作者:Larry,黄连金
近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达几十亿美元,给行业带来了巨大的经济损失和惨痛的教训。由于区块链技术是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、共同维护、公开透明等特点,为信任奠定了基础。但区块链技术存在的安全风险和技术特点也给广泛应用及安全监管带来了诸多挑战,随着区块链商业落地,安全需求也变得十分紧迫。可以说,安全是区块链的“立身之本”,是区块链落地的第一要素!
中国区块链现状
中国政府将区块链视为构建未来智能城市的下一代关键IT基础设施,将5G链接的加密安全数据库连接到可扩展的云和数据管理基础设施,以便大数据/AI分析能够高效地在上面运行
根据中国公司信息门户网站,在中国运营的区块链业务超过37000家.仅在过去一年中,就有超过三分之一的实体注册
世界知识产权组织数据显示,2019年10月,中国区块链相关专利申请达到1.3万件,占全球专利申请总量的53%以上
中国央行已就数字货币DC/EP申请了84项专利
中国人民银行DCEP在4个主要城市进行试点,在连锁店星巴克、赛百味和麦当劳等19家当地企业进行试点
中国人民银行《金融分布式账本技术安全规范》
中国人民银行于2020年2月发布了《金融分布式账本技术安全规范》,这份长达35页的规范文件阐述了安全要求的各个方面,规定了金融分布式账本技术的安全体系,包括:基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。
大中华区云安全联盟区块链安全工作组
国际著名非赢利组织云安全联盟大中华区CSAGCR成立了专门的区块链/分布式账本技术工作组,专注于区块链安全和区块链技术在网络信息安全的应用,工作组整合国内外的先进经验及实践,建立和发展区块链安全指南、最佳实践以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的区块链从业者和关注区块链安全的人们,以及改进区块链和网络信息的安全性。
纽约梅隆银行计划将数字资产整合到其所有业务:5月16日消息,纽约梅隆银行计划将数字资产整合到其业务的各个方面。纽约梅隆银行证券服务和数字业务首席执行官Roman Regelman表示,该银行正在推进重点涉及分布式账本技术、代币化和数字现金的数字化战略,作为该战略的一部分,它现在正在所有业务线中使用人工智能和机器学习。
Regelman称纽约梅隆银行的数字资产战略仅部分涉及加密,并指出“加密货币仅是数字资产的一个例子”,他还概述了纽约梅隆银行的数字资产三部分计划:1.为数字资产提供其所有现有服务,例如托管和清算服务;2.涉及区块链和其他技术,以“推动现有基础设施的发展和现代化”。3.涉及新的用例,例如证券代币化。
Regelman表示,这些都是长期目标,没有明确的时间表,但指出该银行将在未来一年半内将某些业务扩展到数字资产。(美国银行家报)[2023/5/16 15:05:13]
区块链安全:CSAGCR目前有9个区块链安全工作组,包括智能合约安全、钱包安全、共识算法安全、交易所安全、dApp安全、用户自治数字身份、网路通讯层安全、数据层的安全、合规KYC/AML等,未来还会根据需要增加其它相关工作组。每个工作组都由一位知名的专家领导,共有100多名网络信息安全专家和区块链安全专家在各个小组工作。
区块链技术在网络信息安全领域的应用:此外,还有可以将区块链和分布式账本技术应用于传统网络信息安全领域,以改进和完善传统网络信息安全,也由其它工作组,与区块链安全工作组一起协作进行。
OWAS的中国区列出区块链安全十大问题
OWASP中国收集、整理和分析了2011年至2019年间160多个典型区块链安全事件,给出了区块链安全TOP10:
高级可持续威胁
失控的币值通胀
失效的权限控制
LaunchZone的早期合约Bscex SwapX存在漏洞导致近780万美元资金被盗,超3.4万个地址面临风险:3月27日消息,据Scam Sniffer监测,LaunchZone的早期合约Bscex SwapX存在漏洞,目前已有7799856美元的资金被盗。在早期批准该合约的用户面临风险。34065个地址处于危险之中,请用户尽快检查并撤销授权。
慢雾创始人余弦对此评论称,谁能想到2~3年前钱包地址授权的一个项目出漏洞,许多用户一直没取消授权,有黑客就不断监测这些存在授权风险敞口的钱包地址,一旦发现有资金就盗走。[2023/3/27 13:28:47]
不安全的共识协议
考虑不充分的程序逻辑
不严谨的业务策略
校验不严格的交易逻辑
脆弱的随机数机制
存在缺陷的激励机制
日志记录和监控不足
http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10
国内部分区块链安全公司
目前一些中国的区块链安全公司,在过去的几年里,也发表了许多安全事件报告和分析:
https://www.knownsec.com/
https://www.slowmist.com/andhttps://slowmist.io/
https://secbit.io/
https://peckshield.cn/
https://beosin.com/#/
https://noneage.com/
区块链安全技术书籍
杰克·丹尼威士忌已提交元宇宙、NFT相关商标申请:金色财经报道,NFT和元宇宙商标律师Michael Kondoudis发推称,全球威士忌品牌杰克·丹尼(Jack Daniels)已于9月13日向美国专利商标局(USPTO)提交元宇宙、NFT相关商标申请,将涵盖NFT认证数字媒体、虚拟饮料、酒吧用品和服装、数字钱包和收藏品。[2022/9/20 7:07:08]
2018年机械工业出版社出版的<<区块链安全技术指南>>一书,对区块链技术潜在风险的进行详尽细致的分析:不仅包括区块链技术本身带来的风险,还包括区块链应用方面的风险。有对区块链技术各种安全机制的深度解剖,还有区块链应用遭受攻击的案例分析。理论与实际结合,对潜在风险的预期和评估置于现实背景之下。
第1章详解区块链的安全属性CIA,主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。
第2章特意挑选了一些主流数字货币,对其安全属性进行分析。
第3章为应用与智能合约层的安全控制。主要从Web或者移动客户端应用程序、智能合约,以及身份与访问控制3个方面对安全问题以及区块链的身份管理与访问控制进行了分析。
第4章为激励层安全机制设计。从激励的产生和分配以及激励层安全两方面进行了分析,并从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面,对激励层安全进行了分析,以及如何设计才能有效避免区块链激励层安全事件的发生。
第5章为网络层安全与控制。网络层的安全与控制直接影响区块链的价值,从P2P加密、客户端与节点通信加密、防御DDoS等攻击3个方面进行了分析,描述了网络层安全与控制等的相关安全内容。
第6章为数据层与共识安全。数据层是区块链设计的基础部分,是影响区块链能否正常运行的关键。对区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析,阐述了数据层安全的知识以及保障区块链的正常运行的价值。
Web3 安全生态基础设施 GoPlus Security 为 NFTPlay 智能展示画框提供安全支持:7月23日消息,据官方推特,新一代 NFT 产品 NFTPlay已接入 GoPlus Security 的 NFT 安全检测 API,可对NFTPlay 应用程序和智能框架设备中显示的 NFT 合同地址进行安全认证,进一步保障用户的NFT安全。
据悉,Go+Security 作为 Web3 的“安全数据层”,提供开放、无需许可、用户驱动的安全服务。NFTPlay是新一代的NFT产品,主要基于NFT生态中的线下展示场景,满足NFT持有者的展示、社交需求,围绕IRL进行Web3社交和生态拓展。希望通过IRL设备,虚实联动,丰富现实世界与链上世界的交互场景。[2022/7/23 2:32:34]
第7章为私钥的安全。从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析,给出任何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等方法和措施,提高区块链的安全性。
区块链安全
区块链的安全包括下面几个方面:
智能合约安全
智能合约承载有价值的数字资产是黑客主要攻击目标。黑客通过“重入攻击”、“整数溢出”、“伪随机数漏洞”等方式盗取数字资产。新的攻击方法也层出不穷。对于智能合约的案例进行分析,制定测试标准,探索形式化证明在智能合约安全的应用,和智能合约安全的最佳实践进行研究非常重要。
钱包安全
数字钱包存储数字资产的私钥,包括云钱包、在线的热钱包、离线的冷钱包等等FormFactor。安全隐患主要存在于用户使用上和钱包的安全技术设计上。数字钱包需要分析案例、制定测试标准和开发与应用最佳实践,提高钱包的安全性。
共识算法安全
A股收盘:深证区块链50指数下跌0.69%:金色财经消息,A股收盘,上证指数报3255.55点,收盘下跌0.89%,深证成指报11999.31点,收盘下跌0.3%,深证区块链50指数报2874.56点,收盘下跌0.69%。区块链板块收盘上涨0.56%,数字货币板块收盘上涨1.83%。[2022/6/13 4:22:29]
共识算法是区块链底层技术的关键。共识算法的安全漏洞包括远程攻击、无利害关系攻击、51%攻击、自私挖掘、Eclipse攻击等,主要研究算法的(security)和活跃性(liveness),包括对常用的共识算法POW、POS、DPOS、BFT、POC、POA算法等的安全性研究;希望建立制定测试标准和算法开发最佳实践,提高共识算法的安全性。
交易所安全
交易所是数字资产价格发现和价值交换的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞频发,研究交易所安全,保护用户数字资产安全是区块链发展的必要条件之一。需要分析案例,制定测试标准和开发与应用最佳实践,Checklist等等。
dApp安全
分析主流公共链上dAPP开发的安全案例,提出最佳实践、安全指南以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的dApp从业者,提高dApp的安全性。在目前,DeFi的应用非常火,但是安全问题经常发生。主要是项目方对于安全重视不够。
用户自治数字身份
去中心化数字身份或者自治数字身份(SSI:SelfSovereignIdentity)是区块链落地应用的基础,目前对于这方面的安全研究才刚刚开始,但具有十分重要的意义。需要研究欧盟的SSI标准、北美为主的DID标准以及元界的Avatar数字身份和EID数字身份链,探索安全方面的最佳实践、安全指南以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的DID/SSI开发者和使用者,提高其安全性。
网络通讯层安全
区块链网络的安全运行是区块链系统可靠运行的关键。黑客利用“日蚀攻击”、“巫婆攻击”、“交易溯源”等方法破坏数据完整性和系统可用性,对交易机密性进行攻击给区块链技术的落地实践带来了巨大的隐患。此外,基于区块链可以构建一个新的安全通信系统。需要分析案例,制定测试标准,探索区块链交易溯源、隐私保护、数据完整性等技术,开展基于区块链网络层的数据隐蔽通信等应用,研究5G技术对区块链网络的影响。
数据层的安全区块链数据安全问题:
数据隐私保护
数据可用性保护
数据完整性保护
数据可控性保护等以提高区块链数据安全和隐私保护。
合规
随着加密数字资产价值的不断提高,它越来越被人们所接受和使用。由于数字资产的匿名性,世界各国都在加紧对链上资产加密交易的监管,对KYC的需求也在不断增加。AML/KYC工作组通过对链上数据的分析,讨论了区块链上的异常交易、识别链上对应地址背后实体的方法,以及追踪匿名数字货币的方法。
区块链开发安全工具
利用区块链的不可篡改性对于数据的完整性进行保护,包括美国的国家安全部在研究的区块链数据完整性系统就是把中心化需要保护的数据的Hash(相当于数据的指纹)进行上链,在使用的过程中检测数据库里面的数据的Hash与区块链上的相对应的Hash是否相同来判断数据的完整性。
密码学在区块链的应用
零知识证明,同态加密,和安全多方计算在区块链和云安全领域有非常大的应用。目前,美国斯坦福大学,伯克利分校,和美国湾区的一些初创公司非常重视这方面的研究。比如,零知识证明可以用于隐私保护,性能扩充,和跨链交易证明。因此各种零知识证明的优化方法层出不穷。零知识证明用于隐私保护主要是保护交易双方的地址和具体交易的内容。零知识证明用于性能扩充,主要是利用零知识的递归证明减少验证所需要的时间和内存,从而既能保证隐私,又能提高效率。在多方交易的情况下安全多方计算是一个非常有用的算法。另外,同态加密意味数据可以在不被解密的情况下进行处理,处理的结果只有数据的拥有者才能解密。这个对于云安全和区块链都有重大的意义。目前能够满足全同态加密的算法的速度还不够,但是这方面的研究正在学术界如荼如火地进行。
公链和联盟链安全
公链和联盟链的主要两个区别:公链不需要身份就可以进入公链的网络。联盟链必须经过身份或者证书的验证才能进入联盟的网络。另外一个区别是共识算法。公链的共识算法对安全要求比较联盟链的共识算法安全要高。在公链与联盟链结合的时候需要考虑到他们之间不同的安全的要素。
跨链安全
跨链可以有同构的跨链和异构链之间的跨链。同构的跨链的安全方面较为简单。因为同构的区块链具有相同共识算法,共同的数据格式和交易确认时间。如果其中某一条链分叉了,另外一条链应该在规定的时间可以收到信息并且进行处理。但是异构链之间的跨链,如果其中某一条链分叉了,怎么办?这还是一个没有解决的问题。所以,跨链之间的安全是非常值得深入探讨的问题。
节点配置安全
区块链的共识节点决定数据的一致性问题。如果共识节点因为配置的不够安全,遭到黑客攻击,成为错误的节点。那么在这种情况之下,就有可能造成区块链网络的不安全。
运维安全及安全预算建议
区块链项目在上线以前必须通过第三方的安全审计。即使在上线以后也要做定时的安全监测,因为新的安全攻击经常发生。如果有新的智能合约或者新的应用案例上线以前,必须进行安全的检测。在运维过程之中,需要建立一系列的工具去检测区块链网路的运行状况,一般来说,整个区块链项目10%到20%的预算必须用于安全。低于10%安全预算的区块链项目基本上在上线6个月内就会有重大的安全问题发生。
区块链安全与企业组织关系
一个企业如果决定利用区块链部署应用落地项目,那么这个公司必须有区块链安全的专职人员。公司的CEO必须对于安全负责。分析以前在国内或国外的区块链安全事件,100%都是因为公司的主要负责人对于安全不重视,有的即使有区块链安全的专职人员,因为不能得到公司的支持,不能真正发挥作用,最终还是导致安全事件发生。因此区块链安全与企业组织关系必须有利于安全的技术开发和落地,也必须有利于第三方的安全审计。
隐私计算
隐私计算是指在保护数据本身不对外泄露的前提下,实现数据分析计算的一类信息技术,主要分为密码学和可信硬件两大领域。
密码学中重要的技术有多方计算MPC、同态加密、零知识证明ZKP、差分混淆等。多方安全计算技术核心思想是设计特殊的加密算法和协议,从而支持在加密数据之上直接进行计算。目前MPC通过秘密分割、不经意传输、混淆电路或同态加密等专门技术实现,通用性相对较低、性能处于中等水平,但近年来性能提升迅速、应用价值极高。
可信硬件技术目前主要指可信执行环境,其核心思想是构建一个硬件安全区域,数据仅在该安全区域内进行计算。TEE将信任机制交给硬件方,严格来讲并不属于“数据可用不可见”,但其通用性高、开发难度低,使得在数据保护要求不是特别严苛的场景下存在价值发挥的可能。
此外,还有了联邦学习、共享学习、知识联邦、联邦智能等一系列“联邦学习类”技术,以实现机器学习、数据建模、数据预测分析等具体场景为目标,通过对上述技术改进融合,在算法层面进行调整优化而实现
综上所述,区块链安全目前面临的主要问题有共识过程的中心化、智能合约代码漏洞、算法漏洞、系统实现代码漏洞等,分析区块链安全性CIA需要从综合系统安全性、算法安全性、使用安全性、实践安全性与协议安全性等方面进行分析完善。行业需要从学术、技术和实践等方面研究区块链安全,探究其中存在的安全风险、对抗风险所需采取的措施,以及实践经验,最后形成一个安全规范,作为检测、开发、应用的具有开放性和经济性的指导标准,以解决“区块链的安全,谁来保障?”的问题,为打造一个更安全的数字经济和数字时代DT的到来打下坚实的基础和保障。
免责声明:本专栏內容概不构成任何投资意见,內容亦并非就任何个别投资者的特定投资目标、财务状况及个别需要而编制。投资者不应只按本专栏內容进行投资.
1900/1/1 0:00:00转自:区块律动当DeFi出现了YFI这样的产品,故事已经达到一个高潮了。没有团队分配、没有预挖、没有投资机构预留,YFI相当于在DeFi上做了一个「比特币」,讲了一场公平概念的故事.
1900/1/1 0:00:00强降雨和洪水正在长江中下游肆虐,而矿场密布的四川、云南也将迎来新一波强降雨。据澎湃新闻报道,5天内四川将再迎来两轮强降雨.
1900/1/1 0:00:00抓住新一轮科技革命和产业变革的重大机遇,加快发展数字经济,建设数字中国。在大数据时代,数据已经渗透到人们生活的方方面面,如何更好地发挥数据的作用?在国内缺少数据领域专门立法的情况下,近日,深圳市.
1900/1/1 0:00:00这是dForce张先生说DeFi机会实操第二期,在社群中好多用户找到我希望知道怎么样参与高收益的DeFi挖矿机会Comp/Bal/MTA/MCB/DF/CRV等.
1900/1/1 0:00:00比特币在昨日回调至11000位置附近反弹之后,行情虽然有点磕磕绊绊,但整体上涨趋势明显,在突破11250压制位置后,更是进一步走出一波上行.
1900/1/1 0:00:00