日前國家網際網路應急中心牽頭推進的行業標準《區塊鏈技術架構安全要求》正式釋出並實施,成為國內首個正式釋出的區塊鏈通用安全技術行業標準。該標準規定了區塊鏈技術架構應滿足的安全要求,包括共識機制安全、智慧合約安全、賬本安全等,適用於區塊鏈技術架構。
區塊鏈技術被人看好,本身就是解決人與人之間信任問題,用一種安全、透明、防篡改的方式共享資料。但是再精良的數學邏輯和規則背後,也不是百分百安全。比特幣被盜事件頻頻發生,Coinbase遭受以太坊經典網路的51%攻擊。交易所被攻擊,智慧合約漏洞導致經濟損失的案例也確實存在。那麼,區塊鏈技術存在哪些安全方面的問題?
公鑰和私鑰的風險
區塊鏈或者分散式賬本技術非常依賴公鑰和私鑰。如果你沒有正確的公鑰私鑰組合,那麼你將無法訪問儲存在區塊鏈上的數字內容。
區塊鏈最主要的突出的問題就是私鑰的丟失、被盜的問題。一個方法是,授權另外一個私鑰也可以轉移資產,但是這個私鑰的許可權比較低,他轉移資產需要1個月才能完成,中間如果發現轉移資產是非法的,可以用原先的私鑰實時把資金轉走。還有一個比較好的方案是多重簽名機制,資產放到多重簽名的地址上,這樣系統的安全性也會提高。而且這兩種方法可以結合起來,讓系統更加的安全。
程式碼安全的問題
區塊鏈專案(尤其是公鏈)的一個特點是開源。透過開放原始碼,來提高專案的可信性,也使更多的人可以參與進來。但原始碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。一個例子就是震驚全球的 THE DAO 駭客攻擊事件。在此次事件裡,駭客利用其系統的漏洞,從數字貨幣投資基金中獲取了大量的數字貨幣。
程式碼安全的問題可以分為兩類:一類是平臺自身的系統的安全問題,還有一類是使用者寫合約的安全性。平臺安全問題其實是不可能完全解決的,目前還沒有任何一家公司有這個實力。我們要做的是,在平臺發生漏洞的情況下,需要有時間達成共識實現補救。
隱私安全的問題
區塊鏈是一個公開的資料庫,任何交易都是公開透明可以驗證的。但是很多時候,我們並不希望是這樣的。目前解決隱私安全主要可以透過環簽名、零知識證明這兩個方式。
共識機制挑戰
當前的共識機制有工作量證明(Proof of Work,PoW)、權益證明(Proof of Stake,PoS)、授權權益證明(Delegated Proof of Stake,DPoS)、實用拜占庭容錯(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面臨51%攻擊問題。由於PoW 依賴於算力,當攻擊者具備算力優勢時,找到新的區塊的概率將會大於其他節點,這時其具備了撤銷已經發生的交易的能力。需
在PoS 中,攻擊者在持有超過51%的Token 量時才能夠攻擊成功,這相對於PoW 中的51%算力來說,更加困難。
在PBFT 中,惡意節點小於總節點的1/3 時系統是安全的。總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,將會造成該系統的價值歸零,這時攻擊者除了破壞之外,並沒有得到其他有價值的回報。
對於區塊鏈專案的設計者而言,應該瞭解清楚各個共識機制的優劣,從而選擇出合適的共識機制或者根據場景需要,設計新的共識機制。
