区块链可能是安全的,但与之交互的软件未必,至少大多数情况下都不安全。区块链软件漏洞导致的网络攻击近年来逐渐增多,从加密货币钱包盗窃到智能合约攻击再到加密货币交易所被黑,各种涉区块链软件的安全事件层出不穷。

保护区块链生态系统是当前最具挑战性的网络安全问题。区块链本身可能是安全的,但这并不意味着与之交互的所有部分都安全,比如加密货币钱包、加密货币交易所、挖矿软件、智能合约。Carbon Black 最近的一份调查研究表明,仅今年上半年,黑客便盗取了价值11亿美元的加密货币。

尽管当下区块链威胁主要集中在公共链领域,企业区块链势必也不能独善其身。对公共链下手就如此有利可图,企业区块链在黑客眼中就像是一片未开垦的矿山。公共链漏洞的成功利用案例将会引导黑客发现企业区块链中的弱点。

安全学习曲线

新技术意味着新威胁和新的学习曲线。任何新技术都一样,风险浮现需要时间,发展出应对风险的方法也需要时间。我们已经在WiFi技术上走过了这条曲线,IoT技术领域的学习曲线则仍在描绘中。至于区块链安全,我们才刚刚踏上学习曲线的起始阶段。而我们必须尽快探索,因为区块链的诱惑太大了,链上投注了如此之多的金钱,大量攻击活动正蠢蠢欲动。

区块链成为黑客眼中诱人目标的部分原因,在于攻击者利用区块链变现更加便捷,他们不用转手所盗数据即可收获金钱,直接盗取(虚拟)货币本身即可。

最弱一环

只要整个区块链系统不是全无漏洞,攻击者就总有空子可钻。与区块链交互的组件也是用代码编写的,而大多数软件代码都有漏洞。CA Veracode 上的代码扫描每年都能扫出一大批漏洞。最近的数据集也显示77%的应用初次扫描就有至少一个漏洞。这种形势下,你还会相信与区块链互动的所有软件都是安全的?加密货币钱包、智能合约、加密货币交易所,哪个值得信任?

就拿加密货币交易所和智能合约来说吧。加密货币交易所就是用户兑换加密货币的在线平台。换句话说,根据兑换类型,加密货币交易所可被视为另一种形式的股票交易所或机场和银行的货币兑换服务。

最近几年发生过数起加密货币交易所重大安全事件:

  • Gox损失了4.8亿美元的比特币

  • 2016年Bitfinex遭遇多签名钱包黑客事件,损失7200万美元

  • Nicehash遭攻击者网络钓鱼盗走凭证后损失6300万美元

  • Coincheck因使用单因子身份验证的在线钱包存储所有信息而惨遭攻击。(这就好像银行把所有的钱都放到某位出纳的抽屉里一样。)

能够数字化验证并促进合约签署和执行的智能合约也未能免疫。智能合约中的低级编程错误导致大规模数据泄露的事件不是没有:

  • DAO智能合约中的可重入漏洞让攻击者抽取了价值5000万美元的以太币。

  • Parity钱包访问控制问题导致价值3000万美元的以太币损失。

不要以为用了区块链你的交易就是安全的。

区块链用户要保护自身,需从以下四个基本安全措施做起:

  1. 别暴露你的私钥

  2. 采用双因子身份验证

  3. 使用加密货币交易平台时别公开任何电子邮箱地址或电话号码

  4. 别在网上吹嘘你的加密货币财富

实现代码级安全

创建与区块链互动的软件时应将安全内置到代码中:

  • 要用良好的软件开发生命周期将安全添加到开发过程中,并审查继承过来的代码

  • 使用双因子身份验证和硬件钱包

  • 遵从标准最佳实践——使用SSL和证书以确保参与各方的身份真实

区块链好处多多,包括更好的法律合同、更强的供应链可见性,甚至可以减少欺诈。但任何技术都逃不过被恶意黑客探测一番,区块链也不例外,黑客探出的漏洞就有可能引发怀疑情绪,减缓新技术的采纳速度。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。