近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达几十亿美元,给行业带来了巨大的经济损失和惨痛的教训。由于区块链技术是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、共同维护、公开透明等特点,为信任奠定了基础。但区块链技术存在的安全风险和技术特点也给广泛应用及安全监管带来了诸多挑战,随着区块链商业落地,安全需求也变得十分紧迫。可以说,安全是区块链的“立身之本”, 是区块链落地的第一要素!
中国区块链现状
中国政府将区块链视为构建未来智能城市的下一代关键IT 基础设施,将5G 链接的加密安全数据库连接到可扩展的云和数据管理基础设施,以便大数据/AI 分析能够高效地在上面运行
根据中国公司信息门户网站,在中国运营的区块链业务超过37000家. 仅在过去一年中,就有超过三分之一的实体注册
世界知识产权组织(WIPO)数据显示,2019年10月,中国区块链相关专利申请达到1.3万件,占全球专利申请总量的53%以上
中国央行已就数字货币DC/EP申请了84项专利
中国人民银行DCEP在4个主要城市进行试点,在连锁店星巴克、赛百味和麦当劳等19家当地企业进行试点
区块链安全技术书籍
2018年机械工业出版社出版的<<区块链安全技术指南>>一书,对区块链技术潜在风险的进行详尽细致的分析:不仅包括区块链技术本身带来的风险(比如加密技术、身份管理技术、共识技术,以及“智能合约”技术可能涉及的风险),还包括区块链应用方面的风险(例如激励机制、数据安全和网络安全等方面可能面临的风险)。有对区块链技术各种安全机制的深度解剖,还有区块链应用遭受攻击的案例分析。理论与实际结合,对潜在风险的预期和评估置于现实背景之下。
区块链安全
区块链的安全包括下面几个方面:
智能合约安全
智能合约承载有价值的数字资产是黑客主要攻击目标。黑客通过“重入攻击”、“整数溢出”、“伪随机数漏洞”等方式盗取数字资产。新的攻击方法也层出不穷。对于智能合约的案例进行分析,制定测试标准,探索形式化证明在智能合约安全的应用,和智能合约安全的最佳实践进行研究非常重要。
钱包安全
数字钱包存储数字资产的私钥,包括云钱包、在线的热钱包、离线的冷钱包等等Form Factor。安全隐患主要存在于用户使用上和钱包的安全技术设计上。数字钱包需要分析案例、制定测试标准和开发与应用最佳实践,提高钱包的安全性。
共识算法安全
共识算法是区块链底层技术的关键。共识算法的安全漏洞包括远程攻击、无利害关系攻击、51%攻击、自私挖掘、Eclipse攻击等,主要研究算法的(security)和活跃性(liveness),包括对常用的共识算法POW、POS、DPOS、BFT、POC、POA算法等的安全性研究;希望建立制定测试标准和算法开发最佳实践,提高共识算法的安全性。
交易所安全
交易所是数字资产价格发现和价值交换的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞频发,研究交易所安全,保护用户数字资产安全是区块链发展的必要条件之一。需要分析案例,制定测试标准和开发与应用最佳实践,Check list 等等。
dApp安全
分析主流公共链上dAPP开发(以太坊、EOS、Tron等)的安全案例,提出最佳实践、安全指南以及测试标准等,并发布相应的white paper、评测规范和检查清单等,希望帮助广大的dApp从业者,提高dApp的安全性。在目前,DeFi的应用非常火,但是安全问题经常发生。主要是项目方对于安全重视不够。
用户自治数字身份
去中心化数字身份或者自治数字身份是区块链落地应用的基础,目前对于这方面的安全研究才刚刚开始,但具有十分重要的意义。
网络通讯层安全
区块链网络的安全运行是区块链系统可靠运行的关键。黑客利用“日蚀攻击”、“巫婆攻击”、“交易溯源”等方法破坏数据完整性和系统可用性,对交易机密性进行攻击给区块链技术的落地实践带来了巨大的隐患。此外,基于区块链可以构建一个新的安全通信系统。需要分析案例,制定测试标准,探索区块链交易溯源、隐私保护、数据完整性等技术,开展基于区块链网络层的数据隐蔽通信等应用,研究5G技术对区块链网络的影响。
数据层的安全区块链数据安全问题:
数据隐私保护(数据变形、数据加密、限制数据发布等)
数据可用性保护(网络可追溯性、连通性)
数据完整性保护(双花攻击防御、挖掘攻击防御)
数据可控性保护(智能合约的逻辑和语义分析、访问控制、安全审计)等以提高区块链数据安全和隐私保护。
合规(AML/KYC等技术与安全)
随着加密数字资产价值的不断提高,它越来越被人们所接受和使用。
区块链开发安全工具
密码学在区块链的应用
零知识证明,同态加密,和安全多方计算在区块链和云安全领域有非常大的应用。
公链和联盟链安全
公链和联盟链的主要两个区别:公链不需要身份就可以进入公链的网络。联盟链必须经过身份或者证书的验证才能进入联盟的网络。另外一个区别是共识算法。公链的共识算法对安全要求比较联盟链的共识算法安全要高。在公链与联盟链结合的时候需要考虑到他们之间不同的安全的要素。
跨链安全
跨链可以有同构的跨链和异构链之间的跨链。同构的跨链的安全方面较为简单。因为同构的区块链具有相同共识算法,共同的数据格式和交易确认时间。
节点配置安全
区块链的共识节点决定数据的一致性问题。
运维安全及安全预算建议
区块链项目在上线以前必须通过第三方的安全审计。即使在上线以后也要做定时的安全监测,因为新的安全攻击经常发生。如果有新的智能合约或者新的应用案例上线以前,必须进行安全的检测。
区块链安全与企业组织关系
一个企业如果决定利用区块链部署应用落地项目,那么这个公司必须有区块链安全的专职人员。
隐私计算
隐私计算是指在保护数据本身不对外泄露(隐私保护)的前提下,实现数据分析计算的一类信息技术,主要分为密码学和可信硬件两大领域。
密码学中重要的技术有多方计算MPC、同态加密、零知识证明ZKP、差分混淆等。多方安全计算技术核心思想是设计特殊的加密算法和协议,从而支持在加密数据之上直接进行计算。
可信硬件技术目前主要指可信执行环境,其核心思想是构建一个硬件安全区域,数据仅在该安全区域内进行计算。
综上所述,区块链安全目前面临的主要问题有共识过程的中心化、智能合约代码漏洞、算法漏洞、系统实现代码漏洞等,分析区块链安全性需要从综合系统安全性、算法安全性、使用安全性、实践安全性与协议安全性等方面进行分析完善。行业需要从学术、技术和实践等方面研究区块链安全,探究其中存在的安全风险、对抗风险所需采取的措施,以及实践经验,最后形成一个安全规范,作为检测、开发、应用的具有开放性和经济性的指导标准,以解决“区块链的安全,谁来保障?”的问题,为打造一个更安全的数字经济和数字时代DT的到来打下坚实的基础和保障。
我是三两谈币,专注量化交易,如果你对数字货币也感兴趣,欢迎一起交流~
发表评论 取消回复