域名預(yù)訂/競價�����,好“米”不錯過
在“雙刃劍”理論普遍適應(yīng)新技術(shù)的當(dāng)下����,最尷尬的莫過于“區(qū)塊鏈”了,正所謂“生于斯毀于斯”��,得名于“中本聰”《比特幣:一種點對點電子現(xiàn)金系統(tǒng)》一文的“區(qū)塊鏈”�,也因比特幣在全球范圍內(nèi)過山車一樣的動蕩表現(xiàn)而頗受微詞。實際上����,從創(chuàng)新角度看,區(qū)塊鏈巧妙融合升級了多種現(xiàn)有技術(shù),如非對稱加密��、點對點網(wǎng)絡(luò)技術(shù)�、哈希算法和共識算法,嚴(yán)格意義上講它是一次工程學(xué)意義上而非科學(xué)理論上的創(chuàng)新��。比特幣等令全球各經(jīng)濟實體如履薄冰的數(shù)字貨幣����,僅僅只是區(qū)塊鏈技術(shù)諸多應(yīng)用中最廣為人知的一種而已。
任何一個新興產(chǎn)業(yè)誕生之初總會面對各種各樣的難題�����,而區(qū)塊鏈產(chǎn)業(yè)目前遇到的最大難題是全球互聯(lián)網(wǎng)��、信息�����、IT行業(yè)斗爭多年的安全難題����。表象是比特幣等各類數(shù)字貨幣價格動蕩,深究之后卻發(fā)現(xiàn)背后竟有黑客攻擊的加持�����;某些區(qū)塊鏈平臺犯了看起來很不可思議的低級錯誤,動輒爆出成千萬���、上億美金的損失��,甚至直接導(dǎo)致破產(chǎn),正應(yīng)了那句圈內(nèi)有名的“世界上沒有絕對安全的系統(tǒng)”��。更不可思議的是����,這些收益“頗豐”的攻擊卻往往使用了相對簡單的攻擊手法。
從業(yè)者似乎需要一本教科書去了解:攻擊者視角下的區(qū)塊鏈為何呈現(xiàn)出金礦般的誘惑力���?但對絕大多數(shù)區(qū)塊鏈產(chǎn)業(yè)鏈上的企業(yè)�����、從業(yè)者而言��,很難通過現(xiàn)有資訊系統(tǒng)性的了解區(qū)塊鏈安全現(xiàn)狀���、難題以及應(yīng)對策略�。為此�����,在國際頂級安全圈創(chuàng)下赫赫聲名的中國初創(chuàng)安全公司長亭科技聯(lián)合ConsenSys��、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國內(nèi)首個區(qū)塊鏈安全深度報告——《區(qū)塊鏈安全生存指南》(報告全文下載鏈接:https://chaitin.cn/cn/download/blockchain_security_guide_20180507.pdf)���,通過剖析區(qū)塊鏈技術(shù)的原理及特點�����,梳理了不同應(yīng)用場景的安全訴求����,復(fù)盤典型安全事件經(jīng)過及技術(shù)原理��,針對性總結(jié)區(qū)塊鏈行業(yè)安全應(yīng)對策略����,接下來讓我們一窺端倪。
現(xiàn)狀:像新生兒一樣脆弱
從2008年概念提出到2013年業(yè)界認(rèn)識到區(qū)塊鏈技術(shù)的重要潛在價值�,并開始嘗試將其應(yīng)用到數(shù)字貨幣以外的場景(如眾募、資產(chǎn)交易�����、權(quán)屬管理、身份認(rèn)證等領(lǐng)域)�����,再到當(dāng)下人人熱談區(qū)塊鏈��,短短幾年間區(qū)塊鏈迅速成為最火爆的技術(shù)��、行業(yè)���、產(chǎn)業(yè),隨之而來的安全問題也令人揪心不已����。《區(qū)塊鏈安全生存指南》顯示���,針對區(qū)塊鏈的攻擊已經(jīng)覆蓋了應(yīng)用層��、智能合約層�����、底層結(jié)構(gòu)層��、基礎(chǔ)設(shè)施層���、安全意識與管理等整個行業(yè)的方方面面�,攻防戰(zhàn)火蔓延至區(qū)塊鏈產(chǎn)業(yè)全線����。
目前市場上多達(dá)幾百家的區(qū)塊鏈相關(guān)公司,根據(jù)業(yè)務(wù)類型和模式大致上可將其劃分為數(shù)字貨幣和技術(shù)應(yīng)用兩大類�����。顧名思義����,數(shù)字貨幣是與數(shù)字經(jīng)濟時代相匹配的一種體現(xiàn)和傳遞交換價值的中間件。而技術(shù)應(yīng)用是在很多現(xiàn)實場景中利用區(qū)塊鏈技術(shù)降低成本���,提升效率�����。兩者因業(yè)務(wù)形態(tài)�����、模式的區(qū)別��,導(dǎo)致其安全訴求也不盡相同。
應(yīng)用層通常成為攻擊者首選的目標(biāo),也就是最常見到的各種交易平臺��。安全問題包括交易所服務(wù)器未授權(quán)訪問���、交易所DDoS攻擊、員工主機安全問題��、惡意程序感染等幾個方面����。智能合約層則是整個安全防范的重中之重���,世界知名的DAO事件就是被重入攻擊導(dǎo)致數(shù)千萬美金的損失����,涉及智能合約開發(fā)的代表性項目有區(qū)塊鏈錢包�、眾籌基金、區(qū)塊鏈代幣發(fā)行����、區(qū)塊鏈游戲等�����。未授權(quán)訪問攻擊�,杜絕Solidity 編程隱患等都是合約層的常見問題�����。底層機構(gòu)層和基礎(chǔ)設(shè)施層安全需要注意區(qū)塊鏈實現(xiàn)層安全隱患�����、針對社區(qū)的DoS 攻擊����、EVM 安全隱患等等。此外��,安全意識與管理��,含如何識別防范社會工程學(xué)攻擊����、內(nèi)部者攻擊���、第三方風(fēng)險控制失敗、釣魚攻擊也是一個都不能少�����。顯而易見��,區(qū)塊鏈這一新貴安全的復(fù)雜性在于不僅在新維度上產(chǎn)生了問題�,常見的安全問題也貫穿其中。
相對于區(qū)塊鏈產(chǎn)業(yè)勢不可擋的發(fā)展速度�,公眾對區(qū)塊鏈安全的認(rèn)知近乎為零,相應(yīng)的規(guī)范和保障體系更如新生兒一樣脆弱��。自出現(xiàn)至今承受了大量的網(wǎng)絡(luò)攻擊���,每一次成功的攻擊帶來的都是百萬�、千萬到上億美元實際損失�,并且打擊了人們對區(qū)塊鏈行業(yè)的信心��。
對策:開發(fā)具有生命周期的安防體系
可見�����,頭頂新互聯(lián)網(wǎng)之名的區(qū)塊鏈也是個復(fù)雜的系統(tǒng),區(qū)塊鏈整體的安全����,離不開系統(tǒng)架構(gòu)中每一環(huán)節(jié)的安全性。從另一個角度來看���,區(qū)塊鏈?zhǔn)且粋€長期運行的分布式軟件系統(tǒng)��,任何軟件系統(tǒng)必將經(jīng)歷從需求到設(shè)計���,再到實現(xiàn)和發(fā)布,最終不斷更新迭代的過程�����。在軟件開發(fā)過程中的每一個環(huán)節(jié)出現(xiàn)的安全問題����,都會給下一個環(huán)節(jié)引入更多的安全問題。例如��,不考慮安全的應(yīng)用場景難以引入安全設(shè)計�����,不安全的系統(tǒng)架構(gòu)無法用安全的實現(xiàn)進行彌補,代碼實現(xiàn)層面的漏洞能給已經(jīng)發(fā)布的應(yīng)用以毀滅性地打擊�����。
為了更加全面和系統(tǒng)化地應(yīng)對區(qū)塊鏈所面臨的安全問題����,不僅要考慮技術(shù)架構(gòu)中的每個層面面臨的安全風(fēng)險,也要將安全方案融入?yún)^(qū)塊鏈開發(fā)的每一個環(huán)節(jié)中去��?��!秴^(qū)塊鏈安全生存指南》建議區(qū)塊鏈開發(fā)者們����,根據(jù)區(qū)塊鏈的技術(shù)架構(gòu)進行具體化��,最終實現(xiàn)區(qū)塊鏈安全開發(fā)生命周期的安全管理方案����。
楊坤,長亭科技聯(lián)合創(chuàng)始人及首席安全研究員�,曾任國際知名藍(lán)蓮花戰(zhàn)隊隊長,帶領(lǐng)中國戰(zhàn)隊取得國際頂級黑客大賽DEFCON CTF全球第二的最佳戰(zhàn)績�,對于區(qū)塊鏈安全他有極深的思考:“我們在擁抱區(qū)塊鏈技術(shù)帶來的革命時,也面臨著嚴(yán)峻的安全考驗——無論是系統(tǒng)的設(shè)計還是實現(xiàn)中出現(xiàn)的安全漏洞�,都可能給整個應(yīng)用帶來毀滅性的打擊。在此次發(fā)布指南中����,我們圍繞區(qū)塊鏈安全,對不同應(yīng)用的安全需求����、過去發(fā)生的攻擊事件和應(yīng)對策略進行梳理,希望能夠為行業(yè)帶來啟發(fā)”���。
吳忌寒�����,業(yè)內(nèi)第一個將比特幣創(chuàng)始人中本聰論文翻譯成中文的資深大咖���,2013年和詹克團聯(lián)合創(chuàng)立比特大陸,這家成立不到五年的中國公司���,被譽為比特幣產(chǎn)業(yè)鏈上的隱形帝國����。吳忌寒認(rèn)為:“區(qū)塊鏈自誕生以來,各種攻擊事件層出不窮����,安全形勢嚴(yán)峻,需要行之有效的方法來防御”���。
唐弈�,ConsenSys中國區(qū)負(fù)責(zé)人��,提及這次三方聯(lián)合發(fā)布國內(nèi)首個區(qū)塊鏈安全報告時的初衷時表示:“很榮幸與長亭科技和比特大陸共同撰寫發(fā)布區(qū)塊鏈安全深度報告��,希望通過報告為提高全行業(yè)的安全意識和技術(shù)能力做出一些貢獻����。安全一直是區(qū)塊鏈的核心課題之一,ConsenSys期待與行業(yè)伙伴們共建安全生態(tài)�、推動區(qū)塊鏈技術(shù)在中國和世界的發(fā)展。”總部設(shè)于紐約的ConsenSys由以太坊聯(lián)合創(chuàng)始人Joseph Lubin成立于2015年��,現(xiàn)在全球團隊一共超過600人��。
前景:舉國創(chuàng)新聚焦前沿技術(shù)
數(shù)據(jù)顯示��,區(qū)塊鏈專利申請的主要國家包括中國、美國��、韓國�����、日本����,中國的增長最為迅速�����,世界上超過一半的區(qū)塊鏈專利都在中國��。目前中國區(qū)塊鏈創(chuàng)業(yè)公司的數(shù)量僅次于美國�����,全球市值前二十的數(shù)字資產(chǎn)中�,不少都有中國血統(tǒng)。
通過各行披露的年報可知��,A股26家上市銀行中共有12家在年內(nèi)已上線運行區(qū)塊鏈應(yīng)用�����,其中包括三家國有大行、六家全國性股份制銀行����,以及三家城商行。這也意味著�,區(qū)塊鏈正逐漸滲透到國民日常生活的點點滴滴之中。未來�����,區(qū)塊鏈金融應(yīng)用只是排頭兵�����,而各種區(qū)塊鏈應(yīng)用將會越來越深入��,隨之而來的改變可能會像科幻電影中的《明日世界》一樣令人震撼���。
千里之行始于足下千里之提潰于蟻穴���,區(qū)塊鏈企業(yè)、行業(yè)、產(chǎn)業(yè)可持續(xù)發(fā)展的前提是區(qū)塊鏈安全��,這跟擲地有聲的“沒有網(wǎng)絡(luò)安全就沒有國家安全”無疑處于同一層面����。相信這也是長亭科技、ConsenSys�����、比特大陸三大行業(yè)領(lǐng)軍企業(yè)發(fā)布《區(qū)塊鏈安全生存指南》的核心動力��。一方面�����,這三家企業(yè)有絕對實力對區(qū)塊鏈安全現(xiàn)狀做出深度分析并給出建議�;另一方面�,這也是企業(yè)高度社會責(zé)任感的體現(xiàn),值得包括不限于區(qū)塊鏈領(lǐng)域的更多依賴技術(shù)創(chuàng)新求突破的企業(yè)深思并學(xué)習(xí)�����。
申請創(chuàng)業(yè)報道�����,分享創(chuàng)業(yè)好點子。點擊此處�����,共同探討創(chuàng)業(yè)新機遇�!
