區(qū)塊鏈的出現(xiàn)與走熱似乎為解決企業(yè)之間的信任問題提供了一條新通路。但你可能不知道的是，由于自身設(shè)計缺陷，區(qū)塊鏈卻存在了6個攻擊面，可誘發(fā)安全風險。

[[243817]]

區(qū)塊鏈的6個攻擊面

區(qū)塊鏈是一套可記錄事務(wù)、交易的分布式帳本，該技術(shù)除了擁有分布式特性，其去中心化、無法篡改特性也令其與眾不同。然而現(xiàn)階段大眾對區(qū)塊鏈的熱情正在從概念層面轉(zhuǎn)移到技術(shù)層面。因此，對于區(qū)塊鏈本身是否值得信賴、鏈上鏈下如何錨定、如何有效治理區(qū)塊鏈等問題，顯然還需展開深入實踐才行。

相信在不少宣傳口徑中，你一定聽過區(qū)塊鏈是安全的說法。比如區(qū)塊鏈的鏈上數(shù)據(jù)公開透明并且可溯源，由于其分布式機制，還有效能防止數(shù)據(jù)上鏈后被篡改，所以它能保障數(shù)據(jù)的安全。但實際上，區(qū)塊鏈技術(shù)設(shè)計中自身就存在著一定的安全隱患，如51%攻擊性問題、雙花問題、惡意攻擊等，而這些技術(shù)本身存在的問題，都能打破區(qū)塊鏈安全的“神話”。如果根據(jù)區(qū)塊鏈架構(gòu)來劃分，其攻擊層面實際可以分為6個，主要包括了：

• 應(yīng)用層
• 合約層
• 激勵層
• 共識層
• 網(wǎng)絡(luò)層
• 數(shù)據(jù)層

三大層面安全問題凸顯

實際上，在上面提到的每個層面上都會存在一些風險點，而目前最易出現(xiàn)問題的有應(yīng)用層、合約層和數(shù)據(jù)層，急需引發(fā)業(yè)內(nèi)人士關(guān)注。

比如，應(yīng)用層可分為交易所、礦機、礦池、錢包等。交易所往往會面臨比較傳統(tǒng)的外部安全問題，以及業(yè)務(wù)方面安全問題。礦機主要是可遭受遠程弱口令登陸問題，而礦池則存在可被偽造的問題，還有錢包的安全問題等等，不一而足。

而合約層面臨的問題也很多，比如相對熟知的智能合約。截至目前，針對智能合約所發(fā)生的攻擊次數(shù)已多達21次，累計造成了10億美金的損失。雖然智能合約的代碼邏輯比較簡單，但卻可以造成巨大的經(jīng)濟損失。安全專家在對當前以太坊網(wǎng)絡(luò)上現(xiàn)存合約做全面排查后，總共發(fā)現(xiàn)有160多個合約漏洞，其中有大量還未被公開的漏洞。

數(shù)據(jù)層則往往面臨惡意信息攻擊、資源濫用攻擊等威脅。由于區(qū)塊數(shù)據(jù)是分布在多個節(jié)點上的鏈式結(jié)構(gòu)數(shù)據(jù)，節(jié)點與節(jié)點之間的交互變化記錄到區(qū)塊中，然后各節(jié)點間同步完整的區(qū)塊數(shù)據(jù)。但隨著時間的推移，區(qū)塊數(shù)據(jù)可能會爆炸式增長，也有可能被寫入惡意信息，如病毒特征碼，都可能導致整個鏈條存在威脅。今年5月份，就有因為攻擊者篡改了區(qū)塊鏈生成時間，導致挖礦難度下降的事件，讓劫持整條主鏈成為可能，最終致使攻擊者獲取到大量代幣。

4方面化解不安因素

為了確保區(qū)塊鏈系統(tǒng)安全，可以參照美國國家標準與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架，從戰(zhàn)略層面、一個企業(yè)或者組織的網(wǎng)絡(luò)安全風險管理的整個生命周期的角度出發(fā)，進而構(gòu)建識別、保護、檢測、響應(yīng)和恢復5個核心組成部分，以感知、阻斷區(qū)塊鏈風險和威脅。

[[243818]]

除此之外，也可區(qū)塊鏈技術(shù)自身特點重點關(guān)注算法、共識機制、使用及設(shè)計上的安全，包括針對上述6個層面的問題逐一解決。

具體為：在算法安全上，對核心算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。在共識機制上，使用更有效的共識算法和策略。在使用安全性上，可管控私鑰生成，對其存儲進行保護，加密存儲敏感數(shù)據(jù)等手段，來降低私鑰泄露可能性。而在機制設(shè)計上，確保完善的功能設(shè)計優(yōu)化。

結(jié)語

雖然區(qū)塊鏈技術(shù)面臨了上述6個層面上的安全問題困擾，但其所帶來的積極意義亦不容抹殺。相信未來通過合規(guī)嚴謹?shù)募夹g(shù)規(guī)劃與演進，企業(yè)與組織還是可以借助區(qū)塊鏈技術(shù)中的優(yōu)勢特性，進而拓展出更為安全高效的商業(yè)模式來的。