區(qū)塊鏈安全性問題與挑戰(zhàn)
導語
近年來,由于大眾對于比特幣及其它加密貨幣的興趣爆炸式增長,區(qū)塊鏈技術越來越受到關注,有關區(qū)塊鏈技術的討論愈演愈烈,它已經(jīng)在逐漸改變?nèi)藗兊纳罘绞剑⑶页掷m(xù)在某些領域造成影響。伴隨而來的也有質疑以及對區(qū)塊鏈安全問題的思考。雖然區(qū)塊鏈的技術特點可以給我們帶來更可靠和方便的服務,但這種創(chuàng)新技術背后的安全問題和其面臨的挑戰(zhàn)也是我們需要關注的一個重要話題。
區(qū)塊鏈是過去10年最偉大的技術發(fā)展之一。作為一種通用技術,區(qū)塊鏈技術的集成應用逐漸成為新的技術革新和產(chǎn)業(yè)變革的重要驅動力量,世界各國紛紛加快區(qū)塊鏈相關技術戰(zhàn)略部署、研發(fā)應用和落地推廣,探索區(qū)塊鏈在各行業(yè)領域的應用模式,搶占技術發(fā)展先機。
區(qū)塊鏈技術不僅僅是單一的一種技術,而是包含密碼學、數(shù)學、算法和經(jīng)濟模型,結合點對點網(wǎng)絡,使用分布式共識算法來解決傳統(tǒng)分布式數(shù)據(jù)庫同步問題,一體化的多領域基礎設施建設。隨著各種應用落地,區(qū)塊鏈數(shù)字資產(chǎn)引發(fā)的安全問題總體呈上升趨勢,數(shù)字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網(wǎng)非法交易、犯罪等案件頻發(fā),各種原因造成的「黑天鵝」事件層出不窮。
一、區(qū)塊鏈技術日益重要
我們可以簡單將區(qū)塊鏈理解為——是一個分布在全球各地、能夠協(xié)同運轉的數(shù)據(jù)庫存儲系統(tǒng)。區(qū)別于傳統(tǒng)數(shù)據(jù)庫運作——讀寫與權限掌握在一個公司或者一個集權手上(中心化的特征),區(qū)塊鏈認為,任何有能力架設服務器節(jié)點的人都可以參與其中。
區(qū)塊鏈允許快速輕松地處理交易數(shù)據(jù),這使得它在各種在線投資市場中越來越受歡迎。此外,它還提供了一些重要的安全預防措施。區(qū)塊鏈中的任何區(qū)塊都很難被更改,這有助于防止欺詐。每個區(qū)塊中內(nèi)置的識別代碼允許輕松跟蹤交易數(shù)據(jù)。
二、區(qū)塊鏈生態(tài)安全事故頻發(fā)
因為區(qū)塊鏈如此受歡迎(并且因為它通常用于交易環(huán)境),它已成為黑客和其他網(wǎng)絡犯罪分子的誘人目標。隨著這種流行度的增加,出現(xiàn)了許多區(qū)塊鏈安全性問題。
7月11日,跨鏈橋項目Chainswap發(fā)布推文表示遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取,總損失價值400萬美元。這已經(jīng)是該項目于7月內(nèi)遭受的第二次攻擊。
繼Chainswap遭受攻擊之后,7月12日,跨鏈橋項目Anyswap新推出的V3跨鏈流動性池也遭到黑客攻擊,總計損失超過787萬美元。
6月,BSC生態(tài)系的DeFi協(xié)議Impossible Finance遭遇閃電貸攻擊,這已是自5月以來,BSC生態(tài)系統(tǒng)中發(fā)生的第九起閃電貸攻擊事件
8月12日,加密孵化機構DAO Maker發(fā)布公告宣布遭受黑客攻擊,總計被盜走700萬美元,有5521名用戶受影響。
9月12日,雪崩協(xié)議(Avalanche)上 Zabu Finance 項目遭受閃電貸攻擊……
數(shù)據(jù)顯示,2020年,DeFi安全攻擊事件60起,損失2.5億美元,2021年僅半年,攻擊事件總數(shù)已逼近去年整年,而損失金額已超去年3倍多。
慢霧區(qū)塊鏈被黑事件檔案庫統(tǒng)計數(shù)據(jù)顯示,2021年上半年,整個區(qū)塊鏈生態(tài)共發(fā)生78起較為著名的安全事件,涉及DeFi安全50起,錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起。
其中,以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態(tài)鏈(HECO)、波卡生態(tài)、EOS上各1起,總損失金額超17億美元。經(jīng)慢霧AML對涉事資金追蹤分析發(fā)現(xiàn),約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。
三、區(qū)塊鏈主要安全問題
像任何系統(tǒng)一樣,區(qū)塊鏈也有弱點,以下是與區(qū)塊鏈相關的最緊迫的安全問題:
1. 區(qū)塊鏈端點漏洞
雖然區(qū)塊鏈被吹捧為幾乎“不可破解”,但我們需要注意到的是,大多數(shù)區(qū)塊鏈交易的端點安全性要差得多。例如,比特幣交易或投資的結果可能是將大量比特幣存入“熱錢包”或虛擬儲蓄賬戶,這些錢包賬戶可能不像區(qū)塊鏈中的實際區(qū)塊那樣防黑客。
為了促進區(qū)塊鏈交易,可能會招募多個第三方供應商。例如一些支出處理器、智能合約和區(qū)塊鏈支付平臺。通常,這些第三方區(qū)塊鏈供應商在他們自己的應用程序和網(wǎng)站上的安全性相對較弱,這可能為黑客敞開大門。
2. 可擴展性問題
公鏈面臨“不可能三角模型”、“根特別多,沒長葉子的市場”的困境,極大的限制了區(qū)塊鏈技術的商業(yè)落地進程。
目前,區(qū)塊鏈公鏈多達百種“比特幣、以太坊、EOS、比原鏈、多數(shù)公鏈為發(fā)幣設計,基于實體經(jīng)濟業(yè)務進行的公鏈極為稀少。區(qū)塊鏈技術商業(yè)落地嚴重滯后,區(qū)塊鏈行業(yè)成了根特別多,沒長葉子的市場。
3. 監(jiān)管問題
區(qū)塊鏈缺乏明顯的監(jiān)管標準,政治因素可能會影響其執(zhí)行和發(fā)展。基于區(qū)塊鏈的貨幣是去中心化和國際化的,這意味著政府控制的貨幣本質上可能會變得不那么有價值。
因此,一些國家政府正在努力對區(qū)塊鏈引入更嚴格的法規(guī)。他們希望在它威脅到國家經(jīng)濟或變得更強大之前控制它。作為區(qū)塊鏈安全性的眾多問題之一,這可能會推遲該技術的廣泛采用。
4. 測試不足
雖然區(qū)塊鏈歷來用于加密貨幣交易,但它越來越多地用于其他領域。問題在于非加密貨幣應用程序中使用的編碼往往未經(jīng)測試且具有高度實驗性,這意味著黑客也許能夠找到并利用漏洞。
5. 技術的復雜性
這是一個很難從頭開始創(chuàng)建的系統(tǒng)。一個小小的失誤,整個系統(tǒng)都可能受到損害。當然,這不是系統(tǒng)本身的缺陷,而是執(zhí)行的缺陷。同樣,技術的復雜性使得普通人更難以理解。因此,大多數(shù)人可能無法正確理解系統(tǒng)的風險和功能。
6.網(wǎng)絡的大小
要讓區(qū)塊鏈發(fā)揮作用,至少需要數(shù)百個——最好是數(shù)千個節(jié)點協(xié)同工作。這使得區(qū)塊鏈系統(tǒng)在增長的早期階段特別容易受到攻擊,也容易出現(xiàn)腐敗問題。例如:如果單個用戶控制系統(tǒng)上51%的節(jié)點,那么他們有可能完全控制其結果。在只有20個節(jié)點的規(guī)模上,這并非不可能。
7.網(wǎng)絡的速度和效率
區(qū)塊鏈的設計也可能會損害其以合適的速率處理交易的能力。如果系統(tǒng)在開發(fā)可以支持它的基礎設施之前變得過于復雜或需求過多,則可能會導致數(shù)據(jù)存儲和交易速度問題。這會對其他有效的系統(tǒng)產(chǎn)生負面影響,這就是為什么它會列為區(qū)塊鏈安全問題的原因。
8.區(qū)塊鏈交易使用公鑰和私鑰
這些密鑰幾乎不可能自行破解,但網(wǎng)絡犯罪分子可以通過更傳統(tǒng)、更簡單的方式獲得這些密鑰。例如:如果將密鑰存儲在不安全的平臺上,黑客就可以輕松地獲得它們。如果有人找到用戶的電子郵件密碼,將可以訪問整個收件箱。同樣,如果有人找到用戶的區(qū)塊鏈密鑰,他們可以在區(qū)塊鏈上冒充該用戶,這是區(qū)塊鏈安全性需要思考的主要問題之一。
四、展望后區(qū)塊鏈世界
任何系統(tǒng)都有一些漏洞,區(qū)塊鏈也不例外。這里要記住的關鍵是,絕大多數(shù)區(qū)塊鏈安全漏洞都與人為錯誤有關。當正確執(zhí)行和保護時,區(qū)塊鏈是透明且防篡改的。而且,這與技術所能達到的“安全”差不多。這樣做,使得人們能夠利用好這些好處而不必擔心區(qū)塊鏈安全性問題。
總之,區(qū)塊鏈技術具有可靠的信息交互、完整的數(shù)據(jù)存儲、可信的節(jié)點認證等安全性優(yōu)勢,因而為網(wǎng)絡安全提供一種嶄新的安全防護思路和模式,將傳統(tǒng)網(wǎng)絡邊界式防護轉變成全網(wǎng)絡節(jié)點參與的安全防護新模式,通過分布式的節(jié)點共識機制來抵抗惡意節(jié)點的攻擊,在網(wǎng)絡安全領域具有極大的應用潛力。
只是,現(xiàn)階段區(qū)塊鏈技術還不夠成熟,區(qū)塊鏈系統(tǒng)仍然存在許多安全隱患和漏洞,而且硬件設施落后也是現(xiàn)階段的一個難點,因此在下一步區(qū)塊鏈應用推進中,關鍵是要加強基礎設施的建設,以及加強區(qū)塊鏈的監(jiān)管和安全技術的研究和實踐,推動區(qū)塊鏈應用的穩(wěn)步發(fā)展,充分發(fā)揮區(qū)塊鏈技術的安全優(yōu)勢,有效提升網(wǎng)絡安全防護水平,才能更有效的使區(qū)塊鏈市場良性發(fā)展。
