昨天下午,币乎宕机了,尽管币乎才上线几天,每天不停地刷币乎已然成为了一种习惯。大家都在猜测原因,是服务器出问题了吗?是遭黑客攻击了吗?
身为位信息安全出身的资深工程师,本能地思考了一下当下区块链技术中到底存在哪些安全问题。
区块链使用被黑的可能性,是应被首要考虑的安全问题。谁能忘掉2016年8月形成价值7.3亿美元的比特币被盗的Bitfinex黑客事件呢?美国科技博客TechCrunch写道:“该黑客事件的发作原因至今不甚明朗。咱们所知道的,仅仅是该公司的多签名账户被黑了。”
事实上,最近几年,全球范围内曾经发生过多起比特币被盗的重大事件。
2017年12月19日,韩国加密货币交易所Youbit在遭到今年的第二次黑客入侵后,交易所将关闭,公司将申请破产;
2017年12月6日,加密货币挖矿市场NiceHash声称被盗,损失估计6200万美元比特币;
2017年11月8日,以太坊Parity钱包再出现重大bug,多重签名漏洞恐已导致上亿美元资金被冻结;
2016年8月4日,香港的比特币交易所 Bitfinex 遭黑客入侵,多达119,756BTC被盗。
这样的类似事件,在全球范围内,发生的次数已经数不胜数。
那么,区块链技术在给我带来了类似于币乎这样有颠覆性的应用的同时,面临哪些安全挑战呢?
1、协议安全风险
区块链无论使用何种共识机制,都面临着一定程度的协议攻击问题。当区块链的底层协议需要更新时,会出现某些节点无法获取新版本或无法及时获取新版本的我呢提,导致不同节点运行的协议版本不一致,进而带来硬分叉与软分叉的问题。分叉可能会影响整个区块链系统的一致性,违背区块链的防篡改性。
数据安全风险
目前区块链上传输和存储的交易数据都是公开透明的。比特币通过分隔开交易地址和地址持有人真实身份的关联这种“伪匿名”方式对交易双方的身份信息进行了一定的隐私保护。然而随着反匿名身份甄别技术和大数据技术的发展,通过数据整合分析仍然可以发现账户与交易的关联性,造成用户隐私泄露。另外,在公有链中,所有交易数据公开透明,如果私人信息被不法分子获取,可能会出现诈骗。
3、使用安全风险
区块链上的信息具有不可篡改性,这是以私钥安全为前提的。目前普遍采用的私钥存储方案是由区块链系统中每个用户自行将私钥加密后保管在用户设备上,但是无法抵抗攻击者在获取用户设备后对其使用的离线字典攻击,因此区块链面临私钥被窃取的风险,私钥一旦丢失即无法找回,用户将无法对账户资产做任何操作,导致资产被盗。
系统安全风险
区块链技术中使用了各种密码学技术,在实现过程中出现错误是难以避免的。2016年10月,国家互联网应急中心发布《开源软件源代码安全漏洞分析报告-区块链专题》中指出,主流区块链开源软件检测出很多高危漏洞,可能会导致系统运行异常、崩溃、也可能实现越权访问、窃取隐私信息等。同时,智能合约语言自身与合约设计都可能存在漏洞,如关于以太坊,目前已知存在交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更持久。
区块链的技术优势为其带来了良好的发展前景,作为一项新兴技术,在其技术和应用的发展过程中,关注区块链存在的各种风险,如何通过技术和管理手段加以应对,如何挖掘和完善新技术的优势并不断破除安全局限,也许是下阶段需要思考的问题。
网友评论