1. 創(chuàng)業(yè)頭條
  2. 前沿領域
  3. 區(qū)塊鏈
  4. 正文

攻擊者視角下的區(qū)塊鏈 國內首個區(qū)塊鏈安全深度報告發(fā)布

 2018-05-08 10:14  來源:互聯(lián)網  我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

在“雙刃劍”理論普遍適應新技術的當下,最尷尬的莫過于“區(qū)塊鏈”了,正所謂“生于斯毀于斯”,得名于“中本聰”《比特幣:一種點對點電子現(xiàn)金系統(tǒng)》一文的“區(qū)塊鏈”,也因比特幣在全球范圍內過山車一樣的動蕩表現(xiàn)而頗受微詞。實際上,從創(chuàng)新角度看,區(qū)塊鏈巧妙融合升級了多種現(xiàn)有技術,如非對稱加密、點對點網絡技術、哈希算法和共識算法,嚴格意義上講它是一次工程學意義上而非科學理論上的創(chuàng)新。比特幣等令全球各經濟實體如履薄冰的數字貨幣,僅僅只是區(qū)塊鏈技術諸多應用中最廣為人知的一種而已。

任何一個新興產業(yè)誕生之初總會面對各種各樣的難題,而區(qū)塊鏈產業(yè)目前遇到的最大難題是全球互聯(lián)網、信息、IT行業(yè)斗爭多年的安全難題。表象是比特幣等各類數字貨幣價格動蕩,深究之后卻發(fā)現(xiàn)背后竟有黑客攻擊的加持;某些區(qū)塊鏈平臺犯了看起來很不可思議的低級錯誤,動輒爆出成千萬、上億美金的損失,甚至直接導致破產,正應了那句圈內有名的“世界上沒有絕對安全的系統(tǒng)”。更不可思議的是,這些收益“頗豐”的攻擊卻往往使用了相對簡單的攻擊手法。

從業(yè)者似乎需要一本教科書去了解:攻擊者視角下的區(qū)塊鏈為何呈現(xiàn)出金礦般的誘惑力?但對絕大多數區(qū)塊鏈產業(yè)鏈上的企業(yè)、從業(yè)者而言,很難通過現(xiàn)有資訊系統(tǒng)性的了解區(qū)塊鏈安全現(xiàn)狀、難題以及應對策略。為此,在國際頂級安全圈創(chuàng)下赫赫聲名的中國初創(chuàng)安全公司長亭科技聯(lián)合ConsenSys、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國內首個區(qū)塊鏈安全深度報告——《區(qū)塊鏈安全生存指南》(報告全文下載鏈接:https://chaitin.cn/cn/download/blockchain_security_guide_20180507.pdf),通過剖析區(qū)塊鏈技術的原理及特點,梳理了不同應用場景的安全訴求,復盤典型安全事件經過及技術原理,針對性總結區(qū)塊鏈行業(yè)安全應對策略,接下來讓我們一窺端倪。

現(xiàn)狀:像新生兒一樣脆弱

從2008年概念提出到2013年業(yè)界認識到區(qū)塊鏈技術的重要潛在價值,并開始嘗試將其應用到數字貨幣以外的場景(如眾募、資產交易、權屬管理、身份認證等領域),再到當下人人熱談區(qū)塊鏈,短短幾年間區(qū)塊鏈迅速成為最火爆的技術、行業(yè)、產業(yè),隨之而來的安全問題也令人揪心不已。《區(qū)塊鏈安全生存指南》顯示,針對區(qū)塊鏈的攻擊已經覆蓋了應用層、智能合約層、底層結構層、基礎設施層、安全意識與管理等整個行業(yè)的方方面面,攻防戰(zhàn)火蔓延至區(qū)塊鏈產業(yè)全線。

目前市場上多達幾百家的區(qū)塊鏈相關公司,根據業(yè)務類型和模式大致上可將其劃分為數字貨幣和技術應用兩大類。顧名思義,數字貨幣是與數字經濟時代相匹配的一種體現(xiàn)和傳遞交換價值的中間件。而技術應用是在很多現(xiàn)實場景中利用區(qū)塊鏈技術降低成本,提升效率。兩者因業(yè)務形態(tài)、模式的區(qū)別,導致其安全訴求也不盡相同。

應用層通常成為攻擊者首選的目標,也就是最常見到的各種交易平臺。安全問題包括交易所服務器未授權訪問、交易所DDoS攻擊、員工主機安全問題、惡意程序感染等幾個方面。智能合約層則是整個安全防范的重中之重,世界知名的DAO事件就是被重入攻擊導致數千萬美金的損失,涉及智能合約開發(fā)的代表性項目有區(qū)塊鏈錢包、眾籌基金、區(qū)塊鏈代幣發(fā)行、區(qū)塊鏈游戲等。未授權訪問攻擊,杜絕Solidity 編程隱患等都是合約層的常見問題。底層機構層和基礎設施層安全需要注意區(qū)塊鏈實現(xiàn)層安全隱患、針對社區(qū)的DoS 攻擊、EVM 安全隱患等等。此外,安全意識與管理,含如何識別防范社會工程學攻擊、內部者攻擊、第三方風險控制失敗、釣魚攻擊也是一個都不能少。顯而易見,區(qū)塊鏈這一新貴安全的復雜性在于不僅在新維度上產生了問題,常見的安全問題也貫穿其中。

相對于區(qū)塊鏈產業(yè)勢不可擋的發(fā)展速度,公眾對區(qū)塊鏈安全的認知近乎為零,相應的規(guī)范和保障體系更如新生兒一樣脆弱。自出現(xiàn)至今承受了大量的網絡攻擊,每一次成功的攻擊帶來的都是百萬、千萬到上億美元實際損失,并且打擊了人們對區(qū)塊鏈行業(yè)的信心。

對策:開發(fā)具有生命周期的安防體系

可見,頭頂新互聯(lián)網之名的區(qū)塊鏈也是個復雜的系統(tǒng),區(qū)塊鏈整體的安全,離不開系統(tǒng)架構中每一環(huán)節(jié)的安全性。從另一個角度來看,區(qū)塊鏈是一個長期運行的分布式軟件系統(tǒng),任何軟件系統(tǒng)必將經歷從需求到設計,再到實現(xiàn)和發(fā)布,最終不斷更新迭代的過程。在軟件開發(fā)過程中的每一個環(huán)節(jié)出現(xiàn)的安全問題,都會給下一個環(huán)節(jié)引入更多的安全問題。例如,不考慮安全的應用場景難以引入安全設計,不安全的系統(tǒng)架構無法用安全的實現(xiàn)進行彌補,代碼實現(xiàn)層面的漏洞能給已經發(fā)布的應用以毀滅性地打擊。

為了更加全面和系統(tǒng)化地應對區(qū)塊鏈所面臨的安全問題,不僅要考慮技術架構中的每個層面面臨的安全風險,也要將安全方案融入區(qū)塊鏈開發(fā)的每一個環(huán)節(jié)中去。《區(qū)塊鏈安全生存指南》建議區(qū)塊鏈開發(fā)者們,根據區(qū)塊鏈的技術架構進行具體化,最終實現(xiàn)區(qū)塊鏈安全開發(fā)生命周期的安全管理方案。

楊坤,長亭科技聯(lián)合創(chuàng)始人及首席安全研究員,曾任國際知名藍蓮花戰(zhàn)隊隊長,帶領中國戰(zhàn)隊取得國際頂級黑客大賽DEFCON CTF全球第二的最佳戰(zhàn)績,對于區(qū)塊鏈安全他有極深的思考:“我們在擁抱區(qū)塊鏈技術帶來的革命時,也面臨著嚴峻的安全考驗——無論是系統(tǒng)的設計還是實現(xiàn)中出現(xiàn)的安全漏洞,都可能給整個應用帶來毀滅性的打擊。在此次發(fā)布指南中,我們圍繞區(qū)塊鏈安全,對不同應用的安全需求、過去發(fā)生的攻擊事件和應對策略進行梳理,希望能夠為行業(yè)帶來啟發(fā)”。

吳忌寒,業(yè)內第一個將比特幣創(chuàng)始人中本聰論文翻譯成中文的資深大咖,2013年和詹克團聯(lián)合創(chuàng)立比特大陸,這家成立不到五年的中國公司,被譽為比特幣產業(yè)鏈上的隱形帝國。吳忌寒認為:“區(qū)塊鏈自誕生以來,各種攻擊事件層出不窮,安全形勢嚴峻,需要行之有效的方法來防御”。

唐弈,ConsenSys中國區(qū)負責人,提及這次三方聯(lián)合發(fā)布國內首個區(qū)塊鏈安全報告時的初衷時表示:“很榮幸與長亭科技和比特大陸共同撰寫發(fā)布區(qū)塊鏈安全深度報告,希望通過報告為提高全行業(yè)的安全意識和技術能力做出一些貢獻。安全一直是區(qū)塊鏈的核心課題之一,ConsenSys期待與行業(yè)伙伴們共建安全生態(tài)、推動區(qū)塊鏈技術在中國和世界的發(fā)展。”總部設于紐約的ConsenSys由以太坊聯(lián)合創(chuàng)始人Joseph Lubin成立于2015年,現(xiàn)在全球團隊一共超過600人。

前景:舉國創(chuàng)新聚焦前沿技術

數據顯示,區(qū)塊鏈專利申請的主要國家包括中國、美國、韓國、日本,中國的增長最為迅速,世界上超過一半的區(qū)塊鏈專利都在中國。目前中國區(qū)塊鏈創(chuàng)業(yè)公司的數量僅次于美國,全球市值前二十的數字資產中,不少都有中國血統(tǒng)。

通過各行披露的年報可知,A股26家上市銀行中共有12家在年內已上線運行區(qū)塊鏈應用,其中包括三家國有大行、六家全國性股份制銀行,以及三家城商行。這也意味著,區(qū)塊鏈正逐漸滲透到國民日常生活的點點滴滴之中。未來,區(qū)塊鏈金融應用只是排頭兵,而各種區(qū)塊鏈應用將會越來越深入,隨之而來的改變可能會像科幻電影中的《明日世界》一樣令人震撼。

千里之行始于足下千里之提潰于蟻穴,區(qū)塊鏈企業(yè)、行業(yè)、產業(yè)可持續(xù)發(fā)展的前提是區(qū)塊鏈安全,這跟擲地有聲的“沒有網絡安全就沒有國家安全”無疑處于同一層面。相信這也是長亭科技、ConsenSys、比特大陸三大行業(yè)領軍企業(yè)發(fā)布《區(qū)塊鏈安全生存指南》的核心動力。一方面,這三家企業(yè)有絕對實力對區(qū)塊鏈安全現(xiàn)狀做出深度分析并給出建議;另一方面,這也是企業(yè)高度社會責任感的體現(xiàn),值得包括不限于區(qū)塊鏈領域的更多依賴技術創(chuàng)新求突破的企業(yè)深思并學習。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

  • 從Statter公鏈的全生態(tài)應用場景出發(fā)探索STT的潛力

    通過創(chuàng)新應用場景,推動其生態(tài)系統(tǒng)的發(fā)展和貨幣的流通是每一個項目的必修課。StatterNetwork作為一個有著強大技術支撐的元宇宙項目,其主網幣STT不僅僅局限于簡單的價值儲存和交易媒介,而是廣泛的應用在全生態(tài)和跨鏈生態(tài)中。本文將深入探討STT的主要應用場景與價值。1.二級市場交易作為Statte

  • 亞洲區(qū)塊鏈學會會長:用戶破2億 波場TRON成全球最快增速公鏈

    近日,亞洲區(qū)塊鏈學會會長蔡志川博士發(fā)表了題為《波場TRON——數字未來之航,領航區(qū)塊鏈新時代》的文章指出,隨著新時代的來臨,區(qū)塊鏈技術和數字化經營成為企業(yè)家升級的新引擎,孫宇晨和其創(chuàng)辦的波場TRON在過去幾年里發(fā)展迅速,尤其是在2023年,通過持續(xù)努力、技術創(chuàng)新和開放合作,波場TRON將繼續(xù)引領行業(yè)

  • 螞蟻鏈位列中國BaaS市場第一 核心技術自主可控

    9月4日,國際權威研究機構IDC發(fā)布“中國BaaS廠商市場份額,2022”報告。報告顯示,螞蟻集團憑借螞蟻鏈以26.6%的市場占有率位居第一,騰訊云、華為云以16.3%、11.4%分列二三位。據了解,這是螞蟻鏈連續(xù)三年中國BaaS市場第一,據了解,螞蟻鏈是國內代表性的區(qū)塊鏈廠商,技術完全自主研發(fā)。其

  • 護航區(qū)塊鏈生態(tài)安全,成都鏈安一直在行動

    2023年7月20日,成都鏈安創(chuàng)始人&CEO楊霞教授受邀在新一代信息技術安全與WEB3.0安全專題峰會上發(fā)表“區(qū)塊鏈安全態(tài)勢與技術研究”主題演講。成都鏈安楊霞教授首先介紹了全球區(qū)塊鏈安全態(tài)勢,指明目前全球區(qū)塊鏈安全事件層出不窮、居高不下,同時,區(qū)塊鏈、虛擬貨幣也被一些不法分子用來從事非法活動,監(jiān)管面

  • 美酒鏈數字酒證,打開酒類收藏新方式

    李先生是一位酒品收藏家,他對白酒的熱愛無與倫比,用心收集了許多珍貴的酒品。但是,他的收藏之旅卻遭遇到了一次大打擊。李先生為了慶祝自己生日,決定品嘗自己收藏了20年的白酒。激動之下,他打開珍藏的白酒,只想品味一口歷經歲月的美酒。然而,想不到的是,香氣撲鼻之際,他發(fā)現(xiàn)嘴中的味道與記憶中的完全不同。心情一

  • 成都鏈安榮登《嘶吼2023網絡安全產業(yè)圖譜》區(qū)塊鏈安全榜單

    成都鏈安上榜《嘶吼2023網絡安全產業(yè)圖譜》2023年7月10日,嘶吼安全產業(yè)研究院聯(lián)合國家網絡安全產業(yè)園區(qū)(通州園)正式發(fā)布《嘶吼2023網絡安全產業(yè)圖譜》。成都鏈安憑借自身技術實力以及在區(qū)塊鏈安全行業(yè)廣泛的品牌影響力,榮登《嘶吼2023網絡安全產業(yè)圖譜》區(qū)塊鏈安全賽道榜單。這也是成都鏈安連續(xù)第二

    標簽:
    網絡安全