安信證劵報(bào)告：“區(qū)塊鏈+”產(chǎn)業(yè)快速發(fā)展下的安全問(wèn)題

從比特幣到區(qū)塊鏈

2008年10月31日，一位化名中本聰?shù)娜嗽趍etzdowd密碼學(xué)郵件列表中提出了比特幣的設(shè)計(jì)白皮書(shū)《比特幣：一種點(diǎn)對(duì)點(diǎn)電子現(xiàn)金系統(tǒng)》，并于2009年公開(kāi)了最初的實(shí)現(xiàn)代碼，作為開(kāi)源項(xiàng)目，比特幣很快吸引了大量開(kāi)發(fā)者的加入。

比特幣的意義在于，首次真正從實(shí)踐意義上實(shí)現(xiàn)了安全可靠的去中心化數(shù)字貨幣機(jī)制。比特幣網(wǎng)絡(luò)由數(shù)千個(gè)核心節(jié)點(diǎn)參與構(gòu)成，而不需要任何中心化的機(jī)構(gòu)參與支持，則是靠分布式機(jī)制實(shí)現(xiàn)了穩(wěn)定的交易量。通過(guò)分布式賬本，每一筆交易或者數(shù)據(jù)都能被準(zhǔn)確地記錄，且無(wú)法被惡意篡改。比特幣網(wǎng)絡(luò)設(shè)計(jì)了區(qū)塊鏈結(jié)構(gòu)，提供了可靠、無(wú)法被惡意篡改的數(shù)字貨幣賬本功能。

區(qū)塊鏈?zhǔn)且环N去中心化的分布式賬本數(shù)據(jù)庫(kù)。根據(jù)工業(yè)和信息化部信息中心指導(dǎo)發(fā)布的《中國(guó)區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書(shū)(2016)》所釋，廣義來(lái)講，區(qū)塊鏈技術(shù)是利用塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來(lái)驗(yàn)證與存儲(chǔ)數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識(shí)算法來(lái)生成和更新數(shù)據(jù)、利用密碼學(xué)的方式保證數(shù)據(jù)傳輸和訪問(wèn)的安全、利用由自動(dòng)化腳本代碼組成的智能合約來(lái)編程和操作數(shù)據(jù)的一種全新的分布式基礎(chǔ)架構(gòu)與計(jì)算范式。

從比特幣中發(fā)展出來(lái)的區(qū)塊鏈技術(shù)，可以塑造更高效、更安全的未來(lái)商業(yè)網(wǎng)絡(luò)，產(chǎn)生巨大商業(yè)價(jià)值。自2014起，比特幣背后的區(qū)塊鏈技術(shù)逐漸被重視，并進(jìn)一步引發(fā)了分布式記賬本技術(shù)的革新。目前，區(qū)塊鏈技術(shù)已經(jīng)脫離了比特幣網(wǎng)絡(luò)，廣泛應(yīng)用于金融、貿(mào)易物流、征信、產(chǎn)權(quán)等領(lǐng)域。

區(qū)塊鏈熱度攀升，產(chǎn)業(yè)迅速發(fā)展

區(qū)塊鏈產(chǎn)業(yè)近兩年迅速發(fā)展，以區(qū)塊鏈技術(shù)為主營(yíng)業(yè)務(wù)的企業(yè)數(shù)量快速增加。根據(jù)工業(yè)和信息化部信息中心發(fā)布的《2018年中國(guó)區(qū)塊鏈產(chǎn)業(yè)白皮書(shū)》顯示，2015-2017年，我國(guó)以區(qū)塊鏈業(yè)務(wù)為主營(yíng)業(yè)務(wù)的區(qū)塊鏈公司數(shù)量分別為120家、256家、434家，分別同比增長(zhǎng)57.9%、113.3%、69.5%，而截至2018年3月31日，公司數(shù)量已達(dá)456家，大幅增長(zhǎng)。

資本對(duì)區(qū)塊鏈產(chǎn)業(yè)的關(guān)注與支持力度持續(xù)增加。近兩年區(qū)塊鏈領(lǐng)域的投資熱度明顯上升，融資事件從2014年的6起迅速提升到2017年的96起，2018 年第一季度投資事件數(shù)量就達(dá)到了68起。

圖3：2013-2017年中國(guó)區(qū)塊鏈行業(yè)公司數(shù)量及融資事件情況

資料來(lái)源：《2018年中國(guó)區(qū)塊鏈產(chǎn)業(yè)白皮書(shū)》

互聯(lián)網(wǎng)巨頭紛紛入局。區(qū)塊鏈技術(shù)不僅受到了創(chuàng)業(yè)企業(yè)的青睞，也受到了互聯(lián)網(wǎng)巨頭企業(yè)的廣泛關(guān)注。目前，騰訊、阿里、百度、京東等互聯(lián)網(wǎng)巨頭紛紛布局區(qū)塊鏈，開(kāi)展區(qū)塊鏈技術(shù)的研究與進(jìn)行場(chǎng)景應(yīng)用，推動(dòng)了我國(guó)區(qū)塊鏈產(chǎn)業(yè)迅速發(fā)展。

區(qū)塊鏈應(yīng)用場(chǎng)景廣泛，商業(yè)落地賦能各行業(yè)

按照應(yīng)用范圍與發(fā)展階段將區(qū)塊鏈應(yīng)用劃分為區(qū)塊鏈1.0、2.0、3.0。其中：1)區(qū)塊鏈1.0應(yīng)用支撐虛擬貨幣應(yīng)用，也就是與轉(zhuǎn)賬、匯款和數(shù)字化支付相關(guān)的密碼學(xué)貨幣應(yīng)用，比特幣是區(qū)塊鏈1.0的典型應(yīng)用;2)區(qū)塊鏈2.0應(yīng)用支撐智能合約應(yīng)用，合約是經(jīng)濟(jì)和金融領(lǐng)域區(qū)塊鏈應(yīng)用的基礎(chǔ)，區(qū)塊鏈2.0應(yīng)用包括了股票、債券、期貨、貸款、抵押、產(chǎn)權(quán)、智能財(cái)產(chǎn)和智能合約，以太坊、超級(jí)賬本等是區(qū)塊鏈2.0的典型應(yīng)用;3)區(qū)塊鏈3.0應(yīng)用是超越貨幣和金融范圍的泛行業(yè)去中心化應(yīng)用(Dapp)，特別是在政府、醫(yī)療、科學(xué)、文化與藝術(shù)等領(lǐng)域的應(yīng)用。

圖8：區(qū)塊鏈發(fā)展階段

如果未來(lái)基于區(qū)塊鏈技術(shù)構(gòu)造的商業(yè)價(jià)值網(wǎng)絡(luò)成為現(xiàn)實(shí)，所有的交易都將高效完成且無(wú)法偽造，以及簽署的合同都能按照約定嚴(yán)格執(zhí)行，這將極大降低整個(gè)商業(yè)體系運(yùn)轉(zhuǎn)的成本，同時(shí)提高社會(huì)溝通協(xié)作的效率。從這個(gè)意義上，基于區(qū)塊鏈技術(shù)構(gòu)建的未來(lái)商業(yè)網(wǎng)絡(luò)，將可能引發(fā)繼互聯(lián)網(wǎng)之后又一次巨大的產(chǎn)業(yè)變革。

區(qū)塊鏈與網(wǎng)絡(luò)安全

從目前區(qū)塊鏈的技術(shù)運(yùn)用來(lái)說(shuō)，很多場(chǎng)景都是需要依托互聯(lián)網(wǎng)技術(shù)才能實(shí)現(xiàn)的。事實(shí)上，區(qū)塊鏈技術(shù)的應(yīng)用價(jià)值將依賴于物聯(lián)網(wǎng)、加密、大數(shù)據(jù)技術(shù)的輔助，以及云存儲(chǔ)、云計(jì)算的支撐，區(qū)塊鏈技術(shù)是融合了互聯(lián)網(wǎng)中很多的先進(jìn)技術(shù)衍生而成。

因此，在區(qū)塊鏈技術(shù)快速的發(fā)展下，信息安全技術(shù)越來(lái)越得到重視，沒(méi)有信息安全技術(shù)的基礎(chǔ)，區(qū)塊鏈技術(shù)也會(huì)存在很大的風(fēng)險(xiǎn)和不可控，信息安全技術(shù)是區(qū)塊鏈技術(shù)不可缺少的一部份。

互聯(lián)網(wǎng)安全需求

我國(guó)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模迅速增長(zhǎng)。根據(jù)智研咨詢數(shù)據(jù)顯示，2012-2016年我國(guó)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模保持20%以上的增速，2016年我國(guó)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模已達(dá)495.8億元，近五年的復(fù)合增長(zhǎng)率為22.6%，保持了快速增長(zhǎng)態(tài)勢(shì)。

圖12：2011-2016年我國(guó)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模

資料來(lái)源：智研咨詢

信息安全事件迅速增多。據(jù)普華永道《2017年全球信息安全狀況調(diào)查》顯示，2016年中國(guó)內(nèi)地及香港企業(yè)檢測(cè)到的信息安全事件平均數(shù)為2577，較2014年大幅增長(zhǎng)969%，是2015年的兩倍。

圖13：2014-2016年中國(guó)內(nèi)地及香港企業(yè)信息安全事件平均數(shù)量

資料來(lái)源：普華永道

網(wǎng)絡(luò)安全事故頻出，且呈現(xiàn)出新特征。隨著我國(guó)信息技術(shù)的高速創(chuàng)新發(fā)展，信息化建設(shè)成果顯著，不僅傳統(tǒng)安全問(wèn)題日益突出，網(wǎng)絡(luò)安全問(wèn)題也更加復(fù)雜，這使得我國(guó)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷加大，各種網(wǎng)絡(luò)攻擊事件層出不窮。同時(shí)，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用的不斷涌現(xiàn)以及各國(guó)對(duì)網(wǎng)絡(luò)空間爭(zhēng)奪的日益加劇，網(wǎng)絡(luò)安全事故也呈現(xiàn)出新特征：新技術(shù)發(fā)展推動(dòng)網(wǎng)絡(luò)攻擊方式創(chuàng)新和升級(jí);網(wǎng)絡(luò)安全應(yīng)急的時(shí)間窗口越來(lái)越短;物理信息融合更加深入，網(wǎng)絡(luò)安全事件更加復(fù)雜。

區(qū)塊鏈安全安全需求

隨著區(qū)塊鏈技術(shù)所產(chǎn)生的商業(yè)價(jià)值越來(lái)越高，其所面臨的安全問(wèn)題將越發(fā)突出。雖然區(qū)塊鏈技術(shù)與各行各業(yè)的結(jié)合帶來(lái)的正向價(jià)值逐步顯現(xiàn)，但是在產(chǎn)業(yè)發(fā)展過(guò)程中仍然伴隨著一系列不可忽視的風(fēng)險(xiǎn)，面臨諸多方面的安全挑戰(zhàn)，主要分為合規(guī)性風(fēng)險(xiǎn)與技術(shù)層面的風(fēng)險(xiǎn)。

一方面，合規(guī)性風(fēng)險(xiǎn)是指與早期的互聯(lián)網(wǎng)發(fā)展類似，在區(qū)塊鏈發(fā)展的早期階段，由于幣本身具有傳遞價(jià)值的屬性，因此會(huì)使得一些投資者或者開(kāi)發(fā)者不專注于技術(shù)應(yīng)用，而是熱衷于通過(guò) ICO(首次代幣發(fā)行)進(jìn)行非法集資甚至是欺詐的行為，存在資本市場(chǎng)的過(guò)分炒作的現(xiàn)象。一些項(xiàng)目本質(zhì)上并沒(méi)有真正利用區(qū)塊鏈技術(shù)，只是打著區(qū)塊鏈的旗號(hào)，進(jìn)行虛假的宣傳，獲得了與實(shí)際價(jià)值完全不相符的估值。此外，還有些項(xiàng)目的所謂創(chuàng)新脫離了實(shí)體經(jīng)濟(jì)的需求，完全是投機(jī)行為。2017年9月，國(guó)家七部門(mén)聯(lián)合發(fā)布《關(guān)于防范代幣發(fā)行融資風(fēng)險(xiǎn)的公告》，對(duì)國(guó)內(nèi)通過(guò)發(fā)行代幣形式包括首次代幣發(fā)行進(jìn)行融資的行為進(jìn)行了規(guī)范。

另一方面，從安全技術(shù)的角度，區(qū)塊鏈面臨著算法安全性、協(xié)議安全性、使用安全性、實(shí)現(xiàn)安全性和系統(tǒng)安全性的風(fēng)險(xiǎn)與挑戰(zhàn)：

(1)算法安全性：目前區(qū)塊鏈的算法主要是公鑰算法和哈希算法，相對(duì)比較安全。但是隨著數(shù)學(xué)、密碼學(xué)和計(jì)算技術(shù)的發(fā)展，以及量子計(jì)算的發(fā)展和商業(yè)化，使得目前的加密算法存在被破解的可能性，這也是區(qū)塊鏈技術(shù)面臨的潛在安全威脅之一。

(2)協(xié)議安全性：基于PoW共識(shí)過(guò)程的區(qū)塊鏈主要面臨的是51%攻擊問(wèn)題，即節(jié)點(diǎn)通過(guò)掌握全網(wǎng)超過(guò)51%的算力就有能力成功篡改和偽造區(qū)塊鏈數(shù)據(jù)。區(qū)塊鏈應(yīng)用前景廣闊，不排除攻擊者為了達(dá)到某種目的而不惜成本地實(shí)施這樣的攻擊。

(3)使用安全性：主要是指私鑰的安全性。區(qū)塊鏈技術(shù)一大特點(diǎn)就是不可逆、不可偽造，但前提是私鑰是安全的。但是目前針對(duì)密鑰的攻擊層出不窮，一旦用戶使用不當(dāng)，造成私鑰丟失，就會(huì)給區(qū)塊鏈系統(tǒng)帶來(lái)危險(xiǎn)。

(4)實(shí)現(xiàn)安全性：由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù)，屬于算法高度密集工程，在實(shí)現(xiàn)上比較容易出現(xiàn)問(wèn)題。比如NSA對(duì)RSA算法實(shí)現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。

(5)系統(tǒng)安全性：在區(qū)塊鏈的編碼以及運(yùn)行的系統(tǒng)中，不可避免會(huì)存在很多的安全漏洞，黑客通過(guò)利用上述安全漏洞，展開(kāi)攻擊，這對(duì)區(qū)塊鏈的應(yīng)用和推廣帶來(lái)極大的不利影響。

區(qū)塊鏈安全事件損失情況

根據(jù)360發(fā)布的國(guó)內(nèi)區(qū)塊鏈安全報(bào)告《2017年挖礦木馬報(bào)告》顯示，2017年挖礦木馬攻擊事件數(shù)量呈爆發(fā)式增長(zhǎng)，近一年的數(shù)量超過(guò)去4年數(shù)量總和。

圖15：國(guó)內(nèi)被披露大規(guī)模挖礦木馬攻擊事件數(shù)量

資料來(lái)源：《2017年挖礦木馬報(bào)告》

自2017年開(kāi)始，安全漏洞所造成的損失呈現(xiàn)出指數(shù)上升的趨勢(shì)。根據(jù)區(qū)塊鏈安全網(wǎng)數(shù)據(jù)顯示，2017年發(fā)生區(qū)塊鏈重大安全事件數(shù)量為16次，僅2018年初至5月重大安全事件數(shù)量已達(dá)46次;2017年區(qū)塊鏈安全事件造成的經(jīng)濟(jì)損失達(dá)6.34億美元，損失額度從2017年開(kāi)始呈現(xiàn)出指數(shù)上升的趨勢(shì)，2018年初至5月?lián)p失已達(dá)20億美元，按照歷史的攻擊趨勢(shì)，未來(lái)區(qū)塊鏈安全攻擊事件會(huì)越來(lái)越多，損失也會(huì)越來(lái)越大。

圖16：2011-2018年區(qū)塊鏈重大安全事件數(shù)量及經(jīng)濟(jì)損失

資料來(lái)源：區(qū)塊鏈安全網(wǎng)

從易受攻擊面的角度，即從區(qū)塊鏈層級(jí)的角度，攻擊者主要選擇應(yīng)用層、合約層、共識(shí)層以及網(wǎng)絡(luò)層進(jìn)行攻擊。2011-2018年至今，應(yīng)用層面累計(jì)的損失達(dá)18.88億美元，占比56.34%，其次是合約層損失為14.09億美元，占比42.04%。

圖17：2011-2018年區(qū)塊鏈各層級(jí)被攻擊所造成的經(jīng)濟(jì)損失

資料來(lái)源：區(qū)塊鏈安全網(wǎng)

從易受攻擊點(diǎn)的角度，區(qū)塊鏈安全攻擊事件帶來(lái)的經(jīng)濟(jì)損失主要集中于智能合約、共識(shí)機(jī)制、交易平臺(tái)、用戶自身、礦工、共識(shí)機(jī)制方面。2011-2018年至今，智能合約層面發(fā)生的安全事件累計(jì)損失為14.09億美元，占比42.04%，交易平臺(tái)安全事件損失13.45億美元，占比40.15%，普通用戶安全事件損失4.37億美元，占比13.03%。

圖18：2011-2018年區(qū)塊鏈易受攻擊點(diǎn)帶來(lái)的經(jīng)濟(jì)損失

資料來(lái)源：區(qū)塊鏈安全網(wǎng)

區(qū)塊鏈各層級(jí)的安全訴求

區(qū)塊鏈系統(tǒng)一般由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層組成，目前針對(duì)區(qū)塊鏈的安全攻擊已經(jīng)覆蓋了應(yīng)用層、智能合約層、底層結(jié)構(gòu)層、基礎(chǔ)設(shè)施層等方方面面，貫穿區(qū)塊鏈的全產(chǎn)業(yè)鏈。目前攻擊者通常從交易平臺(tái)、在線錢(qián)包、智能合約以及共識(shí)機(jī)制方面進(jìn)行攻擊。

數(shù)據(jù)層的安全性

區(qū)塊鏈的數(shù)據(jù)層主要包括底層數(shù)據(jù)塊區(qū)以及相關(guān)的數(shù)據(jù)加密等技術(shù)。其中底層數(shù)據(jù)塊是指分布在多個(gè)節(jié)點(diǎn)上的鏈?zhǔn)浇Y(jié)構(gòu)數(shù)據(jù)，各個(gè)節(jié)點(diǎn)之間的互動(dòng)將會(huì)同步記錄在區(qū)塊中，每個(gè)節(jié)點(diǎn)都有屬于自己的一份區(qū)塊，單一或一小部分的節(jié)點(diǎn)的區(qū)塊數(shù)據(jù)被篡改，都無(wú)法影響整個(gè)區(qū)塊鏈的正常運(yùn)行，因此這種數(shù)據(jù)塊的架構(gòu)，可以有效的防止數(shù)據(jù)被惡意篡改。但是利用區(qū)塊鏈數(shù)據(jù)的不可刪除與篡改的特點(diǎn)，一些數(shù)據(jù)源方面的安全也會(huì)暴露出，比如攻擊者會(huì)進(jìn)行惡意信息攻擊與資源濫用攻擊。

● 惡意信息攻擊：借助區(qū)塊鏈數(shù)據(jù)不可刪除的特性，信息被寫(xiě)入?yún)^(qū)塊鏈后很難刪除，攻擊者在區(qū)塊鏈中寫(xiě)入惡意信息，將會(huì)遭到殺毒軟件、政治敏感等多方面的問(wèn)題。

● 資源濫用攻擊：隨著時(shí)間的推移，區(qū)塊數(shù)據(jù)可能會(huì)爆炸式增長(zhǎng)，進(jìn)而可能導(dǎo)致節(jié)點(diǎn)無(wú)法容納更多數(shù)據(jù)進(jìn)而使區(qū)塊鏈系統(tǒng)運(yùn)轉(zhuǎn)緩慢，引發(fā)區(qū)塊鏈危機(jī)。攻擊者可以通過(guò)發(fā)送大量的垃圾信息來(lái)堵塞整個(gè)區(qū)塊鏈運(yùn)作系統(tǒng)，使區(qū)塊鏈中真正的信息得不到及時(shí)處理，又或者使區(qū)塊鏈中的存儲(chǔ)節(jié)點(diǎn)超負(fù)荷運(yùn)行。

數(shù)據(jù)加密技術(shù)為區(qū)塊鏈的信息完整性、認(rèn)證性和不可抵賴性提供了關(guān)鍵保障。已經(jīng)有很多Hash函數(shù)被設(shè)計(jì)出來(lái)并廣泛應(yīng)用，不過(guò)Hash函數(shù)一般安全壽命都不長(zhǎng),Hash函數(shù)的安全性很大程度上取決于抗強(qiáng)碰撞的能力，評(píng)價(jià)一個(gè)Hash函數(shù)的安全性，就是看攻擊者在現(xiàn)有的條件下，是否可以找到該函數(shù)的一對(duì)碰撞。目前比特幣采用的是SHA256算法，SHA安全加密標(biāo)準(zhǔn)，是至今世界上使用最廣泛且安全的壓縮算法之一，隨著密碼學(xué)研究的不斷深入和計(jì)算機(jī)技術(shù)的快速發(fā)展，SHA-256算法得到全面推廣應(yīng)用。目前已有的對(duì)Hash函數(shù)攻擊的方法包括生日攻擊、差分攻擊等。

● 生日攻擊：生日攻擊是一種可用于攻擊任何類型函數(shù)Hash函數(shù)的攻擊方法。從攻擊原理上看，沒(méi)有利用Hash函數(shù)的結(jié)構(gòu)和任何代數(shù)弱性質(zhì)，只依賴與Hash值的長(zhǎng)度。因此，抵御生日攻擊最有效的方法是Hash值必須有足夠的長(zhǎng)度。

● 差分攻擊：差分攻擊是目前破譯迭代Hash函數(shù)最有效的手法之一，其基本方法是利用明文的輸入差值對(duì)輸出差值的影響，運(yùn)用差分的高概率的繼承或者消除來(lái)產(chǎn)生最終的相同輸出。

攻擊案例：

2017 年 2 月份，以太坊的Ropsten測(cè)試鏈被攻擊者發(fā)動(dòng)了千萬(wàn)級(jí)別的垃圾交易信息攻擊堵塞網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)不能正常運(yùn)行。

網(wǎng)絡(luò)層的安全性

區(qū)塊鏈網(wǎng)絡(luò)層主要包括分布式組網(wǎng)機(jī)制、數(shù)據(jù)傳播機(jī)制和數(shù)據(jù)驗(yàn)證機(jī)制等。分布式組網(wǎng)機(jī)制是指區(qū)塊鏈技術(shù)采用P2P式的網(wǎng)絡(luò)架構(gòu)進(jìn)行點(diǎn)對(duì)點(diǎn)傳輸，當(dāng)建立一個(gè)或多個(gè)連接后，節(jié)點(diǎn)將一條包含自身IP地址消息發(fā)送給其相鄰節(jié)點(diǎn)，相鄰節(jié)點(diǎn)再將此消息依次轉(zhuǎn)發(fā)給各自的相鄰節(jié)點(diǎn)，進(jìn)而保證節(jié)點(diǎn)信息被多個(gè)節(jié)點(diǎn)所接收。而P2P網(wǎng)絡(luò)的缺點(diǎn)在于其依賴附近的節(jié)點(diǎn)來(lái)進(jìn)行信息傳輸必須要互相暴露對(duì)方的IP，若網(wǎng)絡(luò)中存在一個(gè)攻擊者，就很容易給其他節(jié)點(diǎn)帶來(lái)安全威脅。

廣播機(jī)制是指在區(qū)塊鏈中，當(dāng)某節(jié)點(diǎn)接入到區(qū)塊鏈網(wǎng)絡(luò)后，會(huì)與其他節(jié)點(diǎn)建立連接，并將信息傳播給其他節(jié)點(diǎn)，其他節(jié)點(diǎn)會(huì)驗(yàn)證此信息是否為有效的信息，確認(rèn)無(wú)誤后再繼續(xù)向其他節(jié)點(diǎn)廣播。

驗(yàn)證機(jī)制是指區(qū)塊鏈的運(yùn)行為了維持其數(shù)據(jù)的有效性與真實(shí)性，必須要有相應(yīng)的驗(yàn)證機(jī)制來(lái)限制節(jié)點(diǎn)必須將真實(shí)信息寫(xiě)入?yún)^(qū)塊中。

針對(duì)網(wǎng)絡(luò)層的安全攻擊，有日食攻擊、拒絕服務(wù)攻擊等：

●日食攻擊：囤積和霸占受害者的點(diǎn)對(duì)點(diǎn)連接間隙，將節(jié)點(diǎn)保留在一個(gè)隔離的網(wǎng)絡(luò)中，阻止最新的區(qū)塊信息進(jìn)入日食節(jié)點(diǎn)，從而隔離節(jié)點(diǎn)。

●拒絕服務(wù)攻擊：通過(guò)大流量或者漏洞的方式攻擊P2P網(wǎng)絡(luò)中的節(jié)點(diǎn)，使網(wǎng)絡(luò)中部分節(jié)點(diǎn)網(wǎng)絡(luò)癱瘓，即造成總算力受損，使其更容易遭受51%攻擊。

共識(shí)層的安全性

區(qū)塊鏈目前常用的共識(shí)機(jī)制有PoW(工作量證明)、PoS(權(quán)益證明)、DPoS(授權(quán)權(quán)益證明)、PBFT(實(shí)用拜占庭容錯(cuò))等。各種共識(shí)機(jī)制都有其優(yōu)缺點(diǎn)，其中PoW算法簡(jiǎn)單,易于實(shí)現(xiàn)，節(jié)點(diǎn)間無(wú)需交換額外的信息即可達(dá)成共識(shí)，但是PoW依賴于算力，會(huì)產(chǎn)生算力的消耗與浪費(fèi)，此外新的區(qū)塊鏈須找到一種不同的散列算法, 否則會(huì)面臨比特幣的算力攻擊;PoS對(duì)于節(jié)點(diǎn)性能要求低，且達(dá)成共識(shí)時(shí)間短，但PoS同PoW一樣仍需要挖礦，且PoS會(huì)使得“富者更富”; DPoS不需要挖礦產(chǎn)生區(qū)塊，能夠大幅縮小參與驗(yàn)證和記賬節(jié)點(diǎn)的數(shù)量，屬于弱中心化，但其整個(gè)共識(shí)機(jī)制依賴于代幣, 而很多商業(yè)應(yīng)用不需要代幣，且弱中心化屬性不適合公有鏈;在PBFT中，系統(tǒng)運(yùn)轉(zhuǎn)可以脫離幣的存在, 安全性與穩(wěn)定性由業(yè)務(wù)相關(guān)方保證，共識(shí)的時(shí)延大約2-5秒，共識(shí)效率高可滿足高頻交易量的需求，但是當(dāng)有1/3 或以上記賬人聯(lián)合作惡, 且其他所有的記賬人被恰好分割為兩個(gè)網(wǎng)絡(luò)孤島時(shí), 惡意記賬人可以使系統(tǒng)出現(xiàn)分叉。

攻擊案例：

2016年8月，基于以太坊的數(shù)字貨幣Krypton被一個(gè)名為“51% Crew”的團(tuán)隊(duì)攻擊兩次，該團(tuán)隊(duì)利用一個(gè)致命區(qū)塊鏈漏洞來(lái)進(jìn)行一種兩步攻擊，第一步通過(guò)至少51%的網(wǎng)絡(luò)算力獲得壓倒性力量，以此對(duì)交易進(jìn)行回滾，隨后再次消費(fèi)相同的幣;第二步是采用DDoS節(jié)點(diǎn)提高網(wǎng)絡(luò)的算力。最終該區(qū)塊鏈平臺(tái)損失約21465 KR的代幣。

激勵(lì)層的安全性

區(qū)塊鏈激勵(lì)層主要包括經(jīng)濟(jì)激勵(lì)的發(fā)行機(jī)制和分配機(jī)制，目的是提供一定的激勵(lì)措施鼓勵(lì)節(jié)點(diǎn)參與區(qū)塊鏈的安全驗(yàn)證工作。區(qū)塊鏈系統(tǒng)的安全性以及運(yùn)行依賴于眾多節(jié)點(diǎn)的參與，而節(jié)點(diǎn)的運(yùn)行過(guò)程亦需要耗費(fèi)一定的計(jì)算資源和電能，因此為了鼓勵(lì)節(jié)點(diǎn)參與，采用虛擬貨幣的形式來(lái)獎(jiǎng)勵(lì)參與者。以比特幣為例，獎(jiǎng)勵(lì)機(jī)制包括了兩種，第一種是新區(qū)塊產(chǎn)生后系統(tǒng)生成的比特幣，第二種是每筆交易會(huì)扣除萬(wàn)分之一比特幣作為手續(xù)費(fèi)。

在區(qū)塊鏈的獎(jiǎng)勵(lì)機(jī)制中，獎(jiǎng)勵(lì)既要符合市場(chǎng)行情又要符合曠工的預(yù)期，區(qū)塊鏈項(xiàng)目需要順應(yīng)自動(dòng)適當(dāng)調(diào)整獎(jiǎng)勵(lì)，避免出現(xiàn)中心化問(wèn)題。

合約層的安全性

合約層主要封裝各類腳本、算法和智能合約，是區(qū)塊鏈可編程特性的基礎(chǔ)。智能合約是一種旨在以信息化方式傳播、驗(yàn)證或執(zhí)行合同的計(jì)算機(jī)協(xié)議，具備運(yùn)行成本低、人為干預(yù)風(fēng)險(xiǎn)小等優(yōu)勢(shì)。由于區(qū)塊鏈不可篡改的特點(diǎn)，使得智能合約一旦發(fā)布極難修改，開(kāi)發(fā)者在設(shè)計(jì)之初就要充分重視合約的安全性，如果智能合約的設(shè)計(jì)存在問(wèn)題，將有可能帶來(lái)較大的損失。

目前區(qū)塊鏈智能合約中可能出現(xiàn)的漏洞至少有20余種，其中比較常見(jiàn)的有整數(shù)溢出、越權(quán)訪問(wèn)、信息泄露、邏輯錯(cuò)誤、拒絕服務(wù)、函數(shù)誤用等漏洞。

●整數(shù)溢出：智能合約中危險(xiǎn)的數(shù)值操作，可能導(dǎo)致合約失效、無(wú)限發(fā)幣等風(fēng)險(xiǎn);

●越權(quán)訪問(wèn)：智能合約中對(duì)訪問(wèn)控制處理不當(dāng)，可能導(dǎo)致越權(quán)發(fā)幣風(fēng)險(xiǎn);

●信息泄露： 硬編碼地址等，可能導(dǎo)致重要信息的泄露;

●邏輯錯(cuò)誤：代理轉(zhuǎn)賬函數(shù)缺失必要校驗(yàn)，可能導(dǎo)致基于重入漏洞的惡意轉(zhuǎn)賬等風(fēng)險(xiǎn);

●拒絕服務(wù)：循環(huán)語(yǔ)句、遞歸函數(shù)、外部合約調(diào)用等處理不當(dāng)，可能導(dǎo)致無(wú)限循環(huán)、遞歸棧耗盡等拒絕服務(wù)風(fēng)險(xiǎn);

●函數(shù)誤用：偽隨機(jī)函數(shù)調(diào)用和接口函數(shù)實(shí)現(xiàn)問(wèn)題，可能導(dǎo)致可預(yù)測(cè)隨機(jī)數(shù)、接口函數(shù)返回異常等風(fēng)險(xiǎn)。

攻擊案例：

●2016年6月，發(fā)生了一起重大的智能合約安全事件，由于The DAO編寫(xiě)的智能合約存在著重大缺陷，眾籌項(xiàng)目The DAO(被攻擊前擁有1億美元左右資產(chǎn))遭到攻擊，價(jià)值6000萬(wàn)美元的以太幣被盜，迫使以太幣被硬分叉為ETH和ETC。

●2018年4月，攻擊者利用數(shù)據(jù)溢出的漏洞攻擊BeautyChain(BEC)的智能合約，成功地向兩個(gè)地址轉(zhuǎn)出了天量級(jí)別的 BEC 代幣，導(dǎo)致市場(chǎng)上海量 BEC 被拋售，損失約10億美元。

應(yīng)用層的安全性

區(qū)塊鏈應(yīng)用層包括了區(qū)塊鏈的各種應(yīng)用場(chǎng)景，涉及數(shù)字貨幣交易，管理著大量資金的交易所等中心化節(jié)點(diǎn)的安全問(wèn)題。對(duì)于目前的針對(duì)區(qū)塊鏈安全方面的攻擊，主要都來(lái)自于應(yīng)用層，源于該層面對(duì)于攻擊者來(lái)說(shuō)是價(jià)值的所在，攻擊收益高而成本較低。

對(duì)于應(yīng)用層的攻擊主要體現(xiàn)在交易所/交易平臺(tái)以及錢(qián)包方面。首先交易所往往存放著大量資金，極易成為被攻擊目標(biāo)。攻擊者一旦獲得交易所服務(wù)器權(quán)限或訪問(wèn)，修改關(guān)鍵信息，攻擊者便可盜取資金密鑰、篡改交易金額或者泄漏敏感信息等，給交易所造成經(jīng)濟(jì)和名譽(yù)上的毀滅性打擊。而交易平臺(tái)內(nèi)部又包括賬戶體系、支付體系、業(yè)務(wù)體系等環(huán)節(jié)的搭建，各個(gè)環(huán)節(jié)都可能成為攻擊的目標(biāo)。

●DDoS攻擊：若交易平臺(tái)被DDoS攻擊，不但交易平臺(tái)蒙受損失，區(qū)塊鏈貨幣的交易量也將大大減少，間接影響區(qū)塊鏈貨幣的漲跌。

●支付漏洞：支付漏洞直接涉及到資金財(cái)產(chǎn)的安全問(wèn)題，無(wú)論對(duì)平臺(tái)或是用戶來(lái)說(shuō)都是高風(fēng)險(xiǎn)的。

● 惡意程序感染：交易所系統(tǒng)一旦被植入惡意程序，很可能造成大量敏感信息泄漏，其中包括密鑰及錢(qián)包文件。密鑰即一切，敏感信息的泄漏往往意味著失去全部資產(chǎn)的控制權(quán)。

區(qū)塊鏈的錢(qián)包指的是存儲(chǔ)區(qū)塊鏈資產(chǎn)的地址和私鑰的文件。目前主流的錢(qián)包分為冷錢(qián)包和熱錢(qián)包。通俗的理解，錢(qián)包就是存儲(chǔ)和使用虛擬貨幣的工具或軟件，那么冷錢(qián)包就是不連接互聯(lián)網(wǎng)的錢(qián)包，也叫離線錢(qián)包，一般是不聯(lián)網(wǎng)的電腦、手機(jī)、硬盤(pán)或者寫(xiě)著私鑰的紙張等。而熱錢(qián)包就是保持聯(lián)網(wǎng)在線的錢(qián)包，也叫在線錢(qián)包。目前普遍的觀點(diǎn)是，冷錢(qián)包比熱錢(qián)包更安全，因?yàn)椴贿B接互聯(lián)網(wǎng)，黑客無(wú)法通過(guò)線上渠道進(jìn)行攻擊。但是冷錢(qián)包也存在硬件損壞導(dǎo)致數(shù)據(jù)丟失的情況。

● 釣魚(yú)攻擊：指攻擊者偽造某個(gè)錢(qián)包客戶端，無(wú)論從界面和操作上都可以做到和真錢(qián)包沒(méi)有區(qū)別，攻擊者在用戶轉(zhuǎn)賬的時(shí)竊取私鑰信息或者在轉(zhuǎn)賬地址上動(dòng)手腳，進(jìn)而竊取用戶的資產(chǎn)。

● 私鑰竊?。河捎趨^(qū)塊鏈不依賴于任何集中的第三方可信機(jī)構(gòu)，如果用戶的私鑰被竊取，則很難跟蹤到不法行為并恢復(fù)修改的區(qū)塊鏈信息。已經(jīng)有攻擊者開(kāi)始針對(duì)密鑰文件進(jìn)行專門(mén)掃描，以及開(kāi)發(fā)相關(guān)的木馬病毒進(jìn)竊取。

攻擊案例：

● 2017年5月，Poloniex交易平臺(tái)遭到了嚴(yán)重的DDoS攻擊，BTC/USDT的交易價(jià)格一度困于1761美元，BTC/ETH(以太坊)的交易價(jià)格在同一水平線上停滯了許久，交易量為零。

●2017年5月，數(shù)字貨幣交易所Gatecoin熱錢(qián)包(比特幣和以太幣)遭黑客入侵，共損失185000 ETH和250 BTC，約合1200萬(wàn)人民幣，占平臺(tái)總資產(chǎn)約15%。

● 2018年1月，日本最大的加密貨幣交易所之一Coincheck，發(fā)表廣告稱，由于公司所持有的NEW(新經(jīng)幣)非法匯往境外，導(dǎo)致公司的虛擬貨幣兌換服務(wù)部分功能緊急暫停。隨后該交易所于深夜在東京證交所舉行新聞發(fā)布會(huì)，承認(rèn)了由于受到黑客的攻擊，導(dǎo)致時(shí)價(jià)580億日元(約合5.33億美元)的虛擬貨幣“新經(jīng)幣”全數(shù)被盜。

區(qū)塊鏈安全問(wèn)題解決方案

互聯(lián)網(wǎng)安全問(wèn)題存在已久

互聯(lián)網(wǎng)安全問(wèn)題永遠(yuǎn)都會(huì)存在。在互聯(lián)網(wǎng)行業(yè)發(fā)展的各個(gè)階段，安全問(wèn)題一直伴隨始終，之前傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域里面遇到的安全問(wèn)題，在區(qū)塊鏈行業(yè)中也仍然會(huì)遇到。隨著區(qū)塊鏈技術(shù)的快速發(fā)展，高風(fēng)險(xiǎn)事件也呈現(xiàn)高發(fā)態(tài)勢(shì)，尤其在涉及大量資產(chǎn)交易時(shí)，往往會(huì)出現(xiàn)“一行代碼，打倒一種資產(chǎn)”、“一個(gè)漏洞，摧毀一類智能合約”等高風(fēng)險(xiǎn)事件，僅僅在2018年初就造成了十幾億美元的資產(chǎn)損失。區(qū)塊鏈?zhǔn)莻€(gè)復(fù)雜的系統(tǒng)，安全問(wèn)題涵蓋了區(qū)塊鏈系統(tǒng)架構(gòu)中的每一個(gè)層面，區(qū)塊鏈整體的安全離不開(kāi)系統(tǒng)架構(gòu)中每一環(huán)節(jié)的安全性。區(qū)塊鏈?zhǔn)且粋€(gè)長(zhǎng)期運(yùn)行的分布式軟件系統(tǒng)，任何軟件系統(tǒng)必將經(jīng)歷從需求到設(shè)計(jì)，再到實(shí)現(xiàn)和發(fā)布，最終不斷更新迭代的過(guò)程。在軟件開(kāi)發(fā)過(guò)程中的每一個(gè)環(huán)節(jié)出現(xiàn)的安全問(wèn)題，都會(huì)給下一個(gè)環(huán)節(jié)引入更多的安全問(wèn)題。

未來(lái)區(qū)塊鏈技術(shù)及其安全性問(wèn)題仍會(huì)持續(xù)很長(zhǎng)一段時(shí)間，主要源于：1)全新的解決方案會(huì)進(jìn)一步加快區(qū)塊鏈的安全重建，創(chuàng)新技術(shù)和服務(wù)得到認(rèn)可也會(huì)進(jìn)一步增強(qiáng)產(chǎn)業(yè)活力，以及提升技術(shù)價(jià)值;1)未來(lái)隨著企業(yè)的生產(chǎn)以及人民的生活逐漸向數(shù)字化、網(wǎng)聯(lián)化和智能化轉(zhuǎn)型，許多全新的變革性技術(shù)(如區(qū)塊鏈、人工智能等)所打造的安全生態(tài)體系和技術(shù)將成為大勢(shì)所趨;3)由新技術(shù)衍生的產(chǎn)品安全技術(shù)服務(wù)范疇將會(huì)更加寬泛，不斷催生更加繁榮的安全服務(wù)市場(chǎng)。

區(qū)塊鏈安全服務(wù)企業(yè)/產(chǎn)品

針對(duì)目前區(qū)塊鏈各層級(jí)的安全問(wèn)題，區(qū)塊鏈安全領(lǐng)域也出現(xiàn)了一些提供安全服務(wù)的公司或者產(chǎn)品，諸如知道創(chuàng)宇、廈門(mén)慢霧科技、Security Chain安全鏈等，主要通過(guò)技術(shù)手段為客戶解決各種區(qū)塊鏈安全問(wèn)題。

(1)知道創(chuàng)宇

知道創(chuàng)宇是國(guó)內(nèi)最早提出云監(jiān)測(cè)與云防御理念的網(wǎng)絡(luò)安全公司，經(jīng)過(guò)多年的積累，利用在云計(jì)算及大數(shù)據(jù)處理方面的行業(yè)領(lǐng)先能力，可為客戶提供具備國(guó)際一流安全技術(shù)標(biāo)準(zhǔn)的可視化解決方案，提升網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警及防御能力。知道創(chuàng)宇從2011年開(kāi)始接觸區(qū)塊鏈，從2012年開(kāi)始為交易所、智能合約、礦池、礦機(jī)、錢(qián)包等行業(yè)用戶提供安全防護(hù)，對(duì)區(qū)塊鏈業(yè)務(wù)場(chǎng)景有著深刻的理解，并利用Seebug漏洞社區(qū)、Zoomeye安全搜索引擎以及持續(xù)對(duì)全球前列的數(shù)字資產(chǎn)進(jìn)行探測(cè)和分析，已完整地建立起區(qū)塊鏈全生態(tài)的安全防御措施。

(2)廈門(mén)慢霧科技有限公司

慢霧科技專注區(qū)塊鏈生態(tài)安全，由一支擁有十多年一線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)的團(tuán)隊(duì)創(chuàng)建，團(tuán)隊(duì)曾為Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過(guò)安全能力，團(tuán)隊(duì)多項(xiàng)成果也曾進(jìn)入過(guò)Black Hat等全球黑客大會(huì)。慢霧科技的核心能力包括：安全審計(jì)、防御部署、地下黑客風(fēng)向標(biāo)追蹤，同時(shí)提供Python、NodeJS、Go、Java 等主流語(yǔ)言的 SDK，可靈活接入產(chǎn)品風(fēng)控體系。慢霧科技已經(jīng)為全球多家交易所、錢(qián)包、智能合約等做了安全審計(jì)與防御部署，并通過(guò)獨(dú)有的地下黑客風(fēng)向標(biāo)追蹤引擎，持續(xù)為合作公司及國(guó)家相關(guān)部門(mén)提供威脅情報(bào)。慢霧區(qū)塊鏈安全社群已累計(jì)輻射人數(shù)達(dá)10多萬(wàn)人。

(3)Security Chain安全鏈(SECC)

SECC是一個(gè)基于區(qū)塊鏈安全生態(tài)建設(shè)的項(xiàng)目，在區(qū)塊鏈安全底層技術(shù)研究上，以及全球獨(dú)家的核心芯片級(jí)安全加固方案，團(tuán)隊(duì)成員擁有豐富的經(jīng)驗(yàn)。Security Chain生態(tài)鏈則是基于區(qū)塊鏈思維和技術(shù)的一個(gè)全新安全生態(tài)系統(tǒng)，該生態(tài)鏈包含操作系統(tǒng)底層、區(qū)塊鏈物聯(lián)網(wǎng)、云計(jì)算設(shè)備等安全攻防，并運(yùn)用機(jī)器學(xué)習(xí)等前沿技術(shù)理念實(shí)現(xiàn)區(qū)塊鏈反病毒、區(qū)塊鏈反欺詐、移動(dòng)設(shè)備安全防護(hù)等。因此全世界的安全人員可基于此生態(tài)系統(tǒng)開(kāi)發(fā)各種針對(duì)區(qū)塊鏈安全問(wèn)題的應(yīng)用服務(wù)，為行業(yè)用戶提供一站式安全保障。Security Chain的核心技術(shù)包括更安全的UEFI啟動(dòng)的操作系統(tǒng)、基于PaX/Grsecurity特性加固內(nèi)核、大量的安全基線檢查、完善的加密算法、可定制網(wǎng)絡(luò)防火墻以及秘鑰硬件加密存儲(chǔ)。

“區(qū)塊鏈+”產(chǎn)業(yè)具有巨大的商業(yè)價(jià)值，區(qū)塊鏈安全問(wèn)題亟待重視

在互聯(lián)網(wǎng)時(shí)代蓬勃發(fā)展的今天，在2017年全世界爆發(fā)增長(zhǎng)的市場(chǎng)環(huán)境下，互聯(lián)網(wǎng)安全行業(yè)有著巨大的市場(chǎng)需求，網(wǎng)絡(luò)安全不僅僅是殺病毒，還包括數(shù)據(jù)安全、隱私安全、賬號(hào)安全、下載安全，以及電腦健康。當(dāng)整個(gè)社會(huì)從互聯(lián)網(wǎng)經(jīng)濟(jì)年代進(jìn)入新的區(qū)塊鏈時(shí)代，絕大部分的區(qū)塊鏈企業(yè)、金融分支面臨著巨大的安全隱患。

“區(qū)塊鏈+”與實(shí)體產(chǎn)業(yè)的結(jié)合，將會(huì)帶動(dòng)區(qū)塊鏈安全行業(yè)需求也相應(yīng)提升。近年來(lái)，區(qū)塊鏈與大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能一起，為互聯(lián)網(wǎng)行業(yè)帶來(lái)了新的發(fā)展空間，實(shí)體+互聯(lián)網(wǎng)”轉(zhuǎn)型成為實(shí)體經(jīng)濟(jì)發(fā)展的主流，現(xiàn)有的互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)了信息傳播與分享的解放，而區(qū)塊鏈的出現(xiàn)能夠進(jìn)一步解決資金、合約和數(shù)字化資產(chǎn)在互聯(lián)網(wǎng)上交換、交易與轉(zhuǎn)移所產(chǎn)生的難題。隨著區(qū)塊鏈技術(shù)在供應(yīng)鏈、醫(yī)療、能源等實(shí)體經(jīng)濟(jì)領(lǐng)域的落地應(yīng)用，“區(qū)塊鏈+”行業(yè)將有巨大的發(fā)展?jié)摿?，區(qū)塊鏈安全服務(wù)可以為線上以及線下經(jīng)濟(jì)提供保障，相應(yīng)的區(qū)塊鏈安全領(lǐng)域的需求也會(huì)提升。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。