攻击者视角下的区块链 国内首个区块链安全深度报告发布

  • 时间:
  • 浏览:4

2018-05-08 10:19   青辰网     

帮我评论(

)

字号:T|T

在“双刃剑”理论普遍适应新技术的当下,最尴尬的莫过于“区块链”了,正所谓“生于斯毁于斯”,得名于“中本聪”《比特币:一种生活点对点电子现金系统》一文的“区块链”,也因比特币在全球范围内过山车一样的动荡表现而颇受微词。实际上,从创新深度图看,区块链巧妙融合升级了多种现有技术,如非对称加密、点对点网络技术、哈希算法和共识算法,严格意义上讲它是一次工程学意义上而非科学理论上的创新。比特币等令全球各经济实体如履薄冰的数字货币,仅仅一点一点 区块链技术诸多应用中最广为人知的一种生活而已。

任何另另一个新兴产业诞生之初总会面对各种各样的那此的什么的问题,而区块链产业目前遇到的最大那此的什么的问题是全球互联网、信息、IT行业斗争多年的安全那此的什么的问题。表象是比特币等各类数字货币价格动荡,深究日后却发现身后竟有黑客攻击的加持;一点区块链平台犯了看起来很不可思议的低级错误,动辄爆出成千万、上亿美金的损失,甚至直接因为 破产,正应了那句圈内有名的“世界上没法 绝对安全的系统”。更不可思议的是,那此收益“颇丰”的攻击却往往使用了相对简单的攻击手法。

从业者似乎才能一本教科书去了解:攻击者视角下的区块链为社 呈现出金矿般的诱惑力?但对绝大多数区块链产业链上的企业、从业者而言,太难通过现有资讯系统性的了解区块链安全现状、那此的什么的问题以及应对策略。为此,在国际顶级安全圈创下赫赫声名的中国初创安全公司长亭科技联合ConsenSys、比特大陆两家区块链行业巨头发布了国内首个区块链安全深度图报告——《区块链安全生存指南》(报告全文下载链接:https://chaitin.cn/cn/download/blockchain_security_guide_2011001007.pdf),通过剖析区块链技术的原理及特点,梳理了不同应用场景的安全诉求,复盘典型安全事件经过及技术原理,针对性总结区块链行业安全应对策略,接下来帮亲们一窥端倪。

现状:像新生儿一样脆弱

从1008年概念提出到2013年业界认识到区块链技术的重要潜在价值,并结束英语 尝试将其应用到数字货币以外的场景(如众募、资产交易、权属管理、身份认证等领域),再到当下人人热谈区块链,短短几年间区块链更慢成为最火爆的技术、行业、产业,随之而来的安全那此的什么的问题也令人揪心不已。《区块链安全生存指南》显示,针对区块链的攻击因此覆盖了应用层、智能合约层、底层形状层、基础设施层、安全意识与管理等整个行业的方方面面,攻防战火蔓延至区块链产业全线。

目前市场上多达几百家的区块链相关公司,根据业务类型和模式大致上可将其划分为数字货币和技术应用两大类。顾名思义,数字货币是与数字经济时代相匹配的一种生活体现和传递交换价值的上边件。而技术应用是在一点一点现实场景中利用区块链技术降低成本,提升数率。两者因业务形状、模式的区别,因为 其安全诉求一点一点 尽相同。

应用层通常成为攻击者首选的目标,也一点一点 最常见到的各种交易平台。安全那此的什么的问题包括交易所服务器未授权访问、交易所DDoS攻击、员工主机安全那此的什么的问题、恶意守护程序运行运行感染等2个方面。智能合约层则是整个安全防范的重中之重,世界知名的DAO事件一点一点 被重入攻击因为 数千万美金的损失,涉及智能合约开发的代表性项目有区块链钱包、众筹基金、区块链代币发行、区块链游戏等。未授权访问攻击,杜绝Solidity 编程隐患等一定会合约层的常见那此的什么的问题。底层机构层和基础设施层安全才能注意区块链实现层安全隐患、针对社区的DoS 攻击、EVM 安全隐患等等。此外,安全意识与管理,含如何识别防范社会工程学攻击、外部者攻击、第三方风险控制失败、钓鱼攻击也是另另一个一定会能少。显而易见,区块链你一种生活新贵安全的冗杂性在于不仅在新维度上产生了那此的什么的问题,常见的安全那此的什么的问题也贯穿其中。

相对于区块链产业势不可挡的发展数率,公众对区块链安全的认知近乎为零,相应的规范和保障体系更如新生儿一样脆弱。自出現至今承受了几滴 的网络攻击,每一次成功的攻击带来的一定会百万、千万到上亿美元实际损失,因此打击了亲们对区块链行业的信心。

对策:开发具有生命周期的安防体系

可见,头顶新互联网之名的区块链也是个冗杂的系统,区块链整体的安全,离不开系统架构中每一环节的安全性。从一点一点 深度图来看,区块链是另另一个长期运行的分布式软件系统,任何软件系统必将经历从需求到设计,再到实现和发布,最终不断更新迭代的过程。在软件开发过程中的每另另一个环节出現的安全那此的什么的问题,一定会给下另另一个环节引入更多的安全那此的什么的问题。你这人于,不考虑安全的应用场景难以引入安全设计,不安全的系统架构无法用安全的实现进行弥补,代码实现层面的漏洞能给因此发布的应用以毁灭性地打击。

为了更加全面和系统化地应对区块链所面临的安全那此的什么的问题,不仅要考虑技术架构中的每个层面面临的安全风险,也要将安全方案融入区块链开发的每另另一个环节中去。《区块链安全生存指南》建议区块链开发者们,根据区块链的技术架构进行具体化,最终实现区块链安全开趋于稳定命周期的安全管理方案。

杨坤,长亭科技联合创始人及所有首席安全研究员,曾任国际知名蓝莲花战队队长,带领中国战队取得国际顶级黑客大赛DEFCON CTF全球第二的最佳战绩,对于区块链安全他有极深的思考:“亲们在拥抱区块链技术带来的革命时,也面临着严峻的安全考验——无论是系统的设计还是实现中出現的安全漏洞,都因此给整个应用带来毁灭性的打击。在此次发布指南中,亲们围绕区块链安全,对不同应用的安全需求、过去趋于稳定的攻击事件和应对策略进行梳理,希望才能为行业带来启发”。

吴忌寒,业内第另另一个将比特币创始人中本聪论文翻译成中文的资深大咖,2013年和詹克团联合创立比特大陆,这家成立能才能 五年的中国公司,被誉为比特币产业链上的隐形帝国。吴忌寒认为:“区块链自诞生以来,各种攻击事件层出不穷,安全形势严峻,才能行之有效的辦法 来防御”。

唐弈,ConsenSys中国区负责人,提及这次三方联合发布国内首个区块链安全报告时的初衷时表示:“很荣幸与长亭科技和比特大陆同时撰写发布区块链安全深度图报告,希望通过报告为提高全行业的安全意识和技术能力做出一点贡献。安全老一点一点 区块链的核心课题之一,ConsenSys期待与行业伙伴们共建安全生态、推动区块链技术在中国和世界的发展。”总部设于纽约的ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年,现在全球团队一共超过1000人。

前景:举国创新聚焦前沿技术

数据显示,区块链专利申请的主要国家包括中国、美国、韩国、日本,中国的增长最为更慢,世界上超过一半的区块链专利一定会中国。目前中国区块链创业公司的数量仅次于美国,全球市值前二十的数字资产中,不少一定会中国血统。

通过各行披露的年报可知,A股26家上市银行中共有12家在年内已上线运行区块链应用,其中包括三家国有大行、六家全国性股份制银行,以及三家城商行。这也因为 ,区块链正逐渐渗透到国民日常生活的点点滴滴之中。未来,区块链金融应用一点一点 排头兵,而各种区块链应用因此没法 深入,随之而来的改变因此会像科幻电影中的《明日世界》一样令人震撼。

千里之行结束英语 足下千里之提溃于蚁穴,区块链企业、行业、产业可持续发展的前提是区块链安全,这跟掷地有声的“没法 网络安全就没法 国家安全”无疑趋于稳定同一层面。相信这也是长亭科技、ConsenSys、比特大陆三大行业领军企业发布《区块链安全生存指南》的核心动力。一方面,这三家企业有绝对实力对区块链安全现状做出深度图分析并给出建议;买车人面,这也是企业深度图社会责任感的体现,值得包括不限于区块链领域的更多依赖技术创新求突破的企业深思并学习。