2008 年中本聰帶來了比特幣概念。如今從比特幣中發展出來的區塊鏈技術構建的商業網路已經初現曙光,隨著區塊鏈技術的不斷深入行業和場景,勢必會引發繼網際網路之後的產業革命。
在區塊鏈技術快速的發展下,資訊保安技術越來越得到重要,沒有資訊保安技術的基礎, 區塊鏈技術也會存在很大的風險和不可控,對於區塊鏈生態,資訊保安技術已經是一個不可缺少組成部分。
駭客攻擊、監守自盜、暗網非法交易、詐騙、跑路等各種數字貨幣犯罪事件層出不窮,接連發生,讓區塊鏈參與者在“出事” 和“還沒出事”徘徊。不但影響了參與者的體驗與數字資產安全,同時也阻礙了許多優質人才進入行業。為此,許多有志之士紛紛獻出安全良策,2019年9月21日,由Vechain主辦、成都鏈安協辦的“ToolChain Day——成都站”社羣見面會上,成都鏈安科技資訊保安產品負責人Owen發表了<公鏈安全,探尋區塊鏈健康發展之道>主題演講,從安全體系的角度切入,梳理了區塊鏈安全領域的發展、智慧合約和公鏈安全問題、目前公鏈安全正遭受哪些威脅以及安全公司的防範措施。
區塊鏈安全:刻不容緩
分享會開始,Owen向大家介紹道,2019年區塊鏈技術快速發展的同時,安全事件也呈現高發態勢,尤其是涉及數字資產交易時,往往會出現“一行程式碼,打倒一種資產”。
區塊鏈行業面臨的風險不僅來自外部駭客攻擊,也有可能是從業人員素質不高導致,從犯罪型別看,包括入侵攻擊、金融詐騙、暗網非法交易、跑路、整型溢位攻擊等。據 Beosin成都鏈安 統計,2019年1-8月份,由區塊鏈安全漏洞引起的損失達33億美元,2011-2019年累計安全損失高達80多億美元,區塊鏈安全已經刻不容緩。
漏洞形式多樣,箭箭擊中把心
從易受攻擊點的角度,區塊鏈安全攻擊事件大致可分為四類安全事件:共識機制、智慧合約、交易平臺和使用者自身。而公鏈一直是駭客攻擊的重點領域,近幾年主流底層鏈平臺上DApp遭遇上百起駭客攻擊,波及上千DApp,專案方已累計遭受損失上億人民幣。
從攻擊手段來看,形式也是多樣,從年初的“溢位攻擊”到“合約RAM吞噬”問題,再到下半年的“假EOS攻擊”、“重放攻擊”、“假通知攻擊”,近來又是接連不斷的“隨機數攻擊”、“交易回滾攻擊”。如果把駭客比喻成子彈的話,彈無虛發,箭箭不離靶心,並且攻擊愈加頻繁。
Owen向在場嘉賓總結道,雖然目前底層鏈平臺吞吐量更大、交易成本更低、處理速度更快了,看似低階錯誤引發的安全漏洞相比於之前少了很多,但由於遊戲類DApp的業務邏輯比單純的數字貨幣智慧合約要複雜很多,駭客還是能從業務邏輯中找到作惡的機會併發起攻擊。
公鏈安全解決架構:
加強信安能力,提高人員素質
從區塊鏈長遠發展的角度來看,駭客攻擊事件可能並不是件壞事,足以引起行業和開發者更多的關注和思考。
面對區塊鏈技術的特點和缺陷,Owen強調,我們需要從區塊鏈系統全產業鏈的角度思考,從系統的生命週期加入安全設計的考量。從物理、資料、應用系統、加密、風險控制等層面構建區塊鏈安全體系。同時,專案方也應該重視資訊保安,提高參與方的素質。
· 在區塊鏈底層技術方面,對資料層主要從資料儲存、加密演算法維度去改進,對網路層從P2P 網路安全、網路驗證機制來提高底層安全性。
· 在區塊鏈系統業務層,透過安全審計提高程式碼的穩定性和有效性。
· 尋找第三方安全公司藉助其安全產品和服務提高自身安全。
作為國內區塊鏈安全行業頭部企業成都鏈安,非常重視公鏈及區塊鏈生態安全,建立了“一站式”區塊鏈安全服務平臺,透過完善的安全產品和服務更有力地推動區塊鏈技術賦能金融科技。
在區塊鏈生態領域安全服務水平已達到國際領先的標準,為客戶提供安全諮詢、安全審計、威脅情報、安全防護等全方位的區塊鏈安全服務,已釋出智慧合約開發工具、基於形式化驗證的“一鍵式”智慧合約安全檢測平臺、態勢感知平臺、防火牆、鏈上資產溯源追蹤系統、威脅情報系統等安全產品。
積極應對區塊鏈安全新挑戰
誠然,區塊鏈的安全問題是一項複雜的大工程,也非一朝一夕能解決之事,但伴隨區塊鏈技術的不斷髮展,成都鏈安將持續為公鏈及區塊鏈生態安全保駕護航。
