首頁  >  IT頻道  >  區塊鏈  > 正文

長亭科技聯合行業巨頭髮布國內首個區塊鏈安全報告

2018-05-08 11:29:35 | 來源: 東北新聞網 | 編輯: 朱安娜 | 責編: 韓俁
分享到:

  在“雙刃劍”理論普遍適應新技術的當下,最尷尬的莫過於“區塊鏈”了,正所謂“生於斯毀於斯”,得名于“中本聰”《比特幣:一種點對點電子現金系統》一文的“區塊鏈”,也因比特幣在全球範圍內過山車一樣的動蕩表現而頗受微詞。實際上,從創新角度看,區塊鏈巧妙融合升級了多種現有技術,如非對稱加密、點對點網絡技術、哈希算法和共識算法,嚴格意義上講它是一次工程學意義上而非科學理論上的創新。比特幣等令全球各經濟實體如履薄冰的數字貨幣,僅僅只是區塊鏈技術諸多應用中最廣為人知的一種而已。

  任何一個新興產業誕生之初總會面對各種各樣的難題,而區塊鏈產業目前遇到的最大難題是全球互聯網、信息、IT行業鬥爭多年的安全難題。表像是比特幣等各類數字貨幣價格動蕩,深究之後卻發現背後竟有黑客攻擊的加持;某些區塊鏈平臺犯了看起來很不可思議的低級錯誤,動輒爆出成千萬、上億美金的損失,甚至直接導致破產,正應了那句圈內有名的“世界上沒有絕對安全的系統”。更不可思議的是,這些收益“頗豐”的攻擊卻往往使用了相對簡單的攻擊手法。

  從業者似乎需要一本教科書去了解:攻擊者視角下的區塊鏈為何呈現出金礦般的誘惑力?但對絕大多數區塊鏈產業鏈上的企業、從業者而言,很難通過現有資訊系統性的了解區塊鏈安全現狀、難題以及應對策略。為此,在國際頂級安全圈創下赫赫聲名的中國初創安全公司長亭科技聯合ConsenSys、比特大陸兩家區塊鏈行業巨頭髮布了國內首個區塊鏈安全深度報告——《區塊鏈安全生存指南》,通過剖析區塊鏈技術的原理及特點,梳理了不同應用場景的安全訴求,復盤典型安全事件經過及技術原理,針對性總結區塊鏈行業安全應對策略,接下來讓我們一窺端倪。

【區塊鏈】長亭科技聯合行業巨頭髮布國內首個區塊鏈安全報告

現狀:像新生兒一樣脆弱

  從2008年概念提出到2013年業界認識到區塊鏈技術的重要潛在價值,並開始嘗試將其應用到數字貨幣以外的場景(如眾募、資產交易、權屬管理、身份認證等領域),再到當下人人熱談區塊鏈,短短幾年間區塊鏈迅速成為最火爆的技術、行業、產業,隨之而來的安全問題也令人揪心不已。《區塊鏈安全生存指南》顯示,針對區塊鏈的攻擊已經覆蓋了應用層、智慧合約層、底層結構層、基礎設施層、安全意識與管理等整個行業的方方面面,攻防戰火蔓延至區塊鏈產業全線。

  目前市場上多達幾百家的區塊鏈相關公司,根據業務類型和模式大致上可將其劃分為數字貨幣和技術應用兩大類。顧名思義,數字貨幣是與數字經濟時代相匹配的一種體現和傳遞交換價值的中間件。而技術應用是在很多現實場景中利用區塊鏈技術降低成本,提升效率。兩者因業務形態、模式的區別,導致其安全訴求也不盡相同。

  應用層通常成為攻擊者首選的目標,也就是最常見到的各種交易平臺。安全問題包括交易所服務器未授權訪問、交易所DDoS攻擊、員工主機安全問題、惡意程序感染等幾個方面。智慧合約層則是整個安全防範的重中之重,世界知名的DAO事件就是被重入攻擊導致數千萬美金的損失,涉及智慧合約開發的代表性項目有區塊鏈錢包、眾籌基金、區塊鏈代幣發行、區塊鏈遊戲等。未授權訪問攻擊,杜絕Solidity 編程隱患等都是合約層的常見問題。底層機構層和基礎設施層安全需要注意區塊鏈實現層安全隱患、針對社區的DoS 攻擊、EVM 安全隱患等等。此外,安全意識與管理,含如何識別防範社會工程學攻擊、內部者攻擊、第三方風險控制失敗、釣魚攻擊也是一個都不能少。顯而易見,區塊鏈這一新貴安全的複雜性在於不僅在新維度上產生了問題,常見的安全問題也貫穿其中。

  相對於區塊鏈產業勢不可擋的發展速度,公眾對區塊鏈安全的認知近乎為零,相應的規範和保障體系更如新生兒一樣脆弱。自出現至今承受了大量的網絡攻擊,每一次成功的攻擊帶來的都是百萬、千萬到上億美元實際損失,並且打擊了人們對區塊鏈行業的信心。

  對策:開發具有生命週期的安防體系

  可見,頭頂新互聯網之名的區塊鏈也是個複雜的系統,區塊鏈整體的安全,離不開系統架構中每一環節的安全性。從另一個角度來看,區塊鏈是一個長期運行的分佈式軟體系統,任何軟體系統必將經歷從需求到設計,再到實現和發佈,最終不斷更新迭代的過程。在軟體開發過程中的每一個環節出現的安全問題,都會給下一個環節引入更多的安全問題。例如,不考慮安全的應用場景難以引入安全設計,不安全的系統架構無法用安全的實現進行彌補,代碼實現層面的漏洞能給已經發佈的應用以毀滅性地打擊。

  為了更加全面和系統化地應對區塊鏈所面臨的安全問題,不僅要考慮技術架構中的每個層面面臨的安全風險,也要將安全方案融入區塊鏈開發的每一個環節中去。《區塊鏈安全生存指南》建議區塊鏈開發者們,根據區塊鏈的技術架構進行具體化,最終實現區塊鏈安全開發生命週期的安全管理方案。

  楊坤,長亭科技聯合創始人及首席安全研究員,曾任國際知名藍蓮花戰隊隊長,帶領中國戰隊取得國際頂級黑客大賽DEFCON CTF全球第二的最佳戰績,對於區塊鏈安全他有極深的思考:“我們在擁抱區塊鏈技術帶來的革命時,也面臨著嚴峻的安全考驗——無論是系統的設計還是實現中出現的安全漏洞,都可能給整個應用帶來毀滅性的打擊。在此次發佈指南中,我們圍繞區塊鏈安全,對不同應用的安全需求、過去發生的攻擊事件和應對策略進行梳理,希望能夠為行業帶來啟發”。

  吳忌寒,業內第一個將比特幣創始人中本聰論文翻譯成中文的資深大咖,2013年和詹克團聯合創立比特大陸,這家成立不到五年的中國公司,被譽為比特幣產業鏈上的隱形帝國。吳忌寒認為:“區塊鏈自誕生以來,各種攻擊事件層出不窮,安全形勢嚴峻,需要行之有效的方法來防禦”。

  唐弈,ConsenSys中國區負責人,提及這次三方聯合發佈國內首個區塊鏈安全報告時的初衷時表示:“很榮幸與長亭科技和比特大陸共同撰寫發佈區塊鏈安全深度報告,希望通過報告為提高全行業的安全意識和技術能力做出一些貢獻。安全一直是區塊鏈的核心課題之一,ConsenSys期待與行業夥伴們共建安全生態、推動區塊鏈技術在中國和世界的發展。”總部設于紐約的ConsenSys由以太坊聯合創始人Joseph Lubin成立於2015年,現在全球團隊一共超過600人。

  前景:舉國創新聚焦前沿技術

  數據顯示,區塊鏈專利申請的主要國家包括中國、美國、韓國、日本,中國的增長最為迅速,世界上超過一半的區塊鏈專利都在中國。目前中國區塊鏈創業公司的數量僅次於美國,全球市值前二十的數字資產中,不少都有中國血統。

  通過各行披露的年報可知,A股26家上市銀行中共有12家在年內已上線運行區塊鏈應用,其中包括三家國有大行、六家全國性股份制銀行,以及三家城商行。這也意味著,區塊鏈正逐漸滲透到國民日常生活的點點滴滴之中。未來,區塊鏈金融應用只是排頭兵,而各種區塊鏈應用將會越來越深入,隨之而來的改變可能會像科幻電影中的《明日世界》一樣令人震撼。

  千里之行始於足下千里之提潰于蟻穴,區塊鏈企業、行業、產業可持續發展的前提是區塊鏈安全,這跟擲地有聲的“沒有網絡安全就沒有國家安全”無疑處於同一層面。相信這也是長亭科技、ConsenSys、比特大陸三大行業領軍企業發佈《區塊鏈安全生存指南》的核心動力。一方面,這三家企業有絕對實力對區塊鏈安全現狀做出深度分析並給出建議;另一方面,這也是企業高度社會責任感的體現,值得包括不限于區塊鏈領域的更多依賴技術創新求突破的企業深思並學習。

國際在線版權與信息產品內容銷售的聲明:

1、“國際在線”由中國國際廣播電臺主辦。經中國國際廣播電臺授權,國廣國際在線網絡(北京)有限公司獨家負責“國際在線”網站的市場經營。

2、凡本網註明“來源:國際在線”的所有信息內容,未經書面授權,任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際在線”自有版權信息(包括但不限于“國際在線專稿”、“國際在線消息”、“國際在線XX消息”“國際在線報道”“國際在線XX報道”等信息內容,但明確標注為第三方版權的內容除外)均由國廣國際在線網絡(北京)有限公司統一管理和銷售。

已取得國廣國際在線網絡(北京)有限公司使用授權的被授權人,應嚴格在授權範圍內使用,不得超範圍使用,使用時應註明“來源:國際在線”。違反上述聲明者,本網將追究其相關法律責任。

任何未與國廣國際在線網絡(北京)有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個人均無權銷售、使用“國際在線”網站的自有版權信息產品。否則,國廣國際在線網絡(北京)有限公司將採取法律手段維護合法權益,因此產生的損失及為此所花費的全部費用(包括但不限于律師費、訴訟費、差旅費、公證費等)全部由侵權方承擔。

4、凡本網註明“來源:XXX(非國際在線)”的作品,均轉載自其它媒體,轉載目的在於傳遞更多信息,豐富網絡文化,此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯絡的,請在該事由發生之日起30日內進行。