TMT观察网_独特视角观察TMT行业

區塊鏈市場發展現狀

區塊鏈在幾個方向有很大的應用前景。

目前，區塊鏈最主要的應用還是加密數字貨幣領域，比如比特幣、以太坊。因為區塊鏈去中心化和透明不可篡改的特性，在數字身份和法律存證方面也有很多想象空間，國內有些企業在數字版權、數字保險等方面開始進行嘗試了。另外，在游戲、娛樂行業，以及數字交通和物聯網設備等領域區塊鏈都有一些技術應用的空間。

區塊鏈政策導向

2016 年 10 月，工業和信息化部發布《中國區塊鏈技術和應用發展白皮書 (2016)》，總結了國內外區塊鏈發展現狀和典型應用場景，介紹了國區塊鏈技術發展路線圖以及未來區塊鏈技術標準化方向和進程。

2016 年 12 月，“區塊鏈”首次被作為戰略性前沿技術寫入《國務院關于印發“十三五”國家信息化規劃的通知》。

2017 年  1 月，工信部發布《軟件和信息技術服務業發展規劃 (2016-2020 年)》，提出區塊鏈等領域創新達到國際先進水平等要求。2017 年  8 月，國務院發布《關于進一步擴大和升級信息消費持續釋放內需潛力的指導意見》提出開展基于區塊鏈、人工智能等新技術的試點應用。

2017 年 10 月，國務院發布《關于積極推進供應鏈創新與應用的指導意見》提出要研究利用區塊鏈、人工智能等新興技術，建立基于供應鏈的信用評價機制。

2018 年  3 月，工信部發布《2018 年信息化和軟件服務業標準化工作要點》，提出推動組建全國信息化和工業化融合管理標準化技術委員會、全國區塊鏈和分布式記賬技術標準化委員會。

2017 年  9 月，中國人民銀行等七部委聯合發布《關于防范代幣發行融資風險的公告》，規定在中國，交易平臺不得從事法定貨幣與“虛擬貨幣”之間的兌換業務。

區塊鏈面臨的安全威脅

2018 年 5 月 29 號，根據 coinmarketcap.com 發布的數據，目前比特幣市值 1200 千億美金，緊隨其后的是以太坊，大概五百多億美金。13 年比特幣大概 600 塊錢，現在漲到了八千塊錢，這是大家能夠直觀感受到的。

錢突然變多，肯定會被壞人盯上。我們統計了全球區塊鏈安全事件的趨勢變化， 11 年出現了第一次比特幣安全事件，當時丟失 102 萬美金，14 年全球區塊鏈的資金損失大概是 4.6 億美金。18 年上半年，這個數字達到 19 億美金。

以前黑客黑網站需要上下游配合，才能把黑掉的網站變成現金收入，但是現在很簡單，只需要黑一些網站，盜一些幣，這些幣的收入就足夠讓他金盆洗手了。而且最關鍵的是黑客攻擊之后，很難進行相關的溯源。

我們按照不同的事情進行統計，損失最多的是數字貨幣交易平臺，總共是有 13.4 億美金。其次是智能合約，主要是集中在以太坊上，比如因為代碼的漏洞或者私鑰的泄露等原因導致的資金損失達到了 12.4 億美金。再次是個人用戶遭受到的攻擊，比如電腦中病毒、私鑰被竊取等，包括礦廠礦工的一些病毒事件等等。

根據對以往區塊鏈安全事件的梳理，我們發現基于區塊鏈代幣引起的安全問題主要來自于區塊鏈自身機制引發的安全威脅、區塊鏈生態引發的安全威脅、區塊鏈使用者面臨的安全威脅三個方面。

區塊鏈自身機制

數據層。區塊鏈數據可能是鏈式結構，也可能是 DAG，它所使用的時間戳，哈希函數，包括一些非對稱加密算法可能有很多機制上的問題。發現這些漏洞對黑客的技術要求非常高，需要黑客對區塊鏈底層的實現、對合約的理解非常到位。

網絡層。我們遇到過一些比較知名的攻略號，缺乏自動的節點發現功能，比如它可能 20 多個節點，其中幾個節點被人 DoS 下線了，它的結點沒有自動恢復上線的功能，整個網絡的健壯性被黑客一下就擊垮了。

共識層。共識機制也非常重要，比特幣的共識算法 PoW 決定誰算利高誰就先挖到礦，你要去攻擊它，就需要通過算力的投入進行對抗。目前 PoS、DPoS 越來越多，PoS 涉及到非常嚴格的一個問題，每個節點都需要放大量的資產做抵押，這樣才能夠產生相應的挖礦收益，那么這個節點的分析就被不斷放大，當這個節點的錢存到足夠多的時候，黑客可以采用技術更高的攻擊手段，甚至動用軍工級的技術能力。

合約層和業務層。今年 2 月份我們發現一個攻擊團伙，利用以太坊的漏洞，總共竊取了四萬七千個以太坊，按照當時的價格來算，總計兩千多萬美金，折合人民幣一個多億，大概三千多人受害。

這次事件涉及的漏洞一年多之前就被網絡曝光過了，是以太坊自己協議上的漏洞，很難恢復。那么這個漏洞被公開之后，很多腳本黑客就知道這個漏洞怎么利用了，不需要太深的技術水平。

區塊鏈生態引發的安全威脅

區塊鏈生態就目前看來，是為支撐區塊鏈運行及與現實世界相對接的一系列支撐系統或應用。區塊鏈生態中包括 PoW 機制下的礦場和礦池、PoS 機制下的權益節點、代幣交易所、軟硬錢包、數據跟蹤瀏覽器、dApp 應用，以及面向未來 dApp 應用的區塊鏈網關系統等。

區塊鏈生態引發的安全威脅包括：交易所，集中化和傳統架構設計，給黑客入侵提供了便利；軟硬錢包，軟件及硬件錢包由于各種實現上的漏洞，導致自身安全性大打折扣；區塊鏈節點，DDoS、51% 等攻擊的存在，導致區塊鏈數據的安全收到威脅。

交易所被 DDoS 攻擊案例

2017.5 月，某區塊鏈貨幣交易平臺突然遭遇猛烈 UDP FLOOD 攻擊，受到的攻擊流量和數據包峰值瞬間飆升到 84517Mbps 和 30953746pps。攻擊者在此次閃電突襲受挫后轉為麻雀戰術，各種間歇性小規模攻擊一直持續了 10 天。

10 天后，攻擊者糾集了 6 萬個肉雞僵尸，CC 攻擊流量急劇攀升到 51023.30GB。

三個小時后，攻擊者再次利用 51890 個肉雞，制造高達 12238.33GB 的 CC 流量。

目前，該平臺每天仍遭受 20 余萬次惡意掃描，38 余萬次危險攻擊。

數字錢包所面臨的風險

數字錢包是生成私鑰和保存私鑰的容器，它用來管理密鑰和地址，跟蹤地址的余額，創建和簽名交易。從載體上來區分，數字代幣錢包主要分為熱錢包和冷錢包兩種。

冷錢包從整體安全性來說較熱錢包更高，但就目前市場上的產品也存在一定安全風險。

某品牌冷錢包的實體是由智能手機改造而成，這就導致冷錢包的整體安全性受限于智能手機系統的安全底線，同時基于智能手機系統制作的冷錢包，性能往往都不可靠。

某安全錢包雖然是由加密芯片制造，但不是由密碼學領域的專業研發專家參與研發，由于加密芯片的使用不當會導致加密芯片無法為錢包提供有效加密的情況出現。

使用者面臨的安全威脅

欺詐案例——釣魚攻擊

2018 年 3 月 7 日，某境外數字貨幣交易平臺幣安遭到黑客攻擊，此次攻擊造成全球數字幣價格大跌。

根據交易所的公告，有 31 個賬戶遭到黑客的釣魚入侵，黑客在掌握用戶的賬戶權限之后，使用機器掛單，進行程序化高頻交易，給用戶帶來巨大損失。

2017 年 4 月 14 日，在約翰霍普金斯大學研究數學的學生 xudong zheng 發表了一篇論文，題目是《Phishing with Unicode Domains》，中文為“利用 unicode 網址釣魚”。

欺詐案例——不了解私鑰的特性

2017 年 7 月 1 日，中原油田某小區居民 188.31 個比特幣被盜。油田警方幾個月后將位于上海的竊賊戴某抓獲，價值 280 萬美元。

2017 年 10 月，東莞一名 imToken 用戶發現 100 多個 ETH（以太坊幣）被盜，最終確認是身邊的朋友盜取他的數字加密貨幣。