昨天下午涝登,幣乎宕機了雄家,盡管幣乎才上線幾天,每天不停地刷幣乎已然成為了一種習慣胀滚。大家都在猜測原因趟济,是服務器出問題了嗎?是遭黑客攻擊了嗎咽笼?
身為位信息安全出身的資深工程師咙好,本能地思考了一下當下區(qū)塊鏈技術中到底存在哪些安全問題。
區(qū)塊鏈使用被黑的可能性褐荷,是應被首要考慮的安全問題勾效。誰能忘掉2016年8月形成價值7.3億美元的比特幣被盜的Bitfinex黑客事件呢?美國科技博客TechCrunch寫道:“該黑客事件的發(fā)作原因至今不甚明朗叛甫。咱們所知道的层宫,僅僅是該公司的多簽名賬戶被黑了∑浼啵”
事實上萌腿,最近幾年,全球范圍內曾經發(fā)生過多起比特幣被盜的重大事件抖苦。
2017年12月19日毁菱,韓國加密貨幣交易所Youbit在遭到今年的第二次黑客入侵后,交易所將關閉锌历,公司將申請破產贮庞;
2017年12月6日,加密貨幣挖礦市場NiceHash聲稱被盜究西,損失估計6200萬美元比特幣窗慎;
2017年11月8日,以太坊Parity錢包再出現(xiàn)重大bug,多重簽名漏洞恐已導致上億美元資金被凍結遮斥;
2016年8月4日峦失,香港的比特幣交易所 Bitfinex 遭黑客入侵,多達119术吗,756BTC被盜尉辑。
這樣的類似事件,在全球范圍內较屿,發(fā)生的次數(shù)已經數(shù)不勝數(shù)隧魄。
那么,區(qū)塊鏈技術在給我?guī)砹祟愃朴趲藕踹@樣有顛覆性的應用的同時吝镣,面臨哪些安全挑戰(zhàn)呢?
1昆庇、協(xié)議安全風險
區(qū)塊鏈無論使用何種共識機制末贾,都面臨著一定程度的協(xié)議攻擊問題。當區(qū)塊鏈的底層協(xié)議需要更新時整吆,會出現(xiàn)某些節(jié)點無法獲取新版本或無法及時獲取新版本的我呢提拱撵,導致不同節(jié)點運行的協(xié)議版本不一致,進而帶來硬分叉與軟分叉的問題表蝙。分叉可能會影響整個區(qū)塊鏈系統(tǒng)的一致性拴测,違背區(qū)塊鏈的防篡改性。
數(shù)據(jù)安全風險
目前區(qū)塊鏈上傳輸和存儲的交易數(shù)據(jù)都是公開透明的府蛇。比特幣通過分隔開交易地址和地址持有人真實身份的關聯(lián)這種“偽匿名”方式對交易雙方的身份信息進行了一定的隱私保護集索。然而隨著反匿名身份甄別技術和大數(shù)據(jù)技術的發(fā)展,通過數(shù)據(jù)整合分析仍然可以發(fā)現(xiàn)賬戶與交易的關聯(lián)性汇跨,造成用戶隱私泄露务荆。另外,在公有鏈中穷遂,所有交易數(shù)據(jù)公開透明函匕,如果私人信息被不法分子獲取,可能會出現(xiàn)詐騙蚪黑。
3盅惜、使用安全風險
區(qū)塊鏈上的信息具有不可篡改性,這是以私鑰安全為前提的忌穿。目前普遍采用的私鑰存儲方案是由區(qū)塊鏈系統(tǒng)中每個用戶自行將私鑰加密后保管在用戶設備上抒寂,但是無法抵抗攻擊者在獲取用戶設備后對其使用的離線字典攻擊,因此區(qū)塊鏈面臨私鑰被竊取的風險掠剑,私鑰一旦丟失即無法找回蓬推,用戶將無法對賬戶資產做任何操作,導致資產被盜澡腾。
系統(tǒng)安全風險
區(qū)塊鏈技術中使用了各種密碼學技術沸伏,在實現(xiàn)過程中出現(xiàn)錯誤是難以避免的糕珊。2016年10月,國家互聯(lián)網(wǎng)應急中心發(fā)布《開源軟件源代碼安全漏洞分析報告-區(qū)塊鏈專題》中指出毅糟,主流區(qū)塊鏈開源軟件檢測出很多高危漏洞红选,可能會導致系統(tǒng)運行異常、崩潰姆另、也可能實現(xiàn)越權訪問喇肋、竊取隱私信息等。同時迹辐,智能合約語言自身與合約設計都可能存在漏洞蝶防,如關于以太坊,目前已知存在交易順序依賴明吩、時間戳依賴间学、可重入攻擊等漏洞,在調用合約時漏洞可能被利用印荔,而智能合約部署后難以更新的特性也讓漏洞的影響更持久低葫。
區(qū)塊鏈的技術優(yōu)勢為其帶來了良好的發(fā)展前景,作為一項新興技術仍律,在其技術和應用的發(fā)展過程中嘿悬,關注區(qū)塊鏈存在的各種風險,如何通過技術和管理手段加以應對水泉,如何挖掘和完善新技術的優(yōu)勢并不斷破除安全局限善涨,也許是下階段需要思考的問題。
