區塊鏈生態安全挑戰及解決方案研究

摘? ?要：區塊鏈巧妙地融合了密碼學、點對點傳輸、共識機制等多種技術，實現了有效的價值傳輸體系。近年來，隨著區塊鏈各類應用的爆發式增長，其各層面的安全問題也隨之凸顯。區塊鏈底層平臺、區塊鏈應用漏洞導致的風險以及各類虛擬資產犯罪行為對區塊鏈生態的安全帶來了極大的挑戰。文章針對區塊鏈生態的各類安全挑戰進行深入分析，基于區塊鏈安全技術以及區塊鏈監管兩個維度，提供了區塊鏈全生態安全解決方案。最后依據深度學習技術的發展，提出le 區塊鏈生態安全技術及方案的未來展望和研究方向。

關鍵詞：區塊鏈生態;虛擬資產犯罪;安全解決方案;深度學習

中圖分類號： TP319? ? ? ? ? 文獻標識碼：A

Abstract： Blockchain skillfully integrates Cryptography， P2P transmission， Consensus mechanism and other technologies to achieve effective value transmission system. In recent years， with the explosive growth of various blockchain applications， the blockchain security issues at all levels have become prominent. The risks caused by the vulnerability of blockchain underlying platforms and blockchain applications and a various kinds of virtual asset crimes， have brought great challenges to blockchain ecology security. Based on the in-depth analysis of various security challenges of blockchain ecology， this paper provides a security solution of full blockchain ecology from two dimensions： blockchain security technology and blockchain supervision. At last， the future prospect and research direction of blockchain ecology security technology and solution are proposed according to the development of deep learning technology.

Key words： blockchain ecology; virtual asset crime; security solutions; deep learning

1 引言

區塊鏈技術發展至今已經形成了一個較為完整的技術棧，區塊鏈被廣泛地關注和研究主要是因為其本身的特性：去中心、透明性和可溯源性、開放性、不可篡改性及匿名性[1]。區塊鏈技術已廣泛應用于金融、醫療、物流、產品溯源等多個領域，隨著區塊鏈技術的廣泛應用，區塊鏈生態中的安全問題也層出不窮，引起了全球的高度重視。據中國信息通信研究院/中國通信標準化協會發布的《區塊鏈安全白皮書》數據統計，全球區塊鏈重大安全事件的損失金額從2011-2019年呈逐步上升趨勢，2017-2019年甚至出現了指數級增長。2019年，區塊鏈安全事件造成的損失已高達60億美元[2]。

2 全球區塊鏈生態安全現狀

從全球來看，區塊鏈生態的安全問題日益嚴重，虛擬資產被盜、虛擬資產服務商被黑客攻擊、智能合約邏輯問題導致執行出錯等安全事故不斷發生。2016年6月17日，一名黑客發現了以太坊上一個去中心化的自治風險投資基金The Dao的合約漏洞，可無限從合約中轉出資金，短短幾小時，360萬枚以太幣被轉出;2018年1月26日，日本交易所Coincheck被黑客入侵，稱被盜資金為“史上最高的盜竊金額”（約5.3億美元）此數字超過Mt.Gox交易所被盜數額（4.73億美元）;2017年9月13日，有人通過利用以太坊錢包客戶端Parity漏洞竊取了超過15.3萬枚以太幣，其價格超過3000萬美元。世界各國已經對區塊鏈生態安全進行了相關的研究，并制定了各項區塊鏈的安全監管條例。英國政府提出以技術監管為核心，法律監管為輔助，雙措并舉打造區塊鏈監管新模式。美國鼓勵探索區塊鏈在安全領域的應用，注重區塊鏈安全風險技術應對[3]。我國的區塊鏈技術生態結構與國外基本一致，在推動區塊鏈技術發展和引用落地時，同樣重視區塊鏈的安全問題，從區塊鏈安全威脅描述、安全體系構建、安全應對建議等方面加強了指導。

3 區塊鏈生態主要安全挑戰

3.1 區塊鏈平臺

區塊鏈平臺就是區塊鏈的底層系統，負責支撐各類區塊鏈應用的運行環境，是區塊鏈生態中的核心與基石。在經歷了新的區塊鏈分化與發展后，產生了公有鏈和聯盟鏈的應用方向[4]。

3.1.1 公有鏈

公有鏈是指任何人都可以參與，無任何訪問限制的區塊鏈，如比特幣、以太坊、EOS等。由于公有鏈的開源性質，導致公有鏈的安全性較低，受攻擊面較大，包括在節點通信、區塊處理、交易邏輯、數據存儲及共識機制等各個層面，容易受到威脅。

3.1.2 聯盟鏈

聯盟鏈是由符合某種條件的成員組成聯盟來管理的區塊鏈，只有經過許可的可信節點才能參與該聯盟鏈的記賬，其它用戶僅有部分權限[5]，包括IBM的Hyperledger Fabric 2.0、螞蟻金服的開放聯盟鏈等。聯盟鏈由于有對接入權限管控的限制，安全性相較于公有鏈有些許提升，但依然存在某些和公鏈類似的安全風險點，如鏈上數據異常、節點異常、加密通信的安全性，以及聯盟鏈特有的認證授權策略及賬戶授權機制的風險等。

在計算機科學中，形式化驗證是一種面向軟硬件的基于規約、開發、以及驗證的方法，主要借助于數理邏輯分析來加強系統的可靠性和穩固性。將形式化驗證技術運用于智能合約的安全驗證，運用形式化驗證中最重要的定理證明和模型檢測來驗證智能合約的安全性。根據成都鏈安的內部實驗數據表明，形式化驗證技術對智能合約安全驗證的準確度高達97%，是一種非常可靠且準確的智能合約安全檢測技術。

（2）人工深度代碼檢測

對于區塊鏈應用中的智能合約以及鏈下業務系統端（Web、APP）安全性的保證，還可以通過人工深度代碼檢測的方式（包括核心代碼審查及攻防測試）。對于智能合約代碼檢測人員，需要熟悉各種智能合約的代碼編寫規律，精確發現代碼級別漏洞，并提供改進意見，出具專業的智能合約安全審計報告，有效地保障合約代碼的安全性。

4.2 運行階段

4.2.1 區塊鏈應用安全態勢感知

在區塊鏈應用的運行階段，也需要實時了解是否有安全風險。運用區塊鏈應用安全態勢感知技術方法可以有效地解決此類問題。

區塊鏈應用安全態勢感知主要面向區塊鏈上特有的交易風險及安全威脅的可視化態勢感知和安全管控，以區塊鏈上數據收集、關聯分析挖掘為核心，解決現有區塊鏈全局視角缺乏統一安全監管，無法挖掘有價值的安全威脅的訴求。

首先，對區塊鏈上應用進行7×24小時的實時安全風險及運營情況進行監控，之后對鏈上交易和威脅情報數據的綜合關聯分析，自動發現風險交易和安全威脅事件，對事件進行評級，之后再對預警和報警事件按照發生位置、影響范圍、危害程度等條件進行分類，并且將事件精準推送給用戶，用戶在收到預警或告警后，可運用態勢感知中的防火墻模塊進行有效地處置。打造一個“安全監測→安全分析→安全預警與告警→安全響應及處置→安全態勢呈現”的閉環安全流程，如圖2所示。

4.2.2 區塊鏈威脅情報推送

區塊鏈威脅情報推送也是保障區塊鏈整體運行階段安全的有效思路。通過各種渠道（包括互聯網開源情報、第三方安全情報，鏈上威脅情報信息等）收集區塊鏈安全相關的情報信息及數據，自動聚合開源情報，對情報進行詳細地解析，根據用戶畫像建立針對用戶的威脅情報分析模型，實時推送與用戶相關的威脅情報，并做好情報管理，便于用戶提前做好相關安全防護。

4.3 監管階段

4.3.1 建立整體虛擬資產風控體系

針對各類虛擬資產犯罪行為，可采用建立整體虛擬資產風控體系的方式進行解決。虛擬資產風控體系內容主要包含持續性風險評估、溯源追蹤及調查取證、風險實時自動告警以及整體風險態勢呈現。

（1）持續性風險評估。建設KYT（Know Your Transactions）及持續性風險評估的能力，通過對鏈上海量交易信息進行深入地分析，就能夠得出賬戶和地址之間的關系、交易之間的關系以及賬戶地址和交易之間的關系[9]，再利用積累的海量實體地址庫和機器學習異常行為建模技術識別并深入評估風險資金來源去向、風險賬戶及風險交易。

（2）溯源追蹤及調查取證。深入調查虛擬資產交易活動的實體來源和去向，生成資金溯源追蹤的可視化拓撲圖，并提供詳細的調查取證報告。

（3）風險實時自動告警。當監控到可疑的賬戶或交易風險，進行實時告警，可查看實時告警信息，并對風險賬戶進行及時進一步的調查及處理。

（4）整體風險態勢呈現。為用戶呈現整體的風險態勢情況，用戶從整體態勢中可了解到風險賬戶Top 10，風險類型及風險級別分布以及交易風險的趨勢等。

4.3.2 虛擬資產監管合規

世界各國對于虛擬資產的監管也愈發嚴格，2019年6月，金融行動特別工作組FATF發布了對VASP的監管標準。對于評估各國是否已經采取必要行動來部署虛擬資產的相關監管標準，FATF已達成一致。FATF強調：鑒于虛擬資產行業的全球性，各國必須即刻實施這些要求，特別是要了解風險并確保對該行業的有效監督。G20領導人、財長和央行行長已經宣布將遵守FATF的虛擬資產合規標準要求，即將遵守虛擬資產反洗錢和打擊非法金融交易的相關規定。

如若各類虛擬資產服務商需要進行持續性地經營和發展，則必須要滿足FATF以及各國管轄區內的對虛擬資產的監管要求。建立整體的虛擬資產的風控體系可有效滿足各類針對虛擬資產服務商的合規要求，如圖3所示。

5 區塊鏈生態安全未來展望

基于本文區塊鏈全生態的安全解決方案，以及對整個行業生態的洞察，提出對區塊鏈生態安全的未來展望：運用深度學習技術加強對區塊鏈虛擬資產風控及威脅情報推送能力。

人工智能分析技術已日益成熟，已經有各個領域的成熟應用場景。目前，深度學習在無人駕駛、語音識別、文本識別、圖像分類、目標檢測與人臉識別領域已經得到了充分的應用。

深度學習也可以應用在區塊鏈虛擬資產風控的應用場景中。MIT-IBM 沃森人工智能實驗室已經將圖卷積神經網絡算法（Graph Convolutional Network，GCN）使用在比特幣反洗錢領域中[10]，基于分析出的海量鏈上地址標簽，運用GCN算法等深度學習技術，研究針對區塊鏈地址的聚類和分類模型，經過多輪的訓練后，形成自動識別地址和實體映射關系的深度學習模型，實現高效的虛擬資產風控模型，如圖4所示。

在威脅情報推送方面，除了互聯網、及第三方情報源，可運用神經網絡深度學習技術有效地對各類與用戶有關的威脅情報進行文本解析、摘要生成、關聯分析等，建立針對用戶的威脅情報分析模型，定向推送出高精確度的威脅情報。

6 結束語

區塊鏈生態的安全問題愈演愈烈，為了區塊鏈生態健康長遠的發展，應加強區塊鏈安全監管，規避風險，為場景落地應用過程提供一個安全可靠的環境[11]。同時，加強區塊鏈生態安全的創新能力，不斷研究新的技術方向，為區塊鏈生態安全提供更加強有力的技術支撐。

參考文獻

[1] 王錫亮，劉學楓，趙淦森，王欣明，周子衡，莫澤楓.區塊鏈綜述：技術與挑戰[J].無線電通信技術，2018，44（06）：531-537.

[2] 楊霞，魏凱，卿蘇德，等.區塊鏈安全白皮書.[EB/OL].可信區塊鏈推進計劃，2018，12：03-04.

[3] 區塊鏈安全白皮書.[EB/OL].中國信息通信研究院/中國通信標準化協會，2018，09：05-08.

[4] 何寶宏，魏凱，楊霞，等.公有鏈白皮書.[EB/OL].可信區塊鏈推進計劃，2019，05：01.

[5] 何寶宏，魏凱，楊霞，等.公有鏈白皮書.[EB/OL].可信區塊鏈推進計劃，2019，05：02.

[6] 趙甜，魏昂，周鳴愛.區塊鏈安全發展現狀、問題與對策研究. [J].網絡空間安全，2019（11）：22.

[7] 王繼輝.區塊鏈與智能合約圖譜分析[J].網絡空間安全， 2019（11）：01.

[8] 邱欣欣，馬兆豐，徐明昆.以太坊智能合約安全漏洞分析及對策[J].信息安全與通信保密，2019（02）：44-53.

[9] Zyskind G，Nathan 0.Decentralizing privacy：using blockchain to protect personal data[C].∥IEEE Security and Privacy Workshops.2015：180-184.

[10] Mark Weber，Daniel Karl I. Weidele，Giacomo Domeniconi. Anti-Money Laundering in Bitcoin： Experimenting with Graph Convolutional Networks for Financial Forensics[J].IBM 2019（07）：03-04.

[11] 張濱.區塊鏈安全風險研究[J].電信工程技術與標準化， 2017，30（11）：1-5.

作者簡介：

楊霞（1978 -），女，漢族，四川成都人，電子科技大學，副教授;主要研究方向和關注領域： 區塊鏈安全技術。