區(qū)塊鏈技術(shù)安全存隱患，急需尋找解決方案

10月19日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范》（下稱(chēng)《安全規(guī)范》）研制啟動(dòng)會(huì)召開(kāi)。本次啟動(dòng)會(huì)旨在落實(shí)相關(guān)工作要求，推動(dòng)《安全規(guī)范》標(biāo)準(zhǔn)的編制工作，中國(guó)科學(xué)院信息工程研究所將負(fù)責(zé)組織實(shí)施標(biāo)準(zhǔn)的編制、推進(jìn)等工作。

10月19日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范》（下稱(chēng)《安全規(guī)范》）研制啟動(dòng)會(huì)召開(kāi)。本次啟動(dòng)會(huì)旨在落實(shí)相關(guān)工作要求，推動(dòng)《安全規(guī)范》標(biāo)準(zhǔn)的編制工作，中國(guó)科學(xué)院信息工程研究所將負(fù)責(zé)組織實(shí)施標(biāo)準(zhǔn)的編制、推進(jìn)等工作。

“《安全規(guī)范》標(biāo)準(zhǔn)的制定和出臺(tái)，對(duì)于區(qū)塊鏈行業(yè)整體發(fā)展上有著很好的推動(dòng)和促進(jìn)作用;對(duì)于部分非法覬覦者和短期利益者，也有著較強(qiáng)的震懾作用;對(duì)于行業(yè)標(biāo)準(zhǔn)化、規(guī)范化的發(fā)展，有著很好的敦促和指引作用?！弊止?jié)互鏈ByteLink CEO杜超向《鏈新》表示。

技術(shù)安全存隱患

“區(qū)塊鏈究竟安不安全，這個(gè)問(wèn)題是仁者見(jiàn)仁智者見(jiàn)智?！卑坻溗C創(chuàng)始人、中國(guó)區(qū)塊鏈應(yīng)用研究中心研究員辛泓睿向《鏈新》表示。

辛泓睿認(rèn)為，區(qū)塊鏈安全主要涉及兩大類(lèi)：一是區(qū)塊鏈+產(chǎn)業(yè)生態(tài)的安全（如電子交易、版權(quán)）;二是區(qū)塊鏈+政務(wù)（如身份驗(yàn)證、存證等）。區(qū)塊鏈安全主要內(nèi)容包括：技術(shù)安全，例如智能合約以及虛擬機(jī)的安全、密碼學(xué)與網(wǎng)絡(luò)安全、存儲(chǔ)安全等;應(yīng)用安全，例如金融安全、審計(jì)安全等;以及監(jiān)管安全等安全性要求。

2016年6月17日，區(qū)塊鏈業(yè)界最大的眾籌項(xiàng)目TheDAO（被攻擊前擁有1億美元左右資產(chǎn)）遭到攻擊，導(dǎo)致300多萬(wàn)以太坊資產(chǎn)被分離出TheDAO資產(chǎn)池。2017年7月19日，多重簽名錢(qián)包Parity1.5及以上版本出現(xiàn)安全漏洞，15萬(wàn)個(gè)以太坊被盜，共價(jià)值3000萬(wàn)美元。這些上億元的安全損失只是因?yàn)橐恍写a引起的。

“從技術(shù)角度來(lái)講，區(qū)塊鏈面臨的安全問(wèn)題，既來(lái)自于區(qū)塊鏈本身，也有其他技術(shù)發(fā)展產(chǎn)生的潛在威脅。”比特大學(xué)聯(lián)合創(chuàng)始人、副校長(zhǎng)王繼堯向《鏈新》表示。

據(jù)王繼堯分析，以較為重視安全維度的公鏈系統(tǒng)自身來(lái)講，目前公認(rèn)較為安全的是比特幣網(wǎng)，運(yùn)行超過(guò)十年年沒(méi)有遇到較嚴(yán)重的安全問(wèn)題，主要原因是其在腳本上限制了開(kāi)發(fā)拓展性，且節(jié)點(diǎn)數(shù)量相對(duì)較多，保證了鏈的安全穩(wěn)定。

相比之下，可編程的區(qū)塊鏈系統(tǒng)及其鏈上應(yīng)用，在編程過(guò)程中難免產(chǎn)生漏洞，如近期以太坊上的一些DEFI項(xiàng)目，由于部分合約未經(jīng)審計(jì)以致漏洞未被發(fā)現(xiàn)，導(dǎo)致項(xiàng)目不得不暫停運(yùn)行。

“近年來(lái)，區(qū)塊鏈安全方面，絕大多數(shù)的問(wèn)題還是黑客攻擊，另外也出現(xiàn)過(guò)信息和隱私泄漏風(fēng)險(xiǎn);數(shù)字加密資產(chǎn)領(lǐng)域出現(xiàn)較多的道德風(fēng)險(xiǎn)以及潛在的非法信息和資金傳遞風(fēng)險(xiǎn)?！倍懦颉舵溞隆繁硎?。

杜超認(rèn)為，黑客攻擊和開(kāi)發(fā)者的道德風(fēng)險(xiǎn)，一定程度上可以通過(guò)技術(shù)發(fā)展以及逐漸健全、合規(guī)的代碼審計(jì)機(jī)制有所控制;而信息和隱私泄漏以及使用者道德風(fēng)險(xiǎn)，一定程度上可以通過(guò)風(fēng)險(xiǎn)意識(shí)教育進(jìn)行部分規(guī)避。

“歸根結(jié)底，這幾塊的風(fēng)險(xiǎn)會(huì)持續(xù)存在。其中對(duì)公共安全有較大潛在危害的‘非法信息和資金傳遞’風(fēng)險(xiǎn)，比較復(fù)雜且難以偵測(cè)，但有可能造成極為嚴(yán)重的危害，比如：極端組織非法信息傳遞以及跨境洗錢(qián)等。”

尋找解決方案

“區(qū)塊鏈的安全問(wèn)題是區(qū)塊鏈技術(shù)的核心命題，有效解決安全問(wèn)題將很大程度助力區(qū)塊鏈發(fā)展。”王繼堯說(shuō)。

“正如DEFI的去中心化金融給未來(lái)金融提供了很多解決方案參考一樣，對(duì)于目前產(chǎn)生的各種區(qū)塊鏈漏洞，同樣可以進(jìn)行分類(lèi)定級(jí)，建立一些常見(jiàn)的漏洞及安全識(shí)別體系，這有助于提升行業(yè)整體安全識(shí)別水平。”

王繼堯認(rèn)為，從技術(shù)手段上，通過(guò)建立可信的代碼審計(jì)體系，可以一定程度上避免安全漏洞。整體而言，區(qū)塊鏈的安全相關(guān)細(xì)則制定，需要涵蓋公鏈、聯(lián)盟鏈、智能合約及鏈上應(yīng)用，這是一個(gè)長(zhǎng)久的過(guò)程，需要建立標(biāo)準(zhǔn)細(xì)則、完善體系等，“現(xiàn)在相關(guān)安全細(xì)則已經(jīng)著手制定，這是一個(gè)好的開(kāi)始。”

與此同時(shí)，也需要建立項(xiàng)目、公司、個(gè)人用戶(hù)的安全意識(shí)?！氨热?，用戶(hù)不去參與未經(jīng)代碼審計(jì)的項(xiàng)目，這就會(huì)倒逼項(xiàng)目或企業(yè)完成代碼的安全審計(jì)。再比如，一些設(shè)計(jì)BAAS服務(wù)類(lèi)的平臺(tái)，對(duì)于用戶(hù)構(gòu)建的技術(shù)模塊，也應(yīng)該考慮像以太坊網(wǎng)絡(luò)一樣，嵌入一個(gè)代碼漏洞識(shí)別與審計(jì)功能，提升平臺(tái)整體安全質(zhì)量。這既需要商業(yè)機(jī)制的倒逼，也需要行業(yè)廣泛宣傳?！蓖趵^堯強(qiáng)調(diào)。

“當(dāng)前區(qū)塊鏈技術(shù)在各場(chǎng)景應(yīng)用的過(guò)程中，主要存在密鑰泄露、賬號(hào)盜用、DDoS攻擊、協(xié)議漏洞、合約漏洞、應(yīng)用軟件漏洞等安全隱患?！毙零ＵJ(rèn)為，可結(jié)合場(chǎng)景特點(diǎn)，從物理設(shè)施、區(qū)塊鏈底層協(xié)議、應(yīng)用層面針對(duì)性展開(kāi)安全風(fēng)險(xiǎn)防范，開(kāi)展代碼審計(jì)工作，部分法規(guī)代碼化，內(nèi)置于區(qū)塊鏈系統(tǒng)，打造符合國(guó)家安全要求的自主可控的區(qū)塊鏈平臺(tái)和應(yīng)用。

“安全永遠(yuǎn)是人們最關(guān)心的問(wèn)題，計(jì)算網(wǎng)絡(luò)的安全性風(fēng)險(xiǎn)都可以通過(guò)技術(shù)來(lái)解決，來(lái)自用戶(hù)錢(qián)密鑰泄露、賬號(hào)盜用的安全主要通過(guò)提高用戶(hù)的安全意識(shí)，加強(qiáng)自我防范來(lái)實(shí)現(xiàn)?！毙零１硎?。

目前，在高效低能耗、安全與去中心化這幾個(gè)主要設(shè)計(jì)目標(biāo)上，區(qū)塊鏈技術(shù)存在“不可能三角”。如果選擇去中心化和高效低能耗，則要犧牲安全性，特別是在金融領(lǐng)域，幾乎可以一票否決;如果選擇去中心化和安全，舍棄高效低能耗，必然導(dǎo)致交易模式和場(chǎng)景的極大壓縮，幾乎是在所有主流業(yè)務(wù)上的全面撤退;最后，如果選擇高效低能耗與安全性，又極大損害了區(qū)塊鏈的預(yù)期發(fā)展前景。

“目前市場(chǎng)上相關(guān)企業(yè)掌握的區(qū)塊鏈技術(shù)，沒(méi)有太大差異，區(qū)塊鏈應(yīng)用需要解決的是基礎(chǔ)理論上的問(wèn)題，這是政府部門(mén)、科研機(jī)構(gòu)牽頭承擔(dān)的任務(wù)?！毙零１硎尽?/p>

期待標(biāo)準(zhǔn)出臺(tái)

“行業(yè)開(kāi)始著手研究制定《安全規(guī)范》，恰恰體現(xiàn)了行業(yè)的蓬勃發(fā)展，并向著產(chǎn)業(yè)化、正規(guī)化方向邁進(jìn)，這是我們喜聞樂(lè)見(jiàn)的。將對(duì)行業(yè)的安全防護(hù)、代碼審計(jì)相關(guān)的項(xiàng)目和公司有比較好的促進(jìn)作用。”王繼堯表示。當(dāng)下中國(guó)區(qū)塊鏈產(chǎn)業(yè)處于高速發(fā)展階段，國(guó)內(nèi)主流金融機(jī)構(gòu)、科技企業(yè)等紛紛加快區(qū)塊鏈應(yīng)用投入，區(qū)塊鏈技術(shù)的應(yīng)用領(lǐng)域從最初的金融逐步拓展到政務(wù)服務(wù)、供應(yīng)鏈管理、工業(yè)制造等多個(gè)方面，新應(yīng)用、新業(yè)態(tài)正在快速落地。

“區(qū)塊鏈當(dāng)前不成熟，但有發(fā)展?jié)摿?。”辛泓睿認(rèn)為，雖然區(qū)塊鏈行業(yè)總體仍處于發(fā)展早期，很多人研究區(qū)塊鏈底層技術(shù)，但到一定程度就很難有進(jìn)展，需要有實(shí)際應(yīng)用場(chǎng)景拉動(dòng)?！艾F(xiàn)在區(qū)塊鏈應(yīng)用落地項(xiàng)目，依然是一個(gè)痛點(diǎn)。要防范打擊詐騙，否則這些詐騙行為容易影響行業(yè)的發(fā)展和聲譽(yù)。同時(shí)，要鼓勵(lì)技術(shù)研究，踏踏實(shí)實(shí)做技術(shù)，不要天天炒概念。區(qū)塊鏈相對(duì)來(lái)說(shuō)還是比較好管理，以鏈管鏈，以技術(shù)管技術(shù)。”

鑒于當(dāng)前的技術(shù)缺陷，在區(qū)塊鏈應(yīng)用落地項(xiàng)目中，王繼堯認(rèn)為，應(yīng)該“強(qiáng)化代碼審計(jì)，產(chǎn)業(yè)端聯(lián)盟鏈或開(kāi)放聯(lián)盟鏈，完善自主核心關(guān)鍵技術(shù)，盡量采用完全自主研發(fā)的技術(shù)架構(gòu)，并制定相應(yīng)標(biāo)準(zhǔn)?！?/p>

杜超建議，重視區(qū)塊鏈行業(yè)監(jiān)察、監(jiān)管，建立有效的、快速的、多部門(mén)多層級(jí)共同協(xié)調(diào)的工作機(jī)制;加速推動(dòng)密碼學(xué)和隱私保護(hù)等技術(shù)的發(fā)展和研究;逐步建立、健全有法律法規(guī)基礎(chǔ)的代碼審查、備案機(jī)制;加大從業(yè)者普法以及行業(yè)自律教育。

“《安全規(guī)范》標(biāo)準(zhǔn)的制定，將解決好監(jiān)管的問(wèn)題，有助于保障區(qū)塊鏈產(chǎn)業(yè)的健康發(fā)展?！毙零ＵJ(rèn)為，國(guó)家標(biāo)準(zhǔn)《安全規(guī)范》制定，將有利于研究區(qū)塊鏈信息服務(wù)安全風(fēng)險(xiǎn)，提出安全要求和測(cè)試評(píng)估方法，指導(dǎo)區(qū)塊鏈信息服務(wù)提供者開(kāi)展安全建設(shè)和安全評(píng)估，進(jìn)一步推進(jìn)‘互聯(lián)網(wǎng)+信用’監(jiān)管，利用區(qū)塊鏈、大數(shù)據(jù)、人工智能等技術(shù)手段，加強(qiáng)對(duì)行業(yè)和個(gè)人的信用信息的歸集共享和分析應(yīng)用，為數(shù)字人民幣的開(kāi)發(fā)提供支持，同時(shí)將推動(dòng)云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G等新一代信息技術(shù)與智慧信息系統(tǒng)的融合升級(jí)。
責(zé)編AJX