區(qū)塊鏈：野蠻成長背后的安全隱患

孫杰賢

區(qū)塊鏈，一項專業(yè)屬性極高的技術，然而就是這樣一種“陽春白雪”式技術好像一夜之間變得婦孺皆知，人盡可得。

當前最為主要的區(qū)塊鏈應用就是加密數(shù)字貨幣。根據 Coindesk 網站的全球 ICO （區(qū)塊鏈項目首次發(fā)行代幣，募集數(shù)字貨幣的行為）跟蹤數(shù)據顯示，截止2018 年 4 月底，全球 ICO 歷史總金額已達到 128 億美元。僅 2018年前 4 個月 ICO 總值即是 2017 年全年 ICO 總值的 1.28 倍，而 2018 年前4 個月 ICO 數(shù)量僅為 2017 年全年 79%。據此預測，2018 年全年ICO 數(shù)量有可能會超過 800 家，總值將超過 130 億美元，而全球數(shù)字加密貨幣總價值將突破1萬億美元。

區(qū)塊鏈技術及其應用正在以一種“不講理”的方式野蠻成長著。

標榜的“安全”呢？

區(qū)塊鏈技術有兩大最為核心的特征和創(chuàng)新：去中心化和安全性。

去中心意味著整個區(qū)塊鏈網絡沒有中心化的設施系統(tǒng)或者管理機構，任意節(jié)點之間的權利和義務都是均等的，且任一節(jié)點的損壞或者失去都會不影響整個系統(tǒng)的運作，因此具有極好的健壯性。同時，參與整個系統(tǒng)中的每個節(jié)點之間進行數(shù)據交換是無需互相信任的，整個系統(tǒng)的運作規(guī)則是公開透明的，所有的數(shù)據內容也是公開的，因此在系統(tǒng)指定的規(guī)則范圍和時間范圍內，節(jié)點之間不能也無法欺騙其它節(jié)點。

如何在去中心化和去信任的條件下確保信息數(shù)據的安全與可靠，這就引出了區(qū)塊鏈技術的另外一些核心特征：可靠數(shù)據庫、集體維護以及開源匿名性。這些特征確保了整個系統(tǒng)信息數(shù)據的可驗證性、不可偽造和不可撤消，而這也正是區(qū)塊鏈技術最具創(chuàng)新的地方。

然而，本應“安全、可靠和健壯”的區(qū)塊鏈技術卻頻頻爆發(fā)安全事件。360安全衛(wèi)士5月29日下午在微博上發(fā)布公告稱，360伏爾甘團隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS（號稱是區(qū)塊鏈世界的操作系統(tǒng)）的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節(jié)點。

而這只是眾多區(qū)塊鏈安全事件中的一個。根據知道創(chuàng)宇公司日前發(fā)布的《區(qū)塊鏈安全風險白皮書》，區(qū)塊鏈安全問題主要來自于區(qū)塊鏈自身機制安全、區(qū)塊鏈生態(tài)安全和使用者安全這三個方面。其中，自身機制安全問題智能合約的問題排在首位，而理論上存在的 51%攻擊近兩年也成為了現(xiàn)實。生態(tài)安全問題圍繞交易所發(fā)生安全時間最為顯著，交易所被盜遠超其它事件類型；此外，交易所、礦池和網站都面臨著DDoS 攻擊的高風險；在線錢包和礦池面臨著 DNS劫持的風險；交易所還面臨被釣魚、內鬼盜竊、錢包失竊、各種信息數(shù)據泄露和篡改、交易所帳號失竊等問題。在使用者安全問題上，交易所帳號和錢包失竊最為常見，反欺詐、被釣魚、私鑰保管的問題也時有發(fā)生。

《區(qū)塊鏈安全風險白皮書》還對近幾年區(qū)塊鏈加密數(shù)字貨幣安全事件做了統(tǒng)計，其中涉及區(qū)塊鏈自身機制引發(fā)的安全事件總損失額為 12.5 億美元，涉及區(qū)塊鏈生態(tài)引發(fā)的安全事件總損失額為 14.2 億美元，涉及使用者引發(fā)的安全事件總損失額為 5647 萬美元。而2018年上半年的安全事件數(shù)量及損失金額都遠超之前幾年的數(shù)倍乃至數(shù)十倍。另外，從事件類型上來看今年因區(qū)塊鏈自身機制引起安全事件的數(shù)量雖然比區(qū)塊鏈生態(tài)要少，但金額卻遠超 42%，這說明區(qū)塊鏈自身機制的安全問題比區(qū)塊鏈生態(tài)所面臨的安全問題更加嚴重。

問題出在哪？

頂級網絡安全專家、知道創(chuàng)宇 CEO 趙偉在接受本刊采訪時指出了區(qū)塊鏈安全層出不窮的幾個原因，他說：“雖然數(shù)字資產用區(qū)塊鏈技術分布式化了，但是交易、錢包、挖礦、礦池都是集中化的，這些在黑客來看來都是非常好攻擊的目標。更重要的是，數(shù)字貨幣失竊以后是非常難以追蹤的，區(qū)塊鏈的匿名和不可逆，這個本質問題導致了在區(qū)塊鏈行業(yè)非常多的黑客事件。此外，公鏈的價值在于共識，但是共識是建立在分布式的點對點技術上，一旦這種技術被操控或沒有安全防護，黑客操控后就可以任意偷取利益，導致資產的價值變成零?！?/p>

Gartner 對區(qū)塊鏈生態(tài)的安全模型劃分為商業(yè)邏輯層、風險與 IAM（身份認證訪問管理）處理層及 IT及技術層。其中，IT 及技術層及風險與 IAM（身份認證訪問管理）處理層屬于傳統(tǒng)安全領域范疇，商業(yè)邏輯層是屬于區(qū)塊鏈所獨有的，但它的運轉需要完全依賴于另外二層的支持。對此，趙偉提醒：在考慮區(qū)塊鏈生態(tài)安全問題時，依然需要從傳統(tǒng)安全的角度出發(fā)去思考。針對區(qū)塊鏈生態(tài)的安全風險防范，也應該從區(qū)塊鏈生態(tài)在傳統(tǒng)領域中所面臨的安全風險出發(fā)去思考解決方案和對策。

趙偉建議：用戶在對這些加密數(shù)字貨幣的保管和保護上需要將安全意識提高到與傳統(tǒng)資產保管保護同等水平上來。比如，盡量不要數(shù)字介質中存儲私鑰，將私鑰存放在自己可控的紙質媒介上。無論何時何地對任何人都不要透露你的私鑰。登錄交易所前確認交易所網址，在交易前確認二次交易地址等。而區(qū)塊鏈生態(tài)企業(yè)，應為用戶在執(zhí)行關鍵操作前提供風險測評和風險提示，以確保用戶可以持續(xù)的保有較高安全風險意識。這么做的目的是為了讓更多的使用者了解區(qū)塊鏈及安全知識，提升整個區(qū)塊鏈生態(tài)的認知水平。

為了加速構建區(qū)塊鏈行業(yè)安全生態(tài)建設，中國技術市場協(xié)會、騰訊安全、知道創(chuàng)宇、中國區(qū)塊鏈應用研究中心等20多家機構發(fā)起成立了中國區(qū)塊鏈安全聯(lián)盟，共同致力于構建安全的區(qū)塊鏈生態(tài)環(huán)境，建立區(qū)塊鏈生態(tài)良性發(fā)展長效機制，助力中國區(qū)塊鏈生態(tài)協(xié)同發(fā)展。