9月27日,國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》下面簡稱細則,正式向社會發布。細則由國家網際網路應急中心聯合長亭科技、成都鏈安科技、安比實驗室和慢霧科技四家安全廠商共同起草,目的是為進一步建立區塊鏈行業統一客觀的漏洞評級體系,建立區塊鏈安全的基礎設施,逐步改善區塊鏈領域的諸多安全問題。
據瞭解,細則整體分為《公鏈系統漏洞定級細則》、《聯盟鏈系統漏洞定級細則》、《智慧合約漏洞定級細則》《外圍系統漏洞定級細則》主要依據‘’危害程度‘’和‘’利用難度‘’等方面分析,將漏洞分為高、中、低三個威脅等級,且每種危害和難度的描述中都羅列了非常詳細的參考條目,基本涵蓋了區塊鏈領域可能遇到的大部分漏洞情況,可以幫助使用者快速定位和分析漏洞。同時依託CVSS2.0,力爭實現與傳統基礎領域漏洞規則的互通,從大網路安全的角度打通區塊鏈新興領域與傳統領域對於漏洞的認知的定義。
目前,國家區塊鏈漏洞資料庫披露的漏洞總數超過400個,絕大多數為中高危漏洞。具體來看,全網漏洞總數超過412個。高危漏洞100個,佔比24.27%;中危漏洞296個,佔比71.84%;低危漏洞16個,佔比3.88%。從漏洞影響物件型別來看,幾乎均為公鏈。412個漏洞中,公鏈漏洞佔410個。
對此,慢霧安全團隊在接受採訪時分析指出,由於區塊鏈自帶金融屬性,很多專案(如公鏈、交易所)出現漏洞時都會帶來不小的資產損失,在漏洞定級時這部分實際影響會納入其中,所以大部分割槽塊鏈漏洞都是中高危的。
對此,中國行動通訊聯合會區塊鏈專業委員會主任委員兼首席數字經濟學家陳曉華教授表示,加密數字幣並非真實貨幣,沒有中央銀行進行總量控制和巨集觀調控,不具有與法定幣等同的法律地位,加密數字幣在法律地位上的弱勢導致其價格波動大。暴漲暴跌的加密數字幣風險巨大,在支付系統、操作性、交易、流動性等多方面存在風險,所以加密數字幣不適合普通人投資。請慎重考慮!
