錢包、智能合約、交易所都不安全 區(qū)塊鏈安全由其最弱一環(huán)決定
區(qū)塊鏈可能是安全的,但與之交互的軟件未必,至少大多數(shù)情況下都不安全。區(qū)塊鏈軟件漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊近年來逐漸增多,從加密貨幣錢包盜竊到智能合約攻擊再到加密貨幣交易所被黑,各種涉區(qū)塊鏈軟件的安全事件層出不窮。
保護(hù)區(qū)塊鏈生態(tài)系統(tǒng)是當(dāng)前最具挑戰(zhàn)性的網(wǎng)絡(luò)安全問題。區(qū)塊鏈本身可能是安全的,但這并不意味著與之交互的所有部分都安全,比如加密貨幣錢包、加密貨幣交易所、挖礦軟件、智能合約。Carbon Black 最近的一份調(diào)查研究表明,僅今年上半年,黑客便盜取了價(jià)值11億美元的加密貨幣。
盡管當(dāng)下區(qū)塊鏈威脅主要集中在公共鏈領(lǐng)域,企業(yè)區(qū)塊鏈勢必也不能獨(dú)善其身。對(duì)公共鏈下手就如此有利可圖,企業(yè)區(qū)塊鏈在黑客眼中就像是一片未開墾的礦山。公共鏈漏洞的成功利用案例將會(huì)引導(dǎo)黑客發(fā)現(xiàn)企業(yè)區(qū)塊鏈中的弱點(diǎn)。
安全學(xué)習(xí)曲線
新技術(shù)意味著新威脅和新的學(xué)習(xí)曲線。任何新技術(shù)都一樣,風(fēng)險(xiǎn)浮現(xiàn)需要時(shí)間,發(fā)展出應(yīng)對(duì)風(fēng)險(xiǎn)的方法也需要時(shí)間。我們已經(jīng)在WiFi技術(shù)上走過了這條曲線,IoT技術(shù)領(lǐng)域的學(xué)習(xí)曲線則仍在描繪中。至于區(qū)塊鏈安全,我們才剛剛踏上學(xué)習(xí)曲線的起始階段。而我們必須盡快探索,因?yàn)閰^(qū)塊鏈的誘惑太大了,鏈上投注了如此之多的金錢,大量攻擊活動(dòng)正蠢蠢欲動(dòng)。
區(qū)塊鏈成為黑客眼中誘人目標(biāo)的部分原因,在于攻擊者利用區(qū)塊鏈變現(xiàn)更加便捷,他們不用轉(zhuǎn)手所盜數(shù)據(jù)即可收獲金錢,直接盜取(虛擬)貨幣本身即可。
最弱一環(huán)
只要整個(gè)區(qū)塊鏈系統(tǒng)不是全無漏洞,攻擊者就總有空子可鉆。與區(qū)塊鏈交互的組件也是用代碼編寫的,而大多數(shù)軟件代碼都有漏洞。CA Veracode 上的代碼掃描每年都能掃出一大批漏洞。最近的數(shù)據(jù)集也顯示77%的應(yīng)用初次掃描就有至少一個(gè)漏洞。這種形勢下,你還會(huì)相信與區(qū)塊鏈互動(dòng)的所有軟件都是安全的?加密貨幣錢包、智能合約、加密貨幣交易所,哪個(gè)值得信任?
就拿加密貨幣交易所和智能合約來說吧。加密貨幣交易所就是用戶兌換加密貨幣的在線平臺(tái)。換句話說,根據(jù)兌換類型,加密貨幣交易所可被視為另一種形式的股票交易所或機(jī)場和銀行的貨幣兌換服務(wù)。
最近幾年發(fā)生過數(shù)起加密貨幣交易所重大安全事件:
- Gox損失了4.8億美元的比特幣
- 2016年Bitfinex遭遇多簽名錢包黑客事件,損失7200萬美元
- Nicehash遭攻擊者網(wǎng)絡(luò)釣魚盜走憑證后損失6300萬美元
Coincheck因使用單因子身份驗(yàn)證的在線錢包存儲(chǔ)所有信息而慘遭攻擊。(這就好像銀行把所有的錢都放到某位出納的抽屜里一樣。)
能夠數(shù)字化驗(yàn)證并促進(jìn)合約簽署和執(zhí)行的智能合約也未能免疫。智能合約中的低級(jí)編程錯(cuò)誤導(dǎo)致大規(guī)模數(shù)據(jù)泄露的事件不是沒有:
- DAO智能合約中的可重入漏洞讓攻擊者抽取了價(jià)值5000萬美元的以太幣。
- Parity錢包訪問控制問題導(dǎo)致價(jià)值3000萬美元的以太幣損失。
不要以為用了區(qū)塊鏈你的交易就是安全的。
區(qū)塊鏈用戶要保護(hù)自身,需從以下四個(gè)基本安全措施做起:
- 別暴露你的私鑰
- 采用雙因子身份驗(yàn)證
- 使用加密貨幣交易平臺(tái)時(shí)別公開任何電子郵箱地址或電話號(hào)碼
- 別在網(wǎng)上吹噓你的加密貨幣財(cái)富
實(shí)現(xiàn)代碼級(jí)安全
創(chuàng)建與區(qū)塊鏈互動(dòng)的軟件時(shí)應(yīng)將安全內(nèi)置到代碼中:
- 要用良好的軟件開發(fā)生命周期將安全添加到開發(fā)過程中,并審查繼承過來的代碼
- 使用雙因子身份驗(yàn)證和硬件錢包
- 遵從標(biāo)準(zhǔn)最佳實(shí)踐——使用SSL和證書以確保參與各方的身份真實(shí)
區(qū)塊鏈好處多多,包括更好的法律合同、更強(qiáng)的供應(yīng)鏈可見性,甚至可以減少欺詐。但任何技術(shù)都逃不過被惡意黑客探測一番,區(qū)塊鏈也不例外,黑客探出的漏洞就有可能引發(fā)懷疑情緒,減緩新技術(shù)的采納速度。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
