區塊鏈可能是安全的,但是所有的軟體都能與它互動嗎?在許多情況下,並不能做到。我們已經看到,由於區塊鏈存在的漏洞,從錢包,智慧合約到交易所的網路攻擊都在增加。
確保區塊鏈生態系統的安全是當前最具有挑戰性的網路安全問題。區塊鏈本身可能是安全的,但這並不意味著所有與它互動的東西——錢包、交易所、礦工、智慧合約是安全的。根據Carbon Black最近的一項研究,今年上半年,駭客總共盜取了價值11億美元的加密貨幣。目前的威脅主要侷限於公共區塊鏈,下一個將是企業級的區塊鏈。有如此多的資金可以針對公共區塊鏈,以至於企業區塊鏈目前還沒有被駭客所探索。由於已經成功地設涉及了公共區塊鏈,企業區塊鏈的弱點也將在不久的將來被發現。 安全的學習曲線新技術就一定會伴隨著新的威脅和新的安全學習曲線。任何新技術,都需要一定的時間才會出現風險,然後需要了解如何應對風險。我們使用wifi經歷了同樣的曲折曲線,並且仍然處在物聯網的世界裡。我們目前正處於對區塊鏈安全性方面的早期學習階段。我們需要學得更快,因為這是一個有吸引力的目標。涉及到大量的資金,相應地大量的攻擊者活動也就出現了。它之所以成為如此有吸引力的目標技術,部分原因在於,在這個新的領域中,網路攻擊者可以讓你在發薪日前先做出行動:他們不必擔心如何從竊取的資料中賺錢。他們會直接偷了錢本身。最薄弱的環節與區塊鏈互動的元件是用程式碼編寫的,而且大多數軟體程式碼都有錯誤和漏洞。我們已經在CA Veracode上掃描了數十億行程式碼,並且發現了大量的漏洞。我們最近的資料集發現,77%的應用程式在初始掃描時至少有一個漏洞。有了這樣的統計,你相信所有與區塊鏈互動的軟體都是安全的嗎 ?讓我們看一下交易所和智慧合約的例子。加密貨幣交易所是一種線上平臺,使用者可以用一種加密貨幣交換另一種加密貨幣(或用法定貨幣)。換言之,視交易所而定,它的功能可類似於證券交易所或貨幣交易所。近年來,香港的交易所出現了一些嚴重的違規情況:·Gox在比特幣上損失了4.8億美元·2016年,Bitfinex遭受了多重簽名錢包攻擊,損失了7200萬美元·Nicehash在一個攻擊者透過網路釣魚攻擊竊取憑證後損失了6300萬美元·Coincheck遭到了攻擊,因為它將所有東西都儲存在一個熱錢包中,並使用單一的身份驗證。(這就像銀行把他們所有的錢都存放在一個出納員的抽屜裡一樣的危險)。智慧合約對合同的協商或履行進行數字化的便利、驗證或強制,也不能避免。我們還發現,聰明合約中的簡單程式設計錯誤會導致一些嚴重的後果:·DAO在其智慧合約中有一個缺陷。一個可重入性的bug允許攻擊者消耗5000萬美元的以太幣·Parity錢包訪問控制的問題導致損耗3000萬美元的資金。如果說到這裡,你還認為你使用區塊鏈技術,就可以使您的事務安全的話,那就真的太天真了。區塊鏈使用者應該如何保護自己呢?從一些基本的安全措施來看看:·不要公開你的私鑰·使用雙重身份驗證·在使用交換時,不要在網上釋出任何電子郵件地址或電話號碼·不要在網上吹噓你的加密貨幣財富確保程式碼級別的安全性我們需要那些建立與區塊鏈互動的軟體來在他們的過程中建立安全性。需要考慮:·一個好的軟體生態系統應該為開發的過程增加安全性並審查其繼承的程式碼·使用雙重身份驗證和硬體錢包·堅持標準的最佳實踐–使用SSL和證書來確保當事人是他們所說的那種人有許多有益的好處,包括更好的法律合同、在供應鏈中的更大的可見度,以及更少的投票欺詐。但是,與任何新技術一樣,威脅行為者正在探索可能增加懷疑和緩慢採用的弱點。
更多區塊鏈資訊:http://www.qukuaiwang.com.cn/news
