9 月 19 日,作為 2018 年國家網(wǎng)絡(luò)安全宣傳周活動之一的 " 區(qū)塊鏈應(yīng)用發(fā)展與安全 " 分論壇在復旦學術(shù)國際交流中心舉辦,論壇就區(qū)塊鏈技術(shù)中存在的安全隱患和解決方法進行了討論。
2018年區(qū)塊鏈安全事件激增
玄貓安全實驗室聯(lián)合創(chuàng)始人陳亮整理了 2014-2018 年間區(qū)塊鏈領(lǐng)域的重大安全事件,他指出:" 從區(qū)塊鏈技術(shù)創(chuàng)新和變革的出現(xiàn)開始,其安全問題就已經(jīng)存在了。"
2014 年 8 月比特兒交易所被黑客盜取了全部的數(shù)字貨幣;同年 12 月,世界上最大的比特幣交易所 Mt.Gox 被盜 85 萬比特幣,交易所被迫宣布破產(chǎn);2016 年 6 月黑客利用智能合約腳本漏洞,通過 ICO 項目盜取 360 萬以太幣,直接導致以太坊的硬分叉;近兩年則出現(xiàn)了更多的智能合約方面的安全事件,今年 5 月區(qū)塊鏈平臺 EOS 被發(fā)現(xiàn)一系列高危漏洞。
基于對以上區(qū)塊鏈安全問題的回顧,陳亮指出:"2018 年區(qū)塊鏈安全事件和所造成的損失較前幾年明顯激增,越來越多的黑客把攻擊的目標聚焦在區(qū)塊鏈安全漏洞之上;同時由于區(qū)塊鏈自身的機制所引發(fā)的損失在 2018 年呈現(xiàn)出暴漲趨勢。"
上海紐頓科技股份有限公司董事長楊騰霄介紹了區(qū)塊鏈所面臨的幾種常見攻擊。楊騰霄表示:" 諸如 DDoS 等傳統(tǒng)網(wǎng)絡(luò)攻擊對區(qū)塊鏈依然有作用。而使用區(qū)塊鏈時所面臨最典型的安全隱患是雙花攻擊,即針對某個區(qū)塊鏈控制它 51% 以上的計算能力以后就可以控制時間差,再利用時間差進行攻擊。"
" 雙花攻擊 " 指掌握了超過 51% 的算力后,攻擊比特幣生態(tài),好比一份錢當作兩次花。比如 A 用比特幣向 B 轉(zhuǎn)賬購買東西,當 A 把比特幣轉(zhuǎn)給 B 后需要等待 6 個區(qū)塊確認后才能夠真正到賬。那么如果 A 有全網(wǎng) 51% 以上的算力后,就可以在轉(zhuǎn)賬的同時,進行對區(qū)塊的篡改,讓這筆轉(zhuǎn)賬無法到達 B 手里。這樣的結(jié)果就是東西到了 A 手里,但是錢卻沒到 B 手里。
區(qū)塊鏈安全問題如何解決?
上海市信息安全行業(yè)協(xié)會副會長石堅表示在論壇中表示:" 盡管區(qū)塊鏈的發(fā)展前景非常廣闊,但目前在實際落地和接受度方面仍然受限。區(qū)塊鏈是一個先進的技術(shù),但不是萬能的,區(qū)塊鏈技術(shù)還需要應(yīng)對存在的性能問題、安全風險,需要投入新的技術(shù)研發(fā)、實踐,促進其成熟應(yīng)用。"
石堅稱:" 在推動區(qū)塊鏈發(fā)展的同時,解決其安全問題是當務(wù)之急。區(qū)塊鏈目前面臨的主要問題有共識過程的中心化、智能合約代碼漏洞、算法漏洞、系統(tǒng)實現(xiàn)代碼漏洞等,分析區(qū)塊鏈安全性需要從綜合安全性、算法安全性、使用安全性、實踐安全性與協(xié)議安全性這五個方面進行分析。"
上海市信息安全測評中心高級工程師徐御就區(qū)塊鏈技術(shù)安全測評方面介紹了研究思路。徐御稱:" 需要從實踐和技術(shù)研究方面形成區(qū)塊鏈安全要求,探究其中存在的安全風險、對抗風險所采取的措施,以及實踐經(jīng)驗來源經(jīng)驗,最后形成一個安全要求作為檢測、開發(fā)、應(yīng)用的具有開放性和經(jīng)濟性的指導標準。"
同時,徐御介紹了和目前在區(qū)塊鏈安全測評方面所取得的幾個成果。徐御透露:" 在對區(qū)塊鏈進行安全風險梳理后,統(tǒng)計風險達到 20 種左右,其中的 6 種是最新的風險。我們根據(jù)所梳理的 20 種風險,利用風險對抗的模型和思路,形成了風險對抗的幾個措施,比如根據(jù)工信部《區(qū)塊鏈數(shù)據(jù)格式規(guī)范》做出規(guī)范性的設(shè)計等。"
2018 年 2 月,工信部發(fā)布《區(qū)塊鏈數(shù)據(jù)格式規(guī)范》。該標準有助于為區(qū)塊鏈系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)設(shè)計提供參考,為區(qū)塊鏈行業(yè)應(yīng)用提供統(tǒng)一的數(shù)據(jù)標準,對我國區(qū)塊鏈標準建設(shè)具有重要意義。
來源:新浪科技
