近年來,由于大眾對于比特幣及其它加密貨幣的興趣爆炸式增長,區(qū)塊鏈技術(shù)越來越受到關(guān)注,有關(guān)區(qū)塊鏈技術(shù)的討論愈演愈烈,它已經(jīng)在逐漸改變?nèi)藗兊纳罘绞?,并且持續(xù)在某些領(lǐng)域造成影響。伴隨而來的也有質(zhì)疑以及對區(qū)塊鏈安全問題的思考。雖然區(qū)塊鏈的技術(shù)特點(diǎn)可以給我們帶來更可靠和方便的服務(wù),但這種創(chuàng)新技術(shù)背后的安全問題和其面臨的挑戰(zhàn)也是我們需要關(guān)注的一個(gè)重要話題。
區(qū)塊鏈?zhǔn)沁^去10年最偉大的技術(shù)發(fā)展之一。作為一種通用技術(shù),區(qū)塊鏈技術(shù)的集成應(yīng)用逐漸成為新的技術(shù)革新和產(chǎn)業(yè)變革的重要驅(qū)動(dòng)力量,世界各國紛紛加快區(qū)塊鏈相關(guān)技術(shù)戰(zhàn)略部署、研發(fā)應(yīng)用和落地推廣,探索區(qū)塊鏈在各行業(yè)領(lǐng)域的應(yīng)用模式,搶占技術(shù)發(fā)展先機(jī)。
區(qū)塊鏈技術(shù)不僅僅是單一的一種技術(shù),而是包含密碼學(xué)、數(shù)學(xué)、算法和經(jīng)濟(jì)模型,結(jié)合點(diǎn)對點(diǎn)網(wǎng)絡(luò),使用分布式共識算法來解決傳統(tǒng)分布式數(shù)據(jù)庫同步問題,一體化的多領(lǐng)域基礎(chǔ)設(shè)施建設(shè)。隨著各種應(yīng)用落地,區(qū)塊鏈數(shù)字資產(chǎn)引發(fā)的安全問題總體呈上升趨勢,數(shù)字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網(wǎng)非法交易、犯罪等案件頻發(fā),各種原因造成的「黑天鵝」事件層出不窮。
一、區(qū)塊鏈技術(shù)日益重要
我們可以簡單將區(qū)塊鏈理解為——是一個(gè)分布在全球各地、能夠協(xié)同運(yùn)轉(zhuǎn)的數(shù)據(jù)庫存儲系統(tǒng)。區(qū)別于傳統(tǒng)數(shù)據(jù)庫運(yùn)作——讀寫與權(quán)限掌握在一個(gè)公司或者一個(gè)集權(quán)手上(中心化的特征),區(qū)塊鏈認(rèn)為,任何有能力架設(shè)服務(wù)器節(jié)點(diǎn)的人都可以參與其中。
區(qū)塊鏈允許快速輕松地處理交易數(shù)據(jù),這使得它在各種在線投資市場中越來越受歡迎。此外,它還提供了一些重要的安全預(yù)防措施。區(qū)塊鏈中的任何區(qū)塊都很難被更改,這有助于防止欺詐。每個(gè)區(qū)塊中內(nèi)置的識別代碼允許輕松跟蹤交易數(shù)據(jù)。
二、區(qū)塊鏈生態(tài)安全事故頻發(fā)
因?yàn)閰^(qū)塊鏈如此受歡迎(并且因?yàn)樗ǔS糜诮灰篆h(huán)境),它已成為黑客和其他網(wǎng)絡(luò)犯罪分子的誘人目標(biāo)。隨著這種流行度的增加,出現(xiàn)了許多區(qū)塊鏈安全性問題。
7月11日,跨鏈橋項(xiàng)目Chainswap發(fā)布推文表示遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個(gè)項(xiàng)目代幣都遭遇黑客盜取,總損失價(jià)值400萬美元。這已經(jīng)是該項(xiàng)目于7月內(nèi)遭受的第二次攻擊。
繼Chainswap遭受攻擊之后,7月12日,跨鏈橋項(xiàng)目Anyswap新推出的V3跨鏈流動(dòng)性池也遭到黑客攻擊,總計(jì)損失超過787萬美元。
6月,BSC生態(tài)系的DeFi協(xié)議Impossible Finance遭遇閃電貸攻擊,這已是自5月以來,BSC生態(tài)系統(tǒng)中發(fā)生的第九起閃電貸攻擊事件
8月12日,加密孵化機(jī)構(gòu)DAO Maker發(fā)布公告宣布遭受黑客攻擊,總計(jì)被盜走700萬美元,有5521名用戶受影響。
9月12日,雪崩協(xié)議(Avalanche)上Zabu Finance項(xiàng)目遭受閃電貸攻擊……
數(shù)據(jù)顯示,2020年,DeFi安全攻擊事件60起,損失2.5億美元,2021年僅半年,攻擊事件總數(shù)已逼近去年整年,而損失金額已超去年3倍多。
慢霧區(qū)塊鏈被黑事件檔案庫統(tǒng)計(jì)數(shù)據(jù)顯示,2021年上半年,整個(gè)區(qū)塊鏈生態(tài)共發(fā)生78起較為著名的安全事件,涉及DeFi安全50起,錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關(guān)17起。
其中,以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態(tài)鏈(HECO)、波卡生態(tài)、EOS上各1起,總損失金額超17億美元。經(jīng)慢霧AML對涉事資金追蹤分析發(fā)現(xiàn),約60%的資金被攻擊者轉(zhuǎn)入混幣平臺,約30%的資金被轉(zhuǎn)入交易所。
三、區(qū)塊鏈主要安全問題
像任何系統(tǒng)一樣,區(qū)塊鏈也有弱點(diǎn),以下是與區(qū)塊鏈相關(guān)的最緊迫的安全問題:
1.區(qū)塊鏈端點(diǎn)漏洞
雖然區(qū)塊鏈被吹捧為幾乎“不可破解”,但我們需要注意到的是,大多數(shù)區(qū)塊鏈交易的端點(diǎn)安全性要差得多。例如,比特幣交易或投資的結(jié)果可能是將大量比特幣存入“熱錢包”或虛擬儲蓄賬戶,這些錢包賬戶可能不像區(qū)塊鏈中的實(shí)際區(qū)塊那樣防黑客。
為了促進(jìn)區(qū)塊鏈交易,可能會招募多個(gè)第三方供應(yīng)商。例如一些支出處理器、智能合約和區(qū)塊鏈支付平臺。通常,這些第三方區(qū)塊鏈供應(yīng)商在他們自己的應(yīng)用程序和網(wǎng)站上的安全性相對較弱,這可能為黑客敞開大門。
2.可擴(kuò)展性問題
公鏈面臨“不可能三角模型”、“根特別多,沒長葉子的市場”的困境,極大的限制了區(qū)塊鏈技術(shù)的商業(yè)落地進(jìn)程。
目前,區(qū)塊鏈公鏈多達(dá)百種“比特幣、以太坊、EOS、比原鏈、多數(shù)公鏈為發(fā)幣設(shè)計(jì),基于實(shí)體經(jīng)濟(jì)業(yè)務(wù)進(jìn)行的公鏈極為稀少。區(qū)塊鏈技術(shù)商業(yè)落地嚴(yán)重滯后,區(qū)塊鏈行業(yè)成了根特別多,沒長葉子的市場。
3.監(jiān)管問題
區(qū)塊鏈缺乏明顯的監(jiān)管標(biāo)準(zhǔn),政治因素可能會影響其執(zhí)行和發(fā)展?;趨^(qū)塊鏈的貨幣是去中心化和國際化的,這意味著政府控制的貨幣本質(zhì)上可能會變得不那么有價(jià)值。
因此,一些國家政府正在努力對區(qū)塊鏈引入更嚴(yán)格的法規(guī)。他們希望在它威脅到國家經(jīng)濟(jì)或變得更強(qiáng)大之前控制它。作為區(qū)塊鏈安全性的眾多問題之一,這可能會推遲該技術(shù)的廣泛采用。
4.測試不足
雖然區(qū)塊鏈歷來用于加密貨幣交易,但它越來越多地用于其他領(lǐng)域。問題在于非加密貨幣應(yīng)用程序中使用的編碼往往未經(jīng)測試且具有高度實(shí)驗(yàn)性,這意味著黑客也許能夠找到并利用漏洞。
5.技術(shù)的復(fù)雜性
這是一個(gè)很難從頭開始創(chuàng)建的系統(tǒng)。一個(gè)小小的失誤,整個(gè)系統(tǒng)都可能受到損害。當(dāng)然,這不是系統(tǒng)本身的缺陷,而是執(zhí)行的缺陷。同樣,技術(shù)的復(fù)雜性使得普通人更難以理解。因此,大多數(shù)人可能無法正確理解系統(tǒng)的風(fēng)險(xiǎn)和功能。
6.網(wǎng)絡(luò)的大小
要讓區(qū)塊鏈發(fā)揮作用,至少需要數(shù)百個(gè)——最好是數(shù)千個(gè)節(jié)點(diǎn)協(xié)同工作。這使得區(qū)塊鏈系統(tǒng)在增長的早期階段特別容易受到攻擊,也容易出現(xiàn)腐敗問題。例如:如果單個(gè)用戶控制系統(tǒng)上51%的節(jié)點(diǎn),那么他們有可能完全控制其結(jié)果。在只有20個(gè)節(jié)點(diǎn)的規(guī)模上,這并非不可能。
7.網(wǎng)絡(luò)的速度和效率
區(qū)塊鏈的設(shè)計(jì)也可能會損害其以合適的速率處理交易的能力。如果系統(tǒng)在開發(fā)可以支持它的基礎(chǔ)設(shè)施之前變得過于復(fù)雜或需求過多,則可能會導(dǎo)致數(shù)據(jù)存儲和交易速度問題。這會對其他有效的系統(tǒng)產(chǎn)生負(fù)面影響,這就是為什么它會列為區(qū)塊鏈安全問題的原因。
8.區(qū)塊鏈交易使用公鑰和私鑰
這些密鑰幾乎不可能自行破解,但網(wǎng)絡(luò)犯罪分子可以通過更傳統(tǒng)、更簡單的方式獲得這些密鑰。例如:如果將密鑰存儲在不安全的平臺上,黑客就可以輕松地獲得它們。如果有人找到用戶的電子郵件密碼,將可以訪問整個(gè)收件箱。同樣,如果有人找到用戶的區(qū)塊鏈密鑰,他們可以在區(qū)塊鏈上冒充該用戶,這是區(qū)塊鏈安全性需要思考的主要問題之一。
四、展望后區(qū)塊鏈?zhǔn)澜?/strong>
任何系統(tǒng)都有一些漏洞,區(qū)塊鏈也不例外。這里要記住的關(guān)鍵是,絕大多數(shù)區(qū)塊鏈安全漏洞都與人為錯(cuò)誤有關(guān)。當(dāng)正確執(zhí)行和保護(hù)時(shí),區(qū)塊鏈?zhǔn)峭该髑曳来鄹牡摹6?,這與技術(shù)所能達(dá)到的“安全”差不多。這樣做,使得人們能夠利用好這些好處而不必?fù)?dān)心區(qū)塊鏈安全性問題。
總之,區(qū)塊鏈技術(shù)具有可靠的信息交互、完整的數(shù)據(jù)存儲、可信的節(jié)點(diǎn)認(rèn)證等安全性優(yōu)勢,因而為網(wǎng)絡(luò)安全提供一種嶄新的安全防護(hù)思路和模式,將傳統(tǒng)網(wǎng)絡(luò)邊界式防護(hù)轉(zhuǎn)變成全網(wǎng)絡(luò)節(jié)點(diǎn)參與的安全防護(hù)新模式,通過分布式的節(jié)點(diǎn)共識機(jī)制來抵抗惡意節(jié)點(diǎn)的攻擊,在網(wǎng)絡(luò)安全領(lǐng)域具有極大的應(yīng)用潛力。
只是,現(xiàn)階段區(qū)塊鏈技術(shù)還不夠成熟,區(qū)塊鏈系統(tǒng)仍然存在許多安全隱患和漏洞,而且硬件設(shè)施落后也是現(xiàn)階段的一個(gè)難點(diǎn),因此在下一步區(qū)塊鏈應(yīng)用推進(jìn)中,關(guān)鍵是要加強(qiáng)基礎(chǔ)設(shè)施的建設(shè),以及加強(qiáng)區(qū)塊鏈的監(jiān)管和安全技術(shù)的研究和實(shí)踐,推動(dòng)區(qū)塊鏈應(yīng)用的穩(wěn)步發(fā)展,充分發(fā)揮區(qū)塊鏈技術(shù)的安全優(yōu)勢,有效提升網(wǎng)絡(luò)安全防護(hù)水平,才能更有效的使區(qū)塊鏈?zhǔn)袌隽夹园l(fā)展。