安信證劵報告：“區(qū)塊鏈+”產(chǎn)業(yè)快速發(fā)展下的安全問題

從比特幣到區(qū)塊鏈

2008年10月31日，一位化名中本聰?shù)娜嗽趍etzdowd密碼學(xué)郵件列表中提出了比特幣的設(shè)計白皮書《比特幣：一種點對點電子現(xiàn)金系統(tǒng)》，并于2009年公開了最初的實現(xiàn)代碼，作為開源項目，比特幣很快吸引了大量開發(fā)者的加入。

比特幣的意義在于，首次真正從實踐意義上實現(xiàn)了安全可靠的去中心化數(shù)字貨幣機制。比特幣網(wǎng)絡(luò)由數(shù)千個核心節(jié)點參與構(gòu)成，而不需要任何中心化的機構(gòu)參與支持，則是靠分布式機制實現(xiàn)了穩(wěn)定的交易量。通過分布式賬本，每一筆交易或者數(shù)據(jù)都能被準(zhǔn)確地記錄，且無法被惡意篡改。比特幣網(wǎng)絡(luò)設(shè)計了區(qū)塊鏈結(jié)構(gòu)，提供了可靠、無法被惡意篡改的數(shù)字貨幣賬本功能。

區(qū)塊鏈?zhǔn)且环N去中心化的分布式賬本數(shù)據(jù)庫。根據(jù)工業(yè)和信息化部信息中心指導(dǎo)發(fā)布的《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書(2016)》所釋，廣義來講，區(qū)塊鏈技術(shù)是利用塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來驗證與存儲數(shù)據(jù)、利用分布式節(jié)點共識算法來生成和更新數(shù)據(jù)、利用密碼學(xué)的方式保證數(shù)據(jù)傳輸和訪問的安全、利用由自動化腳本代碼組成的智能合約來編程和操作數(shù)據(jù)的一種全新的分布式基礎(chǔ)架構(gòu)與計算范式。

從比特幣中發(fā)展出來的區(qū)塊鏈技術(shù)，可以塑造更高效、更安全的未來商業(yè)網(wǎng)絡(luò)，產(chǎn)生巨大商業(yè)價值。自2014起，比特幣背后的區(qū)塊鏈技術(shù)逐漸被重視，并進一步引發(fā)了分布式記賬本技術(shù)的革新。目前，區(qū)塊鏈技術(shù)已經(jīng)脫離了比特幣網(wǎng)絡(luò)，廣泛應(yīng)用于金融、貿(mào)易物流、征信、產(chǎn)權(quán)等領(lǐng)域。

區(qū)塊鏈熱度攀升，產(chǎn)業(yè)迅速發(fā)展

區(qū)塊鏈產(chǎn)業(yè)近兩年迅速發(fā)展，以區(qū)塊鏈技術(shù)為主營業(yè)務(wù)的企業(yè)數(shù)量快速增加。根據(jù)工業(yè)和信息化部信息中心發(fā)布的《2018年中國區(qū)塊鏈產(chǎn)業(yè)白皮書》顯示，2015-2017年，我國以區(qū)塊鏈業(yè)務(wù)為主營業(yè)務(wù)的區(qū)塊鏈公司數(shù)量分別為120家、256家、434家，分別同比增長57.9%、113.3%、69.5%，而截至2018年3月31日，公司數(shù)量已達456家，大幅增長。

資本對區(qū)塊鏈產(chǎn)業(yè)的關(guān)注與支持力度持續(xù)增加。近兩年區(qū)塊鏈領(lǐng)域的投資熱度明顯上升，融資事件從2014年的6起迅速提升到2017年的96起，2018 年第一季度投資事件數(shù)量就達到了68起。

圖3：2013-2017年中國區(qū)塊鏈行業(yè)公司數(shù)量及融資事件情況

資料來源：《2018年中國區(qū)塊鏈產(chǎn)業(yè)白皮書》

互聯(lián)網(wǎng)巨頭紛紛入局。區(qū)塊鏈技術(shù)不僅受到了創(chuàng)業(yè)企業(yè)的青睞，也受到了互聯(lián)網(wǎng)巨頭企業(yè)的廣泛關(guān)注。目前，騰訊、阿里、百度、京東等互聯(lián)網(wǎng)巨頭紛紛布局區(qū)塊鏈，開展區(qū)塊鏈技術(shù)的研究與進行場景應(yīng)用，推動了我國區(qū)塊鏈產(chǎn)業(yè)迅速發(fā)展。

區(qū)塊鏈應(yīng)用場景廣泛，商業(yè)落地賦能各行業(yè)

按照應(yīng)用范圍與發(fā)展階段將區(qū)塊鏈應(yīng)用劃分為區(qū)塊鏈1.0、2.0、3.0。其中：1)區(qū)塊鏈1.0應(yīng)用支撐虛擬貨幣應(yīng)用，也就是與轉(zhuǎn)賬、匯款和數(shù)字化支付相關(guān)的密碼學(xué)貨幣應(yīng)用，比特幣是區(qū)塊鏈1.0的典型應(yīng)用;2)區(qū)塊鏈2.0應(yīng)用支撐智能合約應(yīng)用，合約是經(jīng)濟和金融領(lǐng)域區(qū)塊鏈應(yīng)用的基礎(chǔ)，區(qū)塊鏈2.0應(yīng)用包括了股票、債券、期貨、貸款、抵押、產(chǎn)權(quán)、智能財產(chǎn)和智能合約，以太坊、超級賬本等是區(qū)塊鏈2.0的典型應(yīng)用;3)區(qū)塊鏈3.0應(yīng)用是超越貨幣和金融范圍的泛行業(yè)去中心化應(yīng)用(Dapp)，特別是在政府、醫(yī)療、科學(xué)、文化與藝術(shù)等領(lǐng)域的應(yīng)用。

圖8：區(qū)塊鏈發(fā)展階段

如果未來基于區(qū)塊鏈技術(shù)構(gòu)造的商業(yè)價值網(wǎng)絡(luò)成為現(xiàn)實，所有的交易都將高效完成且無法偽造，以及簽署的合同都能按照約定嚴(yán)格執(zhí)行，這將極大降低整個商業(yè)體系運轉(zhuǎn)的成本，同時提高社會溝通協(xié)作的效率。從這個意義上，基于區(qū)塊鏈技術(shù)構(gòu)建的未來商業(yè)網(wǎng)絡(luò)，將可能引發(fā)繼互聯(lián)網(wǎng)之后又一次巨大的產(chǎn)業(yè)變革。

區(qū)塊鏈與網(wǎng)絡(luò)安全

從目前區(qū)塊鏈的技術(shù)運用來說，很多場景都是需要依托互聯(lián)網(wǎng)技術(shù)才能實現(xiàn)的。事實上，區(qū)塊鏈技術(shù)的應(yīng)用價值將依賴于物聯(lián)網(wǎng)、加密、大數(shù)據(jù)技術(shù)的輔助，以及云存儲、云計算的支撐，區(qū)塊鏈技術(shù)是融合了互聯(lián)網(wǎng)中很多的先進技術(shù)衍生而成。

因此，在區(qū)塊鏈技術(shù)快速的發(fā)展下，信息安全技術(shù)越來越得到重視，沒有信息安全技術(shù)的基礎(chǔ)，區(qū)塊鏈技術(shù)也會存在很大的風(fēng)險和不可控，信息安全技術(shù)是區(qū)塊鏈技術(shù)不可缺少的一部份。

互聯(lián)網(wǎng)安全需求

我國網(wǎng)絡(luò)安全行業(yè)市場規(guī)模迅速增長。根據(jù)智研咨詢數(shù)據(jù)顯示，2012-2016年我國網(wǎng)絡(luò)安全行業(yè)市場規(guī)模保持20%以上的增速，2016年我國網(wǎng)絡(luò)安全行業(yè)市場規(guī)模已達495.8億元，近五年的復(fù)合增長率為22.6%，保持了快速增長態(tài)勢。

圖12：2011-2016年我國網(wǎng)絡(luò)安全行業(yè)市場規(guī)模

資料來源：智研咨詢

信息安全事件迅速增多。據(jù)普華永道《2017年全球信息安全狀況調(diào)查》顯示，2016年中國內(nèi)地及香港企業(yè)檢測到的信息安全事件平均數(shù)為2577，較2014年大幅增長969%，是2015年的兩倍。

圖13：2014-2016年中國內(nèi)地及香港企業(yè)信息安全事件平均數(shù)量

資料來源：普華永道

網(wǎng)絡(luò)安全事故頻出，且呈現(xiàn)出新特征。隨著我國信息技術(shù)的高速創(chuàng)新發(fā)展，信息化建設(shè)成果顯著，不僅傳統(tǒng)安全問題日益突出，網(wǎng)絡(luò)安全問題也更加復(fù)雜，這使得我國網(wǎng)絡(luò)安全風(fēng)險不斷加大，各種網(wǎng)絡(luò)攻擊事件層出不窮。同時，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用的不斷涌現(xiàn)以及各國對網(wǎng)絡(luò)空間爭奪的日益加劇，網(wǎng)絡(luò)安全事故也呈現(xiàn)出新特征：新技術(shù)發(fā)展推動網(wǎng)絡(luò)攻擊方式創(chuàng)新和升級;網(wǎng)絡(luò)安全應(yīng)急的時間窗口越來越短;物理信息融合更加深入，網(wǎng)絡(luò)安全事件更加復(fù)雜。

區(qū)塊鏈安全安全需求

隨著區(qū)塊鏈技術(shù)所產(chǎn)生的商業(yè)價值越來越高，其所面臨的安全問題將越發(fā)突出。雖然區(qū)塊鏈技術(shù)與各行各業(yè)的結(jié)合帶來的正向價值逐步顯現(xiàn)，但是在產(chǎn)業(yè)發(fā)展過程中仍然伴隨著一系列不可忽視的風(fēng)險，面臨諸多方面的安全挑戰(zhàn)，主要分為合規(guī)性風(fēng)險與技術(shù)層面的風(fēng)險。

一方面，合規(guī)性風(fēng)險是指與早期的互聯(lián)網(wǎng)發(fā)展類似，在區(qū)塊鏈發(fā)展的早期階段，由于幣本身具有傳遞價值的屬性，因此會使得一些投資者或者開發(fā)者不專注于技術(shù)應(yīng)用，而是熱衷于通過 ICO(首次代幣發(fā)行)進行非法集資甚至是欺詐的行為，存在資本市場的過分炒作的現(xiàn)象。一些項目本質(zhì)上并沒有真正利用區(qū)塊鏈技術(shù)，只是打著區(qū)塊鏈的旗號，進行虛假的宣傳，獲得了與實際價值完全不相符的估值。此外，還有些項目的所謂創(chuàng)新脫離了實體經(jīng)濟的需求，完全是投機行為。2017年9月，國家七部門聯(lián)合發(fā)布《關(guān)于防范代幣發(fā)行融資風(fēng)險的公告》，對國內(nèi)通過發(fā)行代幣形式包括首次代幣發(fā)行進行融資的行為進行了規(guī)范。

另一方面，從安全技術(shù)的角度，區(qū)塊鏈面臨著算法安全性、協(xié)議安全性、使用安全性、實現(xiàn)安全性和系統(tǒng)安全性的風(fēng)險與挑戰(zhàn)：

(1)算法安全性：目前區(qū)塊鏈的算法主要是公鑰算法和哈希算法，相對比較安全。但是隨著數(shù)學(xué)、密碼學(xué)和計算技術(shù)的發(fā)展，以及量子計算的發(fā)展和商業(yè)化，使得目前的加密算法存在被破解的可能性，這也是區(qū)塊鏈技術(shù)面臨的潛在安全威脅之一。

(2)協(xié)議安全性：基于PoW共識過程的區(qū)塊鏈主要面臨的是51%攻擊問題，即節(jié)點通過掌握全網(wǎng)超過51%的算力就有能力成功篡改和偽造區(qū)塊鏈數(shù)據(jù)。區(qū)塊鏈應(yīng)用前景廣闊，不排除攻擊者為了達到某種目的而不惜成本地實施這樣的攻擊。

(3)使用安全性：主要是指私鑰的安全性。區(qū)塊鏈技術(shù)一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。但是目前針對密鑰的攻擊層出不窮，一旦用戶使用不當(dāng)，造成私鑰丟失，就會給區(qū)塊鏈系統(tǒng)帶來危險。

(4)實現(xiàn)安全性：由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù)，屬于算法高度密集工程，在實現(xiàn)上比較容易出現(xiàn)問題。比如NSA對RSA算法實現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。

(5)系統(tǒng)安全性：在區(qū)塊鏈的編碼以及運行的系統(tǒng)中，不可避免會存在很多的安全漏洞，黑客通過利用上述安全漏洞，展開攻擊，這對區(qū)塊鏈的應(yīng)用和推廣帶來極大的不利影響。

區(qū)塊鏈安全事件損失情況

根據(jù)360發(fā)布的國內(nèi)區(qū)塊鏈安全報告《2017年挖礦木馬報告》顯示，2017年挖礦木馬攻擊事件數(shù)量呈爆發(fā)式增長，近一年的數(shù)量超過去4年數(shù)量總和。

圖15：國內(nèi)被披露大規(guī)模挖礦木馬攻擊事件數(shù)量

資料來源：《2017年挖礦木馬報告》

自2017年開始，安全漏洞所造成的損失呈現(xiàn)出指數(shù)上升的趨勢。根據(jù)區(qū)塊鏈安全網(wǎng)數(shù)據(jù)顯示，2017年發(fā)生區(qū)塊鏈重大安全事件數(shù)量為16次，僅2018年初至5月重大安全事件數(shù)量已達46次;2017年區(qū)塊鏈安全事件造成的經(jīng)濟損失達6.34億美元，損失額度從2017年開始呈現(xiàn)出指數(shù)上升的趨勢，2018年初至5月?lián)p失已達20億美元，按照歷史的攻擊趨勢，未來區(qū)塊鏈安全攻擊事件會越來越多，損失也會越來越大。

圖16：2011-2018年區(qū)塊鏈重大安全事件數(shù)量及經(jīng)濟損失

資料來源：區(qū)塊鏈安全網(wǎng)

從易受攻擊面的角度，即從區(qū)塊鏈層級的角度，攻擊者主要選擇應(yīng)用層、合約層、共識層以及網(wǎng)絡(luò)層進行攻擊。2011-2018年至今，應(yīng)用層面累計的損失達18.88億美元，占比56.34%，其次是合約層損失為14.09億美元，占比42.04%。

圖17：2011-2018年區(qū)塊鏈各層級被攻擊所造成的經(jīng)濟損失

資料來源：區(qū)塊鏈安全網(wǎng)

從易受攻擊點的角度，區(qū)塊鏈安全攻擊事件帶來的經(jīng)濟損失主要集中于智能合約、共識機制、交易平臺、用戶自身、礦工、共識機制方面。2011-2018年至今，智能合約層面發(fā)生的安全事件累計損失為14.09億美元，占比42.04%，交易平臺安全事件損失13.45億美元，占比40.15%，普通用戶安全事件損失4.37億美元，占比13.03%。

圖18：2011-2018年區(qū)塊鏈易受攻擊點帶來的經(jīng)濟損失

資料來源：區(qū)塊鏈安全網(wǎng)

區(qū)塊鏈各層級的安全訴求

區(qū)塊鏈系統(tǒng)一般由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和應(yīng)用層組成，目前針對區(qū)塊鏈的安全攻擊已經(jīng)覆蓋了應(yīng)用層、智能合約層、底層結(jié)構(gòu)層、基礎(chǔ)設(shè)施層等方方面面，貫穿區(qū)塊鏈的全產(chǎn)業(yè)鏈。目前攻擊者通常從交易平臺、在線錢包、智能合約以及共識機制方面進行攻擊。

數(shù)據(jù)層的安全性

區(qū)塊鏈的數(shù)據(jù)層主要包括底層數(shù)據(jù)塊區(qū)以及相關(guān)的數(shù)據(jù)加密等技術(shù)。其中底層數(shù)據(jù)塊是指分布在多個節(jié)點上的鏈?zhǔn)浇Y(jié)構(gòu)數(shù)據(jù)，各個節(jié)點之間的互動將會同步記錄在區(qū)塊中，每個節(jié)點都有屬于自己的一份區(qū)塊，單一或一小部分的節(jié)點的區(qū)塊數(shù)據(jù)被篡改，都無法影響整個區(qū)塊鏈的正常運行，因此這種數(shù)據(jù)塊的架構(gòu)，可以有效的防止數(shù)據(jù)被惡意篡改。但是利用區(qū)塊鏈數(shù)據(jù)的不可刪除與篡改的特點，一些數(shù)據(jù)源方面的安全也會暴露出，比如攻擊者會進行惡意信息攻擊與資源濫用攻擊。

● 惡意信息攻擊：借助區(qū)塊鏈數(shù)據(jù)不可刪除的特性，信息被寫入?yún)^(qū)塊鏈后很難刪除，攻擊者在區(qū)塊鏈中寫入惡意信息，將會遭到殺毒軟件、政治敏感等多方面的問題。

● 資源濫用攻擊：隨著時間的推移，區(qū)塊數(shù)據(jù)可能會爆炸式增長，進而可能導(dǎo)致節(jié)點無法容納更多數(shù)據(jù)進而使區(qū)塊鏈系統(tǒng)運轉(zhuǎn)緩慢，引發(fā)區(qū)塊鏈危機。攻擊者可以通過發(fā)送大量的垃圾信息來堵塞整個區(qū)塊鏈運作系統(tǒng)，使區(qū)塊鏈中真正的信息得不到及時處理，又或者使區(qū)塊鏈中的存儲節(jié)點超負(fù)荷運行。

數(shù)據(jù)加密技術(shù)為區(qū)塊鏈的信息完整性、認(rèn)證性和不可抵賴性提供了關(guān)鍵保障。已經(jīng)有很多Hash函數(shù)被設(shè)計出來并廣泛應(yīng)用，不過Hash函數(shù)一般安全壽命都不長,Hash函數(shù)的安全性很大程度上取決于抗強碰撞的能力，評價一個Hash函數(shù)的安全性，就是看攻擊者在現(xiàn)有的條件下，是否可以找到該函數(shù)的一對碰撞。目前比特幣采用的是SHA256算法，SHA安全加密標(biāo)準(zhǔn)，是至今世界上使用最廣泛且安全的壓縮算法之一，隨著密碼學(xué)研究的不斷深入和計算機技術(shù)的快速發(fā)展，SHA-256算法得到全面推廣應(yīng)用。目前已有的對Hash函數(shù)攻擊的方法包括生日攻擊、差分攻擊等。

● 生日攻擊：生日攻擊是一種可用于攻擊任何類型函數(shù)Hash函數(shù)的攻擊方法。從攻擊原理上看，沒有利用Hash函數(shù)的結(jié)構(gòu)和任何代數(shù)弱性質(zhì)，只依賴與Hash值的長度。因此，抵御生日攻擊最有效的方法是Hash值必須有足夠的長度。

● 差分攻擊：差分攻擊是目前破譯迭代Hash函數(shù)最有效的手法之一，其基本方法是利用明文的輸入差值對輸出差值的影響，運用差分的高概率的繼承或者消除來產(chǎn)生最終的相同輸出。

攻擊案例：

2017 年 2 月份，以太坊的Ropsten測試鏈被攻擊者發(fā)動了千萬級別的垃圾交易信息攻擊堵塞網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)不能正常運行。

網(wǎng)絡(luò)層的安全性

區(qū)塊鏈網(wǎng)絡(luò)層主要包括分布式組網(wǎng)機制、數(shù)據(jù)傳播機制和數(shù)據(jù)驗證機制等。分布式組網(wǎng)機制是指區(qū)塊鏈技術(shù)采用P2P式的網(wǎng)絡(luò)架構(gòu)進行點對點傳輸，當(dāng)建立一個或多個連接后，節(jié)點將一條包含自身IP地址消息發(fā)送給其相鄰節(jié)點，相鄰節(jié)點再將此消息依次轉(zhuǎn)發(fā)給各自的相鄰節(jié)點，進而保證節(jié)點信息被多個節(jié)點所接收。而P2P網(wǎng)絡(luò)的缺點在于其依賴附近的節(jié)點來進行信息傳輸必須要互相暴露對方的IP，若網(wǎng)絡(luò)中存在一個攻擊者，就很容易給其他節(jié)點帶來安全威脅。

廣播機制是指在區(qū)塊鏈中，當(dāng)某節(jié)點接入到區(qū)塊鏈網(wǎng)絡(luò)后，會與其他節(jié)點建立連接，并將信息傳播給其他節(jié)點，其他節(jié)點會驗證此信息是否為有效的信息，確認(rèn)無誤后再繼續(xù)向其他節(jié)點廣播。

驗證機制是指區(qū)塊鏈的運行為了維持其數(shù)據(jù)的有效性與真實性，必須要有相應(yīng)的驗證機制來限制節(jié)點必須將真實信息寫入?yún)^(qū)塊中。

針對網(wǎng)絡(luò)層的安全攻擊，有日食攻擊、拒絕服務(wù)攻擊等：

●日食攻擊：囤積和霸占受害者的點對點連接間隙，將節(jié)點保留在一個隔離的網(wǎng)絡(luò)中，阻止最新的區(qū)塊信息進入日食節(jié)點，從而隔離節(jié)點。

●拒絕服務(wù)攻擊：通過大流量或者漏洞的方式攻擊P2P網(wǎng)絡(luò)中的節(jié)點，使網(wǎng)絡(luò)中部分節(jié)點網(wǎng)絡(luò)癱瘓，即造成總算力受損，使其更容易遭受51%攻擊。

共識層的安全性

區(qū)塊鏈目前常用的共識機制有PoW(工作量證明)、PoS(權(quán)益證明)、DPoS(授權(quán)權(quán)益證明)、PBFT(實用拜占庭容錯)等。各種共識機制都有其優(yōu)缺點，其中PoW算法簡單,易于實現(xiàn)，節(jié)點間無需交換額外的信息即可達成共識，但是PoW依賴于算力，會產(chǎn)生算力的消耗與浪費，此外新的區(qū)塊鏈須找到一種不同的散列算法, 否則會面臨比特幣的算力攻擊;PoS對于節(jié)點性能要求低，且達成共識時間短，但PoS同PoW一樣仍需要挖礦，且PoS會使得“富者更富”; DPoS不需要挖礦產(chǎn)生區(qū)塊，能夠大幅縮小參與驗證和記賬節(jié)點的數(shù)量，屬于弱中心化，但其整個共識機制依賴于代幣, 而很多商業(yè)應(yīng)用不需要代幣，且弱中心化屬性不適合公有鏈;在PBFT中，系統(tǒng)運轉(zhuǎn)可以脫離幣的存在, 安全性與穩(wěn)定性由業(yè)務(wù)相關(guān)方保證，共識的時延大約2-5秒，共識效率高可滿足高頻交易量的需求，但是當(dāng)有1/3 或以上記賬人聯(lián)合作惡, 且其他所有的記賬人被恰好分割為兩個網(wǎng)絡(luò)孤島時, 惡意記賬人可以使系統(tǒng)出現(xiàn)分叉。

攻擊案例：

2016年8月，基于以太坊的數(shù)字貨幣Krypton被一個名為“51% Crew”的團隊攻擊兩次，該團隊利用一個致命區(qū)塊鏈漏洞來進行一種兩步攻擊，第一步通過至少51%的網(wǎng)絡(luò)算力獲得壓倒性力量，以此對交易進行回滾，隨后再次消費相同的幣;第二步是采用DDoS節(jié)點提高網(wǎng)絡(luò)的算力。最終該區(qū)塊鏈平臺損失約21465 KR的代幣。

激勵層的安全性

區(qū)塊鏈激勵層主要包括經(jīng)濟激勵的發(fā)行機制和分配機制，目的是提供一定的激勵措施鼓勵節(jié)點參與區(qū)塊鏈的安全驗證工作。區(qū)塊鏈系統(tǒng)的安全性以及運行依賴于眾多節(jié)點的參與，而節(jié)點的運行過程亦需要耗費一定的計算資源和電能，因此為了鼓勵節(jié)點參與，采用虛擬貨幣的形式來獎勵參與者。以比特幣為例，獎勵機制包括了兩種，第一種是新區(qū)塊產(chǎn)生后系統(tǒng)生成的比特幣，第二種是每筆交易會扣除萬分之一比特幣作為手續(xù)費。

在區(qū)塊鏈的獎勵機制中，獎勵既要符合市場行情又要符合曠工的預(yù)期，區(qū)塊鏈項目需要順應(yīng)自動適當(dāng)調(diào)整獎勵，避免出現(xiàn)中心化問題。

合約層的安全性

合約層主要封裝各類腳本、算法和智能合約，是區(qū)塊鏈可編程特性的基礎(chǔ)。智能合約是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機協(xié)議，具備運行成本低、人為干預(yù)風(fēng)險小等優(yōu)勢。由于區(qū)塊鏈不可篡改的特點，使得智能合約一旦發(fā)布極難修改，開發(fā)者在設(shè)計之初就要充分重視合約的安全性，如果智能合約的設(shè)計存在問題，將有可能帶來較大的損失。

目前區(qū)塊鏈智能合約中可能出現(xiàn)的漏洞至少有20余種，其中比較常見的有整數(shù)溢出、越權(quán)訪問、信息泄露、邏輯錯誤、拒絕服務(wù)、函數(shù)誤用等漏洞。

●整數(shù)溢出：智能合約中危險的數(shù)值操作，可能導(dǎo)致合約失效、無限發(fā)幣等風(fēng)險;

●越權(quán)訪問：智能合約中對訪問控制處理不當(dāng)，可能導(dǎo)致越權(quán)發(fā)幣風(fēng)險;

●信息泄露： 硬編碼地址等，可能導(dǎo)致重要信息的泄露;

●邏輯錯誤：代理轉(zhuǎn)賬函數(shù)缺失必要校驗，可能導(dǎo)致基于重入漏洞的惡意轉(zhuǎn)賬等風(fēng)險;

●拒絕服務(wù)：循環(huán)語句、遞歸函數(shù)、外部合約調(diào)用等處理不當(dāng)，可能導(dǎo)致無限循環(huán)、遞歸棧耗盡等拒絕服務(wù)風(fēng)險;

●函數(shù)誤用：偽隨機函數(shù)調(diào)用和接口函數(shù)實現(xiàn)問題，可能導(dǎo)致可預(yù)測隨機數(shù)、接口函數(shù)返回異常等風(fēng)險。

攻擊案例：

●2016年6月，發(fā)生了一起重大的智能合約安全事件，由于The DAO編寫的智能合約存在著重大缺陷，眾籌項目The DAO(被攻擊前擁有1億美元左右資產(chǎn))遭到攻擊，價值6000萬美元的以太幣被盜，迫使以太幣被硬分叉為ETH和ETC。

●2018年4月，攻擊者利用數(shù)據(jù)溢出的漏洞攻擊BeautyChain(BEC)的智能合約，成功地向兩個地址轉(zhuǎn)出了天量級別的 BEC 代幣，導(dǎo)致市場上海量 BEC 被拋售，損失約10億美元。

應(yīng)用層的安全性

區(qū)塊鏈應(yīng)用層包括了區(qū)塊鏈的各種應(yīng)用場景，涉及數(shù)字貨幣交易，管理著大量資金的交易所等中心化節(jié)點的安全問題。對于目前的針對區(qū)塊鏈安全方面的攻擊，主要都來自于應(yīng)用層，源于該層面對于攻擊者來說是價值的所在，攻擊收益高而成本較低。

對于應(yīng)用層的攻擊主要體現(xiàn)在交易所/交易平臺以及錢包方面。首先交易所往往存放著大量資金，極易成為被攻擊目標(biāo)。攻擊者一旦獲得交易所服務(wù)器權(quán)限或訪問，修改關(guān)鍵信息，攻擊者便可盜取資金密鑰、篡改交易金額或者泄漏敏感信息等，給交易所造成經(jīng)濟和名譽上的毀滅性打擊。而交易平臺內(nèi)部又包括賬戶體系、支付體系、業(yè)務(wù)體系等環(huán)節(jié)的搭建，各個環(huán)節(jié)都可能成為攻擊的目標(biāo)。

●DDoS攻擊：若交易平臺被DDoS攻擊，不但交易平臺蒙受損失，區(qū)塊鏈貨幣的交易量也將大大減少，間接影響區(qū)塊鏈貨幣的漲跌。

●支付漏洞：支付漏洞直接涉及到資金財產(chǎn)的安全問題，無論對平臺或是用戶來說都是高風(fēng)險的。

● 惡意程序感染：交易所系統(tǒng)一旦被植入惡意程序，很可能造成大量敏感信息泄漏，其中包括密鑰及錢包文件。密鑰即一切，敏感信息的泄漏往往意味著失去全部資產(chǎn)的控制權(quán)。

區(qū)塊鏈的錢包指的是存儲區(qū)塊鏈資產(chǎn)的地址和私鑰的文件。目前主流的錢包分為冷錢包和熱錢包。通俗的理解，錢包就是存儲和使用虛擬貨幣的工具或軟件，那么冷錢包就是不連接互聯(lián)網(wǎng)的錢包，也叫離線錢包，一般是不聯(lián)網(wǎng)的電腦、手機、硬盤或者寫著私鑰的紙張等。而熱錢包就是保持聯(lián)網(wǎng)在線的錢包，也叫在線錢包。目前普遍的觀點是，冷錢包比熱錢包更安全，因為不連接互聯(lián)網(wǎng)，黑客無法通過線上渠道進行攻擊。但是冷錢包也存在硬件損壞導(dǎo)致數(shù)據(jù)丟失的情況。

● 釣魚攻擊：指攻擊者偽造某個錢包客戶端，無論從界面和操作上都可以做到和真錢包沒有區(qū)別，攻擊者在用戶轉(zhuǎn)賬的時竊取私鑰信息或者在轉(zhuǎn)賬地址上動手腳，進而竊取用戶的資產(chǎn)。

● 私鑰竊?。河捎趨^(qū)塊鏈不依賴于任何集中的第三方可信機構(gòu)，如果用戶的私鑰被竊取，則很難跟蹤到不法行為并恢復(fù)修改的區(qū)塊鏈信息。已經(jīng)有攻擊者開始針對密鑰文件進行專門掃描，以及開發(fā)相關(guān)的木馬病毒進竊取。

攻擊案例：

● 2017年5月，Poloniex交易平臺遭到了嚴(yán)重的DDoS攻擊，BTC/USDT的交易價格一度困于1761美元，BTC/ETH(以太坊)的交易價格在同一水平線上停滯了許久，交易量為零。

●2017年5月，數(shù)字貨幣交易所Gatecoin熱錢包(比特幣和以太幣)遭黑客入侵，共損失185000 ETH和250 BTC，約合1200萬人民幣，占平臺總資產(chǎn)約15%。

● 2018年1月，日本最大的加密貨幣交易所之一Coincheck，發(fā)表廣告稱，由于公司所持有的NEW(新經(jīng)幣)非法匯往境外，導(dǎo)致公司的虛擬貨幣兌換服務(wù)部分功能緊急暫停。隨后該交易所于深夜在東京證交所舉行新聞發(fā)布會，承認(rèn)了由于受到黑客的攻擊，導(dǎo)致時價580億日元(約合5.33億美元)的虛擬貨幣“新經(jīng)幣”全數(shù)被盜。

區(qū)塊鏈安全問題解決方案

互聯(lián)網(wǎng)安全問題存在已久

互聯(lián)網(wǎng)安全問題永遠(yuǎn)都會存在。在互聯(lián)網(wǎng)行業(yè)發(fā)展的各個階段，安全問題一直伴隨始終，之前傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域里面遇到的安全問題，在區(qū)塊鏈行業(yè)中也仍然會遇到。隨著區(qū)塊鏈技術(shù)的快速發(fā)展，高風(fēng)險事件也呈現(xiàn)高發(fā)態(tài)勢，尤其在涉及大量資產(chǎn)交易時，往往會出現(xiàn)“一行代碼，打倒一種資產(chǎn)”、“一個漏洞，摧毀一類智能合約”等高風(fēng)險事件，僅僅在2018年初就造成了十幾億美元的資產(chǎn)損失。區(qū)塊鏈?zhǔn)莻€復(fù)雜的系統(tǒng)，安全問題涵蓋了區(qū)塊鏈系統(tǒng)架構(gòu)中的每一個層面，區(qū)塊鏈整體的安全離不開系統(tǒng)架構(gòu)中每一環(huán)節(jié)的安全性。區(qū)塊鏈?zhǔn)且粋€長期運行的分布式軟件系統(tǒng)，任何軟件系統(tǒng)必將經(jīng)歷從需求到設(shè)計，再到實現(xiàn)和發(fā)布，最終不斷更新迭代的過程。在軟件開發(fā)過程中的每一個環(huán)節(jié)出現(xiàn)的安全問題，都會給下一個環(huán)節(jié)引入更多的安全問題。

未來區(qū)塊鏈技術(shù)及其安全性問題仍會持續(xù)很長一段時間，主要源于：1)全新的解決方案會進一步加快區(qū)塊鏈的安全重建，創(chuàng)新技術(shù)和服務(wù)得到認(rèn)可也會進一步增強產(chǎn)業(yè)活力，以及提升技術(shù)價值;1)未來隨著企業(yè)的生產(chǎn)以及人民的生活逐漸向數(shù)字化、網(wǎng)聯(lián)化和智能化轉(zhuǎn)型，許多全新的變革性技術(shù)(如區(qū)塊鏈、人工智能等)所打造的安全生態(tài)體系和技術(shù)將成為大勢所趨;3)由新技術(shù)衍生的產(chǎn)品安全技術(shù)服務(wù)范疇將會更加寬泛，不斷催生更加繁榮的安全服務(wù)市場。

區(qū)塊鏈安全服務(wù)企業(yè)/產(chǎn)品

針對目前區(qū)塊鏈各層級的安全問題，區(qū)塊鏈安全領(lǐng)域也出現(xiàn)了一些提供安全服務(wù)的公司或者產(chǎn)品，諸如知道創(chuàng)宇、廈門慢霧科技、Security Chain安全鏈等，主要通過技術(shù)手段為客戶解決各種區(qū)塊鏈安全問題。

(1)知道創(chuàng)宇

知道創(chuàng)宇是國內(nèi)最早提出云監(jiān)測與云防御理念的網(wǎng)絡(luò)安全公司，經(jīng)過多年的積累，利用在云計算及大數(shù)據(jù)處理方面的行業(yè)領(lǐng)先能力，可為客戶提供具備國際一流安全技術(shù)標(biāo)準(zhǔn)的可視化解決方案，提升網(wǎng)絡(luò)安全監(jiān)測、預(yù)警及防御能力。知道創(chuàng)宇從2011年開始接觸區(qū)塊鏈，從2012年開始為交易所、智能合約、礦池、礦機、錢包等行業(yè)用戶提供安全防護，對區(qū)塊鏈業(yè)務(wù)場景有著深刻的理解，并利用Seebug漏洞社區(qū)、Zoomeye安全搜索引擎以及持續(xù)對全球前列的數(shù)字資產(chǎn)進行探測和分析，已完整地建立起區(qū)塊鏈全生態(tài)的安全防御措施。

(2)廈門慢霧科技有限公司

慢霧科技專注區(qū)塊鏈生態(tài)安全，由一支擁有十多年一線網(wǎng)絡(luò)安全攻防實戰(zhàn)的團隊創(chuàng)建，團隊曾為Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過安全能力，團隊多項成果也曾進入過Black Hat等全球黑客大會。慢霧科技的核心能力包括：安全審計、防御部署、地下黑客風(fēng)向標(biāo)追蹤，同時提供Python、NodeJS、Go、Java 等主流語言的 SDK，可靈活接入產(chǎn)品風(fēng)控體系。慢霧科技已經(jīng)為全球多家交易所、錢包、智能合約等做了安全審計與防御部署，并通過獨有的地下黑客風(fēng)向標(biāo)追蹤引擎，持續(xù)為合作公司及國家相關(guān)部門提供威脅情報。慢霧區(qū)塊鏈安全社群已累計輻射人數(shù)達10多萬人。

(3)Security Chain安全鏈(SECC)

SECC是一個基于區(qū)塊鏈安全生態(tài)建設(shè)的項目，在區(qū)塊鏈安全底層技術(shù)研究上，以及全球獨家的核心芯片級安全加固方案，團隊成員擁有豐富的經(jīng)驗。Security Chain生態(tài)鏈則是基于區(qū)塊鏈思維和技術(shù)的一個全新安全生態(tài)系統(tǒng)，該生態(tài)鏈包含操作系統(tǒng)底層、區(qū)塊鏈物聯(lián)網(wǎng)、云計算設(shè)備等安全攻防，并運用機器學(xué)習(xí)等前沿技術(shù)理念實現(xiàn)區(qū)塊鏈反病毒、區(qū)塊鏈反欺詐、移動設(shè)備安全防護等。因此全世界的安全人員可基于此生態(tài)系統(tǒng)開發(fā)各種針對區(qū)塊鏈安全問題的應(yīng)用服務(wù)，為行業(yè)用戶提供一站式安全保障。Security Chain的核心技術(shù)包括更安全的UEFI啟動的操作系統(tǒng)、基于PaX/Grsecurity特性加固內(nèi)核、大量的安全基線檢查、完善的加密算法、可定制網(wǎng)絡(luò)防火墻以及秘鑰硬件加密存儲。

“區(qū)塊鏈+”產(chǎn)業(yè)具有巨大的商業(yè)價值，區(qū)塊鏈安全問題亟待重視

在互聯(lián)網(wǎng)時代蓬勃發(fā)展的今天，在2017年全世界爆發(fā)增長的市場環(huán)境下，互聯(lián)網(wǎng)安全行業(yè)有著巨大的市場需求，網(wǎng)絡(luò)安全不僅僅是殺病毒，還包括數(shù)據(jù)安全、隱私安全、賬號安全、下載安全，以及電腦健康。當(dāng)整個社會從互聯(lián)網(wǎng)經(jīng)濟年代進入新的區(qū)塊鏈時代，絕大部分的區(qū)塊鏈企業(yè)、金融分支面臨著巨大的安全隱患。

“區(qū)塊鏈+”與實體產(chǎn)業(yè)的結(jié)合，將會帶動區(qū)塊鏈安全行業(yè)需求也相應(yīng)提升。近年來，區(qū)塊鏈與大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能一起，為互聯(lián)網(wǎng)行業(yè)帶來了新的發(fā)展空間，實體+互聯(lián)網(wǎng)”轉(zhuǎn)型成為實體經(jīng)濟發(fā)展的主流，現(xiàn)有的互聯(lián)網(wǎng)技術(shù)實現(xiàn)了信息傳播與分享的解放，而區(qū)塊鏈的出現(xiàn)能夠進一步解決資金、合約和數(shù)字化資產(chǎn)在互聯(lián)網(wǎng)上交換、交易與轉(zhuǎn)移所產(chǎn)生的難題。隨著區(qū)塊鏈技術(shù)在供應(yīng)鏈、醫(yī)療、能源等實體經(jīng)濟領(lǐng)域的落地應(yīng)用，“區(qū)塊鏈+”行業(yè)將有巨大的發(fā)展?jié)摿Γ瑓^(qū)塊鏈安全服務(wù)可以為線上以及線下經(jīng)濟提供保障，相應(yīng)的區(qū)塊鏈安全領(lǐng)域的需求也會提升。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。