金窩窩研究院:區塊鏈技術安全,修其器,利其事
近年來,區塊鏈技術發展迅猛,呈現出井噴式的態勢,區塊鏈無疑是2018年最火熱的網際網路話題之一。各種落地應用場景層出不窮。但是隨之而來區塊鏈技術自身的安全問題也成為行業關注的問題之一。
在區塊鏈行業火熱的同時其安全隱患也不容忽視。僅2018年上半年,黑客使用各種載體,包括伺服器漏洞、PHP漏洞、惡意軟體等進行惡意操作達79萬餘次。根據現有的資料顯示,區塊鏈已公佈的相關漏洞有54個,重大安全事件有130多起,造成的經濟損失已達30多億美金。區塊鏈的技術安全已經成為亟待解決的問題。
重大安全事件數量統計(資料來源於BCSEC)
安全事件造成的經濟損失趨勢(萬美元)(資料來源於BCSEC)
區塊鏈技術有哪些主要的安全問題呢?
基礎設施安全
基礎設施主要包括交換機和路由器等網路資源、硬碟和雲盤等儲存資源以及CPU和GPU等計算資源。面臨的問題主要有物理安全風險、網路攻擊威脅以及資料丟失和洩露等安全風險。
密碼演算法安全
區塊鏈使用了大量密碼演算法以保證安全性。但現有的一些密碼演算法存在一定缺陷,使用有缺陷的密碼演算法會大大影響安全性。另外,隨著量子技術的發展,使用不能夠抵抗量子攻擊的密碼演算法都有較大風險。
協議安全
主要指共識機制、P2P網路等存在的安全隱患,主要面臨共識演算法漏洞、流量攻擊以及惡意節點等威脅。
實現安全
智慧合約起步較晚,其風險主要來源於程式碼實現中的安全漏洞。此外,智慧合約執行環境的安全性也是區塊鏈安全的重要環節。
使用安全
主要指使用的智慧合約、數字錢包、交易所以及應用軟體等存在的安全問題。另外,區塊鏈應用所在伺服器上的惡意軟體、系統的安全漏洞等都可能成為攻擊者攻破區塊鏈應用的脆弱點。
系統安全
上述基礎設施、密碼演算法、協議、實現、使用安全漏洞與黑客攻擊結合,可使區塊鏈受到致命打擊。社會工程學手段與傳統攻擊方法結合使區塊鏈變得更加脆弱,有組織的攻擊行為將對區塊鏈安全造成極大危害。
怎樣鑑定區塊鏈技術的安全性,就成為了現在關注的焦點問題。截止目前,相關部門已經出臺了一系列的措施來保障區塊鏈技術的安全。
2017年5月,在區塊鏈技術和應用峰會上釋出首個區塊鏈標準《區塊鏈參考架構》,並公佈了參考架構的首次測試結果。
2017年9月,可信區塊鏈峰會在北京召開,公佈了可信區塊鏈標準和測評結果。測評內容可分為功能測試、效能測試、可靠性測試與安全性測試。
2018年6月,可信區塊鏈評測方案討論會在北京召開,會議確定了可信區塊鏈的測試方法與效能測試規範。
2018年11月,“2018數字資產安全高峰論壇”在北京召開。會議上針對目前區塊鏈成為黑客攻擊的“重災區”的情況,行業需要建立嚴格的安全標準。《區塊鏈平臺安全技術要求》行業標準正在立項並起草。國家網際網路應急中心網際網路金融監管技術支撐專項組組長吳震表示該標準將明確區塊鏈平臺面臨的主要威脅和安全體系架構,針對各關鍵模組提出安全技術要求,為區塊鏈平臺的安全穩健執行提供基礎和保障。
金窩窩研究院結語