logo

區塊鏈安全仍充滿挑戰 風口背後需理性思考

瀏覽數

99+

Bianews報導 伴隨著區塊鏈概念火熱、市場湧動,區塊鏈安全問題也日益凸顯,今日ISC互聯網安全大會區塊鏈與安全論壇上,包括中國資訊通信研究院雲計算與大資料研究所主任魏凱、360集團資訊安全部王偉波、Peckshield漏洞研究總監羅元琮等在內的嘉賓就探討了區塊鏈安全領域相關話題。

image.png

中國資訊通信研究院雲計算與大資料研究所主任、可信區塊鏈推進計畫秘書長魏凱在其演講中表示,“我們已經前腳已經邁進了數字經濟的門檻,但是我們建立信任關係的技術仍然停留在工業時代,高度依賴中心化的機構、技術和基礎設施。”

近日發佈的信通院與可信區塊鏈推進計畫共同組織編寫的《區塊鏈白皮書》(2018年)就深入解讀了區塊鏈內涵概念,提出了區塊鏈技術體系架構,分析了區塊鏈關鍵技術發展路線,剖析當前區塊鏈在政策、產業、技術和標準方面的最新形勢和發展機遇,探討了區塊鏈發展面臨的挑戰,並提出相應政策建議。

白皮書還提及了區塊鏈智慧合約方面,可插拔、易用性、安全性講成為發展重點。而作為升級的互聯網技術、解決方案,區塊鏈領域面臨的安全問題還有很多,包括在應用層面礦池、交易所、錢包等面臨的業務攻擊風險,合約層面智慧合約存在的漏洞,共識層面的共識協議攻擊等。

360集團資訊安全部王偉波在演講中就分享了一些漏洞攻擊實例,並從技術角度解釋了一些安全問題,據他介紹,360安全團隊內部對乙太坊網路上現存的合約做了全面排查,總共發現有160多個合約漏洞,包括很多公開的還有未公開的漏洞。

同時他指出了市面上熱錢包APP存在的Top5安全風險,包括:使用者操作被截屏/錄屏記錄,未監測軟體運行環境安全,交易密碼未檢測弱口令,核心功能代碼未加固、錢包APP偽造漏洞。

他介紹稱,360從服務端安全審計、APP端安全審計、硬體錢包安全審計三個方面對數位貨幣錢包的安全審計做出了建議,供相關專案對比篩查,降低自身安全風險。

此外,王偉波還講到公鏈及交易所存在的安全問題,數位貨幣交易所可以說是這波區塊鏈熱潮中最引人注目的存在了,一邊是中心化暴利傳言,一邊是頻繁被攻擊的消息,近日,科廷大學高級研究員Vidyasagar Potdar進行的一項研究表明,現今流行的11種加密貨幣交易所均存在密碼安全性問題,這些安全性漏洞可能直接導致用戶的加密貨幣或是用戶憑證被盜用,交易所也會因此喪失聲譽和公信力。

王偉波表示,從360內部團隊對多家交易所的測試經驗來看,安全問題基於四大塊,主機安全、業務邏輯、支付和帳戶的體系安全。主機安全主要是會存在一些開放的危險埠,或者是遠端注入這種問題。業務邏輯是交易所的日常業務會不會存在越權這種問題的存在。

支付安全體現在處理提現的時候會不會存在流程上有問題,導致提現出現比較嚴重的安全隱患。帳戶體系安全則表現在用戶異常登陸應該如何處理,以及垃圾帳戶的註冊如何應對等。

可以肯定的是,區塊鏈改變了資訊記錄方式,變成共用記帳,不依賴於任何一個“會計”,用表決的方式來達到資料的一致性。在操作層面上,區塊鏈用密碼學來保證資料的不可篡改。但目前區塊鏈技術仍在發展,還不穩定、不成熟,區塊鏈的資料結構以及達成共識的協定都在快速衍變。除了安全技術挑戰,行業也仍然存在算力中心化、財富中心化、權利中心化等等不理想的問題。

我們可以看到,無論是監管政策在收緊,還是從國家層面以及一些有影響力的金融機構、科技企業的積極佈局,行業在漸漸在風口當下學會理性思考,企業也需要依據自身業務需求和技術實力進行考量,不讓“區塊鏈理想”成為“區塊鏈焦慮”,只有每一步都扎實,才能構建一個健康的區塊鏈生態。