安全技术助力区块链的应用落地

本篇文章3774字，读完约9分钟

块链技术是集成分布式技术、密码学、数据存储等技术的融合创新。它于2008年与比特币同时出现，经过十年的发展，已经被越来越多的人所理解和接受。如今，除了各种数字现金之外，区块链技术已经逐渐被引入到金融等各个行业的应用场景中。在区块链技术的发展和应用过程中，本文将简要分析和介绍已经出现和将要出现的安全问题，以及需要的安全解决方案。

一、当前数字现金的安全形势

目前，区块链最常见的应用包括各种数字现金，而数字现金中几乎所有的账户钱包、交易所和资金池都受到了不同程度的黑客攻击。

Ethereum开源软件的已知漏洞包括可靠漏洞、短网址漏洞、事务顺序依赖、时间戳依赖、重入攻击等。2016年6月17日，区块链行业最大的众筹项目“道”(在被攻击前资产约为1亿美元)遭到攻击，导致300多万欧元的资产从“道”资产池中分离出来。2017年11月8日，一个重大漏洞出现在以太网的平价钱包中，多重签名漏洞被黑客利用，导致数亿美元资金被冻结。

coinbase和blockchain.info等密码钱包的网页注入漏洞，使得恶意软件在用户访问被恶意软件感染的网站时检测到用户的访问活动，在后台悄悄注入混淆的恶意脚本，然后修改目标页面的呈现内容。这样，当用户登录时，他的凭据信息将被发送到攻击者控制的服务器。攻击者获得目标用户的凭证数据后，将使用该数据访问用户帐户，并修改欺诈交易的相应安全设置。

分类帐硬件钱包微控制器B缺乏认证机制，这使得研究人员能够绕过这种保护机制，在分类帐产品中运行恶意代码。然后使用恶意软件更新分类帐设备并窃取交易私钥，然后研究人员就可以获得目标用户密码货币帐户中的所有数字现金。

2017年12月初，全球最大的密码货币开采市场尼塞哈什的官方团队宣布，该平台因安全漏洞被盗，平台关闭超过24小时，导致约6200万美元的比特币损失。之后，尼塞沙什宣布了补偿计划，补偿从2018年2月2日开始。受安全漏洞影响的用户的所有旧帐户将仅获得10%的资金损失补偿。

《区块链:新经济蓝图》一书展望了区块链的发展方向:区块链1.0是加密货币或其相关的数字支付系统，区块链2.0包括应用于金融、市场、金融等领域的智能合同，区块链3.0的概念是区块链在管理、医疗等基础服务等其他更广泛领域的应用。

在区块链技术发明之初，发明者设计通过无限制自由生成的交易地址来实现用户的匿名性和交易的不可追踪性，从而实现强大的隐私保护。然而，近年来的研究发现，由于区块链数据的开放性，可以通过分析大量的交易和网络数据来设计各种匿名方案，因此有必要防止恶意攻击者以这种方式分析个人隐私数据。同时，由于区块链上的记录不能被修改，一旦交易被记录下来，它将永远存在，并且是公开和分发的。因此，区块链技术，尤其是公共链和联盟链，在未来将真正登陆各个行业，这将不可避免地伴随着个人和企业数据安全边界的重新建立，并有许多困难需要解决。

二，简要分析安全问题

1)账户安全

账户是虚拟世界中用户实体的代表，其安全性的重要性不言而喻。区块链的账户安全性主要体现在节点私钥的安全性上。为了提高用户的便利性，一些数字现金交换机在交换系统中采用托管用户私钥的方式，这也增加了交换机受到攻击后泄露用户私钥的风险和交换人员自我防范的风险。为了增强安全性，一些用户使用离线冷钱包进行存储。因此，在实际应用中应考虑安全性和便利性之间的权衡。

2)密码算法安全性

由于许多密码算法在区块链使用，很容易导致不安全或不符合标准的算法或不合理的使用。如果采用一些安全性无法再得到保证的算法，如不再安全的哈希算法，可能会发生哈希冲突攻击。在使用密码技术的过程中，还会出现安全问题，如Ethereum中的走私漏洞，这是由未经身份验证的敏感rpc api服务和存在一定的解锁操作时间造成的。

3)协议安全性

权力一致机制容易受到51%攻击。51%的计算能力攻击一度被认为难以实现。随着矿池的出现，2014年6月，一个名为ghash.io的矿池曾经拥有整个网络51%的计算能力。因此，51%计算能力攻击的威胁始终存在并且可能发生。在利益证明类的共识机制(pos，dpo)中，仍然没有什么利害关系。投票节点可能会做出影响原始判断的决策，因为他们私下接受贿赂，这导致了选择分歧的偏差。在bft一致性机制中，一致性协议能否做出正确的判断取决于网络中恶意节点的数量。一旦拜占庭故障节点超过阈值或被某个实体控制，交易就可能受阻，甚至被迫接受恶意交易。Zk-snark，zcash使用的零知识证明机制，将在初始参数设置阶段生成绝对机密的随机信息。拥有这些初始化的随机信息会欺骗验证者，因此有必要确保过程的绝对保密性和安全性以及拥有这些初始信息实体的绝对可信度。区块链共识协议能否保证真正的安全需要更严格的证明和时间考验。

4)编码安全性

区块链工业经常说代码就是法律。如上所述，无论是区块链的底层系统，还是数字现金证券交易所等相关系统，在代码执行过程中总会存在这样的软硬件漏洞，带来的攻击层出不穷，大大增加了数字现金所有者财产被盗和区块链行业应用的安全风险

5)隐私保护

目前，主要国家都颁布了法律法规，对数据和隐私保护做出了具体要求。例如，欧盟即将实施的《数据保护总条例》要求数据主体享有删除和遗忘的权利，同时还对数据泄露的处理做出了具体规定。中国相应的数据隐私保护法律和《公安机关网络安全监督检查条例》也在制定和征求意见过程中，并将对数据泄露进行问责和处罚。

由于区块链一个节点的业务数据为所有节点所拥有和见证的技术特点，用户在使用区块链系统时往往担心竞争对手或其他实体会得到他们的敏感数据。因此，对于区块链应用系统来说，随着行业应用的普及，将会面临相当多的安全隐患和数据安全违规风险。

6)监督

据报道，德国研究人员最近在一些不可撤销的比特币区块中发现了涉及虐待儿童和色情内容。这导致了区块链体系的监督问题。大量的块被依次连接，如何监控内容，如何处理恶意内容，如何跟踪非法交易等等，也是迫切需要解决的问题。

第三，应对策略

目前，区块链技术正处于蓬勃发展的状态，各种技术架构和应用场景层出不穷。与此同时，区块链技术始终拥有性能能耗、分散(多中心)以及数据安全和隐私保护这三个不可能的三位一体。自诞生以来，区块链科技一直在自我优化。目前，各行各业对网络安全的要求已经逐渐具体化，因此在构建各种区块链应用系统时有许多安全问题需要考虑。邦邦安全在2016年开始研究和规划区块链安全。随着研究的深入和对行业发展的不间断跟踪，已经积累了许多可行的区块链安全解决方案和有针对性的安全产品，并已应用到一些区块链企业的安全防护中。

1)节点密钥保护技术

保护节点私钥。根据业务特点，采用密钥白盒、代码混淆、密钥协同托管等技术在提供便利的同时保证安全性，或者采用满足相关技术要求的tee(可信执行环境)和硬件安全芯片等安全性更高的解决方案来保证区块链节点的密钥安全性。

2)运营网站安全产品

针对数字现金证券交易所(digital cash Stock Exchange)和矿池(Mine Pool)面临的网页篡改、网站钓鱼、后门植入和ddos攻击等安全问题，提出了包括网站安全咨询与评估服务、网站安全防护、7*24网站安全监控、网站安全应急服务等在内的三维网站安全解决方案。它使企业在上线后能够抵御大部分安全攻击，同时能够通过安全应急服务快速定位和解决安全问题。

3)安全服务

渗透测试:测试数据安全性、代码安全性、组件安全性、业务安全性等。区块链系统通过模拟攻击和手动及自动工具，最后提供渗透测试报告。

安全咨询:基于软件安全开发生命周期(sdlc)，从安全需求、架构设计、安全开发和安全测试的全过程为区块链系统开发提出安全建议和指导，帮助客户提高系统安全性。

安全培训:通过ppt和演示对管理、研发、测试和安全部门进行全面培训。培养顾客的安全意识，提高整体安全水平，帮助建立内部安全流程。

源代码审计:从安全角度对整个区块链系统的代码质量进行审计，找出其安全隐患，并给出安全报告和修复方法，从而提高系统的整体安全水平。

4)数据隐私保护和监管总体方案

根据区块链的技术特点和实际登陆过程中对数据隐私和监管的要求，提出了整体解决方案。根据具体的应用场景，如公共链和联盟链，提出了合适的块数据加密、擦除、遗忘和实体身份隐藏方案。只有参与协商的节点才具有密钥权限，它们自然是可审计的，这尽可能地降低了滥用私钥权限的可能性，并使私钥泄露或滥用造成的损失最小化。在职责分离的方式下，监督系统仅提供授权和审计功能，不参与协商一致协议等具体业务流程，从而确保区块链本身的正常运作和权力下放(多中心)不受影响。

Blockchain是一项可以降低信任成本的开创性技术。但是，通过对层出不穷的安全事件和相关法律法规的分析，我们知道区块链科技还有很多问题需要解决。因此，针对区块链特点的安全技术不仅是区块链技术发展和应用拓展过程中的副产品，也是使区块链这一酷技术真正顺利落地的高效催化剂。一直以来，相关企事业单位都在朝着区块链应用的目标优化区块链技术，在这个过程中面临的安全挑战也是艰巨的。邦邦安全愿与各界同仁一道，为区块链技术在更多领域的成功应用而不懈努力。

来源：搜狐微门户