區塊鏈自誕生以來,一直被認為是一種更安全的金融交易方式,事實也的確如此。毫無疑問,分佈式賬本技術需要獲得絕大多數節點的一致同意才能進行每一筆交易,它為金融交易提供了一定程度的安全性,而且比當前的IT系統更高效、更便捷、更划算。
隨著信息技術的不斷髮展,區塊鏈也確實存在需要解決的漏洞,這些漏洞主要來自於在交易發送到區塊鏈之前使用錢包創建和簽署交易的端點。然而,這些錢包是黑客攻擊的首要目標。倘若允許人們交流事務的應用程序容易受到攻擊,那麼使用安全的區塊鏈又有什麼意義呢?
智能合約漏洞頻發
2019年5月3日,以太坊上一款應用中的所有波場幣被盜,總價值427萬多人民幣。其原因就是黑客發現了該應用智能合約中的一個漏洞,通過該漏洞悄無聲息地轉走了應用中的所有資產。隨後媒體頭條反映了這一現實,一名黑客控制了該網絡一半以上的計算能力,並利用它重寫了交易歷史。
事發一個月後,《麻省理工學院技術評論》上突出了“區塊鏈曾經被認為是不可破解的,現在卻遭到了黑客攻擊”這樣一個標題。隨後各地的分析人士都開始重新考慮分佈式賬本技術是否真的像其追隨者所宣稱的那樣安全。
有趣的是,交易所及時發現了攻擊,並警告ETC社區,防止黑客從其用戶那裡竊取任何資金。這家總部位於舊金山的交易所,其信任記錄和一流的安全性為它贏得了作為某種加密交易所標杆的聲譽,並在當時流行起來。其實,在當時發生的其他黑客攻擊中,ETC攻擊是區塊鏈歷史上的一個轉折點,它揭示了以一種利用區塊鏈的安全優勢並避免對其網絡造成損害的方式來設計區塊鏈的重要性。雖然最初關於黑客攻擊的新聞標題是噩夢般的,但交易所避免了一場可能更糟糕的公關災難。
而這只是眾多區塊鏈安全事件的冰山一角。據迅雷鏈開放平臺產品負責人馬雙陽介紹,在以太坊上38000多個智能合約中,通過漏洞掃描工具發現存在815個漏洞。也就是說,超過2.1%的合約存在漏洞,這是非常驚人的一個比率。
儘管破解區塊鏈異常困難,但這是考驗單個礦商獲得超過50%的網絡計算能力的過程,技術上不太老練的黑客,也很容易破解通過區塊鏈進行交易的錢包。
與整個區塊鏈不同,這種以端點為目標的方法在2019年5月達到了新的高度,黑客在一次交易中從Binance exchange竊取了價值4000萬美元的比特幣,這一巨大的安全漏洞震驚了密碼世界。這筆交易僅限於Binance公司的BTC熱錢包,其中包含了該公司大約2%的比特幣持有量。但不只是熱錢包有被壞人利用的風險。如今市場上的大多數加密錢包,包括冷錢包,在某種程度上都與互聯網相連,因此完全可以被黑客竊取。只要攻擊方獲得了正確的投資回報,每個錢包都可能被攻破。
這種脆弱性正在讓企業付出代價。據不完全統計,僅在2019年上半年,就有大約42.6億美元的數字資產被盜,其中大部分來自交易所。區塊鏈的端點漏洞必須得到解決,因為企業要防止這種負擔和不必要的經濟損失。此外,網絡攻擊造成的損害遠不止是經濟上的,還附帶損害包括聲譽損害和恢復信任所需的時間,以及在攻擊期間鎖定漏洞所需的關閉時間。
全球最大的網絡安全公司之一Akamai在2019年底發佈的一份報告預測,2020年,將有更多的網絡攻擊武器化。在新的十年裡,犯罪開發者和國家行為者之間的重疊為所有金融機構創造了一個非常危險的現實,創造了大量針對特定組織的專屬工具。
安全才是企業發展的第一要素
不過業內專家也提醒說,企業在開發區塊鏈應用時,固然要強調安全性,但也要注重使用效率,二者不可偏廢,否則安全性倒是有保障,但應用本身的易用性卻遭到損害,也不利於業務的開展。區塊鏈頭部平臺也意識到了這方面的重要性,開始加強此方面的融合。
對於區塊鏈安全來講,從系統架構上,建議相關企業與專業區塊鏈安全研究組織合作,及時發現、修復系統漏洞,避免導致嚴重的大規模資金被盜事件發生。
對於企業網站、服務器資源的管理者,應部署企業級網絡安全防護系統,防止企業服務器被入侵安裝挖礦病毒,防止受到勒索病毒侵害。企業網站應防止被黑,及時修補服務器操作系統、應用系統的安全漏洞,避免企業服務器淪為黑客挖礦的工具,同時也避免因服務器被入侵而導致企業網站的訪客電腦淪為“礦工”。
同時在很多業務場景中,需要對某些數據進行求證,而求證過程又往往意味著數據的公開,由此又與數據安全和隱私保護形成衝突。鑑於此種情況,迅雷鏈推出承諾系統,利用同態加密和零知識證明兩種技術,實現了在不公開數據的情況下,完成對數據的求證。就好比寫字樓門禁,當你拿工牌刷卡開門時,門禁只會反饋出“開”與“不開”這兩個結果,並不會告訴你工牌上的姓名、公司、電話等信息。
寫在最後
2020年,網絡安全也會成為關乎企業命運的一個重要指標。無論全球科技發展有多麼迅猛,數字威脅自始至終都是構成企業最大的風險。因此,我們要藉助區塊鏈所提供的完備安全機制,進行應用開發,最大程度地保障自身應用產品的安全性,能夠更好的服務消費者。(編輯:劉志剛)
▎本週活動
【鏈客Talk】是鏈客旗下的深度訪談欄目,我們致力於打造讓企業家都聽得懂的區塊鏈欄目,定位於區塊鏈應用落地案例分析,成為區塊鏈企業和傳統企業溝通的橋樑,助力區塊鏈技術在傳統行業的應用普及。
欄目觸達國內95%的區塊鏈項目方、優質的技術團隊以及眾多的傳統行業企業家!
本期活動:
鏈客區塊鏈+產業應用落地主體高端訪談系列之——區塊鏈+供應鏈金融
直播時間:4月22日(本週三)下午三點 鏈客與您不見不散!!!
