信息化觀察網(wǎng)

6月3日，國家信息安全漏洞共享平臺（CNVD）正式上線區(qū)塊鏈漏洞子庫CNVD-BC。CNVD區(qū)塊鏈漏洞子庫由國家互聯(lián)網(wǎng)應(yīng)急中心運營，技術(shù)支持單位為成都鏈安科技有限公司。

目前，區(qū)塊鏈技術(shù)已廣泛應(yīng)用在數(shù)字金融、物聯(lián)網(wǎng)、智能制造、供應(yīng)鏈管理、數(shù)字資產(chǎn)交易等多個領(lǐng)域，作為構(gòu)成我國信息化基礎(chǔ)設(shè)施的一項重要技術(shù)，其安全能否得到保障影響到我國社會經(jīng)濟活動。

記者觀察發(fā)現(xiàn)，當前收錄的區(qū)塊鏈相關(guān)漏洞基本上都是公鏈漏洞，以中危漏洞為主。據(jù)CNVD統(tǒng)計，當前已收錄區(qū)塊鏈相關(guān)漏洞247個，其中高危漏洞60個，中危漏洞173個，低危漏洞14個。其中，公鏈漏洞數(shù)量占比為99.59%，外圍系統(tǒng)占比為0.41%，聯(lián)盟鏈為0。以此計算，現(xiàn)有247個漏洞中有246個為公鏈漏洞，1個為外圍系統(tǒng)漏洞。

相較于聯(lián)盟鏈而言，公鏈確存較大的安全性問題。某區(qū)塊鏈技術(shù)專家對《證券日報》記者分析道，“公鏈是匿名且無準入控制，作惡難以被發(fā)現(xiàn)，此外，公鏈應(yīng)用發(fā)布沒有審核，上鏈應(yīng)用質(zhì)量參差不齊，這或是公鏈漏洞較多的主要原因。對比而言，聯(lián)盟鏈采用實名制，有嚴格的準入控制。業(yè)務(wù)協(xié)作的組織在相互信任的基礎(chǔ)上才會組建聯(lián)盟鏈，不相關(guān)的組織或個人并無物理訪問的權(quán)限，因此相對安全，另外，組織內(nèi)惡意作惡很容易通過審計發(fā)現(xiàn)，作惡會被懲罰。”

CNVD區(qū)塊鏈漏洞子庫的上線有利于提升區(qū)塊鏈技術(shù)安全水平?；饚叛芯吭焊呒壯芯繂T趙文琦對《證券日報》記者表示，此類漏洞庫在傳統(tǒng)的信息安全領(lǐng)域已長期存在，其中最著名的是CVE（

CommonVulnerabilitiesandExposures）平臺，各大公司或組織如Apache、Linux等也維護了相應(yīng)的漏洞平臺。“在區(qū)塊鏈行業(yè)，面向細分領(lǐng)域，如區(qū)塊鏈底層系統(tǒng)、分布式協(xié)議、智能合約、去中心化應(yīng)用及周邊軟件等，建立相應(yīng)的漏洞平臺有助于提升各領(lǐng)域的安全性。此次區(qū)塊鏈漏洞子庫的上線補充了我國在這一領(lǐng)域的缺失。依據(jù)傳統(tǒng)安全領(lǐng)域的經(jīng)驗，在未來，不同區(qū)塊鏈平臺及服務(wù)提供機構(gòu)可能會陸續(xù)推出面向各自應(yīng)用生態(tài)的漏洞庫。”趙文琦進一步說道。

進一步而言，從長期來看，區(qū)塊鏈漏洞凸顯出的安全問題則需要社會各方力量攜手推進解決。據(jù)悉，CNVD區(qū)塊鏈漏洞子庫充分依托國家級網(wǎng)絡(luò)安全資源，通過號召和引導區(qū)塊鏈安全廠商、白帽子、區(qū)塊鏈企業(yè)等多方共同參與區(qū)塊鏈安全生態(tài)建設(shè)，提高我國區(qū)塊鏈漏洞和安全事件的發(fā)現(xiàn)、分析、預(yù)警，以及整體研究水平和應(yīng)急處置能力，為我國區(qū)塊鏈行業(yè)安全保障工作提供重要技術(shù)支撐和數(shù)據(jù)支持。