區(qū)塊鏈似乎是構(gòu)想中最安全的網(wǎng)絡(luò)之一。盡管如此，最近一群研究人員還是發(fā)現(xiàn)了多處漏洞。

[[223160]]

區(qū)塊鏈 - 全球在線分類賬的網(wǎng)絡(luò) - 真的很安全嗎？它的支持者說是的，因為它將交易或智能合約分配給不可變的總賬，可由多方核實。然而，最近發(fā)表的一篇論文提出了一些漏洞，可能會導(dǎo)致區(qū)塊鏈條效率低下，黑客攻擊和其他犯罪活動。

隨著區(qū)塊鏈日益成為商業(yè)運營的一部分，需要仔細(xì)研究這種新興技術(shù)帶來的潛在安全責(zé)任。隨著分散應(yīng)用數(shù)量的增長，“區(qū)塊鏈的隱私泄露風(fēng)險將更加嚴(yán)重”，Li及其合著者稱。“分散的應(yīng)用程序本身以及應(yīng)用程序和互聯(lián)網(wǎng)之間的通信過程都面臨著隱私泄露風(fēng)險。” 他們敦促更多地采用技術(shù)來應(yīng)對這一挑戰(zhàn)：“代碼混淆，應(yīng)用強化和執(zhí)行可信計算”。

[[223161]]

研究人員用區(qū)塊鏈概述了關(guān)鍵的已知風(fēng)險因素：

區(qū)塊鏈效率：對于初學(xué)者來說，區(qū)塊鏈本身的效率可能會因復(fù)雜的共識機制和無效數(shù)據(jù)而變得過載。李和他的共同作者指出，互聯(lián)網(wǎng)上采用的共識機制是計算資源巨頭。例如，區(qū)塊鏈中使用的最流行的共識機制是工作證明（Proof of Work），研究人員稱之為“浪費計算資源”。他們表示，正在努力開發(fā)結(jié)合PoW和證明權(quán)益（PoS）的更高效和混合的共識機制。另外，區(qū)塊鏈會產(chǎn)生大量的數(shù)據(jù) - 區(qū)塊信息，交易數(shù)據(jù)，合同字節(jié)碼 - 可能已經(jīng)過時并且毫無用處。“在Ethereum中有很多不包含代碼或完全相同的代碼的智能合約，許多智能合約在部署后從未執(zhí)行。 

“51％的脆弱性：”區(qū)塊鏈“依賴于分布式共識機制來建立互信。然而，共識機制本身具有51％的脆弱性，攻擊者可以利用它來控制整個區(qū)塊鏈，更確切地說，在基于PoW的區(qū)塊鏈，如果單個礦工的散列能力占整個區(qū)塊鏈總散列能力的50％以上，那么51％的攻擊可能會啟動，因此，集中在少數(shù)采礦池的采礦能力可能會導(dǎo)致對不經(jīng)意的情況，比如單個池控制著超過一半的計算能力。“

私鑰安全性：“在使用區(qū)塊鏈時，用戶的私鑰被認(rèn)為是由用戶而不是第三方機構(gòu)生成和維護的身份和安全證書，例如，在比特幣區(qū)塊鏈中創(chuàng)建冷庫時，用戶必須導(dǎo)入他/她的私鑰。“ 攻擊者可以“恢復(fù)用戶的私鑰，因為它在簽名過程中不會產(chǎn)生足夠的隨機性。一旦用戶的私鑰丟失，將無法恢復(fù)。由于區(qū)塊鏈不依賴任何集中的第三方如果用戶的私鑰被盜，很難跟蹤犯罪行為并恢復(fù)修改后的區(qū)塊鏈信息。“ 

犯罪活動。“通過一些支持比特幣的第三方交易平臺，用戶可以購買或出售任何產(chǎn)品。由于此過程是匿名的，因此很難追蹤用戶的行為，更不用說受到法律制裁。” 比特幣頻繁的犯罪活動包括勒索軟件，地下市場和洗錢。

雙重支出。“雖然區(qū)塊鏈的共識機制可以驗證交易，但仍不可能避免雙重支出，或者多次使用相同的加密貨幣進行交易。攻擊者可利用兩筆交易啟動和確認(rèn)之間的中間時間快速發(fā)起攻擊。 “

交易隱私泄露。“不幸的是，區(qū)塊鏈中的隱私保護措施并不穩(wěn)健，”李和他的共同作者說。“刑事智能合同可以促進泄露機密信息，盜竊密鑰和各種現(xiàn)實世界的犯罪（例如謀殺，縱火，恐怖主義等）”

[[223162]]

智能合約中的漏洞。“作為在區(qū)塊鏈中運行的程序，智能合約可能存在程序缺陷導(dǎo)致的安全漏洞。” 例如，一項研究發(fā)現(xiàn)，在19,366個以太坊智能合約中，有8,833個易受諸如交易順序依賴性，時間戳依賴性，無法處理的例外情況和重新入侵脆弱性等缺陷的影響。“

欠佳優(yōu)化的智能合約：“當(dāng)用戶與部署在以太坊的智能合約進行交互時，會收取一定數(shù)量的”天然氣“，天然氣可以通過以太坊的加密貨幣”以太“進行交換，導(dǎo)致”無用與代碼相關(guān)的模式“和”與循環(huán)相關(guān)的模式“。這包括”死循環(huán)中的死代碼，不透明謂詞和昂貴的操作“。

價格低廉的操作：“以太坊根據(jù)執(zhí)行時間，帶寬，內(nèi)存占用率和其他參數(shù)來設(shè)置氣體價值，一般來說，氣體價值與操作消耗的計算資源成正比，但難以準(zhǔn)確測量單個操作的計算資源消耗，因此一些氣體值沒有適當(dāng)設(shè)置，例如，某些IO操作的氣體值設(shè)置得太低，因此這些操作可以在一個事務(wù)中大量執(zhí)行。這樣，攻擊者就可以啟動對以太坊的拒絕服務(wù)攻擊。“