区块链技术

2018年区块链技术服务行业安全报告

作者:admin 2019-05-09 我要评论

谈到区块链安全,Odaily星球日报认为行业处于“薛定谔的”中间态。攻击事件层出不穷、安防等级难以量化、风控权...

谈到区块链安全,Odaily星球日报认为行业处于“薛定谔的”中间态。攻击事件层出不穷、安防等级难以量化、风控权责不易划分……区块链技术服务生态参与者似乎一直在“成功被黑”和“还没出事”间徘徊。
 
 
区块链技术服务
 
行业中既出现过颇具影响的风险事件:
2016 年 6 月,以太坊最大众筹项目 The DAO 被攻击,黑客获得超过 360 万个ETH(当时价值约 6000 万美元),后直接导致以太坊硬分叉。
 
2017 年 7 月,以太坊多重签名钱包 Parity 出现漏洞,攻击者从多重签名合约中窃取超过 15 万个 ETH(当时价值约 3000 万美元)。
 
2018 年 1 月,日本大型数字货币交易所 Coincheck 遭黑客攻击,平台上价值超过 5.2 亿美元的 NEM(新经币)被非法转移。
 
去中心化系统有经济机制加防,攻击目标分散;中心化系统经历过更严谨的攻防测试,安保级别更高。两者似乎很难横向比较。单聊区块链技术,其安全的边界和维度该如何定义?安全服务企业又能向哪些客户提供何种防护?
 
在区块链技术安全范畴中,既有“传统”互联网世界中存在的漏洞(如 SQL 注入、拒绝服务等),也包含区块链独有的风险点(如智能合约漏洞)。为方便 C 端用户理解,我们在分类时选择站在安全服务公司的视角,即按行业需求(业务场景和攻击点)将区块链安全分类。
 
数字货币交易所、智能合约、钱包、矿池等场景的背后对应着巨额资产,吸引了潜在的攻击者,也是安全服务公司的重点保护对象。
 
传统的合约需要有独立于交易双方的第三方存在,这不可避免地造成交易效率低、成本高。智能合约则利用区块链点对点的技术特性,允许在没有第三方的情况下进行可信、可追踪的交易。
 
然而与传统程序一样,智能合约也存在安全漏洞。虽然以太坊智能合约提升了交易的可信性,但一旦部署就无法修改的特性为攻击者创造了机会。从 2016 年 6 月 The DAO 被盗取 6000 万美元,到 Beautychain 价值归零、Smartmesh 出现类似 BEC 的重大溢出漏洞,再到近期 EOS 漏洞允许恶意合约穿透虚拟机、危害矿工节点……愈加频繁的智能合约漏洞将区块链安全推向风口浪尖。
 
据 BCSEC 数据,2018 年,区块链技术服务行业因智能合约漏洞而引发的经济损失累计为 11.6 亿美元,占区块链安全事故的 54.66%,已超过交易平台事故(37.68%),成为区块链安全的重灾区。区块链因其去中心化、匿名性和金融基因,一旦发生安全问题,后果或比传统互联网更严重。同时,区块链面临的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,又具有一定的独特性。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 孟加拉大学毕业生到国外学习

    孟加拉大学毕业生到国外学习

  • 哪种区块链编程语言最好用?

    哪种区块链编程语言最好用?

  • 银行业如何与区块链技术相结

    银行业如何与区块链技术相结

  • 量子计算与区块链对密码学的

    量子计算与区块链对密码学的