曲速未來 :區(qū)塊鏈的安全軟肋區(qū)塊鏈
區(qū)塊鏈安全公司曲速未來表示:區(qū)塊鏈成為黑客眼中誘人目標(biāo)的部分原因,在于攻擊者利用區(qū)塊鏈變現(xiàn)更加便捷,他們不用轉(zhuǎn)手所盜數(shù)據(jù)即可收獲金錢,直接盜取(虛擬)貨幣本身即可。
區(qū)塊鏈可能是安全的,但與之交互的軟件未必,至少大多數(shù)情況下都不安全。區(qū)塊鏈軟件漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊近年來逐漸增多,從加密貨幣錢包盜竊到智能合約攻擊再到加密貨幣交易所被黑,各種涉區(qū)塊鏈軟件的安全事件層出不窮。
保護(hù)區(qū)塊鏈生態(tài)系統(tǒng)是當(dāng)前最具挑戰(zhàn)性的網(wǎng)絡(luò)安全問題。區(qū)塊鏈本身可能是安全的,但這并不意味著與之交互的所有部分都安全,比如加密貨幣錢包、加密貨幣交易所、挖礦軟件、智能合約。最近的一份調(diào)查研究表明,僅今年上半年,黑客便盜取了價(jià)值11億美元的加密貨幣。
區(qū)塊鏈安全公司 曲速未來 表示:區(qū)塊鏈成為黑客眼中誘人目標(biāo)的部分原因,在于攻擊者利用區(qū)塊鏈變現(xiàn)更加便捷,他們不用轉(zhuǎn)手所盜數(shù)據(jù)即可收獲金錢,直接盜取(虛擬)貨幣本身即可。
區(qū)塊鏈?zhǔn)潜忍貛胖械暮诵募夹g(shù),在無法建立信任關(guān)系的互聯(lián)網(wǎng)上,區(qū)塊鏈技術(shù)依靠密碼學(xué)和巧妙的分布式算法,無需借助任何第三方中心機(jī)構(gòu)的介入,用數(shù)學(xué)的方法使參與者達(dá)成共識(shí),保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性
黑客攻擊為什么能屢屢得手
基于區(qū)塊鏈的數(shù)字貨幣其火熱行情讓黑客們垂涎不已,被盜金額不斷刷新紀(jì)錄,盜竊事件的發(fā)生也引發(fā)了人們對(duì)數(shù)字貨幣安全的擔(dān)憂,人們不禁要問:區(qū)塊鏈技術(shù)安全嗎?
隨著人們對(duì)區(qū)塊鏈技術(shù)的研究與應(yīng)用,區(qū)塊鏈系統(tǒng)除了其所屬信息系統(tǒng)會(huì)面臨病毒、木馬等惡意程序威脅及大規(guī)模DDoS攻擊外,還將由于其特性而面臨獨(dú)有的安全挑戰(zhàn)。
1. 算法實(shí)現(xiàn)安全
由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù),屬于算法高度密集工程,在實(shí)現(xiàn)上比較容易出現(xiàn)問題。歷史上有過此類先例,比如NSA對(duì)RSA算法實(shí)現(xiàn)埋入缺陷,使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級(jí)別的漏洞,可以說構(gòu)成區(qū)塊鏈整個(gè)大廈的地基將不再安全,后果極其可怕。之前就發(fā)生過由于比特幣隨機(jī)數(shù)產(chǎn)生器出現(xiàn)問題所導(dǎo)致的比特幣被盜事件,理論上,在簽名過程中兩次使用同一個(gè)隨機(jī)數(shù),就能推導(dǎo)出私鑰。
2. 共識(shí)機(jī)制安全
當(dāng)前的區(qū)塊鏈技術(shù)中已經(jīng)出現(xiàn)了多種共識(shí)算法機(jī)制,最常見的有PoW、PoS、DPos。但這些共識(shí)機(jī)制是否能實(shí)現(xiàn)并保障真正的安全,需要更嚴(yán)格的證明和時(shí)間的考驗(yàn)。
3. 區(qū)塊鏈?zhǔn)褂冒踩?/span>
區(qū)塊鏈技術(shù)一大特點(diǎn)就是不可逆、不可偽造,但前提是私鑰是安全的。私鑰是用戶生成并保管的,理論上沒有第三方參與。私鑰一旦丟失,便無法對(duì)賬戶的資產(chǎn)做任何操作。一旦被黑客拿到,就能轉(zhuǎn)移數(shù)字貨幣。
4. 系統(tǒng)設(shè)計(jì)安全
像Mt.Gox平臺(tái)由于在業(yè)務(wù)設(shè)計(jì)上存在單點(diǎn)故障,所以其系統(tǒng)容易遭受DoS攻擊。目前區(qū)塊鏈?zhǔn)侨ブ行幕模灰姿侵行幕摹V行幕慕灰姿艘乐辜夹g(shù)盜竊外,還得管理好人,防止人為盜竊。
總體來說,從安全性分析的角度,區(qū)塊鏈面臨著算法實(shí)現(xiàn)、共識(shí)機(jī)制、使用及設(shè)計(jì)上挑戰(zhàn),同時(shí)黑客通過利用系統(tǒng)安全漏洞、業(yè)務(wù)設(shè)計(jì)缺陷也可達(dá)成攻擊目的。目前,黑客攻擊已經(jīng)在對(duì)區(qū)塊鏈系統(tǒng)安全性造成越來越大的影響。
如何保證區(qū)塊鏈的安全
新技術(shù)意味著新威脅和新的學(xué)習(xí)曲線。任何新技術(shù)都一樣,風(fēng)險(xiǎn)浮現(xiàn)需要時(shí)間,發(fā)展出應(yīng)對(duì)風(fēng)險(xiǎn)的方法也需要時(shí)間。我們已經(jīng)在WiFi技術(shù)上走過了這條曲線,IoT技術(shù)領(lǐng)域的學(xué)習(xí)曲線則仍在描繪中。至于區(qū)塊鏈安全,我們才剛剛踏上學(xué)習(xí)曲線的起始階段。而我們必須盡快探索,因?yàn)閰^(qū)塊鏈的誘惑太大了,鏈上投注了如此之多的金錢,大量攻擊活動(dòng)正蠢蠢欲動(dòng)。
為了保證區(qū)塊鏈系統(tǒng)安全,建議參照NIST的網(wǎng)絡(luò)安全框架,從戰(zhàn)略層面、一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度出發(fā)構(gòu)建識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)核心組成部分,來感知、阻斷區(qū)塊鏈風(fēng)險(xiǎn)和威脅。
除此之外,根據(jù)區(qū)塊鏈技術(shù)自身特點(diǎn)重點(diǎn)關(guān)注算法、共識(shí)機(jī)制、使用及設(shè)計(jì)上的安全。
1.針對(duì)算法實(shí)現(xiàn)安全性:一方面選擇采用新的、本身經(jīng)得起考驗(yàn)的密碼技術(shù),如國(guó)密公鑰算法SM2等。另一方面對(duì)核心算法代碼進(jìn)行嚴(yán)格、完整測(cè)試的同時(shí)進(jìn)行源碼混淆,增加黑客逆向攻擊的難度和成本。
2.針對(duì)共識(shí)算法安全性:PoW中使用防ASIC雜湊函數(shù),使用更有效的共識(shí)算法和策略。
3.針對(duì)使用安全性:對(duì)私鑰的生成、存儲(chǔ)進(jìn)行保護(hù),敏感數(shù)據(jù)加密存儲(chǔ)。
4.針對(duì)設(shè)計(jì)安全性:一方面要保證設(shè)計(jì)的功能盡量完善,如采用私鑰白盒簽名技術(shù),防止病毒、木馬在系統(tǒng)運(yùn)行過程中提取私鑰;設(shè)計(jì)私鑰泄露追蹤功能,盡可能減少私鑰泄露后的損失。另一方面,應(yīng)對(duì)某些關(guān)鍵業(yè)務(wù)設(shè)計(jì)去中心化,防止單點(diǎn)故障攻擊
區(qū)塊鏈用戶要保護(hù)自身,需從以下四個(gè)基本安全措施做起:
別暴露你的私鑰
采用雙因子身份驗(yàn)證
使用加密貨幣交易平臺(tái)時(shí)別公開任何電子郵箱地址或電話號(hào)碼
別在網(wǎng)上吹噓你的加密貨幣財(cái)富
實(shí)現(xiàn)代碼級(jí)安全
創(chuàng)建與區(qū)塊鏈互動(dòng)的軟件時(shí)應(yīng)將安全內(nèi)置到代碼中:
要用良好的軟件開發(fā)生命周期將安全添加到開發(fā)過程中,并審查繼承過來的代碼
使用雙因子身份驗(yàn)證和硬件錢包
遵從標(biāo)準(zhǔn)最佳實(shí)踐——使用SSL和證書以確保參與各方的身份真實(shí)
區(qū)塊鏈安全公司 曲速未來 歸納:區(qū)塊鏈好處多多,包括更好的法律合同、更強(qiáng)的供應(yīng)鏈可見性,甚至可以減少欺詐。但任何技術(shù)都逃不過被惡意黑客探測(cè)一番,區(qū)塊鏈也不例外,黑客探出的漏洞就有可能引發(fā)懷疑情緒,減緩新技術(shù)的采納速度。
本文內(nèi)容由 曲速未來安全咨詢公司整理編譯,轉(zhuǎn)載請(qǐng)注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
