更多精彩 >

"绝对安全"从不存在 区块链也不例外

2018-09-14 22:55:10   来源:金色财经  作者: 

摘要:纵观信息通信产业的发展历程,便可发现——所有安全防御都有一定限度。只要存在人的因素,总会有若干考虑不周之处,让安全防御的围墙出现漏洞。而在黑客眼中,“人造”的围墙都如同筛子,只存在洞眼疏密与是否好找的区别,这也就是各类操作系统、应用软件始终在不停升级,不停打安全补丁的重要原因。

曾几何时,区块链高举一面“高度安全”的大旗,全面进入公众视线,似乎原有网络中所有的安全性问题,皆不会再发生。同时,率先应用在代币领域,并且被传统金融行业所重视,都让区块链“高度安全”大旗飘扬不止。


然而在信息通信产业中,安全永远不是绝对的。只要利益激励足够多,所谓的安全防线总是可以被攻破,区块链也不例外。当前,区块链安全问题凸显,已经到了迫在眉睫、亟待解决的境地。


利益放大:区块链安全问题暴露的基础


纵观信息通信产业的发展历程,便可发现——所有安全防御都有一定限度。只要存在人的因素,总会有若干考虑不周之处,让安全防御的围墙出现漏洞。而在黑客眼中,“人造”的围墙都如同筛子,只存在洞眼疏密与是否好找的区别,这也就是各类操作系统、应用软件始终在不停升级,不停打安全补丁的重要原因。同时,安全防御围墙高度也不可无限高,哪怕靠暴力方法,只要集结充足的能力也能够翻越过去,或者让防御围墙直接垮塌。例如,即使密码再长,传输与保存过程中加密次数再多,只要循环试验就能攻破。


好在安全攻击还是有一定技术门槛与资金门槛的,能否吸引黑客等攻击,要看攻破安全防御围墙是否有足够多的利益。有了足够多的利益,黑客才能找到更多的漏洞;有了足够多的利益,才能够调动更多的资源进行暴力攻击;有了足够多的利益,才能够动用非常规的手段,例如人员收买等方式。


在区块链领域同样如此。曾经,区块链技术同比特币几乎可以划上等号,而比特币不过几块钱,甚至只有几分钱一枚,攻破防线的收获有限使得区块链暂时“安全”。


短短十年,风云变幻。比特币不再是2010年需要1万个才能换1个披萨的虚拟货币,“江湖”上也不再只有比特币一种基于区块链的虚拟货币。除了代币领域,区块链技术应用范围越来越广。据统计,目前全球范围内,各类代币总市值在6000亿美元左右,若加上各类企业级应用,足够吸引各类黑客的目光。


并且,区块链安全原有的基石是分布式网络,没有塌陷一个影响一片的产业中心,让攻击缺乏着力点。但随着行业对区块链重视程度越来越高,矿池成为生产中心、交易所成为贸易中心以及仓库,同时也形成了专注解决方案的技术中心,这让安全攻击变得更加有利可图。为了能够发挥中心价值,原有协议被增加了智能合约层等新层级,行业内相关技术专家认为:愈多的协议层级意味着安全风险暴露点更多,降低了区块链安全性。


安全危机:区块链行业必须正视的问题


目前,区块链技术应用最多的是数字加密货币领域,由于真金白银的存在,区块链的安全问题当前几乎都在加密货币领域发生,而这些问题未来也同样会在其他区块链应用领域中发生。


根据腾讯安全所发布的《2018年上半年区块链安全报告》显示,当前区块链领域安全事件主要集中在三个方面,一是区块链自身机制,二是区块链生态,三是使用者自身问题。其中,区块链自身机制问题主要集中在智能合约、51%攻击等,此外还包括交易延展性攻击、双花攻击、垃圾交易攻击、扣块攻击等;区块链生态问题主要集中在交易所被盗、交易所DDoS攻击等,此外还包括交易所被钓鱼、内鬼盗窃、钱包DNS劫持、钱包失窃、交易地址篡改、交易所信息泄露、交易数据篡改、场外操纵、拒绝服务攻击、矿池DDoS攻击、矿池DNS劫持、矿池失窃、网站DDoS攻击、网站数据泄露等;使用者问题主要包括账号失窃、钱包失窃等,此外还包括反欺诈、用户被钓鱼、私钥保管问题等。笔者总结了当前区块链所出现的种种安全问题,有如下五大特征。


第一,区块链安全事件数量不断增多,损失金额也日益扩大。2018年上半年,仅在数字货币领域发生的区块链安全事件就比2017年全年增加了40%左右,损失金额则增长数十倍,达23亿美元之多,单笔金额超过1亿美元的“大案要案”屡见不鲜。这同当前区块链行业参与者不断增多、资金量不断增大不无关系,作案者组织化、规模化特征也日益明显。


第二,区块链安全问题的种类不断增多。随着越来越多的人参与到区块链行业、研究区块链技术,一些原本隐藏的安全漏洞被发掘,攻击方法也花样繁多。据统计,2018年所使用的攻击方法数量,比2015年足足增长了三倍。


第三,区块链安全攻击呈现了日益规模化的特征,理论上存在的51%攻击也成为可能。区块链共识机制是一种表决,如遇到问题,只要51%的算力达成一致,那么区块链就能够往多数算力期望的方向发展。按照原有设想,全世界的算力非常分散,不会出现一个人能够掌握51%算力从而影响整个链条未来走势的情况。但即便是中聪本也没能够想到,当前矿场频出,黑客们通过木马控制数十万台个人电脑,形成云矿池,这样一个人能够拥有的算力大大增强。并且各种新数字货币频出,那些拥有较多算力的人,或许在比特币的世界中只能算强者,但到了小型数字货币的链条中,则成为能够决定其生死的“巨鲨”。


第四,区块链安全问题的爆发为全生态性的,不仅是针对区块链自身机制。相对而言,区块链自身机制是安全的,毕竟架设在网状网络上,对其攻击需要费些工夫。但是,区块链周边附属设施,则通常采用传统IT架构,安全性相当薄弱。这些附属设施虽薄弱,却往往蕴含了大量区块链资产,例如想窃取比特币,用户存放在自己终端上的钱包是最疏于防范、最薄弱的地方。在黑客眼中,个人电脑就是不设防的存在,只要能够在更多电脑上种上木马,比特币将会滚滚而至,若是技术超凡则可以直接攻击交易所,所得都是价值上亿美元的虚拟货币。


第五,区块链安全的修正机制明显不足。同传统中心结构业务不同,区块链架设在P2P网状结构上,前者会有一个机构作为运营主体,当出现安全问题的时候,它会负责发放安全补丁,哪怕是把中心节点安全性提升上去,也能够极大程度地提升业务的整体安全性,尤其当前较多业务采用云模式。而后者则缺乏强有力的运营主体,负责整个链条的后期安全,区块链建立基于“共识”,当链条建立起来之后,理论上除非所有的参与者均同意修改“共识”,否则是没有办法对安全问题进行修正的。在区块链2.0中,所兴起可自行约定的“智能合约”则加剧了这一风险,合约当中部分“共识”直接为之后安全埋下隐患,并且部分“智能合约”连修改机制都没有。


安全布局:为区块链技术全面应用奠定基础


依据AMC行业成熟度曲线,笔者认为,以比特币为代表的数字加密货币,把区块链行业推到了第一个顶峰。公众知晓率与参与度升高、产业资本不断涌入、各类技术开发人员不断涌入,除了制造了数字货币泡沫之外,也在不断发现包括安全性在内的各种技术问题,发掘用户对区块链的需求,从而不断完善区块链技术。


随着数字货币高峰度过——尤其是一些空气币的存在,放大了数字货币泡沫,区块链行业预计会到达谷底,沉淀产业发展前期所取得的技术成就,为向成熟应用阶段发起冲击而做好准备。毕竟,区块链不是数字货币,它有更多的应用场景,数字货币只是区块链技术发展的“试验田”而已。


从发展前景看,区块链将被应用在金融、能源等诸多国计民生领域,安全性工作显得尤其重要。未雨绸缪,在区块链技术被广泛应用之前,一系列已经暴露的安全问题需要得到全面解决,尤其是一些区块链技术机制问题,不仅需要通过后期打补丁方式得到解决方案,也需要产业协作共同制定全产业共同遵循的标准。例如2018年8月1日,《信息技术区块链和分布式账本技术参考架构》标准制定启动会召开,产业内数十家企业将从整体框架开始,制定我国区块链的标准。而从国际角度看,ISO等国际组织也成立若干工作组,制定国际标准。


具体到区块链安全领域,2018年6月,二十余家机构联合成立“中国区块链安全联盟”,将着手建立区块链生态良性发展长效机制,构建技术方案,并针对变相传销等违法行为进行打击。同时,从产业实践来看,一些解决方案正在推出,正在先期的应用,尤其是数字货币“试验田”中发挥效能。例如区块链安全研究中心在2018年8月推出国内第一个智能合约检测平台,可以自动对智能合约进行扫描,发现其中的漏洞,从而为新的共识奠定良好的安全基础。

猜你喜欢

名词解释第四十九讲:联盟链

资讯区块链联盟链

市场上基于区块链技术的应用越来越多,虽然都是区块链技术的应用,但是不同情景行业中还是有些差别的,公有...

2分钟前

不要再拿“去中心化”描述区块链

资讯区块链去中心化

这篇文章从“去中心化”的定义开始思考,得出来结论:争议某个东西是否“去中心化”并不重要,重要的是能否...

13分钟前

人道主义援助:区块链技术如何帮助难民?

资讯区块链人道主义

区块链,应该被用于更多的人道主义救援中去。

15分钟前

像可溯这样无限拖延、失信,又不立案的,可怎么办?

资讯区块链P2P网贷

现在出借人组成借委会、还有个自媒体人也建了好几个维权群。借委会竟然说平台没有自融。这迹象看起来就是维...

55分钟前

比特币惊现拒绝服务漏洞,可造成比特币网络崩溃?

资讯比特币区块链

近期,开发人员发现BitcoinCore软件中存在着一个异常严重的漏洞,这促使开发者在本周三发布了一...

56分钟前

获监管批准是关键 DigiFinex解释为何抛弃Tether选择TrueUSD

资讯区块链DigiFinex

根据Digifinex在其官方网站上披露的信息显示,他们之所以选择更换稳定币Tether,主要还是担...

5天前

俄罗斯工业家和企业家联盟拟推新加密货币法案

资讯区块链俄罗死

俄罗斯工业家和企业家联盟(RUIE)希望赋予加密货币特殊地位,将其监管权委托给俄罗斯中央银行。

5天前

瑞士金皮庸数字股权交易中心借助产业通证化助力实体经济腾飞

资讯区块链会议

2013年,中国国家主席习近平西行哈萨克斯坦、南下印度尼西亚,先后提出建设“丝绸之路经济带”和“21...

5天前

澳大利亚新南威尔士州将数字驾驶执照上链

资讯区块链政策澳大利亚

据悉尼公司Secure Logic的消息显示,澳大利亚新南威尔士州(New South Wales)...

5天前

俄罗斯央行成功完成全球首个官方ICO试点项目

资讯俄罗斯区块链政策

据Cryptovest 9月11日消息,俄罗斯中央银行开展的全球第一个官方ICO测试已完成。

5天前

区块链电子处方来了,远程处方不再会重复拿药、配错药

资讯区块链应用电子处方

9 月 13 日,蚂蚁金服和上海复旦大学附属华山医院推出了首个区块链电子处方方案。

5天前

加密货币交易所许可证申请需求极大,日本金融厅连忙增加人手

资讯日本区块链政策

在雅虎、乐天株式会社(Rakuten)和LINE等主流公司进入加密货币行业之际,日本审查申请加密货币...

5天前

摩根士丹利计划推出比特币掉期交易

资讯区块链银行策略

据知情人士透露,国际金融服务公司摩根士丹利(“大摩”)计划推出与比特币挂钩的复杂衍生品交易,与其他华...

5天前

财链社(www.bcpress.com)专业的全球区块链财经媒体与社群,链接区块链、物联网、大数据、人工智能,致力于成为最有深度的区块链全产业链分析家,为区块链创业者及投资者提供最好的产品和服务。

清华大学信息科学技术研究院副院长邢春晓:区块链数字经济

清华大学信息科学技术研究院副院长邢春晓在会上表示:“数字化的信息、知识已经成为新的战略要素,并已与实...

全国社保基金原副理事长王忠民:区块链赋能实体经济

全国社保基金原副理事长王忠民在会上以“区块链赋能实体经济”进行了演讲。他用了四个逻辑对区块链在实体经...

蔡维德:链满天下是中国的大机会

英国伦敦大学区块链研究中心顾问蔡维德在会上以“数字社会、链满天下”为主题做了演讲。蔡维德认为,201...

方军:通证经济所用到的四个基本特性

观察了以太坊带来的变化后,区块链特征以及与这些特征相关的应用已经较为清晰地展现在我们面前。这四个基础...

邓维:区块链技术在券商PB业务的创新应用

随着区块链技术的不断发展和成熟,其与具体证券业务的应用融合在不断加深和拓展,应用范围大致可以从交易前...

一起寻找“全球链改优秀项目”!

一起寻找“全球链改优秀项目”!

2018年9月10日,由中国通信工业协会区块链专业委员会、区块链改革全国联席会议作为指导,全球链改节...

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行,第六站厦门将在本周六(9月8日)...

区动智慧,链接未来-区块链如何赋能实体经济

区动智慧,链接未来-区块链如何赋能实体经济

自区块链概念流入国内,吸引大量人才进入到这个行业,随着区块链掀起的火热风潮,它被视为本世纪最大的风口...

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

“2018国际数字经济博览会”将于9月20日-22日在石家庄国际会展中心隆重举办。本次峰会邀请到了诸...

嘉楠耘智推出7nm矿机新品,算力翻倍

嘉楠耘智推出7nm矿机新品,算力翻倍

据中关村在线消息,目前首批由台积电代工生产的7nm芯片已完成交货。