区块链:野蛮成长背后的安全隐患
❥区块链,一项专业属性极高的技术,然而就是这样一种“阳春白雪”式技术好像一夜之间变得妇孺皆知,人尽可得。
当前最为主要的区块链应用就是加密数字货币。根据 Coindesk 网站的全球 ICO (区块链项目首次发行代币,募集数字货币的行为)跟踪数据显示,截止2018 年 4 月底,全球 ICO 历史总金额已达到 128 亿美元。仅 2018年前 4 月 ICO 总值即是 2017 年全年 ICO 总值的 1.28 倍,而 2018 年前4 个月 ICO 数量仅为 2017 年全年 79%。据此预测,2018 年全年ICO 数量有可能会超过 800 家,总值将超过 130 亿美元,而全球数字加密货币总价值将突破1万亿美元。
区块链技术及其应用正在以一种“不讲理”的方式野蛮成长着。
标榜的“安全”呢?
区块链技术有两大最为核心的特征和创新:去中心化和安全性。
去中心意味着整个区块链网络没有中心化的设施系统或者管理机构,任意节点之间的权利和义务都是均等的,且任一节点的损坏或者失去都会不影响整个系统的运作,因此具有极好的健壮性。同时,参与整个系统中的每个节点之间进行数据交换是无需互相信任的,整个系统的运作规则是公开透明的,所有的数据内容也是公开的,因此在系统指定的规则范围和时间范围内,节点之间不能也无法欺骗其它节点。
如何在去中心化和去信任的条件下确保信息数据的安全与可靠,这就引出了区块链技术的另外一些核心特征:可靠数据库、集体维护以及开源匿名性。这些特征确保了整个系统信息数据的可验证性、不可伪造和不可撤消,而这也正是区块链技术最具创新的地方。
然而,本应“安全、可靠和健壮”的区块链技术却频频爆发安全事件。360安全卫士5月29日下午在微博上发布公告称,360伏尔甘团队发现了区块链平台EOS(号称是区块链世界的操作系统)的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
而这只是众多区块链安全事件中的一个。根据知道创宇公司日前发布的《区块链安全风险白皮书》,区块链安全问题主要来自于区块链自身机制安全、区块链生态安全和使用者安全这三个方面。其中,自身机制安全问题智能合约的问题排在首位,而理论上存在的 51%攻击近两年也成为了现实。生态安全问题围绕交易所发生安全时间最为显著,交易所被盗远超其它事件类型;此外,交易所、矿池和网站都面临着DDoS 攻击的高风险;在线钱包和ส矿池面临着 DNS劫持的风险;交易所还面临被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所帐号失窃等问题。在使用者安全问题上,交易所帐号和钱包失窃最为常见,反欺诈、被钓鱼、私钥保管的问题也时有发生。
《区块链安全风险白皮书》还对近几年区块链加密数字货币安全事件做了统计,其中涉及区块链自身机制引发的安全事件总损失额为 12.5 亿美元,涉及区块链生态引发的安全事件总损失额为 14.2 亿美元,涉及使用者引发的安全事件总损失额为 5647 万美元。而2018℉年上半年的安全事件数量及损失金额都远超之前几年的数倍乃至数十倍。另外,从事件类型上来看今年因区¢块链自身机制引起安全事件的数量虽然比区块链生态要少,但金额却远超 42%,这说明区块链自身机制的安全问题比区块链生态所面临的安全问题更加严重。
问题出在哪?
顶级网络安全专家、知道创宇 CEO 赵伟在接受本刊采访时指出了区块链安全层出不穷的几个原因,他说:“虽然数字资产用区块链技术分布式化了,但是交易、钱包、挖矿、矿池都是集中化的,这些在黑客来看来都是非常好攻击的目标。更重要的是,数字货币失窃以后是非常难以追踪的,区块链的匿名和不可逆,这个本质问题导致了在区块链行业非常多的黑客事件。此外,公链的价值在于共识,但是共识是建立在分布式的点对点技术上,一旦这种技术被操控或没有安全防护,黑客操控后就可以任意偷ณ取利益,导致资产的价值变成零。”
Gartner 对区块链生态的安全模型划分为商业逻辑层、风险与 IAM(身份认证访问管理)处理层及 IT及技术层。其中,IT 及技术层及风险与 IAM(身份认证访问管理)处理层属于传统安全领域范畴,商业逻辑层是属于区块链所独有的,但它的运转需要完全依赖于另外二层的支持。对此,赵伟提醒:在考虑区块链生态安全问题时,依然需要从传统安全的角度出发去思考。针对区块链生态的安全风险防范,也应该从区块链生态在传统领域中所面临的安全风险出发去思考解决方案和对策。
赵伟建议:用户在对这些加密数字货币的保管和保护上需要将安全意识提高到与传统资产保管保护同等水平上来。比如,尽量不要数字介质中存储私钥,将私钥存放在自己可控的纸质媒介上。无论何时何地对任何人都不要透露你的私钥。登录交易所前确认交易所网址,在交易前确认二次交易地址等。而区块链生态企业,应为用户在执行关键操作前提供风险测评和风险提示,以确保用户可以持续的保有较高安全风险意识。这么做的目的是为了让更多的使用者了解区块链及安全知识,提升整个区块链生态的认知水平。
为了加速构建区块链行业安全生态建设,中国技术市场协会、腾讯安全、知道创宇、中国区块链应用研究中心等20多家机构发起成立了中国区块链安全联盟,共同致力于构建安全的区块链生态环境,建立区块链生态良性发展长效机制,助力中国区块链生态协同发展。
