區(qū)塊鏈：野蠻成長背后的安全隱患

孫杰賢

區(qū)塊鏈，一項專業(yè)屬性極高的技術(shù)，然而就是這樣一種“陽春白雪”式技術(shù)好像一夜之間變得婦孺皆知，人盡可得。

當(dāng)前最為主要的區(qū)塊鏈應(yīng)用就是加密數(shù)字貨幣。根據(jù) Coindesk 網(wǎng)站的全球 ICO （區(qū)塊鏈項目首次發(fā)行代幣，募集數(shù)字貨幣的行為）跟蹤數(shù)據(jù)顯示，截止2018 年 4 月底，全球 ICO 歷史總金額已達(dá)到 128 億美元。僅 2018年前 4 個月 ICO 總值即是 2017 年全年 ICO 總值的 1.28 倍，而 2018 年前4 個月 ICO 數(shù)量僅為 2017 年全年 79%。據(jù)此預(yù)測，2018 年全年ICO 數(shù)量有可能會超過 800 家，總值將超過 130 億美元，而全球數(shù)字加密貨幣總價值將突破1萬億美元。

區(qū)塊鏈技術(shù)及其應(yīng)用正在以一種“不講理”的方式野蠻成長著。

標(biāo)榜的“安全”呢？

區(qū)塊鏈技術(shù)有兩大最為核心的特征和創(chuàng)新：去中心化和安全性。

去中心意味著整個區(qū)塊鏈網(wǎng)絡(luò)沒有中心化的設(shè)施系統(tǒng)或者管理機(jī)構(gòu)，任意節(jié)點(diǎn)之間的權(quán)利和義務(wù)都是均等的，且任一節(jié)點(diǎn)的損壞或者失去都會不影響整個系統(tǒng)的運(yùn)作，因此具有極好的健壯性。同時，參與整個系統(tǒng)中的每個節(jié)點(diǎn)之間進(jìn)行數(shù)據(jù)交換是無需互相信任的，整個系統(tǒng)的運(yùn)作規(guī)則是公開透明的，所有的數(shù)據(jù)內(nèi)容也是公開的，因此在系統(tǒng)指定的規(guī)則范圍和時間范圍內(nèi)，節(jié)點(diǎn)之間不能也無法欺騙其它節(jié)點(diǎn)。

如何在去中心化和去信任的條件下確保信息數(shù)據(jù)的安全與可靠，這就引出了區(qū)塊鏈技術(shù)的另外一些核心特征：可靠數(shù)據(jù)庫、集體維護(hù)以及開源匿名性。這些特征確保了整個系統(tǒng)信息數(shù)據(jù)的可驗證性、不可偽造和不可撤消，而這也正是區(qū)塊鏈技術(shù)最具創(chuàng)新的地方。

然而，本應(yīng)“安全、可靠和健壯”的區(qū)塊鏈技術(shù)卻頻頻爆發(fā)安全事件。360安全衛(wèi)士5月29日下午在微博上發(fā)布公告稱，360伏爾甘團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS（號稱是區(qū)塊鏈?zhǔn)澜绲牟僮飨到y(tǒng)）的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

而這只是眾多區(qū)塊鏈安全事件中的一個。根據(jù)知道創(chuàng)宇公司日前發(fā)布的《區(qū)塊鏈安全風(fēng)險白皮書》，區(qū)塊鏈安全問題主要來自于區(qū)塊鏈自身機(jī)制安全、區(qū)塊鏈生態(tài)安全和使用者安全這三個方面。其中，自身機(jī)制安全問題智能合約的問題排在首位，而理論上存在的 51%攻擊近兩年也成為了現(xiàn)實(shí)。生態(tài)安全問題圍繞交易所發(fā)生安全時間最為顯著，交易所被盜遠(yuǎn)超其它事件類型；此外，交易所、礦池和網(wǎng)站都面臨著DDoS 攻擊的高風(fēng)險；在線錢包和礦池面臨著 DNS劫持的風(fēng)險；交易所還面臨被釣魚、內(nèi)鬼盜竊、錢包失竊、各種信息數(shù)據(jù)泄露和篡改、交易所帳號失竊等問題。在使用者安全問題上，交易所帳號和錢包失竊最為常見，反欺詐、被釣魚、私鑰保管的問題也時有發(fā)生。

《區(qū)塊鏈安全風(fēng)險白皮書》還對近幾年區(qū)塊鏈加密數(shù)字貨幣安全事件做了統(tǒng)計，其中涉及區(qū)塊鏈自身機(jī)制引發(fā)的安全事件總損失額為 12.5 億美元，涉及區(qū)塊鏈生態(tài)引發(fā)的安全事件總損失額為 14.2 億美元，涉及使用者引發(fā)的安全事件總損失額為 5647 萬美元。而2018年上半年的安全事件數(shù)量及損失金額都遠(yuǎn)超之前幾年的數(shù)倍乃至數(shù)十倍。另外，從事件類型上來看今年因區(qū)塊鏈自身機(jī)制引起安全事件的數(shù)量雖然比區(qū)塊鏈生態(tài)要少，但金額卻遠(yuǎn)超 42%，這說明區(qū)塊鏈自身機(jī)制的安全問題比區(qū)塊鏈生態(tài)所面臨的安全問題更加嚴(yán)重。

問題出在哪？

頂級網(wǎng)絡(luò)安全專家、知道創(chuàng)宇 CEO 趙偉在接受本刊采訪時指出了區(qū)塊鏈安全層出不窮的幾個原因，他說：“雖然數(shù)字資產(chǎn)用區(qū)塊鏈技術(shù)分布式化了，但是交易、錢包、挖礦、礦池都是集中化的，這些在黑客來看來都是非常好攻擊的目標(biāo)。更重要的是，數(shù)字貨幣失竊以后是非常難以追蹤的，區(qū)塊鏈的匿名和不可逆，這個本質(zhì)問題導(dǎo)致了在區(qū)塊鏈行業(yè)非常多的黑客事件。此外，公鏈的價值在于共識，但是共識是建立在分布式的點(diǎn)對點(diǎn)技術(shù)上，一旦這種技術(shù)被操控或沒有安全防護(hù)，黑客操控后就可以任意偷取利益，導(dǎo)致資產(chǎn)的價值變成零。”

Gartner 對區(qū)塊鏈生態(tài)的安全模型劃分為商業(yè)邏輯層、風(fēng)險與 IAM（身份認(rèn)證訪問管理）處理層及 IT及技術(shù)層。其中，IT 及技術(shù)層及風(fēng)險與 IAM（身份認(rèn)證訪問管理）處理層屬于傳統(tǒng)安全領(lǐng)域范疇，商業(yè)邏輯層是屬于區(qū)塊鏈所獨(dú)有的，但它的運(yùn)轉(zhuǎn)需要完全依賴于另外二層的支持。對此，趙偉提醒：在考慮區(qū)塊鏈生態(tài)安全問題時，依然需要從傳統(tǒng)安全的角度出發(fā)去思考。針對區(qū)塊鏈生態(tài)的安全風(fēng)險防范，也應(yīng)該從區(qū)塊鏈生態(tài)在傳統(tǒng)領(lǐng)域中所面臨的安全風(fēng)險出發(fā)去思考解決方案和對策。

趙偉建議：用戶在對這些加密數(shù)字貨幣的保管和保護(hù)上需要將安全意識提高到與傳統(tǒng)資產(chǎn)保管保護(hù)同等水平上來。比如，盡量不要數(shù)字介質(zhì)中存儲私鑰，將私鑰存放在自己可控的紙質(zhì)媒介上。無論何時何地對任何人都不要透露你的私鑰。登錄交易所前確認(rèn)交易所網(wǎng)址，在交易前確認(rèn)二次交易地址等。而區(qū)塊鏈生態(tài)企業(yè)，應(yīng)為用戶在執(zhí)行關(guān)鍵操作前提供風(fēng)險測評和風(fēng)險提示，以確保用戶可以持續(xù)的保有較高安全風(fēng)險意識。這么做的目的是為了讓更多的使用者了解區(qū)塊鏈及安全知識，提升整個區(qū)塊鏈生態(tài)的認(rèn)知水平。

為了加速構(gòu)建區(qū)塊鏈行業(yè)安全生態(tài)建設(shè)，中國技術(shù)市場協(xié)會、騰訊安全、知道創(chuàng)宇、中國區(qū)塊鏈應(yīng)用研究中心等20多家機(jī)構(gòu)發(fā)起成立了中國區(qū)塊鏈安全聯(lián)盟，共同致力于構(gòu)建安全的區(qū)塊鏈生態(tài)環(huán)境，建立區(qū)塊鏈生態(tài)良性發(fā)展長效機(jī)制，助力中國區(qū)塊鏈生態(tài)協(xié)同發(fā)展。