9 月 19 日,作為 2018 年國家網(wǎng)絡(luò)安全宣傳周活動(dòng)之一的 " 區(qū)塊鏈應(yīng)用發(fā)展與安全 " 分論壇在復(fù)旦學(xué)術(shù)國際交流中心舉辦,論壇就區(qū)塊鏈技術(shù)中存在的安全隱患和解決方法進(jìn)行了討論。
2018年區(qū)塊鏈安全事件激增
玄貓安全實(shí)驗(yàn)室聯(lián)合創(chuàng)始人陳亮整理了 2014-2018 年間區(qū)塊鏈領(lǐng)域的重大安全事件,他指出:" 從區(qū)塊鏈技術(shù)創(chuàng)新和變革的出現(xiàn)開始,其安全問題就已經(jīng)存在了。"
2014 年 8 月比特兒交易所被黑客盜取了全部的數(shù)字貨幣;同年 12 月,世界上最大的比特幣交易所 Mt.Gox 被盜 85 萬比特幣,交易所被迫宣布破產(chǎn);2016 年 6 月黑客利用智能合約腳本漏洞,通過 ICO 項(xiàng)目盜取 360 萬以太幣,直接導(dǎo)致以太坊的硬分叉;近兩年則出現(xiàn)了更多的智能合約方面的安全事件,今年 5 月區(qū)塊鏈平臺 EOS 被發(fā)現(xiàn)一系列高危漏洞。
基于對以上區(qū)塊鏈安全問題的回顧,陳亮指出:"2018 年區(qū)塊鏈安全事件和所造成的損失較前幾年明顯激增,越來越多的黑客把攻擊的目標(biāo)聚焦在區(qū)塊鏈安全漏洞之上;同時(shí)由于區(qū)塊鏈自身的機(jī)制所引發(fā)的損失在 2018 年呈現(xiàn)出暴漲趨勢。"
上海紐頓科技股份有限公司董事長楊騰霄介紹了區(qū)塊鏈所面臨的幾種常見攻擊。楊騰霄表示:" 諸如 DDoS 等傳統(tǒng)網(wǎng)絡(luò)攻擊對區(qū)塊鏈依然有作用。而使用區(qū)塊鏈時(shí)所面臨最典型的安全隱患是雙花攻擊,即針對某個(gè)區(qū)塊鏈控制它 51% 以上的計(jì)算能力以后就可以控制時(shí)間差,再利用時(shí)間差進(jìn)行攻擊。"
" 雙花攻擊 " 指掌握了超過 51% 的算力后,攻擊比特幣生態(tài),好比一份錢當(dāng)作兩次花。比如 A 用比特幣向 B 轉(zhuǎn)賬購買東西,當(dāng) A 把比特幣轉(zhuǎn)給 B 后需要等待 6 個(gè)區(qū)塊確認(rèn)后才能夠真正到賬。那么如果 A 有全網(wǎng) 51% 以上的算力后,就可以在轉(zhuǎn)賬的同時(shí),進(jìn)行對區(qū)塊的篡改,讓這筆轉(zhuǎn)賬無法到達(dá) B 手里。這樣的結(jié)果就是東西到了 A 手里,但是錢卻沒到 B 手里。
區(qū)塊鏈安全問題如何解決?
上海市信息安全行業(yè)協(xié)會(huì)副會(huì)長石堅(jiān)表示在論壇中表示:" 盡管區(qū)塊鏈的發(fā)展前景非常廣闊,但目前在實(shí)際落地和接受度方面仍然受限。區(qū)塊鏈?zhǔn)且粋€(gè)先進(jìn)的技術(shù),但不是萬能的,區(qū)塊鏈技術(shù)還需要應(yīng)對存在的性能問題、安全風(fēng)險(xiǎn),需要投入新的技術(shù)研發(fā)、實(shí)踐,促進(jìn)其成熟應(yīng)用。"
石堅(jiān)稱:" 在推動(dòng)區(qū)塊鏈發(fā)展的同時(shí),解決其安全問題是當(dāng)務(wù)之急。區(qū)塊鏈目前面臨的主要問題有共識過程的中心化、智能合約代碼漏洞、算法漏洞、系統(tǒng)實(shí)現(xiàn)代碼漏洞等,分析區(qū)塊鏈安全性需要從綜合安全性、算法安全性、使用安全性、實(shí)踐安全性與協(xié)議安全性這五個(gè)方面進(jìn)行分析。"
上海市信息安全測評中心高級工程師徐御就區(qū)塊鏈技術(shù)安全測評方面介紹了研究思路。徐御稱:" 需要從實(shí)踐和技術(shù)研究方面形成區(qū)塊鏈安全要求,探究其中存在的安全風(fēng)險(xiǎn)、對抗風(fēng)險(xiǎn)所采取的措施,以及實(shí)踐經(jīng)驗(yàn)來源經(jīng)驗(yàn),最后形成一個(gè)安全要求作為檢測、開發(fā)、應(yīng)用的具有開放性和經(jīng)濟(jì)性的指導(dǎo)標(biāo)準(zhǔn)。"
同時(shí),徐御介紹了和目前在區(qū)塊鏈安全測評方面所取得的幾個(gè)成果。徐御透露:" 在對區(qū)塊鏈進(jìn)行安全風(fēng)險(xiǎn)梳理后,統(tǒng)計(jì)風(fēng)險(xiǎn)達(dá)到 20 種左右,其中的 6 種是最新的風(fēng)險(xiǎn)。我們根據(jù)所梳理的 20 種風(fēng)險(xiǎn),利用風(fēng)險(xiǎn)對抗的模型和思路,形成了風(fēng)險(xiǎn)對抗的幾個(gè)措施,比如根據(jù)工信部《區(qū)塊鏈數(shù)據(jù)格式規(guī)范》做出規(guī)范性的設(shè)計(jì)等。"
2018 年 2 月,工信部發(fā)布《區(qū)塊鏈數(shù)據(jù)格式規(guī)范》。該標(biāo)準(zhǔn)有助于為區(qū)塊鏈系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)提供參考,為區(qū)塊鏈行業(yè)應(yīng)用提供統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn),對我國區(qū)塊鏈標(biāo)準(zhǔn)建設(shè)具有重要意義。
來源:新浪科技
