近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达几十亿美元,给行业带来了巨大的经济损失和惨痛的教训。由于区块链技术是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、共同维护、公开透明等特点,为信任奠定了基础。但区块链技术存在的安全风险和技术特点也给广泛应用及安全监管带来了诸多挑战,随着区块链商业落地,安全需求也变得十分紧迫。可以说,安全是区块链的“立身之本”, 是区块链落地的第一要素! 中国区块链现状 中国政府将区块链视为构建未来智能城市的下一代关键IT 基础设施,将5G 链接的加密安全数据库连接到可扩展的云和数据管理基础设施,以便大数据/AI 分析能够高效地在上面运行 根据中国公司信息门户网站,在中国运营的区块链业务超过37000家. 仅在过去一年中,就有超过三分之一的实体注册 世界知识产权组织(WIPO)数据显示,2019年10月,中国区块链相关专利申请达到1.3万件,占全球专利申请总量的53%以上 中国央行已就数字货币DC/EP申请了84项专利 中国人民银行DCEP在4个主要城市进行试点,在连锁店星巴克、赛百味和麦当劳等19家当地企业进行试点 中国人民银行《金融分布式账本技术安全规范》 中国人民银行于2020年2月发布了《金融分布式账本技术安全规范》(JR/T 0184-2020),这份长达35页的规范文件阐述了安全要求的各个方面,规定了金融分布式账本技术的安全体系,包括:基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。 大中华区云安全联盟(CSA GCR)区块链安全工作组 国际著名非赢利组织云安全联盟大中华区CSA GCR(www.c-csa.cn)成立了专门的区块链/分布式账本技术工作组,专注于区块链安全(利用最新的安全技术,保障区块链的安全和隐私保护)和区块链技术在网络信息安全的应用(使用区块链和分布式账本技术提高网络信息的安全性),工作组整合国内外的先进经验及实践,建立和发展区块链安全指南、最佳实践以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的区块链从业者和关注区块链安全的人们,以及改进区块链和网络信息的安全性。 区块链安全:CSA GCR目前有9个区块链安全工作组(https://www.c-csa.cn/),包括智能合约安全、钱包安全、共识算法安全、交易所安全、dApp安全、用户自治数字身份、网路通讯层安全、数据层的安全、合规KYC/AML 等,未来还会根据需要增加其它相关工作组(如Token经济激励安全,治理DAO安全等)。每个工作组都由一位知名的专家领导,共有100多名网络信息安全专家和区块链安全专家在各个小组工作。 区块链技术在网络信息安全领域的应用:此外,还有可以将区块链和分布式账本技术应用于传统网络信息安全领域,以改进和完善传统网络信息安全(如抗DDOS、身份管理、数据安全和隐私保护、防范盗版及权限管控等),也由其它工作组(如IAM工作组、数据/大数据安全工作组、零信任/SDP工作组、IOT工作组、云/边缘计算工作组、智慧城市安全工作组、AI安全工作组等),与区块链安全工作组一起协作进行。 OWAS的中国区列出区块链安全十大问题 OWASP中国收集、整理和分析了2011年至2019年间160多个典型区块链安全事件,给出了区块链安全TOP10: 高级可持续威胁 失控的币值通胀 失效的权限控制 不安全的共识协议 考虑不充分的程序逻辑 不严谨的业务策略 校验不严格的交易逻辑 脆弱的随机数机制 存在缺陷的激励机制 日志记录和监控不足 http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10 国内部分区块链安全公司 目前一些中国的区块链安全公司,在过去的几年里,也发表了许多安全事件报告和分析: https://www.knownsec.com/ https://www.slowmist.com/and https://slowmist.io/ https://secbit.io/ https://peckshield.cn/ https://beosin.com/#/ https://noneage.com/ 区块链安全技术书籍 2018年机械工业出版社出版的<<区块链安全技术指南>>一书,对区块链技术潜在风险的进行详尽细致的分析:不仅包括区块链技术本身带来的风险(比如加密技术、身份管理技术、共识技术,以及“智能合约”技术可能涉及的风险),还包括区块链应用方面的风险(例如激励机制、数据安全和网络安全等方面可能面临的风险)。有对区块链技术各种安全机制的深度解剖,还有区块链应用遭受攻击的案例分析。理论与实际结合,对潜在风险的预期和评估置于现实背景之下。 第1章详解区块链的安全属性CIA,主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。 第2章特意挑选了一些主流数字货币(包括比特币、以太币和Zcash),对其安全属性进行分析。 第3章为应用与智能合约层的安全控制。主要从Web或者移动客户端应用程序、智能合约,以及身份与访问控制3个方面对安全问题以及区块链的身份管理与访问控制进行了分析。 第4章为激励层安全机制设计。从激励的产生和分配以及激励层安全两方面进行了分析,并从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面,对激励层安全进行了分析,以及如何设计才能有效避免区块链激励层安全事件的发生。 第5章为网络层安全与控制。网络层的安全与控制直接影响区块链的价值,从P2P加密、客户端与节点通信加密、防御DDoS等攻击3个方面进行了分析,描述了网络层安全与控制等的相关安全内容。 第6章为数据层与共识安全。数据层是区块链设计的基础部分,是影响区块链能否正常运行的关键。对区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析,阐述了数据层安全的知识以及保障区块链的正常运行的价值。 第7章为私钥的安全。从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析,给出任何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等方法和措施,提高区块链的安全性。 区块链安全 区块链的安全包括下面几个方面: 智能合约安全 智能合约承载有价值的数字资产是黑客主要攻击目标。黑客通过“重入攻击”、“整数溢出”、“伪随机数漏洞”等方式盗取数字资产。新的攻击方法也层出不穷。对于智能合约的案例进行分析,制定测试标准,探索形式化证明在智能合约安全的应用,和智能合约安全的最佳实践进行研究非常重要。 钱包安全 数字钱包存储数字资产的私钥,包括云钱包、在线的热钱包、离线的冷钱包等等Form Factor。安全隐患主要存在于用户使用上和钱包的安全技术设计上。数字钱包需要分析案例、制定测试标准和开发与应用最佳实践,提高钱包的安全性。 共识算法安全 共识算法是区块链底层技术的关键。共识算法的安全漏洞包括远程攻击、无利害关系攻击、51%攻击、自私挖掘、Eclipse攻击等,主要研究算法的(security)和活跃性(liveness),包括对常用的共识算法POW、POS、DPOS、BFT、POC、POA算法等的安全性研究;希望建立制定测试标准和算法开发最佳实践,提高共识算法的安全性。 交易所安全 交易所是数字资产价格发现和价值交换的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞频发,研究交易所安全,保护用户数字资产安全是区块链发展的必要条件之一。需要分析案例,制定测试标准和开发与应用最佳实践,Check list 等等。 dApp安全 分析主流公共链上dAPP开发(以太坊、EOS、Tron等)的安全案例,提出最佳实践、安全指南以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的dApp从业者,提高dApp的安全性。在目前,DeFi的应用非常火,但是安全问题经常发生。主要是项目方对于安全重视不够。 用户自治数字身份 去中心化数字身份(DID:Decentralized ID)或者自治数字身份(SSI:Self Sovereign Identity)是区块链落地应用的基础,目前对于这方面的安全研究才刚刚开始,但具有十分重要的意义。需要研究欧盟的SSI标准、北美为主的DID标准以及元界的Avatar数字身份和EID数字身份链,探索安全方面的最佳实践、安全指南以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的DID/SSI开发者和使用者,提高其安全性。 网络通讯层安全 区块链网络的安全运行是区块链系统可靠运行的关键。黑客利用“日蚀攻击”、“巫婆攻击”、“交易溯源”等方法破坏数据完整性和系统可用性,对交易机密性进行攻击给区块链技术的落地实践带来了巨大的隐患。此外,基于区块链可以构建一个新的安全通信系统。需要分析案例,制定测试标准,探索区块链交易溯源、隐私保护、数据完整性等技术,开展基于区块链网络层的数据隐蔽通信等应用,研究5G技术对区块链网络的影响。 数据层的安全区块链数据安全问题: 数据隐私保护(数据变形、数据加密、限制数据发布等) 数据可用性保护(网络可追溯性、连通性) 数据完整性保护(双花攻击防御、挖掘攻击防御) 数据可控性保护(智能合约的 —- 编译者/作者:杰哥 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
区块链的安全,谁来保障
2020-07-22 杰哥 来源:区块链网络
LOADING...
相关阅读:
- 特拉瓦拉可以预订另外60万家酒店2020-08-04
- 区块链础设施服务公司 Bison Trails 聘请前高盛副总裁担任总法律顾问2020-08-04
- Nervos选择门户钱包和社交作为首批CKLabs同类公司2020-08-04
- 安全事件频发的DeFi将要如何发展?另附稳定币链上真实流通量查询地址2020-08-04
- 卡尔达诺区块链发布后几天就看到700多个活动池2020-08-04