上海茁思迅行企業(yè)管理咨詢有限公司咨詢總監(jiān)|金峰

未來(lái)，區(qū)塊鏈將被應(yīng)用在金融、能源等諸多國(guó)計(jì)民生領(lǐng)域，安全性工作顯得尤其重要。未雨綢繆，在區(qū)塊鏈技術(shù)被廣泛應(yīng)用之前，一系列已經(jīng)暴露的安全問(wèn)題需要得到全面解決。

曾幾何時(shí)，區(qū)塊鏈高舉一面“高度安全”的大旗，全面進(jìn)入了公眾視線，似乎原有網(wǎng)絡(luò)所有的安全性問(wèn)題，皆不會(huì)再發(fā)生。同時(shí)，率先應(yīng)用在代幣領(lǐng)域，并且被傳統(tǒng)金融行業(yè)所重視，都讓區(qū)塊鏈的這面“高度安全”大旗飄揚(yáng)不止。

然而在信息通信產(chǎn)業(yè)中，安全永遠(yuǎn)不是絕對(duì)的。只要利益激勵(lì)足夠多，所謂的安全防線總可以被攻破，區(qū)塊鏈也不例外。當(dāng)前，區(qū)塊鏈安全問(wèn)題凸顯，已經(jīng)到了迫在眉睫、亟待解決的境地。

利益放大：安全問(wèn)題暴露基礎(chǔ)

縱觀信息通信產(chǎn)業(yè)的發(fā)展歷程，便可發(fā)現(xiàn)——所有安全防御都有一定限度。只要存在人的因素，就會(huì)有若干考慮不周之處，讓安全防御的圍墻出現(xiàn)漏洞。而在黑客眼中，“人造”圍墻都如同篩子，只存在洞眼疏密與是否好找的區(qū)別，這也就是各類操作系統(tǒng)、應(yīng)用軟件始終在不斷升級(jí)，不停打安全補(bǔ)丁的重要原因。同時(shí)，安全防御圍墻高度也不可無(wú)限高，哪怕靠暴力方法，只要集結(jié)充足的能力也能夠翻越過(guò)去，或者讓防御圍墻直接垮塌。例如，即使密碼再長(zhǎng)、傳輸與保存過(guò)程中加密次數(shù)再多，只要循環(huán)試驗(yàn)就能將其攻破。

好在安全攻擊還是有一定技術(shù)門(mén)檻與資金門(mén)檻的，能否吸引黑客等攻擊，要看攻破安全防御圍墻是否有足夠多的利益。有了足夠多的利益，黑客才能找到更多的漏洞；有了足夠多的利益，才能夠調(diào)動(dòng)更多的資源進(jìn)行暴力攻擊；有了足夠多的利益，才能夠動(dòng)用非常規(guī)手段，例如收買(mǎi)人員等方式。

同樣，在區(qū)塊鏈領(lǐng)域也是如此。曾經(jīng)，區(qū)塊鏈技術(shù)同比特幣幾乎可以劃上等號(hào)，而比特幣不過(guò)幾塊錢(qián)，甚至只有幾分錢(qián)一枚，攻破防線的收獲有限使得區(qū)塊鏈暫時(shí)“安全”。

短短十年，風(fēng)云變幻。比特幣不再是2010年時(shí)需要1萬(wàn)個(gè)才能換1個(gè)披薩的虛擬貨幣，“江湖”上也不再只有一種基于區(qū)塊鏈的虛擬貨幣。除了代幣領(lǐng)域，區(qū)塊鏈技術(shù)應(yīng)用范圍越來(lái)越廣。據(jù)統(tǒng)計(jì)，目前全球范圍內(nèi)，各類代幣總市值在6000億美元左右，若加上各類企業(yè)級(jí)應(yīng)用，足夠吸引各類黑客的目光。

并且，區(qū)塊鏈安全原有的基石是分布式網(wǎng)絡(luò)，沒(méi)有塌陷一個(gè)影響一片的產(chǎn)業(yè)中心，讓攻擊缺乏著力點(diǎn)。但隨著行業(yè)對(duì)區(qū)塊鏈重視程度越來(lái)越高，礦池成為生產(chǎn)中心、交易所成為貿(mào)易中心以及倉(cāng)庫(kù)，同時(shí)也形成了專注提供解決方案的技術(shù)中心，這讓安全攻擊變得更加有利可圖。為了能夠發(fā)揮中心價(jià)值，原有協(xié)議被增加了智能合約層等新層級(jí)，但行業(yè)內(nèi)相關(guān)技術(shù)專家認(rèn)為：愈多的協(xié)議層級(jí)意味著安全風(fēng)險(xiǎn)暴露點(diǎn)更多，反而降低了區(qū)塊鏈安全性。

安全危機(jī)：必須正視的問(wèn)題

目前，應(yīng)用區(qū)塊鏈技術(shù)最多的是數(shù)字加密貨幣領(lǐng)域，由于真金白銀的存在，區(qū)塊鏈的安全問(wèn)題幾乎都在加密貨幣領(lǐng)域發(fā)生，而這些問(wèn)題未來(lái)也同樣會(huì)在其他區(qū)塊鏈應(yīng)用領(lǐng)域中發(fā)生。

根據(jù)騰訊安全所發(fā)布的《2018年上半年區(qū)塊鏈安全報(bào)告》顯示，當(dāng)前區(qū)塊鏈領(lǐng)域安全事件主要集中在三個(gè)方面，一是區(qū)塊鏈自身機(jī)制，二是區(qū)塊鏈生態(tài)，三是使用者自身問(wèn)題。其中，區(qū)塊鏈自身機(jī)制問(wèn)題主要集中在智能合約、51%攻擊等，此外還包括交易延展性攻擊、雙花攻擊、垃圾交易攻擊、扣塊攻擊等；區(qū)塊鏈生態(tài)問(wèn)題主要集中在交易所被盜、交易所DDoS攻擊等，此外還包括交易所被釣魚(yú)、內(nèi)鬼盜竊、錢(qián)包DNS劫持、錢(qián)包失竊、交易地址篡改、交易所信息泄露、交易數(shù)據(jù)篡改、場(chǎng)外操縱、拒絕服務(wù)攻擊、礦池DDoS攻擊、礦池DNS劫持、礦池失竊、網(wǎng)站DDoS攻擊、網(wǎng)站數(shù)據(jù)泄露等；使用者問(wèn)題主要包括賬號(hào)失竊、錢(qián)包失竊等，此外還包括反欺詐、用戶被釣魚(yú)、私鑰保管問(wèn)題等。筆者總結(jié)了當(dāng)前區(qū)塊鏈所出現(xiàn)的種種安全問(wèn)題，有如下五大特征。

第一，區(qū)塊鏈安全事件數(shù)量不斷增多，損失金額也日益擴(kuò)大。2018年上半年，僅在數(shù)字貨幣領(lǐng)域發(fā)生的區(qū)塊鏈安全事件就比2017年全年增加了40%左右，損失金額則增長(zhǎng)數(shù)十倍，達(dá)23億美元之多，單筆金額超過(guò)1億美元的“大案要案”屢見(jiàn)不鮮。這同當(dāng)前區(qū)塊鏈行業(yè)參與者不斷增多、資金量不斷增大不無(wú)關(guān)系，作案者組織化、規(guī)?；卣饕踩找婷黠@。

第二，區(qū)塊鏈安全問(wèn)題的種類不斷增多。隨著越來(lái)越多的人參與到區(qū)塊鏈行業(yè)研究區(qū)塊鏈技術(shù)，一些原本隱藏的安全漏洞被發(fā)掘，攻擊方法也花樣繁多。據(jù)統(tǒng)計(jì)，2018年所使用的攻擊方法數(shù)量，比2015年足足增長(zhǎng)了三倍。

第三，區(qū)塊鏈安全攻擊呈現(xiàn)了日益規(guī)?；奶卣?，理論上存在的51%攻擊也成為可能。區(qū)塊鏈共識(shí)機(jī)制是一種表決，如遇到問(wèn)題，只要51%的算力達(dá)成一致，那么區(qū)塊鏈就能夠往多數(shù)算力期望的方向發(fā)展。按照原有設(shè)想，全世界的算力非常分散，不會(huì)出現(xiàn)一個(gè)人能夠掌握51%算力從而影響整個(gè)鏈條未來(lái)走勢(shì)的情況。但即便是中聰本也沒(méi)能夠想到，當(dāng)前礦場(chǎng)頻出，黑客們可以通過(guò)木馬控制數(shù)十萬(wàn)臺(tái)個(gè)人電腦形成云礦池，這樣，一個(gè)人能夠擁有的算力大大增強(qiáng)。并且各種新數(shù)字貨幣頻出，那些擁有較多算力的人，在比特幣的世界中或許只能算強(qiáng)者，但到了小型數(shù)字貨幣的鏈條中，則成為決定其生死的“巨鯊”。

第四，區(qū)塊鏈安全問(wèn)題的爆發(fā)為全生態(tài)性的，不僅只針對(duì)區(qū)塊鏈自身機(jī)制。相對(duì)而言，區(qū)塊鏈自身機(jī)制較安全，畢竟架設(shè)在網(wǎng)狀網(wǎng)絡(luò)上，對(duì)其攻擊需要費(fèi)些工夫。但是，區(qū)塊鏈周邊的附屬設(shè)施，則通常采用傳統(tǒng)IT架構(gòu)，安全性相當(dāng)薄弱。這些附屬設(shè)施雖薄弱，卻往往蘊(yùn)含了大量區(qū)塊鏈資產(chǎn)，例如用戶終端上

的錢(qián)包是最疏于防范、最薄弱的地方。在黑客眼中，個(gè)人電腦就是不設(shè)防的存在，只要能夠在更多電腦上種上木馬，比特幣將會(huì)滾滾而至，若是技術(shù)超凡則可以直接攻擊交易所，所得都是價(jià)值上億美元的虛擬貨幣。

第五，區(qū)塊鏈安全的修正機(jī)制明顯不足。同傳統(tǒng)中心結(jié)構(gòu)業(yè)務(wù)不同，區(qū)塊鏈架設(shè)在P2P網(wǎng)狀結(jié)構(gòu)上，前者會(huì)有一個(gè)機(jī)構(gòu)作為運(yùn)營(yíng)主體，當(dāng)出現(xiàn)安全問(wèn)題的時(shí)候，它會(huì)負(fù)責(zé)發(fā)放安全補(bǔ)丁。只要把中心節(jié)點(diǎn)安全性提升上去，就能夠極大程度地提升業(yè)務(wù)的整體安全性，尤其在當(dāng)前較多業(yè)務(wù)采用云模式的情況下。而后者則缺乏強(qiáng)有力的運(yùn)營(yíng)主體，負(fù)責(zé)整個(gè)鏈條的后期安全，區(qū)塊鏈建立基于“共識(shí)”，當(dāng)鏈條建立起來(lái)之后，理論上除非所有的參與者均同意修改“共識(shí)”，否則沒(méi)有辦法對(duì)安全問(wèn)題進(jìn)行修正。在區(qū)塊鏈2.0中，所興起可自行約定的“智能合約”則加劇了這一風(fēng)險(xiǎn)，合約當(dāng)中部分“共識(shí)”為之后的安全直接埋下隱患，并且部分“智能合約”連修改機(jī)制都沒(méi)有。

安全布局：為區(qū)塊鏈技術(shù)全面應(yīng)用奠定基礎(chǔ)

依據(jù)AMC行業(yè)成熟度曲線，筆者認(rèn)為，以比特幣為代表的數(shù)字加密貨幣，把區(qū)塊鏈行業(yè)推到了第一個(gè)頂峰。公眾知曉率與參與度升高、產(chǎn)業(yè)資本不斷涌入、各類技術(shù)開(kāi)發(fā)人員不斷涌入，除了制造數(shù)字貨幣泡沫之外，也在不斷發(fā)現(xiàn)包括安全性在內(nèi)的各種技術(shù)問(wèn)題，發(fā)掘用戶對(duì)區(qū)塊鏈的需求，從而不斷完善區(qū)塊鏈技術(shù)。

隨著數(shù)字貨幣高峰度過(guò)——尤其是一些空氣幣的存在，放大了數(shù)字貨幣泡沫，區(qū)塊鏈行業(yè)預(yù)計(jì)會(huì)到達(dá)谷底，沉淀產(chǎn)業(yè)發(fā)展前期所取得的技術(shù)成就，為向成熟應(yīng)用階段發(fā)起沖擊而做好準(zhǔn)備。畢竟，區(qū)塊鏈不是數(shù)字貨幣，它有更多的應(yīng)用場(chǎng)景，數(shù)字貨幣只是區(qū)塊鏈技術(shù)發(fā)展的“試驗(yàn)田”而已。

從發(fā)展前景看，區(qū)塊鏈將被應(yīng)用在金融、能源等諸多國(guó)計(jì)民生領(lǐng)域，因此安全性工作顯得尤其重要。未雨綢繆，在區(qū)塊鏈技術(shù)被廣泛應(yīng)用之前，一系列已經(jīng)暴露的安全問(wèn)題需要得到全面解決，尤其是一些區(qū)塊鏈技術(shù)機(jī)制問(wèn)題，不僅需要通過(guò)后期打補(bǔ)丁方式得到解決方案，也需要產(chǎn)業(yè)協(xié)作共同制定全產(chǎn)業(yè)共同遵循的標(biāo)準(zhǔn)。例如2018年8月1日，《信息技術(shù)區(qū)塊鏈和分布式賬本技術(shù)參考架構(gòu)》標(biāo)準(zhǔn)制定啟動(dòng)會(huì)召開(kāi)，產(chǎn)業(yè)內(nèi)數(shù)十家企業(yè)將從整體框架開(kāi)始，制定我國(guó)區(qū)塊鏈的標(biāo)準(zhǔn)。而從國(guó)際角度看，ISO等國(guó)際組織也成立若干工作組，制定國(guó)際標(biāo)準(zhǔn)。

具體到區(qū)塊鏈安全領(lǐng)域，2018年6月，二十余家機(jī)構(gòu)聯(lián)合成立“中國(guó)區(qū)塊鏈安全聯(lián)盟”，將著手建立區(qū)塊鏈生態(tài)良性發(fā)展長(zhǎng)效機(jī)制，構(gòu)建技術(shù)方案，并針對(duì)變相傳銷等違法行為進(jìn)行打擊。同時(shí)，從產(chǎn)業(yè)實(shí)踐來(lái)看，一些解決方案正在推出，正在先期應(yīng)用，尤其是在數(shù)字貨幣“試驗(yàn)田”中發(fā)揮效能。例如區(qū)塊鏈安全研究中心在2018年8月推出國(guó)內(nèi)第一個(gè)智能合約檢測(cè)平臺(tái)，可以自動(dòng)對(duì)智能合約進(jìn)行掃描，發(fā)現(xiàn)其中的漏洞，從而為新的共識(shí)奠定良好的安全基礎(chǔ)。