區(qū)塊鏈似乎是構(gòu)想中最安全的網(wǎng)絡(luò)之一。盡管如此，最近一群研究人員還是發(fā)現(xiàn)了多處漏洞。

[[223160]]

區(qū)塊鏈 - 全球在線分類賬的網(wǎng)絡(luò) - 真的很安全嗎？它的支持者說是的，因?yàn)樗鼘⒔灰谆蛑悄芎霞s分配給不可變的總賬，可由多方核實(shí)。然而，最近發(fā)表的一篇論文提出了一些漏洞，可能會(huì)導(dǎo)致區(qū)塊鏈條效率低下，黑客攻擊和其他犯罪活動(dòng)。

隨著區(qū)塊鏈日益成為商業(yè)運(yùn)營(yíng)的一部分，需要仔細(xì)研究這種新興技術(shù)帶來的潛在安全責(zé)任。隨著分散應(yīng)用數(shù)量的增長(zhǎng)，“區(qū)塊鏈的隱私泄露風(fēng)險(xiǎn)將更加嚴(yán)重”，Li及其合著者稱。“分散的應(yīng)用程序本身以及應(yīng)用程序和互聯(lián)網(wǎng)之間的通信過程都面臨著隱私泄露風(fēng)險(xiǎn)。” 他們敦促更多地采用技術(shù)來應(yīng)對(duì)這一挑戰(zhàn)：“代碼混淆，應(yīng)用強(qiáng)化和執(zhí)行可信計(jì)算”。

[[223161]]

研究人員用區(qū)塊鏈概述了關(guān)鍵的已知風(fēng)險(xiǎn)因素：

區(qū)塊鏈效率：對(duì)于初學(xué)者來說，區(qū)塊鏈本身的效率可能會(huì)因復(fù)雜的共識(shí)機(jī)制和無效數(shù)據(jù)而變得過載。李和他的共同作者指出，互聯(lián)網(wǎng)上采用的共識(shí)機(jī)制是計(jì)算資源巨頭。例如，區(qū)塊鏈中使用的最流行的共識(shí)機(jī)制是工作證明（Proof of Work），研究人員稱之為“浪費(fèi)計(jì)算資源”。他們表示，正在努力開發(fā)結(jié)合PoW和證明權(quán)益（PoS）的更高效和混合的共識(shí)機(jī)制。另外，區(qū)塊鏈會(huì)產(chǎn)生大量的數(shù)據(jù) - 區(qū)塊信息，交易數(shù)據(jù)，合同字節(jié)碼 - 可能已經(jīng)過時(shí)并且毫無用處。“在Ethereum中有很多不包含代碼或完全相同的代碼的智能合約，許多智能合約在部署后從未執(zhí)行。 

“51％的脆弱性：”區(qū)塊鏈“依賴于分布式共識(shí)機(jī)制來建立互信。然而，共識(shí)機(jī)制本身具有51％的脆弱性，攻擊者可以利用它來控制整個(gè)區(qū)塊鏈，更確切地說，在基于PoW的區(qū)塊鏈，如果單個(gè)礦工的散列能力占整個(gè)區(qū)塊鏈總散列能力的50％以上，那么51％的攻擊可能會(huì)啟動(dòng)，因此，集中在少數(shù)采礦池的采礦能力可能會(huì)導(dǎo)致對(duì)不經(jīng)意的情況，比如單個(gè)池控制著超過一半的計(jì)算能力。“

私鑰安全性：“在使用區(qū)塊鏈時(shí)，用戶的私鑰被認(rèn)為是由用戶而不是第三方機(jī)構(gòu)生成和維護(hù)的身份和安全證書，例如，在比特幣區(qū)塊鏈中創(chuàng)建冷庫(kù)時(shí)，用戶必須導(dǎo)入他/她的私鑰。“ 攻擊者可以“恢復(fù)用戶的私鑰，因?yàn)樗诤灻^程中不會(huì)產(chǎn)生足夠的隨機(jī)性。一旦用戶的私鑰丟失，將無法恢復(fù)。由于區(qū)塊鏈不依賴任何集中的第三方如果用戶的私鑰被盜，很難跟蹤犯罪行為并恢復(fù)修改后的區(qū)塊鏈信息。“ 

犯罪活動(dòng)。“通過一些支持比特幣的第三方交易平臺(tái)，用戶可以購(gòu)買或出售任何產(chǎn)品。由于此過程是匿名的，因此很難追蹤用戶的行為，更不用說受到法律制裁。” 比特幣頻繁的犯罪活動(dòng)包括勒索軟件，地下市場(chǎng)和洗錢。

雙重支出。“雖然區(qū)塊鏈的共識(shí)機(jī)制可以驗(yàn)證交易，但仍不可能避免雙重支出，或者多次使用相同的加密貨幣進(jìn)行交易。攻擊者可利用兩筆交易啟動(dòng)和確認(rèn)之間的中間時(shí)間快速發(fā)起攻擊。 “

交易隱私泄露。“不幸的是，區(qū)塊鏈中的隱私保護(hù)措施并不穩(wěn)健，”李和他的共同作者說。“刑事智能合同可以促進(jìn)泄露機(jī)密信息，盜竊密鑰和各種現(xiàn)實(shí)世界的犯罪（例如謀殺，縱火，恐怖主義等）”

[[223162]]

智能合約中的漏洞。“作為在區(qū)塊鏈中運(yùn)行的程序，智能合約可能存在程序缺陷導(dǎo)致的安全漏洞。” 例如，一項(xiàng)研究發(fā)現(xiàn)，在19,366個(gè)以太坊智能合約中，有8,833個(gè)易受諸如交易順序依賴性，時(shí)間戳依賴性，無法處理的例外情況和重新入侵脆弱性等缺陷的影響。“

欠佳優(yōu)化的智能合約：“當(dāng)用戶與部署在以太坊的智能合約進(jìn)行交互時(shí)，會(huì)收取一定數(shù)量的”天然氣“，天然氣可以通過以太坊的加密貨幣”以太“進(jìn)行交換，導(dǎo)致”無用與代碼相關(guān)的模式“和”與循環(huán)相關(guān)的模式“。這包括”死循環(huán)中的死代碼，不透明謂詞和昂貴的操作“。

價(jià)格低廉的操作：“以太坊根據(jù)執(zhí)行時(shí)間，帶寬，內(nèi)存占用率和其他參數(shù)來設(shè)置氣體價(jià)值，一般來說，氣體價(jià)值與操作消耗的計(jì)算資源成正比，但難以準(zhǔn)確測(cè)量單個(gè)操作的計(jì)算資源消耗，因此一些氣體值沒有適當(dāng)設(shè)置，例如，某些IO操作的氣體值設(shè)置得太低，因此這些操作可以在一個(gè)事務(wù)中大量執(zhí)行。這樣，攻擊者就可以啟動(dòng)對(duì)以太坊的拒絕服務(wù)攻擊。“