交互軟件帶來區(qū)塊鏈網(wǎng)絡(luò)安全問題 黑客攻擊屢屢得手 如何保證區(qū)塊鏈的安全？

• 2018年9月20日 YangJinZhu來源：新浪 1138 73
• 繁體

• 

  2018-2023年中國區(qū)塊鏈技術(shù)應(yīng)用現(xiàn)狀及投資前景預(yù)測(cè)報(bào)告

  在區(qū)塊鏈迅速發(fā)展的背景下，中國順應(yīng)全球化需求，緊跟國際步伐，積極推動(dòng)國內(nèi)區(qū)塊鏈的相關(guān)領(lǐng)域研究、標(biāo)準(zhǔn)化制定以及產(chǎn)業(yè)化發(fā)展。新一輪科技革命和產(chǎn)業(yè)變革席卷全球，數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化成為...

區(qū)塊鏈可能是安全的，但與之交互的軟件未必，至少大多數(shù)情況下都不安全。區(qū)塊鏈軟件漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊近年來逐漸增多，從加密貨幣錢包盜竊到智能合約攻擊再到加密貨幣交易所被黑，各種涉區(qū)塊鏈軟件的安全事件層出不窮。

區(qū)塊鏈可能是安全的，但與之交互的軟件未必，至少大多數(shù)情況下都不安全。區(qū)塊鏈軟件漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊近年來逐漸增多，從加密貨幣錢包盜竊到智能合約攻擊再到加密貨幣交易所被黑，各種涉區(qū)塊鏈軟件的安全事件層出不窮。

保護(hù)區(qū)塊鏈生態(tài)系統(tǒng)是當(dāng)前最具挑戰(zhàn)性的網(wǎng)絡(luò)安全問題。區(qū)塊鏈本身可能是安全的，但這并不意味著與之交互的所有部分都安全，比如加密貨幣錢包、加密貨幣交易所、挖礦軟件、智能合約。最近的一份調(diào)查研究表明，僅今年上半年，黑客便盜取了價(jià)值11億美元的加密貨幣。

區(qū)塊鏈成為黑客眼中誘人目標(biāo)的部分原因，在于攻擊者利用區(qū)塊鏈變現(xiàn)更加便捷，他們不用轉(zhuǎn)手所盜數(shù)據(jù)即可收獲金錢，直接盜?。ㄌ摂M）貨幣本身即可。

區(qū)塊鏈?zhǔn)潜忍貛胖械暮诵募夹g(shù)，在無法建立信任關(guān)系的互聯(lián)網(wǎng)上，區(qū)塊鏈技術(shù)依靠密碼學(xué)和巧妙的分布式算法，無需借助任何第三方中心機(jī)構(gòu)的介入，用數(shù)學(xué)的方法使參與者達(dá)成共識(shí)，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

黑客攻擊為什么能屢屢得手

基于區(qū)塊鏈的數(shù)字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀(jì)錄，盜竊事件的發(fā)生也引發(fā)了人們對(duì)數(shù)字貨幣安全的擔(dān)憂，人們不禁要問：區(qū)塊鏈技術(shù)安全嗎？

隨著人們對(duì)區(qū)塊鏈技術(shù)的研究與應(yīng)用，區(qū)塊鏈系統(tǒng)除了其所屬信息系統(tǒng)會(huì)面臨病毒、木馬等惡意程序威脅及大規(guī)模DDoS攻擊外，還將由于其特性而面臨獨(dú)有的安全挑戰(zhàn)。

1． 算法實(shí)現(xiàn)安全

由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù)，屬于算法高度密集工程，在實(shí)現(xiàn)上比較容易出現(xiàn)問題。歷史上有過此類先例，比如NSA對(duì)RSA算法實(shí)現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級(jí)別的漏洞，可以說構(gòu)成區(qū)塊鏈整個(gè)大廈的地基將不再安全，后果極其可怕。之前就發(fā)生過由于比特幣隨機(jī)數(shù)產(chǎn)生器出現(xiàn)問題所導(dǎo)致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個(gè)隨機(jī)數(shù)，就能推導(dǎo)出私鑰。

2． 共識(shí)機(jī)制安全

當(dāng)前的區(qū)塊鏈技術(shù)中已經(jīng)出現(xiàn)了多種共識(shí)算法機(jī)制，最常見的有PoW、PoS、DPos。但這些共識(shí)機(jī)制是否能實(shí)現(xiàn)并保障真正的安全，需要更嚴(yán)格的證明和時(shí)間的考驗(yàn)。

3． 區(qū)塊鏈?zhǔn)褂冒踩?/strong>

區(qū)塊鏈技術(shù)一大特點(diǎn)就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成并保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對(duì)賬戶的資產(chǎn)做任何操作。一旦被黑客拿到，就能轉(zhuǎn)移數(shù)字貨幣。

4． 系統(tǒng)設(shè)計(jì)安全

像Mt.Gox平臺(tái)由于在業(yè)務(wù)設(shè)計(jì)上存在單點(diǎn)故障，所以其系統(tǒng)容易遭受DoS攻擊。目前區(qū)塊鏈?zhǔn)侨ブ行幕?，而交易所是中心化的。中心化的交易所，除了要防止技術(shù)盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區(qū)塊鏈面臨著算法實(shí)現(xiàn)、共識(shí)機(jī)制、使用及設(shè)計(jì)上挑戰(zhàn)，同時(shí)黑客通過利用系統(tǒng)安全漏洞、業(yè)務(wù)設(shè)計(jì)缺陷也可達(dá)成攻擊目的。目前，黑客攻擊已經(jīng)在對(duì)區(qū)塊鏈系統(tǒng)安全性造成越來越大的影響。

如何保證區(qū)塊鏈的安全

新技術(shù)意味著新威脅和新的學(xué)習(xí)曲線。任何新技術(shù)都一樣，風(fēng)險(xiǎn)浮現(xiàn)需要時(shí)間，發(fā)展出應(yīng)對(duì)風(fēng)險(xiǎn)的方法也需要時(shí)間。我們已經(jīng)在WiFi技術(shù)上走過了這條曲線，IoT技術(shù)領(lǐng)域的學(xué)習(xí)曲線則仍在描繪中。至于區(qū)塊鏈安全，我們才剛剛踏上學(xué)習(xí)曲線的起始階段。而我們必須盡快探索，因?yàn)閰^(qū)塊鏈的誘惑太大了，鏈上投注了如此之多的金錢，大量攻擊活動(dòng)正蠢蠢欲動(dòng)。

為了保證區(qū)塊鏈系統(tǒng)安全，建議參照NIST的網(wǎng)絡(luò)安全框架，從戰(zhàn)略層面、一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度出發(fā)構(gòu)建識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)核心組成部分，來感知、阻斷區(qū)塊鏈風(fēng)險(xiǎn)和威脅。

除此之外，根據(jù)區(qū)塊鏈技術(shù)自身特點(diǎn)重點(diǎn)關(guān)注算法、共識(shí)機(jī)制、使用及設(shè)計(jì)上的安全。

1．針對(duì)算法實(shí)現(xiàn)安全性：一方面選擇采用新的、本身經(jīng)得起考驗(yàn)的密碼技術(shù)，如國密公鑰算法SM2等。另一方面對(duì)核心算法代碼進(jìn)行嚴(yán)格、完整測(cè)試的同時(shí)進(jìn)行源碼混淆，增加黑客逆向攻擊的難度和成本。

2．針對(duì)共識(shí)算法安全性：PoW中使用防ASIC雜湊函數(shù)，使用更有效的共識(shí)算法和策略。

3．針對(duì)使用安全性：對(duì)私鑰的生成、存儲(chǔ)進(jìn)行保護(hù)，敏感數(shù)據(jù)加密存儲(chǔ)。

4．針對(duì)設(shè)計(jì)安全性：一方面要保證設(shè)計(jì)的功能盡量完善，如采用私鑰白盒簽名技術(shù)，防止病毒、木馬在系統(tǒng)運(yùn)行過程中提取私鑰；設(shè)計(jì)私鑰泄露追蹤功能，盡可能減少私鑰泄露后的損失。另一方面，應(yīng)對(duì)某些關(guān)鍵業(yè)務(wù)設(shè)計(jì)去中心化，防止單點(diǎn)故障攻擊

區(qū)塊鏈用戶要保護(hù)自身，需從以下四個(gè)基本安全措施做起：

1．別暴露你的私鑰

2．采用雙因子身份驗(yàn)證

3．使用加密貨幣交易平臺(tái)時(shí)別公開任何電子郵箱地址或電話號(hào)碼

4．別在網(wǎng)上吹噓你的加密貨幣財(cái)富

實(shí)現(xiàn)代碼級(jí)安全

創(chuàng)建與區(qū)塊鏈互動(dòng)的軟件時(shí)應(yīng)將安全內(nèi)置到代碼中：

要用良好的軟件開發(fā)生命周期將安全添加到開發(fā)過程中，并審查繼承過來的代碼

使用雙因子身份驗(yàn)證和硬件錢包

遵從標(biāo)準(zhǔn)最佳實(shí)踐——使用SSL和證書以確保參與各方的身份真實(shí)

區(qū)塊鏈好處多多，包括更好的法律合同、更強(qiáng)的供應(yīng)鏈可見性，甚至可以減少欺詐。但任何技術(shù)都逃不過被惡意黑客探測(cè)一番，區(qū)塊鏈也不例外，黑客探出的漏洞就有可能引發(fā)懷疑情緒，減緩新技術(shù)的采納速度。