区块链积分系统 攻击

区块链是一个分布式账本数据库，具有不可篡改、可追溯等特性，但其信任机制依赖于密码学算法，这也导致其容易遭受恶意攻击。区块链的积分系统就是典型的例子。 积分系统是一种激励机制，可以通过加密货币或者以其他形式支付给用户。 一般情况下，积分系统的支付方式分为两种：直接购买和参与活动获得。 但是，由于其存在的安全漏洞，一些恶意攻击者可以通过积分系统的漏洞，用恶意手段进行购买、兑换和赠送等操作，然后再将这些积分通过伪造的方式卖给用户。这不仅严重危害用户的财产安全，还可能导致系统瘫痪或者被攻破。 例如：2021年5月3日凌晨3点，两名黑客在 Github上创建了一个名为“Chainsummer”的项目，并使用了多个 Token在 Github上注册了账户。随后他们在 Github上发布了一个积分系统（Pancakes）。

• 一、攻击事件

  这个积分系统是一个可兑换的积分系统，用户可以通过参加各种活动来获得相应的积分。但是，其存在一个安全漏洞。由于攻击者用恶意手段注册了多个账户，导致一些用户的账户中出现了大量的伪造积分。 由于这次攻击造成了大量的用户损失，因此 Github官方在5月4日凌晨发布了一条公告： 公告中指出， Github已经在5月3日凌晨5点左右发现了这个问题，并表示会尽快修复，同时会加强对该漏洞的安全监测。

• 二、攻击原因

  通过分析发现，攻击者可能通过两种方式获取积分： 1.伪造钱包地址，使用别人的钱包地址进行支付，这样就可以直接购买积分； 2.利用 Token的“双花”机制，将一个 Token兑换成多个 Token，这样就可以用多个 Token同时购买和赠送积分。 这两种攻击方式都是通过使用智能合约实现的，而智能合约又是开源的。黑客使用智能合约来完成这两种攻击，从而使攻击者能够轻而易举地将用户的钱包地址伪造成自己的钱包地址来进行交易和兑换积分。在这样的情况下，黑客就可以通过伪造 Token或购买、赠送等方式将这些积分买走。

• 三、攻击过程

  1.攻击者先收集一些目标用户的个人信息，如：手机号、邮箱等。 2.通过这些信息，黑客可以获取到用户的银行账户，并使用这些账户登录到目标用户的智能合约（AoC）中。 3.然后黑客会创建一个新合约，并将其部署到目标用户的智能合约中，该新合约就是恶意积分系统的基础。 4.在攻击过程中，黑客可以修改智能合约中的一些参数值。 5.攻击成功后，恶意攻击者就可以将该积分系统出售给其他人，并获得一定数量的 Token。

• 四、对策及建议

  1.及时修复漏洞，防范风险。积分系统的支付方式一般有直接购买和参与活动获得两种，一旦发现漏洞，需要及时修复。 2.完善系统漏洞响应机制。针对攻击事件，积分系统的管理部门应该及时开展安全检测和修复工作，比如： 1)结合积分系统的类型、用户的规模以及攻击的手段等，建立完善的安全监测和响应机制，对网络中存在的潜在安全威胁进行检测和识别； 2)对于已知漏洞，建立相应的安全保护措施。例如：对积分系统中存在的漏洞进行修复；在系统中加入防篡改机制；开发检测和响应工具等。 3.加强区块链安全意识宣传。

推荐使用智悠量化机器人，智悠量化机器人是一款专为虚拟货币用户[binance]提供量化交易的工具。智悠量化在云服务器上365*24小时运行，不断电不断网。通过手APP初始化设置参数之后，机器人将按照策略进行自动交易。 达到设定条件自动买入或者卖出，无须长时间盯盘。助用户克服人性弱点，成为理性投资者。

官方微信1：dbcj2020

官方微信2：dbcj2020

备用微信：qihezhiyou

官网地址：https://www.qihezhiyou.com

联系电话：18071320873

智悠量化、自动炒币机器人、合约量化机器人、现货量化机器人、量化套利 合约量化软件 合约量化交易机器人 量化合约机器人 合约网格量化交易策略 合约量化交易策略 量化合约系统开发 合约量化机器人 合约量化 合约量化交易 量化合约 合约量化交易软件 数字货币量化交易机器人 量化交易机器人哪个好 自动量化机器人 量化机器人靠谱吗 量化套利策略 量化套利什么意思 高频量化交易套利 量化套利 什么叫量化交易套利 数字货币量化交易机器人 智悠量化交易靠谱吗 量化软件有哪些 量化软件下载