9 月 19 日,作為 2018 年國家網絡安全宣傳周活動之一的 " 區塊鏈應用發展與安全 " 分論壇在復旦學術國際交流中心舉辦,論壇就區塊鏈技術中存在的安全隱患和解決方法進行了討論。
2018年區塊鏈安全事件激增
玄貓安全實驗室聯合創始人陳亮整理了 2014-2018 年間區塊鏈領域的重大安全事件,他指出:" 從區塊鏈技術創新和變革的出現開始,其安全問題就已經存在了。"
2014 年 8 月比特兒交易所被黑客盜取了全部的數字貨幣;同年 12 月,世界上最大的比特幣交易所 Mt.Gox 被盜 85 萬比特幣,交易所被迫宣布破產;2016 年 6 月黑客利用智能合約腳本漏洞,通過 ICO 項目盜取 360 萬以太幣,直接導致以太坊的硬分叉;近兩年則出現了更多的智能合約方面的安全事件,今年 5 月區塊鏈平臺 EOS 被發現一系列高危漏洞。
基于對以上區塊鏈安全問題的回顧,陳亮指出:"2018 年區塊鏈安全事件和所造成的損失較前幾年明顯激增,越來越多的黑客把攻擊的目標聚焦在區塊鏈安全漏洞之上;同時由于區塊鏈自身的機制所引發的損失在 2018 年呈現出暴漲趨勢。"
上海紐頓科技股份有限公司董事長楊騰霄介紹了區塊鏈所面臨的幾種常見攻擊。楊騰霄表示:" 諸如 DDoS 等傳統網絡攻擊對區塊鏈依然有作用。而使用區塊鏈時所面臨最典型的安全隱患是雙花攻擊,即針對某個區塊鏈控制它 51% 以上的計算能力以后就可以控制時間差,再利用時間差進行攻擊。"
" 雙花攻擊 " 指掌握了超過 51% 的算力后,攻擊比特幣生態,好比一份錢當作兩次花。比如 A 用比特幣向 B 轉賬購買東西,當 A 把比特幣轉給 B 后需要等待 6 個區塊確認后才能夠真正到賬。那么如果 A 有全網 51% 以上的算力后,就可以在轉賬的同時,進行對區塊的篡改,讓這筆轉賬無法到達 B 手里。這樣的結果就是東西到了 A 手里,但是錢卻沒到 B 手里。
區塊鏈安全問題如何解決?
上海市信息安全行業協會副會長石堅表示在論壇中表示:" 盡管區塊鏈的發展前景非常廣闊,但目前在實際落地和接受度方面仍然受限。區塊鏈是一個先進的技術,但不是萬能的,區塊鏈技術還需要應對存在的性能問題、安全風險,需要投入新的技術研發、實踐,促進其成熟應用。"
石堅稱:" 在推動區塊鏈發展的同時,解決其安全問題是當務之急。區塊鏈目前面臨的主要問題有共識過程的中心化、智能合約代碼漏洞、算法漏洞、系統實現代碼漏洞等,分析區塊鏈安全性需要從綜合安全性、算法安全性、使用安全性、實踐安全性與協議安全性這五個方面進行分析。"
上海市信息安全測評中心高級工程師徐御就區塊鏈技術安全測評方面介紹了研究思路。徐御稱:" 需要從實踐和技術研究方面形成區塊鏈安全要求,探究其中存在的安全風險、對抗風險所采取的措施,以及實踐經驗來源經驗,最后形成一個安全要求作為檢測、開發、應用的具有開放性和經濟性的指導標準。"
同時,徐御介紹了和目前在區塊鏈安全測評方面所取得的幾個成果。徐御透露:" 在對區塊鏈進行安全風險梳理后,統計風險達到 20 種左右,其中的 6 種是最新的風險。我們根據所梳理的 20 種風險,利用風險對抗的模型和思路,形成了風險對抗的幾個措施,比如根據工信部《區塊鏈數據格式規范》做出規范性的設計等。"
2018 年 2 月,工信部發布《區塊鏈數據格式規范》。該標準有助于為區塊鏈系統的數據結構設計提供參考,為區塊鏈行業應用提供統一的數據標準,對我國區塊鏈標準建設具有重要意義。
來源:新浪科技
