超半數(shù)加密貨幣交易所未執(zhí)行標準安全措施區(qū)塊鏈存儲安全標準亟待建立

梁倩

隨著大數(shù)據(jù)、區(qū)塊鏈、云計算等相關技術的發(fā)展，人們開始探索將數(shù)據(jù)作為資產(chǎn)的可能性。日前，主題為“極致安全 創(chuàng)新未來”的2018數(shù)字資產(chǎn)安全高峰論壇在北京召開。與會多位專家表示，過去十年，區(qū)塊鏈技術發(fā)展迅猛被認可成為未來信息存儲的主要發(fā)展方向，在數(shù)字化開始改變人們生活的大趨勢下，由于缺乏安全基礎設施建設和防護，存儲為目標的區(qū)塊鏈更是成為黑客攻擊的“重災區(qū)”。因此不少專家呼吁，行業(yè)亟待建立嚴格的安全標準。

近年來，信息的交互流動加速，數(shù)字資產(chǎn)的外延也將從數(shù)字貨幣的概念向外快速拓展，安全儲存和管理數(shù)字資產(chǎn)的需求大大提升。

工信部中國電子技術標準化研究院區(qū)塊鏈研究室主任李鳴表示，區(qū)塊鏈是一種基礎技術，它的作用是最大化數(shù)據(jù)價值。隨著數(shù)據(jù)的不斷增多，價值不斷提升，有價值的數(shù)據(jù)封裝后便可視為資產(chǎn)，這可以是原生態(tài)下的數(shù)字化資產(chǎn)，也可以是實物資產(chǎn)的變形。

Cobo聯(lián)合創(chuàng)始人CTO蔣長浩說：“數(shù)字資產(chǎn)快速擴張，未來數(shù)據(jù)將回歸個人，每個人通過自己的數(shù)字資產(chǎn)錢包管理自己的一切，例如一枚獨特的代幣或將成為你個體的所有代表，通過這枚代幣可以讓對方進行認證，而不用讓其知道你的具體個人信息。這就意味著，隨著資產(chǎn)的流動性極大增強，交易效率極大提升，用戶對于安全和便捷的數(shù)字資產(chǎn)儲存管理產(chǎn)品和服務的需求會大大提升?！?/p>

的確，數(shù)字資產(chǎn)價值漸被大眾認可。有消息顯示，2018年11月2日，非洲數(shù)字資產(chǎn)框架（ADAF）啟動，其任務是促進非洲大陸的加密貨幣貿易。聯(lián)合創(chuàng)始人Felix Macharia表示，ADAF是一個開源軟件平臺，旨在為加密貨幣和區(qū)塊鏈技術創(chuàng)建跨境標準。它還將補充非洲聯(lián)盟的單一非洲數(shù)字市場倡議，該倡議利用技術促進數(shù)字化經(jīng)濟一體化。

中國人民銀行參事盛松成此前曾表示，區(qū)別于已有的電子形式的本位幣，安全芯片、移動支付、可信可控云計算、區(qū)塊鏈、密碼算法等技術是將來數(shù)字資產(chǎn)可能涉及的領域。

但需注意的是，北京郵電大學區(qū)塊鏈及安全技術聯(lián)合實驗室馬兆豐主任講到，區(qū)塊鏈作為一種分布式信任技術，在數(shù)字資產(chǎn)、供應鏈管理、跨境支付、版權管理等分布式信任管理方面具有極其廣闊的應用前景。目前區(qū)塊鏈在安全性方面存在很大問題，區(qū)塊鏈安全技術需要在算法安全性、共識機制安全性、數(shù)據(jù)安全性、網(wǎng)絡安全性、合約安全性和應用安全性方面做好安全技術研究與加強。

目前的區(qū)塊鏈技術卻面臨著極度的不安全。以目前區(qū)塊鏈應用最多的數(shù)字貨幣為例，目前其交易所，甚至部分智能合約漏洞百出。但由于區(qū)塊鏈技術的特性不可追溯，交易所賬戶即使被盜也無法追回，給用戶造成巨大損失。

國家互聯(lián)網(wǎng)應急中心互聯(lián)網(wǎng)金融監(jiān)管技術支撐專項組組長吳震表示，目前數(shù)字貨幣面臨風險集聚，除了數(shù)字貨幣交易經(jīng)濟損失等事件引起的群體性社會事件外，更重要的是，其技術風險更為明顯。

吳震舉例，技術風險例如邏輯風險包括51%攻擊、區(qū)塊截留、自私挖礦等;代碼漏洞、交易所被盜、密匙竊取等。

“ 目前來看，主要發(fā)生過的風險集中在代碼實現(xiàn)以及外部風險?！眳钦鹫f，例如2013年，Mt.Gox交易所丟失 85萬個比特幣，造成企業(yè)破產(chǎn);2016年，香港Bitfinex交易所遭黑客入侵，丟失 12萬個比特幣;2017年，韓國Youbit交易所遭黑客入侵，公司申請破產(chǎn);2018年，日本Coincheck交易所丟失 5.2億個新經(jīng)幣，損失5.4億美元。

的確，區(qū)塊鏈安全并未受到應有的重視。區(qū)塊鏈項目評分網(wǎng)站ICO Rating此前對100家24小時交易額超過100萬美元的加密貨幣交易所進行分析發(fā)現(xiàn)，超過 54%的加密貨幣交易所都沒有執(zhí)行標準的安全措施。例如，超過41%的加密貨幣交易所允許創(chuàng)建長度小于8個字符的密碼，37%允許僅使用數(shù)字或字母創(chuàng)建密碼，5%更是無需電子郵件驗證創(chuàng)建。

去中心化漏洞平臺DVP此前更是發(fā)現(xiàn)，有超過600家交易所使用存在漏洞的已被廢棄的開源程序，該漏洞可使攻擊者繞過交易所原本的限制，違規(guī)修改信息，或在未授權的情況下刪除交易所的數(shù)據(jù)。

同時值得注意的是，數(shù)字貨幣的丟失不僅僅是黑客造成，還有交易所平臺監(jiān)守自盜。2014年，世界最大比特幣交易所運營商Mt.Gox宣布其交易平臺的65萬個比特幣被盜一空，隨后便宣布破產(chǎn)。而后來執(zhí)法部門的調查發(fā)現(xiàn)，所謂的65萬比特幣被盜，其實只有7000個比特幣因黑客攻擊而失蹤，其余的都被平臺的內部人拿去了。

對此，吳震表示，從發(fā)展形勢上看，區(qū)塊鏈系統(tǒng)的安全受多個層面的影響，攻擊手段日益升級，損失不斷增加。這更應該讓我們認識到，隨著區(qū)塊鏈應用的范圍和深度逐漸擴大，安全是必須重視的課題。我們必須加強區(qū)塊鏈安全威脅分析和檢測手段建設，提高防護水平。

“區(qū)塊鏈發(fā)展不能脫離以技術為核心。”李鳴說，區(qū)塊鏈相關團體標準將逐步出臺，其中，安全層面標準也將是重中之重。

吳震介紹，目前，《區(qū)塊鏈平臺安全技術要求》行業(yè)標準正立項并起草。 其將明確區(qū)塊鏈平臺面臨的主要威脅和安全體系架構，針對各關鍵模塊提出安全技術要求，為區(qū)塊鏈平臺的安全穩(wěn)健運行提供基礎和保障。