孫杰賢

區(qū)塊鏈，一項(xiàng)專業(yè)屬性極高的技術(shù)，然而就是這樣一種“陽(yáng)春白雪”式技術(shù)好像一夜之間變得婦孺皆知，人盡可得。

當(dāng)前最為主要的區(qū)塊鏈應(yīng)用就是加密數(shù)字貨幣。根據(jù) Coindesk 網(wǎng)站的全球 ICO （區(qū)塊鏈項(xiàng)目首次發(fā)行代幣，募集數(shù)字貨幣的行為）跟蹤數(shù)據(jù)顯示，截止2018 年 4 月底，全球 ICO 歷史總金額已達(dá)到 128 億美元。僅 2018年前 4 個(gè)月 ICO 總值即是 2017 年全年 ICO 總值的 1.28 倍，而 2018 年前4 個(gè)月 ICO 數(shù)量?jī)H為 2017 年全年 79%。據(jù)此預(yù)測(cè)，2018 年全年ICO 數(shù)量有可能會(huì)超過(guò) 800 家，總值將超過(guò) 130 億美元，而全球數(shù)字加密貨幣總價(jià)值將突破1萬(wàn)億美元。

區(qū)塊鏈技術(shù)及其應(yīng)用正在以一種“不講理”的方式野蠻成長(zhǎng)著。

標(biāo)榜的“安全”呢？

區(qū)塊鏈技術(shù)有兩大最為核心的特征和創(chuàng)新：去中心化和安全性。

去中心意味著整個(gè)區(qū)塊鏈網(wǎng)絡(luò)沒(méi)有中心化的設(shè)施系統(tǒng)或者管理機(jī)構(gòu)，任意節(jié)點(diǎn)之間的權(quán)利和義務(wù)都是均等的，且任一節(jié)點(diǎn)的損壞或者失去都會(huì)不影響整個(gè)系統(tǒng)的運(yùn)作，因此具有極好的健壯性。同時(shí)，參與整個(gè)系統(tǒng)中的每個(gè)節(jié)點(diǎn)之間進(jìn)行數(shù)據(jù)交換是無(wú)需互相信任的，整個(gè)系統(tǒng)的運(yùn)作規(guī)則是公開(kāi)透明的，所有的數(shù)據(jù)內(nèi)容也是公開(kāi)的，因此在系統(tǒng)指定的規(guī)則范圍和時(shí)間范圍內(nèi)，節(jié)點(diǎn)之間不能也無(wú)法欺騙其它節(jié)點(diǎn)。

如何在去中心化和去信任的條件下確保信息數(shù)據(jù)的安全與可靠，這就引出了區(qū)塊鏈技術(shù)的另外一些核心特征：可靠數(shù)據(jù)庫(kù)、集體維護(hù)以及開(kāi)源匿名性。這些特征確保了整個(gè)系統(tǒng)信息數(shù)據(jù)的可驗(yàn)證性、不可偽造和不可撤消，而這也正是區(qū)塊鏈技術(shù)最具創(chuàng)新的地方。

然而，本應(yīng)“安全、可靠和健壯”的區(qū)塊鏈技術(shù)卻頻頻爆發(fā)安全事件。360安全衛(wèi)士5月29日下午在微博上發(fā)布公告稱，360伏爾甘團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS（號(hào)稱是區(qū)塊鏈?zhǔn)澜绲牟僮飨到y(tǒng)）的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過(guò)遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

而這只是眾多區(qū)塊鏈安全事件中的一個(gè)。根據(jù)知道創(chuàng)宇公司日前發(fā)布的《區(qū)塊鏈安全風(fēng)險(xiǎn)白皮書(shū)》，區(qū)塊鏈安全問(wèn)題主要來(lái)自于區(qū)塊鏈自身機(jī)制安全、區(qū)塊鏈生態(tài)安全和使用者安全這三個(gè)方面。其中，自身機(jī)制安全問(wèn)題智能合約的問(wèn)題排在首位，而理論上存在的 51%攻擊近兩年也成為了現(xiàn)實(shí)。生態(tài)安全問(wèn)題圍繞交易所發(fā)生安全時(shí)間最為顯著，交易所被盜遠(yuǎn)超其它事件類型；此外，交易所、礦池和網(wǎng)站都面臨著DDoS 攻擊的高風(fēng)險(xiǎn)；在線錢(qián)包和礦池面臨著 DNS劫持的風(fēng)險(xiǎn)；交易所還面臨被釣魚(yú)、內(nèi)鬼盜竊、錢(qián)包失竊、各種信息數(shù)據(jù)泄露和篡改、交易所帳號(hào)失竊等問(wèn)題。在使用者安全問(wèn)題上，交易所帳號(hào)和錢(qián)包失竊最為常見(jiàn)，反欺詐、被釣魚(yú)、私鑰保管的問(wèn)題也時(shí)有發(fā)生。

《區(qū)塊鏈安全風(fēng)險(xiǎn)白皮書(shū)》還對(duì)近幾年區(qū)塊鏈加密數(shù)字貨幣安全事件做了統(tǒng)計(jì)，其中涉及區(qū)塊鏈自身機(jī)制引發(fā)的安全事件總損失額為 12.5 億美元，涉及區(qū)塊鏈生態(tài)引發(fā)的安全事件總損失額為 14.2 億美元，涉及使用者引發(fā)的安全事件總損失額為 5647 萬(wàn)美元。而2018年上半年的安全事件數(shù)量及損失金額都遠(yuǎn)超之前幾年的數(shù)倍乃至數(shù)十倍。另外，從事件類型上來(lái)看今年因區(qū)塊鏈自身機(jī)制引起安全事件的數(shù)量雖然比區(qū)塊鏈生態(tài)要少，但金額卻遠(yuǎn)超 42%，這說(shuō)明區(qū)塊鏈自身機(jī)制的安全問(wèn)題比區(qū)塊鏈生態(tài)所面臨的安全問(wèn)題更加嚴(yán)重。

問(wèn)題出在哪？

頂級(jí)網(wǎng)絡(luò)安全專家、知道創(chuàng)宇 CEO 趙偉在接受本刊采訪時(shí)指出了區(qū)塊鏈安全層出不窮的幾個(gè)原因，他說(shuō)：“雖然數(shù)字資產(chǎn)用區(qū)塊鏈技術(shù)分布式化了，但是交易、錢(qián)包、挖礦、礦池都是集中化的，這些在黑客來(lái)看來(lái)都是非常好攻擊的目標(biāo)。更重要的是，數(shù)字貨幣失竊以后是非常難以追蹤的，區(qū)塊鏈的匿名和不可逆，這個(gè)本質(zhì)問(wèn)題導(dǎo)致了在區(qū)塊鏈行業(yè)非常多的黑客事件。此外，公鏈的價(jià)值在于共識(shí)，但是共識(shí)是建立在分布式的點(diǎn)對(duì)點(diǎn)技術(shù)上，一旦這種技術(shù)被操控或沒(méi)有安全防護(hù)，黑客操控后就可以任意偷取利益，導(dǎo)致資產(chǎn)的價(jià)值變成零?！?/p>

Gartner 對(duì)區(qū)塊鏈生態(tài)的安全模型劃分為商業(yè)邏輯層、風(fēng)險(xiǎn)與 IAM（身份認(rèn)證訪問(wèn)管理）處理層及 IT及技術(shù)層。其中，IT 及技術(shù)層及風(fēng)險(xiǎn)與 IAM（身份認(rèn)證訪問(wèn)管理）處理層屬于傳統(tǒng)安全領(lǐng)域范疇，商業(yè)邏輯層是屬于區(qū)塊鏈所獨(dú)有的，但它的運(yùn)轉(zhuǎn)需要完全依賴于另外二層的支持。對(duì)此，趙偉提醒：在考慮區(qū)塊鏈生態(tài)安全問(wèn)題時(shí)，依然需要從傳統(tǒng)安全的角度出發(fā)去思考。針對(duì)區(qū)塊鏈生態(tài)的安全風(fēng)險(xiǎn)防范，也應(yīng)該從區(qū)塊鏈生態(tài)在傳統(tǒng)領(lǐng)域中所面臨的安全風(fēng)險(xiǎn)出發(fā)去思考解決方案和對(duì)策。

趙偉建議：用戶在對(duì)這些加密數(shù)字貨幣的保管和保護(hù)上需要將安全意識(shí)提高到與傳統(tǒng)資產(chǎn)保管保護(hù)同等水平上來(lái)。比如，盡量不要數(shù)字介質(zhì)中存儲(chǔ)私鑰，將私鑰存放在自己可控的紙質(zhì)媒介上。無(wú)論何時(shí)何地對(duì)任何人都不要透露你的私鑰。登錄交易所前確認(rèn)交易所網(wǎng)址，在交易前確認(rèn)二次交易地址等。而區(qū)塊鏈生態(tài)企業(yè)，應(yīng)為用戶在執(zhí)行關(guān)鍵操作前提供風(fēng)險(xiǎn)測(cè)評(píng)和風(fēng)險(xiǎn)提示，以確保用戶可以持續(xù)的保有較高安全風(fēng)險(xiǎn)意識(shí)。這么做的目的是為了讓更多的使用者了解區(qū)塊鏈及安全知識(shí)，提升整個(gè)區(qū)塊鏈生態(tài)的認(rèn)知水平。

為了加速構(gòu)建區(qū)塊鏈行業(yè)安全生態(tài)建設(shè)，中國(guó)技術(shù)市場(chǎng)協(xié)會(huì)、騰訊安全、知道創(chuàng)宇、中國(guó)區(qū)塊鏈應(yīng)用研究中心等20多家機(jī)構(gòu)發(fā)起成立了中國(guó)區(qū)塊鏈安全聯(lián)盟，共同致力于構(gòu)建安全的區(qū)塊鏈生態(tài)環(huán)境，建立區(qū)塊鏈生態(tài)良性發(fā)展長(zhǎng)效機(jī)制，助力中國(guó)區(qū)塊鏈生態(tài)協(xié)同發(fā)展。