區塊鏈似乎是構想中最安全的網絡之一。盡管如此，最近一群研究人員還是發現了多處漏洞。

[[223160]]

區塊鏈 - 全球在線分類賬的網絡 - 真的很安全嗎？它的支持者說是的，因為它將交易或智能合約分配給不可變的總賬，可由多方核實。然而，最近發表的一篇論文提出了一些漏洞，可能會導致區塊鏈條效率低下，黑客攻擊和其他犯罪活動。

隨著區塊鏈日益成為商業運營的一部分，需要仔細研究這種新興技術帶來的潛在安全責任。隨著分散應用數量的增長，“區塊鏈的隱私泄露風險將更加嚴重”，Li及其合著者稱。“分散的應用程序本身以及應用程序和互聯網之間的通信過程都面臨著隱私泄露風險。” 他們敦促更多地采用技術來應對這一挑戰：“代碼混淆，應用強化和執行可信計算”。

[[223161]]

研究人員用區塊鏈概述了關鍵的已知風險因素：

區塊鏈效率：對于初學者來說，區塊鏈本身的效率可能會因復雜的共識機制和無效數據而變得過載。李和他的共同作者指出，互聯網上采用的共識機制是計算資源巨頭。例如，區塊鏈中使用的最流行的共識機制是工作證明（Proof of Work），研究人員稱之為“浪費計算資源”。他們表示，正在努力開發結合PoW和證明權益（PoS）的更高效和混合的共識機制。另外，區塊鏈會產生大量的數據 - 區塊信息，交易數據，合同字節碼 - 可能已經過時并且毫無用處。“在Ethereum中有很多不包含代碼或完全相同的代碼的智能合約，許多智能合約在部署后從未執行。 

“51％的脆弱性：”區塊鏈“依賴于分布式共識機制來建立互信。然而，共識機制本身具有51％的脆弱性，攻擊者可以利用它來控制整個區塊鏈，更確切地說，在基于PoW的區塊鏈，如果單個礦工的散列能力占整個區塊鏈總散列能力的50％以上，那么51％的攻擊可能會啟動，因此，集中在少數采礦池的采礦能力可能會導致對不經意的情況，比如單個池控制著超過一半的計算能力。“

私鑰安全性：“在使用區塊鏈時，用戶的私鑰被認為是由用戶而不是第三方機構生成和維護的身份和安全證書，例如，在比特幣區塊鏈中創建冷庫時，用戶必須導入他/她的私鑰。“ 攻擊者可以“恢復用戶的私鑰，因為它在簽名過程中不會產生足夠的隨機性。一旦用戶的私鑰丟失，將無法恢復。由于區塊鏈不依賴任何集中的第三方如果用戶的私鑰被盜，很難跟蹤犯罪行為并恢復修改后的區塊鏈信息。“ 

犯罪活動。“通過一些支持比特幣的第三方交易平臺，用戶可以購買或出售任何產品。由于此過程是匿名的，因此很難追蹤用戶的行為，更不用說受到法律制裁。” 比特幣頻繁的犯罪活動包括勒索軟件，地下市場和洗錢。

雙重支出。“雖然區塊鏈的共識機制可以驗證交易，但仍不可能避免雙重支出，或者多次使用相同的加密貨幣進行交易。攻擊者可利用兩筆交易啟動和確認之間的中間時間快速發起攻擊。 “

交易隱私泄露。“不幸的是，區塊鏈中的隱私保護措施并不穩健，”李和他的共同作者說。“刑事智能合同可以促進泄露機密信息，盜竊密鑰和各種現實世界的犯罪（例如謀殺，縱火，恐怖主義等）”

[[223162]]

智能合約中的漏洞。“作為在區塊鏈中運行的程序，智能合約可能存在程序缺陷導致的安全漏洞。” 例如，一項研究發現，在19,366個以太坊智能合約中，有8,833個易受諸如交易順序依賴性，時間戳依賴性，無法處理的例外情況和重新入侵脆弱性等缺陷的影響。“

欠佳優化的智能合約：“當用戶與部署在以太坊的智能合約進行交互時，會收取一定數量的”天然氣“，天然氣可以通過以太坊的加密貨幣”以太“進行交換，導致”無用與代碼相關的模式“和”與循環相關的模式“。這包括”死循環中的死代碼，不透明謂詞和昂貴的操作“。

價格低廉的操作：“以太坊根據執行時間，帶寬，內存占用率和其他參數來設置氣體價值，一般來說，氣體價值與操作消耗的計算資源成正比，但難以準確測量單個操作的計算資源消耗，因此一些氣體值沒有適當設置，例如，某些IO操作的氣體值設置得太低，因此這些操作可以在一個事務中大量執行。這樣，攻擊者就可以啟動對以太坊的拒絕服務攻擊。“