區塊鏈成為駭客眼中香餑餑 如何保證安全成重點

買賣虛擬貨幣

  區塊鏈可能是安全的,但與之互動的軟體未必,至少大多數情況下都不安全。區塊鏈軟體漏洞導致的網路攻擊近年來逐漸增多,從加密貨幣錢包盜竊到智慧合約攻擊再到加密貨幣交易所被黑,各種涉區塊鏈軟體的安全事件層出不窮。

  保護區塊鏈生態系統是當前最具挑戰性的網路安全問題。區塊鏈本身可能是安全的,但這並不意味著與之互動的所有部分都安全,比如加密貨幣錢包、加密貨幣交易所、挖礦軟體、智慧合約。最近的一份調查研究表明,僅今年上半年,駭客便盜取了價值11億美元的加密貨幣。

  區塊鏈成為駭客眼中誘人目標的部分原因,在於攻擊者利用區塊鏈變現更加便捷,他們不用轉手所盜資料即可收穫金錢,直接盜取(虛擬)貨幣本身即可。

  區塊鏈是比特幣中的核心技術,在無法建立信任關係的網際網路上,區塊鏈技術依靠密碼學和巧妙的分散式演算法,無需藉助任何第三方中心機構的介入,用數學的方法使參與者達成共識,保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

  駭客攻擊為什麼能屢屢得手

  基於區塊鏈的數字貨幣其火熱行情讓駭客們垂涎不已,被盜金額不斷重新整理紀錄,盜竊事件的發生也引發了人們對數字貨幣安全的擔憂,人們不禁要問:區塊鏈技術安全嗎?

  隨著人們對區塊鏈技術的研究與應用,區塊鏈系統除了其所屬資訊系統會面臨病毒、木馬等惡意程式威脅及大規模DDoS攻擊外,還將由於其特性而面臨獨有的安全挑戰。

  1. 演算法實現安全

  由於區塊鏈大量應用了各種密碼學技術,屬於演算法高度密集工程,在實現上比較容易出現問題。歷史上有過此類先例,比如NSARSA演算法實現埋入缺陷,使其能夠輕鬆破解別人的加密資訊。一旦爆發這種級別的漏洞,可以說構成區塊鏈整個大廈的地基將不再安全,後果極其可怕。之前就發生過由於比特幣隨機數產生器出現問題所導致的比特幣被盜事件,理論上,在簽名過程中兩次使用同一個隨機數,就能推匯出私鑰。

  2. 共識機制安全

  當前的區塊鏈技術中已經出現了多種共識演算法機制,最常見的有PoWPoSDPos。但這些共識機制是否能實現並保障真正的安全,需要更嚴格的證明和時間的考驗。

  3. 區塊鏈使用安全

  區塊鏈技術一大特點就是不可逆、不可偽造,但前提是私鑰是安全的。私鑰是使用者生成並保管的,理論上沒有第三方參與。私鑰一旦丟失,便無法對賬戶的資產做任何操作。一旦被駭客拿到,就能轉移數字貨幣。

  4. 系統設計安全

  像Mt.Gox平臺由於在業務設計上存在單點故障,所以其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技術盜竊外,還得管理好人,防止人為盜竊。

  總體來說,從安全性分析的角度,區塊鏈面臨著演算法實現、共識機制、使用及設計上挑戰,同時駭客透過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前,駭客攻擊已經在對區塊鏈系統安全性造成越來越大的影響。

  如何保證區塊鏈的安全

  新技術意味著新威脅和新的學習曲線。任何新技術都一樣,風險浮現需要時間,發展出應對風險的方法也需要時間。我們已經在WiFi技術上走過了這條曲線,IoT技術領域的學習曲線則仍在描繪中。至於區塊鏈安全,我們才剛剛踏上學習曲線的起始階段。而我們必須儘快探索,因為區塊鏈的誘惑太大了,鏈上投注瞭如此之多的金錢,大量攻擊活動正蠢蠢欲動。

  為了保證區塊鏈系統安全,建議參照NIST的網路安全框架,從戰略層面、一個企業或者組織的網路安全風險管理的整個生命週期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分,來感知、阻斷區塊鏈風險和威脅。

  除此之外,根據區塊鏈技術自身特點重點關注演算法、共識機制、使用及設計上的安全。

  1.針對演算法實現安全性:一方面選擇採用新的、本身經得起考驗的密碼技術,如國密公鑰演算法SM2等。另一方面對核心演算法程式碼進行嚴格、完整測試的同時進行原始碼混淆,增加駭客逆向攻擊的難度和成本。

  2.針對共識演算法安全性:PoW中使用防ASIC雜湊函式,使用更有效的共識演算法和策略。

  3.針對使用安全性:對私鑰的生成、儲存進行保護,敏感資料加密儲存。

  4.針對設計安全性:一方面要保證設計的功能儘量完善,如採用私鑰白盒簽名技術,防止病毒、木馬在系統執行過程中提取私鑰;設計私鑰洩露追蹤功能,儘可能減少私鑰洩露後的損失。另一方面,應對某些關鍵業務設計去中心化,防止單點故障攻擊

  區塊鏈使用者要保護自身,需從以下四個基本安全措施做起:

  1.別暴露你的私鑰

  2.採用雙因子身份驗證

  3.使用加密貨幣交易平臺時別公開任何電子郵箱地址或電話號碼

  4.別在網上吹噓你的加密貨幣財富

實現程式碼級安全

  建立與區塊鏈互動的軟體時應將安全內建到程式碼中:

  要用良好的軟體開發生命週期將安全新增到開發過程中,並審查繼承過來的程式碼

  使用雙因子身份驗證和硬體錢包

  遵從標準最佳實踐——使用SSL和證書以確保參與各方的身份真實

  區塊鏈好處多多,包括更好的法律合同、更強的供應鏈可見性,甚至可以減少欺詐。但任何技術都逃不過被惡意駭客探測一番,區塊鏈也不例外,駭客探出的漏洞就有可能引發懷疑情緒,減緩新技術的採納速度。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;