京东秒杀
国美-超级5
索尼Xperia旗舰
限时优惠页 - 京东
自营热卖

区块链存在哪些安全缺陷?怎么解决?

微凉离别意 1年前   阅读数 101 0

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>>

今年是区块链技术自诞生以来最火的一年,也是区块链这一技术从诸多的数 字货币,比如其中最著名的比特币背后站出来,并真正走上历史舞台,进入 普遍大众视线的关键一年!而随着今年区块链技术的普及以及其在诸多领域 具有的良好的发展前景,与之而来的自然是当今社会人们越来越重视的区块 链技术的安全问题!

我们都知道,比特币是一个基于点对点网络(Peer-to-Peer Network)的去中心化数字货币系统,应用区块链完成交易的记录,使用工作量证明机制(Proof of Work)和最长链规则(Longest Chain Rule)作为共识机制,使各个节点比特币的账本达到一致性。比特币系统先天可以遭受51%攻击:当某个节点拥有全网50%以上算力的时候,其从理论上可以实现账本的篡改,从而实现所谓的双重花费(Double Spending)攻击。而51%也就成为比特币系统的安全阈值(Security Threshold)了。

最近爆发的层出不穷的区块链安全问题,从以太坊RPC攻击转移用户资产,到ERC20代币频繁爆出溢出漏洞,这些问题其实大部分应该在区块链系统的设计阶段解决,而不是留给开发者来自己关注安全问题。

2019年区块链安全事件造成的经济损失高达 22.38 亿美元,较去年暴增 253%。2018 年区块链安全事件发生 138 起,较去年暴增 820%。区块链安全问题主要集中在业务层和合约层,两者安全事件导致的经济损失占整个区块链安全行业的 98.87%,分别发生了 64 次和 58 次,累计损失 22.1 亿美元。

以太坊与EOS.IO 2019年全年安全事件回顾,以太坊全年发生 54 起安全事件,EOS.IO全年发生 49 起安全事件。

四起重大区块链安全事故复盘:币安黑客攻击、以太坊 BEC 智能合约黑客攻击、EOS 智能合约黑客攻击,BCH 硬分叉导致的粉尘攻击和重放攻击。

项目团队、安全团队、公链团队、钱包团队等区块链行业参与者对于区块链安全的看法与展望。

我们先来看一下以太坊的设计。首先值得肯定的是,有别于比特币UTXO模型,以太坊设计了账户模型。账户模型对于实现智能合约是十分合理而且非常必要的,直接在UTXO模型上嫁接智能合约的做法显得不伦不类。

然而,以太坊的设计仍然存在不少问题,有许多设计问题实际上是引发安全漏洞的源头。如果在设计时避免了这些问题,至少不会大面积爆发各种安全问题。

爆火的区块链给人们无限的幻想,在很多人想着区块链带来的好处时,但它的一个问题引发了大家的担忧,那就是安全。前段时间360就发现了区块链的一个高危漏洞,可以控制EOS上的全部节点,这暴露了圈内流传的话语“一行代码,打到一种代币”、“一个漏洞,摧毁一类智能合约”,虽有夸大的成份,但技术需全力打造区块链全生态安全解决方案。

近日,安信发布区块链安全报告发布,报告称交易所、数字钱包都不安全,6月28日韩国交易所Bithumb称黑客攻击造成189亿韩元的损失,盗币进入狂欢时刻,千亿级数字货币“裸奔”,数字资产安全问题令人堪忧。

Security Chain(安全链)生态发展官,星安资本的合伙人钱科铭介绍,整个社会从互联网经济年代进入新的区块链时代,绝大部分的区块链企业、金融分支都面临时巨大的安全隐患。安全问题或许会成为整个行业发展的“命门”。在区块链安全生态遭到疯狂狙击的环境下,全世界却没有一家安全公司能够提供优质的区块链安全解决方案。

Fcoin合伙人张健在回应安全问题时说,“交易所安全首先是严谨的流程,其次就是对数字资产深刻的理解。很遗憾的事,目前很多从业者,不具备这样的经验。”

众所周知,安全体系生态的建设往往会涉及到许多敏感地带,有能力扛起这面大旗的其人选并不多。据悉安全链全球生态的负责人钱科铭,曾被誉为中国最年轻的黑客,并入选福布斯30岁以下30人,从其过往经历来看,不仅操盘过全球化的安全社群平台、在安防的软硬件开发上有丰富经验,而且是连续成功创业者。团队更是吸收了全球顶级的区块链安全专家、科学家、白帽子(黑客)组织,该项目自诞生之初,就十分神秘而低调。

区块链是一个经过许可和复制的共享账本,具备共识性、可证明性、永恒性和最终性这些特征。共享账本可以确保参与者能够决定要共享的资产,并能够掌握作为交易对象的其他参与者的身份。区块链还为参与者提供可证明的背书,并附带有保密性,即只能在"需要知道"的基础上共享信息。

区块链和区块链应用程序同样也会遭受网络攻击和欺诈,这早已不是什么秘密。以下是几个示例:

去中心化自治组织 (DAO) 是一个风险投资基金,通过受比特币启发而产生的去中心化区块链来开展业务,它因代码惨遭不良利用而被盗取价值超过 6000 万美元的以太数字货币(约占其价值的三分之一)。

总部位于中国香港特别行政区的全球最大加密货币交易所之一 Bitfinex 曾发生一起价值近 7300 万美元的客户比特币失窃案,由此证明此类货币仍然存在巨大风险。发生此类失窃案的原因可能是密钥失窃。

全球最大的以太坊和比特币加密货币交易所之一 Bithumb 最近遭到黑客入侵,30,000 名用户数据惨遭泄露,价值 870,000 美元的比特币不幸失窃。即使遭到黑客入侵的只是一名员工的计算机,而不是核心服务器,该起事件仍引发了人们对于整体安全性的担忧。

应对和检验区块链的密钥安全问题或风险有助于确保区块链解决方案的安全。

Security Chain(安全链)已经吸引了,具有英国国家级安全系统研发的技术团队,全球一线投资机构、前BAT高管等陆续进驻生态圈。公司拥有4个独立业务线,团队分布三个国家地区,拥有两个安全实验室。团队主要成员来自全球知名的网络安全专家,博士教授,数学科学家,均拥有超过15年的网络攻防经验,以及深厚的技术资源。

依靠区块链安全攻防的一线团队,通过研发软硬件国家级联动深度加固安全技术底层,所以能够基于此针对现有区块链的架构解决技术的安全特性和规避缺点,围绕物理、数据、应用系统、加密、风控等方面构建安全系统,成为世界上最安全的钱包。因此,Security Chain(安全链)在应用上已经走的更为前列,已经面向区块链企业用户和个人用户提供军工级网络安全解决方案,提供全球独家的芯片级软硬件钱包解决方案。

 区块链技术在目前最广泛、最成熟的应用领域莫过于交易货币。以比特币为例,比特币的数量上限为2100万枚,而发明者中本聪一人则持有110万枚,约占所有总量的5%。况且现在挖掘出的数量在1000万枚左右。如果以金矿做比喻,你能想象全世界10%的黄金掌握在一个人手中吗?

根据相关报道统计,全球有40%的比特币掌握在1千人手中。这就是说,如果比特币是一种财富标尺的话,那么以区块链技术为基础的货币体系呈现着巨大的分布不均。而且随着时间推移,货币产出成本将越来越高,后来者几乎没有机会超越前人所先占的财富。

更为重要的是,区块链社区的原则是每个人都要贡献价值。这就是说,参与社区的人越多,使用比特币交易的人越多,那么比特币的价值就越大,那么先占有比特币的人的收益也就越大。这其实也算是一种财富升值的搭便车。

这样的贫富差距结构,激励很多人去创造新的比特币,从而使自己成为最初的那批人。事实也正是如此,不仅一种数字货币本身可以分叉,各种各样的加密数字货币层出不穷,空气币、莱特币、天空币、以太币,不一而足。而且有的加密数字本身几无价值,仅是作为投机增值的手段。即便某个货币从各种数字货币的竞争中胜出,也仍然无法避免巨大的贫富差距产生,而这种贫富差距和每个主体的贡献差距并不呈正比。

虽然分布式账本技术以出色的安全性而闻名,但这并不意味着它们是完全安全的。它们仍可能遭到攻击,数据或者信息仍可能被盗。你应当知道,区块链也不是百分百安全的,应采取预防措施来确保安全性。

上海市信息安全行业协会副会长石坚表示在论坛中表示:“尽管区块链的发展前景非常广阔,但目前在实际落地和接受度方面仍然受限。区块链是一个先进的技术,但不是万能的,区块链技术还需要应对存在的性能问题、安全风险,需要投入新的技术研发、实践,促进其成熟应用。”

石坚称:“在推动区块链发展的同时,解决其安全问题是当务之急。区块链目前面临的主要问题有共识过程的中心化、智能合约代码漏洞、算法漏洞、系统实现代码漏洞等,分析区块链安全性需要从综合安全性、算法安全性、使用安全性、实践安全性与协议安全性这五个方面进行分析。”

上海市信息安全测评中心高级工程师徐御就区块链技术安全测评方面介绍了研究思路。徐御称:“需要从实践和技术研究方面形成区块链安全要求,探究其中存在的安全风险、对抗风险所采取的措施,以及实践经验来源经验,最后形成一个安全要求作为检测、开发、应用的具有开放性和经济性的指导标准。”

同时,徐御介绍了和目前在区块链安全测评方面所取得的几个成果。徐御透露:“在对区块链进行安全风险梳理后,统计风险达到20种左右,其中的6种是最新的风险。我们根据所梳理的20种风险,利用风险对抗的模型和思路,形成了风险对抗的几个措施,比如根据工信部《区块链数据格式规范》做出规范性的设计等。”

2018年2月,工信部发布《区块链数据格式规范》。该标准有助于为区块链系统的数据结构设计提供参考,为区块链行业应用提供统一的数据标准,对我国区块链标准建设具有重要意义。

第一,共识机制代替中心认证机制。传统网络的用户认证采用中央认证中心(CA)方式,整个系统的安全性完全依赖于集中部署的 CA 认证中心和相应的内部管理人员身上。如果CA被攻击,则所有用户的数据可能被窃取或者修改。而在区块链节点共识机制下,无需第三方信任平台,写入的数据需要网络大部分节点的认可才可以被记录,因此,攻击者需要至少控制全网络51%的节点才能够伪造或者篡改数据,这将大大增加攻击的成本和难度。

  • 数据篡改“一发动全身”。区块链采用了带有时间戳的链式区块结构存储数据,为数据的记录增加了时间维度,具有可验证性和可追溯性。当改变其中一个区块中的任何一个信息,都会导致从该区块往后所有区块数据的内容修改,从而极大增加数据篡改的难度。

第三,抵抗分布式拒绝服务(DDoS)。区块链的节点分散,每个节点都具备完整的区块链信息,而且可以对其他节点的数据有效性进行验证,因此针对区块链的DDoS攻击将会更难展开。即便攻击者攻破某个节点,剩余节点也可以正常维持整个区块链系统。

总之外汇代理http://www.fx61.com/ib.html具有可靠的信息交互、完整的数据存储、可信的节点认证等安全性优势,因而为网络安全提供了一种崭新的安全防护思路和模式,将传统网络边界式防护转变为全网络节点参与的安全防护新模式,通过分布式的节点共识机制来抵抗恶意节点的攻击,在网络安全领域具有极大的应用潜力。只是现阶段区块链技术还不够成熟,区块链系统仍然存在许多安全隐患和漏洞,而且对于硬件设施落后也是现阶段的一个难点,因此在下一步应用中,更多的落实应用场景及硬件设施的提升上,以及加强区块链的监管和安全技术的研究与实践,推动区块链应用的稳步发展,充分发挥区块链技术的安全优势,有效提升网络安全防护水平,才能更有效的使区块链市场良性发展。

 


注意:本文归作者所有,未经作者允许,不得转载

全部评论: 0

    我有话说: