白帽匯安全研究院發(fā)布《區(qū)塊鏈產(chǎn)業(yè)安全分析報告》全球因區(qū)塊鏈安全問題損失近30億美元

“區(qū)塊鏈”一詞想必大家早已熟知，它是一種分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式，伴隨著區(qū)塊鏈技術(shù)的空前火熱，其安全性又成為了不容忽視的重點。甚至有人聲稱，安全性是區(qū)塊鏈應(yīng)用的最大障礙。

5月8日，“安全。贏未來--2018區(qū)塊鏈安全高峰論壇”在北京召開，針對區(qū)塊鏈安全性問題，會上白帽匯安全研究院發(fā)布《區(qū)塊鏈產(chǎn)業(yè)安全分析報告》，并同時推出區(qū)塊鏈安全網(wǎng)站。

白帽匯安全研究院負責人鄧煥表示，隨著信息經(jīng)濟價值不斷上升，促使攻擊者利用各種攻擊手段獲取更多敏感數(shù)據(jù)。《區(qū)塊鏈產(chǎn)業(yè)安全分析報告》顯示，2011年到2018年4月，全球范圍內(nèi)因區(qū)塊鏈因安全事件造成的損失多達28.64億美元。但值得注意的是，損失額度從 2017 年開始呈現(xiàn)出指數(shù)上升的趨勢，僅2018年以來，損失金額就高達19億美元。

國家信息技術(shù)安全研究中心主任俞克群表示，區(qū)塊鏈技術(shù)作為一種分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等技術(shù)的新型集成應(yīng)用，被認為是新一輪技術(shù)創(chuàng)新和產(chǎn)業(yè)變革，其具有去中心化、開放性、自治性、防篡改、匿名性等特點。

“區(qū)塊鏈技術(shù)發(fā)展可能會成為我國掌握全球科技競爭先機的重要一步。”俞克群表示，習近平總書記在全國科技創(chuàng)新大會中，強調(diào)科技創(chuàng)新“掌握全球科技競爭先機”.這個“先機”就是中國實現(xiàn)“彎道超車”的關(guān)鍵所在。

美國科學院院士、中國科學院外籍院士張首晟表示，互聯(lián)網(wǎng)第一階段的需求是交換信息，到了第二階段，需求升級為交換價值，而價值的核心則是大家的共識。

“我們一旦有了共識之后，就會產(chǎn)生一種信任，人和人之前出現(xiàn)新的合作機會?！睆埵钻杀硎荆碌臅r代，信念是建筑在數(shù)學算法之上。這樣我們就不再需要中心化平臺，而是通過透明的算法，定義游戲規(guī)則，導致一個新的互聯(lián)網(wǎng)的革命。

中國云體系產(chǎn)業(yè)創(chuàng)新戰(zhàn)略聯(lián)盟秘書長、云安全聯(lián)盟（CSA）大中華區(qū)秘書長沈寓實表示，如果說代幣是區(qū)塊鏈1.0版本，那么區(qū)塊鏈在金融領(lǐng)域應(yīng)用的拓展則是2.0版本，而延展至實體經(jīng)濟，則是區(qū)塊鏈的3.0版本。他認為，隨著區(qū)塊鏈技術(shù)廣泛應(yīng)用于金融服務(wù)、供應(yīng)鏈管理、文化娛樂、智能制造、社會公益以及教育就業(yè)等經(jīng)濟社會各領(lǐng)域，將降低運營成本、提升協(xié)同效率，進而為經(jīng)濟社會轉(zhuǎn)型升級提供系統(tǒng)化的支撐。

沈寓實說，以被視為美國科技實力象征的IBM為例，IBM早已押注區(qū)塊鏈，目前參與區(qū)塊鏈項目已超400個。事實上，IBM在2016年報告中便預(yù)測，2017 年會有14%的金融市場機構(gòu)和15%的銀行會采用區(qū)塊鏈技術(shù)商用解決方案，65%的銀行在三年內(nèi)會采用區(qū)塊鏈技術(shù)。

但需注意的是，區(qū)塊鏈也并非完美，安全問題存在諸多挑戰(zhàn)。俞克群指出，區(qū)塊鏈還處在初級階段，存在密碼算法安全性、協(xié)議安全性、使用安全性、系統(tǒng)安全性等諸多挑戰(zhàn)，風險不僅來自外部實體，也有可能來自內(nèi)部參與者的攻擊。如何圍繞物理、數(shù)據(jù)、應(yīng)用系統(tǒng)、加密、風險控制等構(gòu)建安全體系，是我們面臨的重要問題。

俞克群表示，由于區(qū)塊鏈的去中心化，暴露在公有鏈中的系統(tǒng)不能關(guān)停，其錯誤修復(fù)也異常棘手，應(yīng)用領(lǐng)域逐漸廣泛，區(qū)塊鏈將演化成技術(shù)基礎(chǔ)設(shè)施類的服務(wù)，一旦出現(xiàn)問題就會導致嚴重的安全后果。

從目前區(qū)塊鏈技術(shù)應(yīng)用最為廣泛的虛擬貨幣來看，便被黑客頻繁利用漏洞攻擊，造成巨額損失。日前，BEC美蜜智能合約出現(xiàn)重大漏洞，黑客通過合約的批量轉(zhuǎn)賬方法無限生成代幣，天量BEC從兩個地址轉(zhuǎn)出，引發(fā)拋售潮。當日，BEC最高價2.27元，最低價0.137元，價格相差94%,致使64億元人民幣一日蒸發(fā)。

中國信息安全測評中心主任助理李斌表示，以安全為核心的區(qū)塊鏈技術(shù)的安全問題不斷引人矚目?！耙恍写a，打倒一種代幣”、“一個漏洞，摧毀一類智能合約”,區(qū)塊鏈技術(shù)的安全風險需要全社會的力量共同面對。

“自2017年開始，安全漏洞所造成的損失呈現(xiàn)出指數(shù)上升的趨勢?！编嚐ū硎?，每年由區(qū)塊鏈安全漏洞造成的損失高達數(shù)十億美元，攻擊者主要選擇保護相對薄弱的合約層和業(yè)務(wù)層進行攻擊，在該技術(shù)層本身也是目前攻擊者最佳變現(xiàn)的場景。

鄧煥介紹，本次報告中也可以看到，目前攻擊者主要采用拒絕服務(wù)攻擊、木馬劫持攻擊、支付漏洞等手段對業(yè)務(wù)層進行破壞?！皡^(qū)塊鏈作為底層技術(shù)基礎(chǔ)，支撐著整個系統(tǒng)。如底層出現(xiàn)安全問題，必將導致依托于此的上層均受到影響。因此，在系統(tǒng)設(shè)計之初就應(yīng)加入安全性設(shè)計。”

鄧煥介紹，為了給相關(guān)企業(yè)起到較好的參考作用，此次同時推出的區(qū)塊鏈產(chǎn)業(yè)安全網(wǎng)站便會分為安全事件收集、事件分析、以及區(qū)塊鏈生態(tài)監(jiān)控等欄目，其將對整個區(qū)塊鏈生態(tài)安全進行分析跟蹤，不定期的更新區(qū)塊鏈產(chǎn)業(yè)安全分析報告。同時，對目前區(qū)塊鏈發(fā)生的相關(guān)的安全事件進行收錄并進行分析。

“華順信安區(qū)塊鏈全新解決方案可以貫穿區(qū)塊鏈生態(tài)產(chǎn)業(yè)，從區(qū)塊鏈底層到業(yè)務(wù)層，再到交易平臺，以及生態(tài)中的各種節(jié)點場景?！编嚐ㄕf，除提前防御外，華順信安還將對利用網(wǎng)絡(luò)空間測繪技術(shù)，快速獲取區(qū)塊鏈威脅情報，及時發(fā)現(xiàn)安全問題，以助區(qū)塊鏈企業(yè)及時做出響應(yīng)。

北京華順信安科技有限公司CEO趙武表示，區(qū)塊鏈技術(shù)的底層機制、算法是區(qū)塊鏈最核心的地方，是保障區(qū)塊鏈穩(wěn)定運行的根本。但通過近段時間的安全事件不難發(fā)現(xiàn)，區(qū)塊鏈的安全問題已經(jīng)延伸到了傳統(tǒng)的網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施、移動信息安全等問題。所以在談及區(qū)塊鏈安全的時候，不應(yīng)該僅僅局限于區(qū)塊鏈本身，它的使用者以及衍生的東西都是我們所需要重點關(guān)注的。

李斌也指出，區(qū)塊鏈技術(shù)基于安全特性所導致的漏洞需要得到高度重視。尤其是在底層算法的穩(wěn)定，系統(tǒng)漏洞的加固，基礎(chǔ)架構(gòu)的保障，應(yīng)用環(huán)境的安全等方面，必須得到整個信息安全行業(yè)的群策群力。

“建立良好的區(qū)塊鏈安全生態(tài)需要平衡好科技發(fā)展和網(wǎng)絡(luò)安全的關(guān)系?！庇峥巳簭娬{(diào)，自主可控的區(qū)塊鏈網(wǎng)絡(luò)，意在技術(shù)上不能受制于人，同時也可以促進區(qū)塊鏈健康發(fā)展。安全是區(qū)塊鏈未來的生命，只有本身的安全才能使得區(qū)塊鏈技術(shù)的落地。這就要求我們在區(qū)塊鏈技術(shù)發(fā)展的同時，其的安全屬性必須同時并重發(fā)展，甚至是超前發(fā)展。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。