2018
玄猫安全实验室联合创始人陈亮整理了2014-2018年间区块链领域的重大安全事件,他指出:“从区块链技术创新和变革的出现开始,其安全问题就已经存在了。”
2014年8月比特儿交易所被黑客盗取了全部的数字货币;同年12月,世界上最大的比特币交易所Mt.Gox被盗85万比特币,交易所被迫宣布破产;2016年6月黑客利用智能合约脚本漏洞,通过ICO项目盗取360万以太币,直接导致以太坊的硬分叉;近两年则出现了更多的智能合约方面的安全事件,今年5月区块链平台EOS被发现一系列高危漏洞。
基于对以上区块链安全问题的回顾,陈亮指出:“2018年区块链安全事件和所造成的损失较前几年明显激增,越来越多的黑客把攻击的目标聚焦在区块链安全漏洞之上;同时由于区块链自身的机制所引发的损失在2018年呈现出暴涨趋势。”
上海纽顿科技股份有限公司董事长杨腾霄介绍了区块链所面临的几种常见攻击。杨腾霄表示:“诸如DDoS等传统网络攻击对区块链依然有作用。而使用区块链时所面临最典型的安全隐患是双花攻击,即针对某个区块链控制它51%以上的计算能力以后就可以控制时间差,再利用时间差进行攻击。”
“双花攻击”指掌握了超过51%的算力后,攻击比特币生态,好比一份钱当作两次花。比如A用比特币向B转账购买东西,当A把比特币转给B后需要等待6个区块确认后才能够真正到账。那么如果A有全网51%以上的算力后,就可以在转账的同时,进行对区块的篡改,让这笔转账无法到达B手里。这样的结果就是东西到了A手里,但是钱却没到B手里。
区块链安全问题如何解决?
上海市信息安全行业协会副会长石坚表示在论坛中表示:“尽管区块链的发展前景非常广阔,但目前在实际落地和接受度方面仍然受限。区块链是一个先进的技术,但不是万能的,区块链技术还需要应对存在的性能问题、安全风险,需要投入新的技术研发、实践,促进其成熟应用。”
石坚称:“在推动区块链发展的同时,解决其安全问题是当务之急。区块链目前面临的主要问题有共识过程的中心化、智能合约代码漏洞、算法漏洞、系统实现代码漏洞等,分析区块链安全性需要从综合安全性、算法安全性、使用安全性、实践安全性与协议安全性这五个方面进行分析。”
上海市信息安全测评中心高级工程师徐御就区块链技术安全测评方面介绍了研究思路。徐御称:“需要从实践和技术研究方面形成区块链安全要求,探究其中存在的安全风险、对抗风险所采取的措施,以及实践经验来源经验,最后形成一个安全要求作为检测、开发、应用的具有开放性和经济性的指导标准。”
同时,徐御介绍了和目前在区块链安全测评方面所取得的几个成果。徐御透露:“在对区块链进行安全风险梳理后,统计风险达到20种左右,其中的6种是最新的风险。我们根据所梳理的20种风险,利用风险对抗的模型和思路,形成了风险对抗的几个措施,比如根据工信部《区块链数据格式规范》做出规范性的设计等。”
2018年2月,工信部发布《区块链数据格式规范》。该标准有助于为区块链系统的数据结构设计提供参考,为区块链行业应用提供统一的数据标准,对我国区块链标准建设具有重要意义。