劉志洋

（三亞學(xué)院 海南 三亞 572022）

1 引言

隨著信息技術(shù)和計(jì)算機(jī)軟硬件技術(shù)的不斷發(fā)展，區(qū)塊鏈技術(shù)近年來(lái)得到了飛速發(fā)展。從國(guó)家戰(zhàn)略層面，區(qū)塊鏈+“數(shù)字經(jīng)濟(jì)”的發(fā)展方向已經(jīng)基本確定。因此，區(qū)塊鏈技術(shù)引發(fā)了國(guó)內(nèi)外學(xué)者的廣泛研究和關(guān)注。從本質(zhì)上講，區(qū)塊鏈?zhǔn)且粋€(gè)共享的數(shù)據(jù)庫(kù)，能夠進(jìn)行分布式管理的賬簿系統(tǒng)，在賬簿系統(tǒng)中存在眾多節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)均可以獨(dú)立地進(jìn)行數(shù)據(jù)的修改和賬簿的檢查，基于區(qū)塊鏈的這個(gè)系統(tǒng)，可以使區(qū)塊鏈其中的參與者能夠共同對(duì)賬戶進(jìn)行管理和更新，但是這樣的管理和更新是在一定的協(xié)議基礎(chǔ)上的，各個(gè)節(jié)點(diǎn)和用戶之間均達(dá)成了統(tǒng)一的規(guī)則[1]。隨著區(qū)塊鏈技術(shù)的不斷應(yīng)用，盡管區(qū)塊鏈技術(shù)的發(fā)展突飛猛進(jìn)，但在安全風(fēng)險(xiǎn)防范過(guò)程中仍然存在著很多漏洞。鑒于此，本文對(duì)區(qū)塊鏈發(fā)展現(xiàn)狀及安全風(fēng)險(xiǎn)防范策略進(jìn)行研究，為我國(guó)區(qū)塊鏈技術(shù)的快速推進(jìn)應(yīng)用提供借鑒和參考。

2 區(qū)塊鏈技術(shù)的發(fā)展情況

2.1 技術(shù)特點(diǎn)

區(qū)塊鏈技術(shù)是基于區(qū)塊的信息管理，此技術(shù)和傳統(tǒng)的專用服務(wù)器管理相比較，主要存在以下特點(diǎn)[2]：不存在中央節(jié)點(diǎn)，屬于分布式的開(kāi)放型系統(tǒng)，區(qū)塊鏈的訪問(wèn)并不存在訪問(wèn)邏輯的限制，甚至其內(nèi)部代碼也是完全公開(kāi)的；區(qū)塊鏈內(nèi)部存在信任機(jī)制，各個(gè)節(jié)點(diǎn)之間無(wú)需進(jìn)行信任機(jī)制的搭建。區(qū)塊鏈技術(shù)另一個(gè)重要特質(zhì)是該技術(shù)的數(shù)據(jù)是完全可靠的，區(qū)塊鏈范圍內(nèi)的整個(gè)數(shù)據(jù)庫(kù)被稱作是“數(shù)據(jù)管理器”，在此數(shù)據(jù)庫(kù)中的數(shù)據(jù)隨時(shí)均可以被用戶使用，并且均是匿名保護(hù)的，隱私性極強(qiáng)。只要加入?yún)^(qū)塊的互聯(lián)網(wǎng)機(jī)器均可以使用比特進(jìn)行挖掘操作，并且能夠借助保護(hù)隱私功能實(shí)現(xiàn)自身隱私的保護(hù)[3]。

2.2 平臺(tái)現(xiàn)狀

目前世界上區(qū)塊鏈的平臺(tái)主要由三個(gè)組成，分別為比特幣、超級(jí)賬本和以太網(wǎng)。其中比特幣的應(yīng)用最為廣泛，也是最早發(fā)布的區(qū)塊鏈平臺(tái)。

比特幣的發(fā)行并非依靠獨(dú)立的貨幣發(fā)行單位進(jìn)行，而是有特定的算法進(jìn)行控制的，因此可以借助任何計(jì)算機(jī)實(shí)現(xiàn)計(jì)算，是一種非物質(zhì)化的支付手段，并且是借助加密等規(guī)則來(lái)保障貨幣在交易過(guò)程中的流通性和透明性。比特幣的應(yīng)用是以數(shù)字貨幣作為支撐的，貨幣的支付形式不能借助第三方或者中介來(lái)實(shí)現(xiàn)。比特幣產(chǎn)生的初衷是嘗試建立不存在信任機(jī)制的可以進(jìn)行點(diǎn)對(duì)點(diǎn)交易的信息系統(tǒng)。

在以太網(wǎng)技術(shù)中引入?yún)^(qū)塊鏈、智能合同的理念必不可少。以太網(wǎng)平臺(tái)是借助一系列腳本圖實(shí)現(xiàn)通用數(shù)字貨幣平臺(tái)，一旦用戶向此平臺(tái)發(fā)送交易信息時(shí)，收集方本身的地址會(huì)被自動(dòng)激活，從而可以進(jìn)行以太網(wǎng)內(nèi)部各個(gè)區(qū)塊之間的交易。

超級(jí)賬本由Linux基金會(huì)建立，旨在發(fā)展集團(tuán)和聯(lián)盟的商業(yè)模式。自超級(jí)賬本建立以后，吸引了一大批商務(wù)館的會(huì)員。其核心技術(shù)是集團(tuán)連鎖和智能化應(yīng)用技術(shù)，其目的是建立一個(gè)商務(wù)領(lǐng)域的會(huì)計(jì)交易的信息化平臺(tái)，并且在各類商業(yè)交易中探索公開(kāi)化的信任機(jī)制，方便后續(xù)的審計(jì)工作。

3 區(qū)塊鏈技術(shù)的安全風(fēng)險(xiǎn)研究

3.1 安全現(xiàn)狀

隨著區(qū)塊鏈技術(shù)的不斷應(yīng)用，由于其代碼的開(kāi)源性以及自身的技術(shù)漏洞，區(qū)塊鏈屢次遭受惡意攻擊。自建立以來(lái)，各大平臺(tái)虛擬貨幣被盜、交易攻擊、智能合約的漏洞等問(wèn)題頻發(fā)。隨著安全事件規(guī)模和涉及經(jīng)濟(jì)數(shù)額的數(shù)量不斷擴(kuò)大，區(qū)塊鏈平臺(tái)的安全問(wèn)題備受用戶的質(zhì)疑。相關(guān)數(shù)據(jù)顯示，近年來(lái)區(qū)塊鏈平臺(tái)的安全事件數(shù)量呈現(xiàn)指數(shù)增長(zhǎng)模式，以2020年為例，其安全事件增長(zhǎng)比例和2019年相比月增長(zhǎng)近200%。安全事件最終導(dǎo)致了經(jīng)濟(jì)上的損失，并且經(jīng)濟(jì)損失也呈現(xiàn)逐年上漲的趨勢(shì)。在使用安全方面，比經(jīng)濟(jì)損失稍有減少，但形勢(shì)仍然非常嚴(yán)峻。2019年上半年，隨著全球?qū)^(qū)塊鏈核心技術(shù)的不斷升級(jí)，取得了一定的成果。但隨著一系列安全事件的頻發(fā)，再次引發(fā)了社會(huì)各界對(duì)區(qū)塊鏈安全問(wèn)題的關(guān)注。

3.2 存在的問(wèn)題

區(qū)塊鏈自身的技術(shù)特點(diǎn)方面不僅存在安全風(fēng)險(xiǎn)，在生態(tài)應(yīng)用上也存在不斷被攻擊的現(xiàn)象，因此對(duì)區(qū)塊鏈安全問(wèn)題的分析不應(yīng)該僅僅停留在自身技術(shù)的升級(jí)和優(yōu)化上，更應(yīng)該注重區(qū)塊鏈的使用人員。

從技術(shù)安全角度分析，主要存在以下問(wèn)題。

3.2.1 共識(shí)機(jī)制的安全性不足

共識(shí)機(jī)制是區(qū)塊鏈技術(shù)應(yīng)用的核心問(wèn)題之一，區(qū)塊鏈的共識(shí)機(jī)制比較多，但是自今還未發(fā)現(xiàn)一種能夠完美支撐區(qū)塊鏈安全運(yùn)營(yíng)的共識(shí)機(jī)制。常用的共識(shí)機(jī)制如PoW、PBFT、PoS和DpoS等，不同的機(jī)制均存在優(yōu)劣之分。以PBFT為例，其安全性和穩(wěn)定性比較好，共識(shí)的頻率比較高，能夠滿足高頻次的交易量的需求，其不足之處是當(dāng)系統(tǒng)僅僅剩余33%節(jié)點(diǎn)時(shí)，系統(tǒng)便會(huì)停止運(yùn)行。當(dāng)達(dá)到1/3或者以上的人協(xié)同作惡時(shí)，并且其他所有的記賬人被恰好分割為兩個(gè)信息孤島時(shí)，惡意記賬人便能夠使系統(tǒng)出現(xiàn)分叉。PoS的優(yōu)勢(shì)是對(duì)節(jié)點(diǎn)的性能要求比較低，并且達(dá)成共識(shí)的時(shí)間能夠達(dá)到毫秒級(jí)，但是和PoW相同，需要挖礦，最終的一致性比較低。

3.2.2 智能合約的安全性不足

整數(shù)溢出問(wèn)題比較明顯。此種漏洞是由于開(kāi)發(fā)人員在進(jìn)行代碼編寫(xiě)過(guò)程中不嚴(yán)格導(dǎo)致的，此種漏洞不但能夠使得合約中的某個(gè)功能部件失效，更為嚴(yán)重的是，會(huì)導(dǎo)致黑客的惡意造幣攻擊和用戶比特幣的丟失等問(wèn)題。

權(quán)限控制問(wèn)題。在常規(guī)智能合約系統(tǒng)中會(huì)設(shè)定超級(jí)用戶，超級(jí)用戶權(quán)限的安全隱患非常大，一旦超級(jí)用戶的秘鑰被盜用，經(jīng)濟(jì)損失便會(huì)非常嚴(yán)重。另外，規(guī)范性問(wèn)題也比較多，現(xiàn)如今對(duì)于智能合約的實(shí)現(xiàn)并不存在統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，而是僅僅以交互的方式實(shí)現(xiàn)多人的協(xié)調(diào)工作，一旦出現(xiàn)合約的不規(guī)范問(wèn)題，會(huì)使得不同人之間對(duì)合約的內(nèi)容產(chǎn)生誤解，從而引發(fā)不必要的安全問(wèn)題。

3.2.3 網(wǎng)絡(luò)傳輸?shù)陌踩圆蛔?/p>

區(qū)塊鏈中信息的傳遞是采用P2P的方式實(shí)現(xiàn)的，在節(jié)點(diǎn)中會(huì)將包括自身IP的信息地址發(fā)送給存在交易的各個(gè)相鄰的節(jié)點(diǎn)。在信息發(fā)送過(guò)程中，僅僅是依靠自由加入的方式完成，并不存在安全性審查問(wèn)題，對(duì)于安全級(jí)別較低的節(jié)點(diǎn)非常容易遭受攻擊，從而對(duì)整個(gè)系統(tǒng)的安全性造成危害。現(xiàn)如今，能夠預(yù)料的攻擊方式有：竊聽(tīng)攻擊、BGP攻擊、DdoS攻擊等。

除上述安全問(wèn)題以外，還存在區(qū)塊鏈自身安全問(wèn)題、生態(tài)安全問(wèn)題和使用安全問(wèn)題等。其中區(qū)塊鏈自身安全問(wèn)題主要包括：用戶節(jié)點(diǎn)的保障增長(zhǎng)和對(duì)區(qū)塊鏈節(jié)點(diǎn)的惡意篡改問(wèn)題，生態(tài)安全分為礦池安全、錢(qián)包安全和交易所安全等；使用安全主要是指對(duì)密鑰的管理不完備、賬號(hào)被盜等問(wèn)題。

4 區(qū)塊鏈安全防范策略

針對(duì)以上安全風(fēng)險(xiǎn)，本文研究了以下防范策略，策略主要從自身技術(shù)、生態(tài)和使用安全三個(gè)方面入手。

首先，加強(qiáng)自身技術(shù)安全級(jí)別的提升，為了規(guī)避因代碼的開(kāi)源漏洞問(wèn)題，導(dǎo)致備受攻擊的現(xiàn)象，應(yīng)該提升代碼編寫(xiě)的規(guī)范化程度，制定開(kāi)發(fā)標(biāo)準(zhǔn)和原則，從而保障被開(kāi)發(fā)代碼的質(zhì)量和準(zhǔn)確性。借助建立代碼形式化校驗(yàn)機(jī)制，加強(qiáng)對(duì)智能合約的審計(jì)，對(duì)其中存在的風(fēng)險(xiǎn)和漏洞進(jìn)行及時(shí)修復(fù)，從源頭上減少漏洞的發(fā)生，從而避免平臺(tái)和用戶的經(jīng)濟(jì)損失。

其次，搭建安全健康的生態(tài)。對(duì)交易過(guò)程中涉及到的錢(qián)包、狂吃和交易所，進(jìn)行設(shè)計(jì)方案的二次評(píng)估，對(duì)其存在的風(fēng)險(xiǎn)情況進(jìn)行識(shí)別，并對(duì)交易的基本情況進(jìn)行及時(shí)的檢測(cè)，一旦發(fā)現(xiàn)異常問(wèn)題，第一時(shí)間告警，避免詐騙和傳銷等行為的發(fā)生。通過(guò)高級(jí)別的加密方式，增強(qiáng)對(duì)超級(jí)用戶密鑰的管理，提升系統(tǒng)的安全級(jí)別，為系統(tǒng)構(gòu)建一個(gè)健康穩(wěn)定的運(yùn)行環(huán)境。

最后，要對(duì)區(qū)塊鏈平臺(tái)中存在的安全漏洞，建立日常防范機(jī)制，警惕釣魚(yú)的惡意陷阱，交易之前對(duì)區(qū)塊鏈的相關(guān)知識(shí)進(jìn)行充分的研究和了解，避免自身不必要的損失。

5 結(jié)論

區(qū)塊鏈?zhǔn)且婚T(mén)新技術(shù)，其發(fā)展仍然處于初步階段，與之相對(duì)的自身技術(shù)、成長(zhǎng)環(huán)境和配套機(jī)制仍然不夠完善，未來(lái)國(guó)家應(yīng)該從以上三個(gè)方面不斷優(yōu)化升級(jí)新技術(shù)，為區(qū)塊鏈的快速發(fā)展提供良好的發(fā)展環(huán)境，完善相關(guān)法律法規(guī)，建立相關(guān)管理?xiàng)l例，防范惡意違法行為。