信息化觀察網(wǎng)

區(qū)塊鏈安全持續(xù)引發(fā)關(guān)注。就在前不久，國家信息安全漏洞庫（CNVD）和區(qū)塊鏈漏洞子庫（CNVD-BC）同時(shí)收錄了騰訊安全玄武實(shí)驗(yàn)室提交的多個(gè)區(qū)塊鏈相關(guān)安全漏洞，其中多個(gè)被評級為"高危"漏洞。

其中，"波場（TRON）遠(yuǎn)程代碼執(zhí)行漏洞"獲得了CNVD危害評分最高分10分（TRON市值為291億人民幣2021-07-08）。在該遠(yuǎn)程代碼執(zhí)行漏洞中，玄武實(shí)驗(yàn)室發(fā)現(xiàn)，TRON通過舊版本的fastjson庫(1.2.60)對HTTP請求進(jìn)行反序列化解析，可以實(shí)現(xiàn)對開啟了HTTP服務(wù)的TRON節(jié)點(diǎn)的遠(yuǎn)程代碼執(zhí)行攻擊，進(jìn)而遠(yuǎn)程控制服務(wù)節(jié)點(diǎn)，安裝并執(zhí)行任意惡意代碼。玄武實(shí)驗(yàn)室在本地搭建的環(huán)境中發(fā)現(xiàn)，攻擊者可以通過該漏洞進(jìn)一步劫持所有連接到被攻擊HTTP節(jié)點(diǎn)的瀏覽器插件錢包、DApp、以及第三方錢包的轉(zhuǎn)賬功能，竊取用戶所轉(zhuǎn)賬的虛擬貨幣。

（玄武實(shí)驗(yàn)室演示攻擊者對受害者轉(zhuǎn)賬進(jìn)行劫持畫面）

另一個(gè)區(qū)塊鏈底層智能合約虛擬機(jī)漏洞"NEO現(xiàn)網(wǎng)拒絕服務(wù)"（NEO市值為159億人民幣2021-07-08），則是由于智能合約虛擬機(jī)因整數(shù)溢出導(dǎo)致的拒絕服務(wù)漏洞。利用該漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個(gè)NEO平臺。由于區(qū)塊鏈平臺是其上眾多應(yīng)用的基礎(chǔ)設(shè)施，所以與傳統(tǒng)漏洞有所不同，拒絕服務(wù)類漏洞會同時(shí)波及上層應(yīng)用，導(dǎo)致比較嚴(yán)重的攻擊后果。

玄武實(shí)驗(yàn)室已于數(shù)月前就向受影響的波場（TRON）、NEO等區(qū)塊鏈平臺提交了詳細(xì)報(bào)告漏洞，以幫助平臺盡快修復(fù)安全問題。

區(qū)塊鏈?zhǔn)嵌囗?xiàng)信息技術(shù)的組合創(chuàng)新，具有去中心化、防篡改、透明可追溯、方便建立信用等特點(diǎn)，已經(jīng)在數(shù)字政務(wù)、公益、版權(quán)保護(hù)、食藥溯源等多個(gè)領(lǐng)域有了規(guī)?；瘧?yīng)用。中國正在加快布局區(qū)塊鏈技術(shù)發(fā)展，"十四五"規(guī)劃也將區(qū)塊鏈納入新興數(shù)字產(chǎn)業(yè)之一。6月，工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會辦公室聯(lián)合發(fā)布《關(guān)于加快推動(dòng)區(qū)塊鏈技術(shù)應(yīng)用和產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》提出，到2025年，區(qū)塊鏈產(chǎn)業(yè)綜合實(shí)力達(dá)到世界先進(jìn)水平，產(chǎn)業(yè)初具規(guī)模。

區(qū)塊鏈融合了分布式網(wǎng)絡(luò)、加密技術(shù)、智能合約等多種技術(shù)，整體發(fā)展尚未完全成熟。騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示：區(qū)塊鏈技術(shù)得益于分布式系統(tǒng)的高可用性與密碼學(xué)的高一致性，其本身具備的穩(wěn)定、可信等技術(shù)特點(diǎn)使得區(qū)塊鏈技術(shù)天生具備長遠(yuǎn)發(fā)展的基礎(chǔ)；但由于在設(shè)計(jì)上盡可能排除了人的影響，完全依賴技術(shù)所實(shí)現(xiàn)的信任鏈，這就使得區(qū)塊鏈技術(shù)的安全比其它IT技術(shù)的安全要更加重要，需要格外重視。玄武實(shí)驗(yàn)室在對區(qū)塊鏈的網(wǎng)絡(luò)層、合約層、應(yīng)用層等不同層面進(jìn)行的研究中，都曾發(fā)現(xiàn)過安全問題。

騰訊安全玄武實(shí)驗(yàn)室素有"漏洞挖掘機(jī)"之稱，成立七年來，發(fā)現(xiàn)的安全漏洞中僅有CVE編號的就達(dá)上千個(gè)，其中區(qū)塊鏈相關(guān)漏洞超過一百個(gè)。在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，5G、AI、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興技術(shù)的大量應(yīng)用帶來新的安全問題，作為行業(yè)領(lǐng)先的安全研究機(jī)構(gòu)，玄武實(shí)驗(yàn)室也針對這些新技術(shù)及其應(yīng)用展開研究，并逐步向行業(yè)輸出安全能力。去年，玄武實(shí)驗(yàn)室發(fā)布了一項(xiàng)針對5G通信協(xié)議側(cè)信道攻擊的漏洞，在通信行業(yè)引起廣泛影響。

未來，騰訊安全還將持續(xù)開放安全能力，踐行"安全前置"理念，助力區(qū)塊鏈新型基礎(chǔ)設(shè)施建設(shè)，以技術(shù)支撐產(chǎn)業(yè)，全力護(hù)航產(chǎn)業(yè)安全和用戶安全。