10月19日,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范》(下稱(chēng)《安全規(guī)范》)研制啟動(dòng)會(huì)召開(kāi)。本次啟動(dòng)會(huì)旨在落實(shí)相關(guān)工作要求,推動(dòng)《安全規(guī)范》標(biāo)準(zhǔn)的編制工作,中國(guó)科學(xué)院信息工程研究所將負(fù)責(zé)組織實(shí)施標(biāo)準(zhǔn)的編制、推進(jìn)等工作。
“《安全規(guī)范》標(biāo)準(zhǔn)的制定和出臺(tái),對(duì)于區(qū)塊鏈行業(yè)整體發(fā)展上有著很好的推動(dòng)和促進(jìn)作用;對(duì)于部分非法覬覦者和短期利益者,也有著較強(qiáng)的震懾作用;對(duì)于行業(yè)標(biāo)準(zhǔn)化、規(guī)范化的發(fā)展,有著很好的敦促和指引作用。”字節(jié)互鏈ByteLink CEO杜超向《鏈新》表示。
技術(shù)安全存隱患
“區(qū)塊鏈究竟安不安全,這個(gè)問(wèn)題是仁者見(jiàn)仁智者見(jiàn)智。”佰鏈薈創(chuàng)始人、中國(guó)區(qū)塊鏈應(yīng)用研究中心研究員辛泓睿向《鏈新》表示。
辛泓睿認(rèn)為,區(qū)塊鏈安全主要涉及兩大類(lèi):一是區(qū)塊鏈+產(chǎn)業(yè)生態(tài)的安全(如電子交易、版權(quán));二是區(qū)塊鏈+政務(wù)(如身份驗(yàn)證、存證等)。區(qū)塊鏈安全主要內(nèi)容包括:技術(shù)安全,例如智能合約以及虛擬機(jī)的安全、密碼學(xué)與網(wǎng)絡(luò)安全、存儲(chǔ)安全等;應(yīng)用安全,例如金融安全、審計(jì)安全等;以及監(jiān)管安全等安全性要求。
2016年6月17日,區(qū)塊鏈業(yè)界最大的眾籌項(xiàng)目TheDAO(被攻擊前擁有1億美元左右資產(chǎn))遭到攻擊,導(dǎo)致300多萬(wàn)以太坊資產(chǎn)被分離出TheDAO資產(chǎn)池。2017年7月19日,多重簽名錢(qián)包Parity1.5及以上版本出現(xiàn)安全漏洞,15萬(wàn)個(gè)以太坊被盜,共價(jià)值3000萬(wàn)美元。這些上億元的安全損失只是因?yàn)橐恍写a引起的。
“從技術(shù)角度來(lái)講,區(qū)塊鏈面臨的安全問(wèn)題,既來(lái)自于區(qū)塊鏈本身,也有其他技術(shù)發(fā)展產(chǎn)生的潛在威脅。”比特大學(xué)聯(lián)合創(chuàng)始人、副校長(zhǎng)王繼堯向《鏈新》表示。
據(jù)王繼堯分析,以較為重視安全維度的公鏈系統(tǒng)自身來(lái)講,目前公認(rèn)較為安全的是比特幣網(wǎng),運(yùn)行超過(guò)十年年沒(méi)有遇到較嚴(yán)重的安全問(wèn)題,主要原因是其在腳本上限制了開(kāi)發(fā)拓展性,且節(jié)點(diǎn)數(shù)量相對(duì)較多,保證了鏈的安全穩(wěn)定。
相比之下,可編程的區(qū)塊鏈系統(tǒng)及其鏈上應(yīng)用,在編程過(guò)程中難免產(chǎn)生漏洞,如近期以太坊上的一些DEFI項(xiàng)目,由于部分合約未經(jīng)審計(jì)以致漏洞未被發(fā)現(xiàn),導(dǎo)致項(xiàng)目不得不暫停運(yùn)行。
“近年來(lái),區(qū)塊鏈安全方面,絕大多數(shù)的問(wèn)題還是黑客攻擊,另外也出現(xiàn)過(guò)信息和隱私泄漏風(fēng)險(xiǎn);數(shù)字加密資產(chǎn)領(lǐng)域出現(xiàn)較多的道德風(fēng)險(xiǎn)以及潛在的非法信息和資金傳遞風(fēng)險(xiǎn)。”杜超向《鏈新》表示。
杜超認(rèn)為,黑客攻擊和開(kāi)發(fā)者的道德風(fēng)險(xiǎn),一定程度上可以通過(guò)技術(shù)發(fā)展以及逐漸健全、合規(guī)的代碼審計(jì)機(jī)制有所控制;而信息和隱私泄漏以及使用者道德風(fēng)險(xiǎn),一定程度上可以通過(guò)風(fēng)險(xiǎn)意識(shí)教育進(jìn)行部分規(guī)避。
“歸根結(jié)底,這幾塊的風(fēng)險(xiǎn)會(huì)持續(xù)存在。其中對(duì)公共安全有較大潛在危害的‘非法信息和資金傳遞’風(fēng)險(xiǎn),比較復(fù)雜且難以偵測(cè),但有可能造成極為嚴(yán)重的危害,比如:極端組織非法信息傳遞以及跨境洗錢(qián)等。”
尋找解決方案
“區(qū)塊鏈的安全問(wèn)題是區(qū)塊鏈技術(shù)的核心命題,有效解決安全問(wèn)題將很大程度助力區(qū)塊鏈發(fā)展。”王繼堯說(shuō)。
“正如DEFI的去中心化金融給未來(lái)金融提供了很多解決方案參考一樣,對(duì)于目前產(chǎn)生的各種區(qū)塊鏈漏洞,同樣可以進(jìn)行分類(lèi)定級(jí),建立一些常見(jiàn)的漏洞及安全識(shí)別體系,這有助于提升行業(yè)整體安全識(shí)別水平。”
王繼堯認(rèn)為,從技術(shù)手段上,通過(guò)建立可信的代碼審計(jì)體系,可以一定程度上避免安全漏洞。整體而言,區(qū)塊鏈的安全相關(guān)細(xì)則制定,需要涵蓋公鏈、聯(lián)盟鏈、智能合約及鏈上應(yīng)用,這是一個(gè)長(zhǎng)久的過(guò)程,需要建立標(biāo)準(zhǔn)細(xì)則、完善體系等,“現(xiàn)在相關(guān)安全細(xì)則已經(jīng)著手制定,這是一個(gè)好的開(kāi)始。”
與此同時(shí),也需要建立項(xiàng)目、公司、個(gè)人用戶(hù)的安全意識(shí)。“比如,用戶(hù)不去參與未經(jīng)代碼審計(jì)的項(xiàng)目,這就會(huì)倒逼項(xiàng)目或企業(yè)完成代碼的安全審計(jì)。再比如,一些設(shè)計(jì)BAAS服務(wù)類(lèi)的平臺(tái),對(duì)于用戶(hù)構(gòu)建的技術(shù)模塊,也應(yīng)該考慮像以太坊網(wǎng)絡(luò)一樣,嵌入一個(gè)代碼漏洞識(shí)別與審計(jì)功能,提升平臺(tái)整體安全質(zhì)量。這既需要商業(yè)機(jī)制的倒逼,也需要行業(yè)廣泛宣傳。”王繼堯強(qiáng)調(diào)。
“當(dāng)前區(qū)塊鏈技術(shù)在各場(chǎng)景應(yīng)用的過(guò)程中,主要存在密鑰泄露、賬號(hào)盜用、DDoS攻擊、協(xié)議漏洞、合約漏洞、應(yīng)用軟件漏洞等安全隱患。”辛泓睿認(rèn)為,可結(jié)合場(chǎng)景特點(diǎn),從物理設(shè)施、區(qū)塊鏈底層協(xié)議、應(yīng)用層面針對(duì)性展開(kāi)安全風(fēng)險(xiǎn)防范,開(kāi)展代碼審計(jì)工作,部分法規(guī)代碼化,內(nèi)置于區(qū)塊鏈系統(tǒng),打造符合國(guó)家安全要求的自主可控的區(qū)塊鏈平臺(tái)和應(yīng)用。
“安全永遠(yuǎn)是人們最關(guān)心的問(wèn)題,計(jì)算網(wǎng)絡(luò)的安全性風(fēng)險(xiǎn)都可以通過(guò)技術(shù)來(lái)解決,來(lái)自用戶(hù)錢(qián)密鑰泄露、賬號(hào)盜用的安全主要通過(guò)提高用戶(hù)的安全意識(shí),加強(qiáng)自我防范來(lái)實(shí)現(xiàn)。”辛泓睿表示。
目前,在高效低能耗、安全與去中心化這幾個(gè)主要設(shè)計(jì)目標(biāo)上,區(qū)塊鏈技術(shù)存在“不可能三角”。如果選擇去中心化和高效低能耗,則要犧牲安全性,特別是在金融領(lǐng)域,幾乎可以一票否決;如果選擇去中心化和安全,舍棄高效低能耗,必然導(dǎo)致交易模式和場(chǎng)景的極大壓縮,幾乎是在所有主流業(yè)務(wù)上的全面撤退;最后,如果選擇高效低能耗與安全性,又極大損害了區(qū)塊鏈的預(yù)期發(fā)展前景。
“目前市場(chǎng)上相關(guān)企業(yè)掌握的區(qū)塊鏈技術(shù),沒(méi)有太大差異,區(qū)塊鏈應(yīng)用需要解決的是基礎(chǔ)理論上的問(wèn)題,這是政府部門(mén)、科研機(jī)構(gòu)牽頭承擔(dān)的任務(wù)。”辛泓睿表示。
期待標(biāo)準(zhǔn)出臺(tái)
“行業(yè)開(kāi)始著手研究制定《安全規(guī)范》,恰恰體現(xiàn)了行業(yè)的蓬勃發(fā)展,并向著產(chǎn)業(yè)化、正規(guī)化方向邁進(jìn),這是我們喜聞樂(lè)見(jiàn)的。將對(duì)行業(yè)的安全防護(hù)、代碼審計(jì)相關(guān)的項(xiàng)目和公司有比較好的促進(jìn)作用。”王繼堯表示。當(dāng)下中國(guó)區(qū)塊鏈產(chǎn)業(yè)處于高速發(fā)展階段,國(guó)內(nèi)主流金融機(jī)構(gòu)、科技企業(yè)等紛紛加快區(qū)塊鏈應(yīng)用投入,區(qū)塊鏈技術(shù)的應(yīng)用領(lǐng)域從最初的金融逐步拓展到政務(wù)服務(wù)、供應(yīng)鏈管理、工業(yè)制造等多個(gè)方面,新應(yīng)用、新業(yè)態(tài)正在快速落地。
“區(qū)塊鏈當(dāng)前不成熟,但有發(fā)展?jié)摿Α?rdquo;辛泓睿認(rèn)為,雖然區(qū)塊鏈行業(yè)總體仍處于發(fā)展早期,很多人研究區(qū)塊鏈底層技術(shù),但到一定程度就很難有進(jìn)展,需要有實(shí)際應(yīng)用場(chǎng)景拉動(dòng)。“現(xiàn)在區(qū)塊鏈應(yīng)用落地項(xiàng)目,依然是一個(gè)痛點(diǎn)。要防范打擊詐騙,否則這些詐騙行為容易影響行業(yè)的發(fā)展和聲譽(yù)。同時(shí),要鼓勵(lì)技術(shù)研究,踏踏實(shí)實(shí)做技術(shù),不要天天炒概念。區(qū)塊鏈相對(duì)來(lái)說(shuō)還是比較好管理,以鏈管鏈,以技術(shù)管技術(shù)。”
鑒于當(dāng)前的技術(shù)缺陷,在區(qū)塊鏈應(yīng)用落地項(xiàng)目中,王繼堯認(rèn)為,應(yīng)該“強(qiáng)化代碼審計(jì),產(chǎn)業(yè)端聯(lián)盟鏈或開(kāi)放聯(lián)盟鏈,完善自主核心關(guān)鍵技術(shù),盡量采用完全自主研發(fā)的技術(shù)架構(gòu),并制定相應(yīng)標(biāo)準(zhǔn)。”
杜超建議,重視區(qū)塊鏈行業(yè)監(jiān)察、監(jiān)管,建立有效的、快速的、多部門(mén)多層級(jí)共同協(xié)調(diào)的工作機(jī)制;加速推動(dòng)密碼學(xué)和隱私保護(hù)等技術(shù)的發(fā)展和研究;逐步建立、健全有法律法規(guī)基礎(chǔ)的代碼審查、備案機(jī)制;加大從業(yè)者普法以及行業(yè)自律教育。
“《安全規(guī)范》標(biāo)準(zhǔn)的制定,將解決好監(jiān)管的問(wèn)題,有助于保障區(qū)塊鏈產(chǎn)業(yè)的健康發(fā)展。”辛泓睿認(rèn)為,國(guó)家標(biāo)準(zhǔn)《安全規(guī)范》制定,將有利于研究區(qū)塊鏈信息服務(wù)安全風(fēng)險(xiǎn),提出安全要求和測(cè)試評(píng)估方法,指導(dǎo)區(qū)塊鏈信息服務(wù)提供者開(kāi)展安全建設(shè)和安全評(píng)估,進(jìn)一步推進(jìn)‘互聯(lián)網(wǎng)+信用’監(jiān)管,利用區(qū)塊鏈、大數(shù)據(jù)、人工智能等技術(shù)手段,加強(qiáng)對(duì)行業(yè)和個(gè)人的信用信息的歸集共享和分析應(yīng)用,為數(shù)字人民幣的開(kāi)發(fā)提供支持,同時(shí)將推動(dòng)云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G等新一代信息技術(shù)與智慧信息系統(tǒng)的融合升級(jí)。