區(qū)塊鏈的出現(xiàn)與走熱似乎為解決企業(yè)之間的信任問(wèn)題提供了一條新通路。但你可能不知道的是，由于自身設(shè)計(jì)缺陷，區(qū)塊鏈卻存在了6個(gè)攻擊面，可誘發(fā)安全風(fēng)險(xiǎn)。

[[243817]]

區(qū)塊鏈的6個(gè)攻擊面

區(qū)塊鏈?zhǔn)且惶卓捎涗浭聞?wù)、交易的分布式帳本，該技術(shù)除了擁有分布式特性，其去中心化、無(wú)法篡改特性也令其與眾不同。然而現(xiàn)階段大眾對(duì)區(qū)塊鏈的熱情正在從概念層面轉(zhuǎn)移到技術(shù)層面。因此，對(duì)于區(qū)塊鏈本身是否值得信賴、鏈上鏈下如何錨定、如何有效治理區(qū)塊鏈等問(wèn)題，顯然還需展開深入實(shí)踐才行。

相信在不少宣傳口徑中，你一定聽(tīng)過(guò)區(qū)塊鏈?zhǔn)前踩恼f(shuō)法。比如區(qū)塊鏈的鏈上數(shù)據(jù)公開透明并且可溯源，由于其分布式機(jī)制，還有效能防止數(shù)據(jù)上鏈后被篡改，所以它能保障數(shù)據(jù)的安全。但實(shí)際上，區(qū)塊鏈技術(shù)設(shè)計(jì)中自身就存在著一定的安全隱患，如51%攻擊性問(wèn)題、雙花問(wèn)題、惡意攻擊等，而這些技術(shù)本身存在的問(wèn)題，都能打破區(qū)塊鏈安全的“神話”。如果根據(jù)區(qū)塊鏈架構(gòu)來(lái)劃分，其攻擊層面實(shí)際可以分為6個(gè)，主要包括了：

• 應(yīng)用層
• 合約層
• 激勵(lì)層
• 共識(shí)層
• 網(wǎng)絡(luò)層
• 數(shù)據(jù)層

三大層面安全問(wèn)題凸顯

實(shí)際上，在上面提到的每個(gè)層面上都會(huì)存在一些風(fēng)險(xiǎn)點(diǎn)，而目前最易出現(xiàn)問(wèn)題的有應(yīng)用層、合約層和數(shù)據(jù)層，急需引發(fā)業(yè)內(nèi)人士關(guān)注。

比如，應(yīng)用層可分為交易所、礦機(jī)、礦池、錢包等。交易所往往會(huì)面臨比較傳統(tǒng)的外部安全問(wèn)題，以及業(yè)務(wù)方面安全問(wèn)題。礦機(jī)主要是可遭受遠(yuǎn)程弱口令登陸問(wèn)題，而礦池則存在可被偽造的問(wèn)題，還有錢包的安全問(wèn)題等等，不一而足。

而合約層面臨的問(wèn)題也很多，比如相對(duì)熟知的智能合約。截至目前，針對(duì)智能合約所發(fā)生的攻擊次數(shù)已多達(dá)21次，累計(jì)造成了10億美金的損失。雖然智能合約的代碼邏輯比較簡(jiǎn)單，但卻可以造成巨大的經(jīng)濟(jì)損失。安全專家在對(duì)當(dāng)前以太坊網(wǎng)絡(luò)上現(xiàn)存合約做全面排查后，總共發(fā)現(xiàn)有160多個(gè)合約漏洞，其中有大量還未被公開的漏洞。

數(shù)據(jù)層則往往面臨惡意信息攻擊、資源濫用攻擊等威脅。由于區(qū)塊數(shù)據(jù)是分布在多個(gè)節(jié)點(diǎn)上的鏈?zhǔn)浇Y(jié)構(gòu)數(shù)據(jù)，節(jié)點(diǎn)與節(jié)點(diǎn)之間的交互變化記錄到區(qū)塊中，然后各節(jié)點(diǎn)間同步完整的區(qū)塊數(shù)據(jù)。但隨著時(shí)間的推移，區(qū)塊數(shù)據(jù)可能會(huì)爆炸式增長(zhǎng)，也有可能被寫入惡意信息，如病毒特征碼，都可能導(dǎo)致整個(gè)鏈條存在威脅。今年5月份，就有因?yàn)楣粽叽鄹牧藚^(qū)塊鏈生成時(shí)間，導(dǎo)致挖礦難度下降的事件，讓劫持整條主鏈成為可能，最終致使攻擊者獲取到大量代幣。

4方面化解不安因素

為了確保區(qū)塊鏈系統(tǒng)安全，可以參照美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架，從戰(zhàn)略層面、一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度出發(fā)，進(jìn)而構(gòu)建識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)核心組成部分，以感知、阻斷區(qū)塊鏈風(fēng)險(xiǎn)和威脅。

[[243818]]

除此之外，也可區(qū)塊鏈技術(shù)自身特點(diǎn)重點(diǎn)關(guān)注算法、共識(shí)機(jī)制、使用及設(shè)計(jì)上的安全，包括針對(duì)上述6個(gè)層面的問(wèn)題逐一解決。

具體為：在算法安全上，對(duì)核心算法代碼進(jìn)行嚴(yán)格、完整測(cè)試的同時(shí)進(jìn)行源碼混淆，增加黑客逆向攻擊的難度和成本。在共識(shí)機(jī)制上，使用更有效的共識(shí)算法和策略。在使用安全性上，可管控私鑰生成，對(duì)其存儲(chǔ)進(jìn)行保護(hù)，加密存儲(chǔ)敏感數(shù)據(jù)等手段，來(lái)降低私鑰泄露可能性。而在機(jī)制設(shè)計(jì)上，確保完善的功能設(shè)計(jì)優(yōu)化。

結(jié)語(yǔ)

雖然區(qū)塊鏈技術(shù)面臨了上述6個(gè)層面上的安全問(wèn)題困擾，但其所帶來(lái)的積極意義亦不容抹殺。相信未來(lái)通過(guò)合規(guī)嚴(yán)謹(jǐn)?shù)募夹g(shù)規(guī)劃與演進(jìn)，企業(yè)與組織還是可以借助區(qū)塊鏈技術(shù)中的優(yōu)勢(shì)特性，進(jìn)而拓展出更為安全高效的商業(yè)模式來(lái)的。