▲圖片標題(來源：iThome)

區塊鏈發展至今，歷經了多次變革，最初主要作為比特幣的底層技術，而後出現了區塊鏈平臺以太坊（Ethereum），開發者開始能在區塊鏈上開發多元應用，甚至近年來，區塊鏈逐漸走到不同場域，比如加密貨幣IOTA，就是針對IoT應用所設計，許多現實生活中的服務，也透過區塊鏈走向虛擬化，尤其近期受到廣泛討論的去中心化金融（Decentralized Finance，DeFi），就是在鏈上提供金融服務的作法。

在區塊鏈應用愈趨多元且蓬勃發展下，隨之而來的資安攻擊，也成為開發者需小心慎防的威脅來源。現任Line資安工程師，且具有超過3年網路安全、區塊鏈安全滲透測試經驗的Vic Huang，就將區塊鏈架構分為資料層、點到點網路層（P2P network）、共識層及應用層，分別列舉各層中常見的駭客攻擊手法，並以具代表性的案例來說明資安防護的重要性。

資料層威脅：小心社交工程騙私鑰

首先，在資料層常見的攻擊手法，包括惡意軟體、釣魚攻擊、不安全的網路位址、粉塵攻擊（Dusting）等。Vic Huang表示：「對使用者來說，在資料層中最重要的就是私鑰，所以駭客會利用社交工程、惡意軟體等手法來騙取私鑰，進而掌握用戶的數位財產。」也就是說，在資料層中，駭客攻擊目標大多以用戶私鑰為主，用戶需妥善保護私鑰不被取得。

但同時，Vic Huang也提醒，私鑰雖重要，但也不要過度保護，以避免私鑰不慎遺失導致錢包內的資金無法取回。比如比特幣交易所QuadrigaCX創辦人Gerald Cotten，就是在 2018年底在印度旅遊時驟逝，導致交易所冷錢包的私鑰丟失，積欠了客戶價值約1.9億美元的加密貨幣資產。

點對點網路層威脅：常見DDoS、BGP狹持攻擊

而點對點網路層，也就是公、私鏈主要的網路架構，常見的攻擊手法包括了阻斷服務攻擊（DDoS）、洪水攻擊、BGP狹持攻擊（BGP Hijacking）、日蝕攻擊（Eclipse Attack）等。 區塊鏈的DDoS、洪水攻擊，是攻擊者透過不斷向區塊鏈發起大量無用的交易，導致整個網路服務暫時中斷或停止。而日蝕攻擊，則是透過干擾網路節點，使節點無法獲取有效資訊而引發網路中斷的攻擊手法。

在2018年，也發生過BGP狹持攻擊，是指駭客駭進ISP業者或其它網路架構供應商的BGP伺服器，散布錯誤的路由資訊以干預流量。Vic Huang說明，當時，以太幣（Ether）加密錢包服務MyEtherWallet，就遭到駭客將流量導至偽造的俄國網站，誘導MyEtherWallet用戶輸入憑證，共被盜走了價值17萬美元的以太幣。

詳見全文 Full Text： iThome

若喜歡本文，請關注我們的臉書 Please Like our Facebook Page： 　　　Big Data In Finance