被稱為“第五次網路變革技術”的區塊鏈,自誕生以來就一直被安全問題所困擾。隨著區塊鏈生態的完善,附著在區塊鏈生態上的價值與日俱增,區塊鏈生態的安全引起了高度關注。6月2日,區塊鏈平臺EOS1.0正式版釋出,同一時間,EOS就近期出現的一系列高危漏洞做出迴應,向發現漏洞的360公司安全團隊公開致謝,對其中3個漏洞分別給出1萬美元的賞金,同時表示,歡迎安全社羣人員共同努力保證EOS1.0軟體安全性的持續提高。由於區塊鏈網路去中心化的計算特點,一個區塊鏈節點實現上的安全漏洞,可能引發成千上萬的節點遭到攻擊。甚至,在傳統軟體漏洞領域被認為相對危害較小的拒絕服務漏洞,在區塊鏈網路中則可能引發整個網路癱瘓的風暴攻擊。360董事長周鴻禕日前表示,區塊鏈作為這兩年新火起來的技術,它遇到的安全威脅屬於新威脅。區塊鏈行業,應該與網路安全行業,做到協同開放,共同構建安全生態。分析人士指出,除了EOS,其他公鏈也普遍存在安全漏洞,並且隨著安全公司、白帽及黑帽的入場,2018年下半年,預計將進入區塊鏈安全爆發期。如何保證區塊鏈生態的動態安全,將會成為區塊鏈社羣、公司必須面對的新挑戰。梆梆安全研究院資深專家彭建芬表示,隨著智慧合約splitDAO函式漏洞、事務一致性校驗漏洞、隨機數生成器問題等一系列問題出現,區塊鏈如今正面臨來自演算法實現、共識機制、系統設計、區塊鏈使用等方面的安全挑戰。彭建芬介紹,的基礎架構由資料層、網路層、共識層、激勵層、合約層、應用層六部分組成。要想有效應對各類安全挑戰,需從這六個層面進行考量,分別做好網路安全防護(包括路由協議安全、資料傳輸安全)、節點安全防護(包括節點接入、基礎設施元件安全)、資料安全防護(包括資料訪問安全、資料有效性驗證、資料儲存安全)、應用安全防護(包括業務邏輯安全、合約安全、私鑰安全、程式碼安全)。她表示,這套安全防護思路對聯盟鏈的安全威脅防護非常有效。對於區塊鏈的隱私安全、交易安全問題,彭建芬表示,可考慮採用多鏈結構,透過資料剝離的方式,將使用者帳戶資訊儲存及交易結算操作進行分離,並在每個鏈條裡插入監管節點。判斷使用者或機構是否存在作弊行為,並及時發現、予以阻止。多鏈結構的優勢在於,可以有效保護使用者隱私資訊,增加交易吞吐量,降低交易延遲等。
更多區塊鏈資訊:http://www.qukuaiwang.com.cn/news
