助开发者，安全合规人员以及日常加

密货币用户教育自己如何避免落入许多相同的陷阱。文章深入浅出，总结详尽，

值得大家参考。

李雨航YaleLi

CSA大中华区主席兼研究院院长

©2022云安全联盟大中华区-版权所有3

目录

序言3

致谢4

执行摘要7

十大DLT攻击类型8

1.交易所黑客攻击8

2.DeFi黑客攻击11

2.1案例研究12

3.51%攻击14

3.1案例研究15

3.2缓解51%攻击15

4.钓鱼15

4.1案例研究17

5.抽地毯/退出骗局17

5.1案例研究18

6.勒索软件19

6.1勒索软件即服务（RaaS）19

6.2打击勒索软件20

6.3将损害降至最低的最佳做法20

7.SIM卡交换攻击21

7.1SIM卡交换攻击的工作原理21

7.2防止SIM卡交换攻击21

7.3案例研究22

8.投资骗局23

9.高调倍增骗局24

9.1案例研究24

9.2缓解倍增骗局26

10.勒索26

10.1防止勒索攻击27

11.额外红利：钱包安全28

11.1伪造的软件钱包28

©2022云安全联盟大中华区-版权所有5

11.2伪造的硬件钱包29

总结31

参考材料32

©2022云安全联盟大中华区-版权所有6

执行摘要

注意：对于虚拟资产的顶级攻击将会针对企业区块链再次发生

有一种强烈的误解，认为分布式账本技术(DLT)系统的不可篡改性使其本

质上是安全的。但是，针对区块链应用程序的攻击途径广泛存在，攻击针对从密

码学原语到共识机制漏洞或智能合约漏洞的范围。

自12年前比特币问世以来，加密货币和支持它们的平台一直是攻击的目标。

攻击者期望的结果是尽可能多地偷取加密货币利润。为实现这一目标，不良行为

者既可以针对区块链协议本身攻击特定平台（集中式或分散式），也可以针对持

有加密资产的个人。

这份报告覆盖了针对加密货币和DLT的十大攻击类型

•交易所黑客攻击

•DeFi黑客攻击

•51%攻击

•钓鱼（为了获得私钥）