“絕對安全”從不存在區塊鏈也不例外

上海茁思迅行企業管理咨詢有限公司咨詢總監|金峰

未來，區塊鏈將被應用在金融、能源等諸多國計民生領域，安全性工作顯得尤其重要。未雨綢繆，在區塊鏈技術被廣泛應用之前，一系列已經暴露的安全問題需要得到全面解決。

曾幾何時，區塊鏈高舉一面“高度安全”的大旗，全面進入了公眾視線，似乎原有網絡所有的安全性問題，皆不會再發生。同時，率先應用在代幣領域，并且被傳統金融行業所重視，都讓區塊鏈的這面“高度安全”大旗飄揚不止。

然而在信息通信產業中，安全永遠不是絕對的。只要利益激勵足夠多，所謂的安全防線總可以被攻破，區塊鏈也不例外。當前，區塊鏈安全問題凸顯，已經到了迫在眉睫、亟待解決的境地。

利益放大：安全問題暴露基礎

縱觀信息通信產業的發展歷程，便可發現——所有安全防御都有一定限度。只要存在人的因素，就會有若干考慮不周之處，讓安全防御的圍墻出現漏洞。而在黑客眼中，“人造”圍墻都如同篩子，只存在洞眼疏密與是否好找的區別，這也就是各類操作系統、應用軟件始終在不斷升級，不停打安全補丁的重要原因。同時，安全防御圍墻高度也不可無限高，哪怕靠暴力方法，只要集結充足的能力也能夠翻越過去，或者讓防御圍墻直接垮塌。例如，即使密碼再長、傳輸與保存過程中加密次數再多，只要循環試驗就能將其攻破。

好在安全攻擊還是有一定技術門檻與資金門檻的，能否吸引黑客等攻擊，要看攻破安全防御圍墻是否有足夠多的利益。有了足夠多的利益，黑客才能找到更多的漏洞；有了足夠多的利益，才能夠調動更多的資源進行暴力攻擊；有了足夠多的利益，才能夠動用非常規手段，例如收買人員等方式。

同樣，在區塊鏈領域也是如此。曾經，區塊鏈技術同比特幣幾乎可以劃上等號，而比特幣不過幾塊錢，甚至只有幾分錢一枚，攻破防線的收獲有限使得區塊鏈暫時“安全”。

短短十年，風云變幻。比特幣不再是2010年時需要1萬個才能換1個披薩的虛擬貨幣，“江湖”上也不再只有一種基于區塊鏈的虛擬貨幣。除了代幣領域，區塊鏈技術應用范圍越來越廣。據統計，目前全球范圍內，各類代幣總市值在6000億美元左右，若加上各類企業級應用，足夠吸引各類黑客的目光。

并且，區塊鏈安全原有的基石是分布式網絡，沒有塌陷一個影響一片的產業中心，讓攻擊缺乏著力點。但隨著行業對區塊鏈重視程度越來越高，礦池成為生產中心、交易所成為貿易中心以及倉庫，同時也形成了專注提供解決方案的技術中心，這讓安全攻擊變得更加有利可圖。為了能夠發揮中心價值，原有協議被增加了智能合約層等新層級，但行業內相關技術專家認為：愈多的協議層級意味著安全風險暴露點更多，反而降低了區塊鏈安全性。

安全危機：必須正視的問題

目前，應用區塊鏈技術最多的是數字加密貨幣領域，由于真金白銀的存在，區塊鏈的安全問題幾乎都在加密貨幣領域發生，而這些問題未來也同樣會在其他區塊鏈應用領域中發生。

根據騰訊安全所發布的《2018年上半年區塊鏈安全報告》顯示，當前區塊鏈領域安全事件主要集中在三個方面，一是區塊鏈自身機制，二是區塊鏈生態，三是使用者自身問題。其中，區塊鏈自身機制問題主要集中在智能合約、51%攻擊等，此外還包括交易延展性攻擊、雙花攻擊、垃圾交易攻擊、扣塊攻擊等；區塊鏈生態問題主要集中在交易所被盜、交易所DDoS攻擊等，此外還包括交易所被釣魚、內鬼盜竊、錢包DNS劫持、錢包失竊、交易地址篡改、交易所信息泄露、交易數據篡改、場外操縱、拒絕服務攻擊、礦池DDoS攻擊、礦池DNS劫持、礦池失竊、網站DDoS攻擊、網站數據泄露等；使用者問題主要包括賬號失竊、錢包失竊等，此外還包括反欺詐、用戶被釣魚、私鑰保管問題等。筆者總結了當前區塊鏈所出現的種種安全問題，有如下五大特征。

第一，區塊鏈安全事件數量不斷增多，損失金額也日益擴大。2018年上半年，僅在數字貨幣領域發生的區塊鏈安全事件就比2017年全年增加了40%左右，損失金額則增長數十倍，達23億美元之多，單筆金額超過1億美元的“大案要案”屢見不鮮。這同當前區塊鏈行業參與者不斷增多、資金量不斷增大不無關系，作案者組織化、規模化特征也日益明顯。

第二，區塊鏈安全問題的種類不斷增多。隨著越來越多的人參與到區塊鏈行業研究區塊鏈技術，一些原本隱藏的安全漏洞被發掘，攻擊方法也花樣繁多。據統計，2018年所使用的攻擊方法數量，比2015年足足增長了三倍。

第三，區塊鏈安全攻擊呈現了日益規模化的特征，理論上存在的51%攻擊也成為可能。區塊鏈共識機制是一種表決，如遇到問題，只要51%的算力達成一致，那么區塊鏈就能夠往多數算力期望的方向發展。按照原有設想，全世界的算力非常分散，不會出現一個人能夠掌握51%算力從而影響整個鏈條未來走勢的情況。但即便是中聰本也沒能夠想到，當前礦場頻出，黑客們可以通過木馬控制數十萬臺個人電腦形成云礦池，這樣，一個人能夠擁有的算力大大增強。并且各種新數字貨幣頻出，那些擁有較多算力的人，在比特幣的世界中或許只能算強者，但到了小型數字貨幣的鏈條中，則成為決定其生死的“巨鯊”。

第四，區塊鏈安全問題的爆發為全生態性的，不僅只針對區塊鏈自身機制。相對而言，區塊鏈自身機制較安全，畢竟架設在網狀網絡上，對其攻擊需要費些工夫。但是，區塊鏈周邊的附屬設施，則通常采用傳統IT架構，安全性相當薄弱。這些附屬設施雖薄弱，卻往往蘊含了大量區塊鏈資產，例如用戶終端上

的錢包是最疏于防范、最薄弱的地方。在黑客眼中，個人電腦就是不設防的存在，只要能夠在更多電腦上種上木馬，比特幣將會滾滾而至，若是技術超凡則可以直接攻擊交易所，所得都是價值上億美元的虛擬貨幣。

第五，區塊鏈安全的修正機制明顯不足。同傳統中心結構業務不同，區塊鏈架設在P2P網狀結構上，前者會有一個機構作為運營主體，當出現安全問題的時候，它會負責發放安全補丁。只要把中心節點安全性提升上去，就能夠極大程度地提升業務的整體安全性，尤其在當前較多業務采用云模式的情況下。而后者則缺乏強有力的運營主體，負責整個鏈條的后期安全，區塊鏈建立基于“共識”，當鏈條建立起來之后，理論上除非所有的參與者均同意修改“共識”，否則沒有辦法對安全問題進行修正。在區塊鏈2.0中，所興起可自行約定的“智能合約”則加劇了這一風險，合約當中部分“共識”為之后的安全直接埋下隱患，并且部分“智能合約”連修改機制都沒有。

安全布局：為區塊鏈技術全面應用奠定基礎

依據AMC行業成熟度曲線，筆者認為，以比特幣為代表的數字加密貨幣，把區塊鏈行業推到了第一個頂峰。公眾知曉率與參與度升高、產業資本不斷涌入、各類技術開發人員不斷涌入，除了制造數字貨幣泡沫之外，也在不斷發現包括安全性在內的各種技術問題，發掘用戶對區塊鏈的需求，從而不斷完善區塊鏈技術。

隨著數字貨幣高峰度過——尤其是一些空氣幣的存在，放大了數字貨幣泡沫，區塊鏈行業預計會到達谷底，沉淀產業發展前期所取得的技術成就，為向成熟應用階段發起沖擊而做好準備。畢竟，區塊鏈不是數字貨幣，它有更多的應用場景，數字貨幣只是區塊鏈技術發展的“試驗田”而已。

從發展前景看，區塊鏈將被應用在金融、能源等諸多國計民生領域，因此安全性工作顯得尤其重要。未雨綢繆，在區塊鏈技術被廣泛應用之前，一系列已經暴露的安全問題需要得到全面解決，尤其是一些區塊鏈技術機制問題，不僅需要通過后期打補丁方式得到解決方案，也需要產業協作共同制定全產業共同遵循的標準。例如2018年8月1日，《信息技術區塊鏈和分布式賬本技術參考架構》標準制定啟動會召開，產業內數十家企業將從整體框架開始，制定我國區塊鏈的標準。而從國際角度看，ISO等國際組織也成立若干工作組，制定國際標準。

具體到區塊鏈安全領域，2018年6月，二十余家機構聯合成立“中國區塊鏈安全聯盟”，將著手建立區塊鏈生態良性發展長效機制，構建技術方案，并針對變相傳銷等違法行為進行打擊。同時，從產業實踐來看，一些解決方案正在推出，正在先期應用，尤其是在數字貨幣“試驗田”中發揮效能。例如區塊鏈安全研究中心在2018年8月推出國內第一個智能合約檢測平臺，可以自動對智能合約進行掃描，發現其中的漏洞，從而為新的共識奠定良好的安全基礎。