區塊鏈有哪些安全軟肋

區塊鏈是比特币中(zhōng)的核心技術，在無法建立信任關系的互聯網上，區塊鏈技術依靠密碼學和巧妙的分(fēn)布式算法，無需借助任何第三方中(zhōng)心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

 

區塊鏈技術常被人們提及的特性是去(qù)中(zhōng)心化、共識機制等，由區塊鏈引申出來的虛拟數字貨币是目前全球最火(huǒ)爆的項目之一(yī)，正在成就出新的一(yī)批億萬級富豪。像币安交易平台，成立短短幾個月，就被國際知(zhī)名機構評級市值達400億美金，成爲了最富有的一(yī)批數字貨币創業先驅者。但是自從有數字貨币交易所至今，交易所被攻擊、資(zī)金被盜事件層出不窮，且部分(fēn)數字貨币交易所被黑客攻擊損失慘重，甚至倒閉。

　　一(yī)、令人震驚的數字貨币交易所被攻擊事件

從最早的比特币，到後來的萊特币、以太币，目前已有幾百種數字貨币。随着價格的攀升，各種數字貨币系統被攻擊、數字貨币被盜事件不斷增加，被盜金額也是一(yī)路飙升。讓我(wǒ)們來回顧一(yī)下(xià)令人震驚的數字貨币被攻擊、被盜事件。

2014年2月24日，當時世界最大(dà)的比特币交易所運營商(shāng)Mt.Gox宣布其交易平台的85萬個比特币已經被盜一(yī)空，承擔着超過80%的比特币交易所的Mt.Gox由于無法彌補客戶損失而申請破産保護。

經分(fēn)析，原因大(dà)緻爲Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用于發起DDoS攻擊：

比特币提現環節的簽名被黑客篡改并先于正常的請求進入比特币網絡，結果僞造的請求可以提現成功，而正常的提現請求在交易平台中(zhōng)出現異常并顯示爲失敗，此時黑客實際上已經拿到提現的比特币了，但是他繼續在Mt.Gox平台請求重複提現，Mt.Gox在沒有進行事務一(yī)緻性校驗(對賬)的情況下(xià)，重複支付了等額的比特币，導緻交易平台的比特币被竊取。

2016年8月4日，最大(dà)的美元比特币交易平台Bitfinex發布公告稱，網站發現安全漏洞，導緻近12萬枚比特币被盜，總價值約爲7500萬美元。

2018年1月26日，日本的一(yī)家大(dà)型數字貨币交易平台Coincheck系統遭遇黑客攻擊，導緻時價580億日元、約合5.3億美元的數字貨币“新經币”被盜，這是史上最大(dà)的數字貨币盜竊案。

2018年3月7日，世界第二大(dà)數字貨币交易所币安(Binance)被黑客攻擊的消息讓币圈徹夜難眠，黑客竟然玩起了經濟學，買空賣空“炒币”割韭菜。根據币安公告，黑客的攻擊過程包括：

1) 在長時間裏，利用第三方釣魚網站偷盜用戶的賬号登錄信息。黑客通過使用Unicode字符冒充正規Binance網址域名裏的部分(fēn)字母對用戶實施網頁釣魚攻擊。

2) 黑客獲得賬号後，自動創建交易API，之後便靜默潛伏。

3) 3月7日黑客通過盜取的API Key，利用買空賣空的方式，将VIA币值直接拉暴100多倍，比特币大(dà)跌10%，以全球總計1700萬個比特币計算，比特币一(yī)夜丢了170億美元。

　　二、黑客攻擊爲什麽能屢屢得手

基于區塊鏈的數字貨币其火(huǒ)熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生(shēng)也引發了人們對數字貨币安全的擔憂，人們不禁要問：區塊鏈技術安全嗎(ma)?

随着人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大(dà)規模DDoS攻擊外(wài)，還将由于其特性而面臨獨有的安全挑戰。

　　1.算法實現安全

由于區塊鏈大(dà)量應用了各種密碼學技術，屬于算法高度密集工(gōng)程，在實現上比較容易出現問題。曆史上有過此類先例，比如NSA對RSA算法實現埋入缺陷，使其能夠輕松破解别人的加密信息。一(yī)旦爆發這種級别的漏洞，可以說構成區塊鏈整個大(dà)廈的地基将不再安全，後果極其可怕。之前就發生(shēng)過由于比特币随機數産生(shēng)器出現問題所導緻的比特币被盜事件，理論上，在簽名過程中(zhōng)兩次使用同一(yī)個随機數，就能推導出私鑰。

　　2.共識機制安全

當前的區塊鏈技術中(zhōng)已經出現了多種共識算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現并保障真正的安全，需要更嚴格的證明和時間的考驗。

　　3.區塊鏈使用安全

區塊鏈技術一(yī)大(dà)特點就是不可逆、不可僞造，但前提是私鑰是安全的。私鑰是用戶生(shēng)成并保管的，理論上沒有第三方參與。私鑰一(yī)旦丢失，便無法對賬戶的資(zī)産做任何操作。一(yī)旦被黑客拿到，就能轉移數字貨币。

　　4.系統設計安全

像Mt.Gox平台由于在業務設計上存在單點故障，所以其系統容易遭受DoS攻擊。目前區塊鏈是去(qù)中(zhōng)心化的，而交易所是中(zhōng)心化的。中(zhōng)心化的交易所，除了要防止技術盜竊外(wài)，還得管理好人，防止人爲盜竊。

總體(tǐ)來說，從安全性分(fēn)析的角度，區塊鏈面臨着算法實現、共識機制、使用及設計上挑戰，同時黑客通過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性造成越來越大(dà)的影響。

　　三、如何保證區塊鏈的安全

爲了保證區塊鏈系統安全，建議參照NIST的網絡安全框架，從戰略層面、一(yī)個企業或者組織的網絡安全風險管理的整個生(shēng)命周期的角度出發構建識别、保護、檢測、響應和恢複5個核心組成部分(fēn)，來感知(zhī)、阻斷區塊鏈風險和威脅。

除此之外(wài)，根據區塊鏈技術自身特點重點關注算法、共識機制、使用及設計上的安全。

• 　　針對算法實現安全性：一(yī)方面選擇采用新的、本身經得起考驗的密碼技術，如國密公鑰算法SM2等。另一(yī)方面對核心算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。
• 　　針對共識算法安全性：PoW中(zhōng)使用防ASIC雜(zá)湊函數，使用更有效的共識算法和策略。
• 　　針對使用安全性：對私鑰的生(shēng)成、存儲進行保護，敏感數據加密存儲。
• 　　針對設計安全性：一(yī)方面要保證設計的功能盡量完善，如采用私鑰白(bái)盒簽名技術，防止病毒、木馬在系統運行過程中(zhōng)提取私鑰；設計私鑰洩露追蹤功能，盡可能減少私鑰洩露後的損失。另一(yī)方面，應對某些關鍵業務設計去(qù)中(zhōng)心化，防止單點故障攻擊。

梆梆安全在2016年就開(kāi)始針對區塊鏈安全中(zhōng)的核心問題——“私鑰保護”進行研究，已形成了相關産品和咨詢方案，避免由于隐私數據洩露而對用戶區塊鏈業務系統可能造成的負面影響。

作者：梆梆安全研究院 彭建芬