unitimes.media
全球视角,独到见解
有人说,区块链的核心意义和价值在于,人类有史以来第一次能够从技术层面建立信任关系。
区块链技术已经被越来越多的人了解和认可,但是,区块链目前在性能、权限、安全等多方存在的诸多问题让这项技术本身仍未有大规模商业应用。在区块链技术与各行各业的结合过程中,仍伴随着一系列不可忽视的安全问题、面临着诸多安全挑战。
本文将为读者讲解区块链存在的五大安全问题及其应对措施。
01
底层代码漏洞
区块链的世界遵行着“代码即法律”的规则。既然代码是由人写出来的,那么就会存在漏洞或者说Bug。此外,区块链项目(尤其是公有链)的一个特点是开源。开放源代码可以提高项目的可信性,也能让更多的人参与进来,但这种开放性也使得攻击者有机可乘。
还记得震惊世界的“The DAO”黑客入侵事件吗?2016年,由于编写的代码存在着重大缺陷,众筹项目The DAO(去中心化自治组织)遭到黑客攻击,价值6000万美元的以太币被盗,迫使以太币被硬分叉为ETH和ETC。
应对措施:
1. 正式运行之前对代码进行严格完整的测试;
2. 请独立测试机构对智能合约进行测试。
02
算法安全漏洞
区块链主要依赖公钥加密算法生成数字签名,交易相对比较安全。但是随量子计算的发展和商业化,加密算法存在被破解的可能性。区块链技术的最大问题就是在遭受量子计算机黑客攻击后无法运行。
目前正在开发的量子计算机将比现有的传统计算机更强大。同时,量子计算机也对旨在保护大多数电子数据(包括区块链)的非对称加密系统构成重大威胁,该系统所需的数学算法需要传统计算机花费很长时间才能破解,但是对于一个大型通用量子计算机而言则可在瞬间完成,即使是破解区块链也是如此。
应对措施:
1. 研究开发能够抵抗量子攻击的密码算法;
2. 开发量子网络,自动切断任何黑客攻击企图。
03
共识机制漏洞
当前的共识机制有工作量证明(PoW)、权益证明(PoS)、授权权益证明(DPoS)、实用拜占庭容错(PBFT)等。
基于PoW共识过程的区块链主要面临的是51%攻击问题,即节点通过掌握全网超过51%的算力就有能力成功篡改和伪造区块链数据。在PoS 中,攻击者在持有超过51%的代币时才能够攻击成功,这相对于PoW 中的51%算力来说,更加困难。在PBFT 中,恶意节点小于总节点的1/3 时系统是安全的。
2016年8月,基于以太坊的数字货币Krypton被一个名为“51% Crew”的团队攻击。该团队利用一个致命区块链漏洞来进行一种两步攻击,最终该区块链平台损失约21465 KR的代币。
应对措施:
区块链项目的设计者要选择适合的、有效地共识机制和策略。
04
智能合约漏洞
智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议,具备运行成本低、人为干预风险小等优势。由于区块链不可篡改,智能合约一旦发布极难修改,开发者在设计之初就要充分重视合约的安全性,如果智能合约的设计存在问题,将有可能带来较大的损失。
2018年4月,攻击者利用数据溢出的漏洞攻击BeautyChain(BEC)的智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量 BEC 被抛售,损失约10亿美元。
应对措施:
1. 对智能合约进行安全审计;
2. 遵循智能合约安全开发原则。
05
数字钱包漏洞
区块链的钱包指的是存储区块链资产的地址和私钥的文件,通俗的理解,钱包就是存储和使用虚拟货币的工具或软件。近年来,数字钱包经常发生钓鱼攻击和私钥被盗的案件。区块链不依赖于任何集中的第三方可信机构,如果用户的私钥被窃取,就很难追踪到不法行为。
2018年1月26日,日本一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价5.3亿美元的数字货币“新经币”被盗,成为史上最大的数字货币盗窃案。
应对措施:
1. 确保私钥的随机性;
2. 使用冷钱包;
3. 对私钥进行备份。
国际金融科技新媒体和社区平台
UNITIMES
网址 : unitimes.media
新浪微博:@Unitimes
等你点赞转发都等出蜘蛛网了
领取专属 10元无门槛券
私享最新 技术干货