區(qū)塊鏈各細(xì)分領(lǐng)域蓬勃發(fā)展，從硬件制造、基礎(chǔ)設(shè)施到底層技術(shù)開發(fā)、平臺(tái)建設(shè)，再到安全防護(hù)、行業(yè)應(yīng)用，以及媒體社區(qū)等區(qū)塊鏈行業(yè)服務(wù)機(jī)構(gòu)，已經(jīng)初步形成了一個(gè)完整的產(chǎn)業(yè)生態(tài)鏈。

1.區(qū)塊鏈面臨的安全問題與應(yīng)對(duì)措施

(1)底層代碼的安全性

區(qū)塊鏈項(xiàng)目(尤其是公有鏈)的一個(gè)特點(diǎn)是開源。通過開放源代碼，來提高項(xiàng)目的可信性，也使更多的人可以參與進(jìn)來。但源代碼的開放也使得攻擊者對(duì)于區(qū)塊鏈系統(tǒng)的攻擊變得更加容易。2016年10月，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《開源軟件源代碼安全漏洞分析報(bào)告——區(qū)塊鏈專題》，針對(duì)區(qū)塊鏈領(lǐng)域的知名開源軟件，結(jié)合漏洞掃描工具和人工審計(jì)的方式，在代碼層面發(fā)現(xiàn)高危安全漏洞746個(gè)，中危漏洞3497個(gè)，數(shù)量較多的高危漏洞有不安全的隨機(jī)數(shù)、不安全的JNI、空指針解引用等。2018年3月，慢霧安全團(tuán)隊(duì)披露了一起由于以太坊生態(tài)缺陷導(dǎo)致的億級(jí)數(shù)字資產(chǎn)盜竊事件。攻擊者利用以太坊節(jié)點(diǎn)Geth/ParityRPCAPI鑒權(quán)缺陷，惡意調(diào)用eth_sendTransaction盜取數(shù)字資產(chǎn)，持續(xù)時(shí)間長(zhǎng)達(dá)兩年。應(yīng)對(duì)措施主要有兩方面：一是使用專業(yè)的代碼審計(jì)服務(wù)，二是了解安全編碼規(guī)范，防患于未然。

(2)密碼算法的安全性

以比特幣為例，每個(gè)區(qū)塊都對(duì)應(yīng)一個(gè)散列值，采用SHA256算法計(jì)算得到。在現(xiàn)階段，該算法依舊滿足散列函數(shù)的三個(gè)特性，單向性、弱無碰撞性和強(qiáng)無碰撞性，是安全的。由于SHA1和MD5已經(jīng)被密碼學(xué)者找到碰撞，所以，不應(yīng)選取這兩個(gè)算法作為區(qū)塊鏈中的散列算法。比特幣中的交易采用了橢圓曲線數(shù)字簽名算法ECDSA，確保了交易的完整性。比特幣中的橢圓曲線采用的是Koblitz曲線(secp256k1)而非美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)推薦的secp256r1。雖然當(dāng)前并無證據(jù)，但有分析認(rèn)為secp256r1有可能是被NIST選取的帶后門的橢圓曲線，而比特幣在無形中避開了這一風(fēng)險(xiǎn)。

隨著量子計(jì)算機(jī)的發(fā)展，越來越多的研究人員開始關(guān)注能夠抵抗量子攻擊的密碼算法，如基于格的密碼算法等。橢圓曲線密碼并不能抵抗量子攻擊，當(dāng)對(duì)于密碼的量子攻擊在未來成為現(xiàn)實(shí)時(shí)，所有不能夠抵抗量子攻擊的密碼算法都存在較大風(fēng)險(xiǎn)，需要被替換。不過，在比特幣中，比特幣地址是對(duì)公鑰進(jìn)行散列并使用base58編碼后的結(jié)果，如果比特幣資金存放在一個(gè)沒有支出過的地址里，這意味著公鑰尚未公開，則它們?cè)诹孔佑?jì)算機(jī)面前是安全的。

應(yīng)對(duì)措施有：作為設(shè)計(jì)者，一是在設(shè)計(jì)時(shí)采用現(xiàn)階段安全的密碼算法，同時(shí)關(guān)注抗量子攻擊的密碼研究的進(jìn)展，在其成熟后優(yōu)先考慮使用;二是參考比特幣對(duì)于公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風(fēng)險(xiǎn)。作為用戶，尤其是比特幣用戶，每次交易后的余額都采用新的地址進(jìn)行存儲(chǔ)，確保有比特幣資金存儲(chǔ)的地址的公鑰不外泄。

(3)共識(shí)機(jī)制的安全性

當(dāng)前的共識(shí)機(jī)制有工作量證明(ProofofWork，PoW)、權(quán)益證明(ProofofStake，PoS)、授權(quán)權(quán)益證明(DelegatedProofofStake，DPoS)、實(shí)用拜占庭容錯(cuò)(PracticalByzantineFaultTolerance，PBFT)等。PoW面臨51%攻擊問題。由于PoW依賴于算力，當(dāng)攻擊者具備算力優(yōu)勢(shì)時(shí)，找到新的區(qū)塊的概率將會(huì)大于其他節(jié)點(diǎn)，這時(shí)其具備了撤銷已經(jīng)發(fā)生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易(攻擊者沒有其他用戶的私鑰)。在PoS中，攻擊者在持有超過51%的Token量時(shí)才能夠攻擊成功，這相對(duì)于PoW中的51%算力來說，更加困難。在PBFT中，惡意節(jié)點(diǎn)小于總節(jié)點(diǎn)的1/3時(shí)系統(tǒng)是安全的。

總的來說，任何共識(shí)機(jī)制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會(huì)造成該系統(tǒng)的價(jià)值歸零，這時(shí)攻擊者除了破壞之外，并沒有得到其他有價(jià)值的回報(bào)。對(duì)于區(qū)塊鏈項(xiàng)目的設(shè)計(jì)者而言，應(yīng)該了解清楚各個(gè)共識(shí)機(jī)制的優(yōu)劣，從而選擇出合適的共識(shí)機(jī)制或者根據(jù)場(chǎng)景需要，設(shè)計(jì)新的共識(shí)機(jī)制。

(4)智能合約的安全性

智能合約具備運(yùn)行成本低、人為干預(yù)風(fēng)險(xiǎn)小等優(yōu)勢(shì)，但如果智能合約的設(shè)計(jì)存在問題，將有可能帶來較大的損失。2016年6月，以太坊最大眾籌項(xiàng)目TheDAO被攻擊，黑客獲得超過350萬個(gè)以太幣，后來導(dǎo)致以太坊分叉為ETH和ETC。2017年11月7日Parity多重簽名合約漏洞導(dǎo)致93萬個(gè)以太幣永久丟失。

應(yīng)對(duì)措施主要有兩方面：一是對(duì)智能合約進(jìn)行安全審計(jì)，二是遵循智能合約安全開發(fā)原則[12]。智能合約的安全開發(fā)原則有：對(duì)可能的錯(cuò)誤有所準(zhǔn)備，確保代碼能夠正確的處理出現(xiàn)的bug和漏洞;謹(jǐn)慎發(fā)布智能合約，做好功能測(cè)試與安全測(cè)試，充分考慮邊界;保持智能合約的簡(jiǎn)潔;關(guān)注區(qū)塊鏈威脅情報(bào)，并及時(shí)檢查更新;清楚區(qū)塊鏈的特性，如謹(jǐn)慎調(diào)用外部合約等。

(5)數(shù)字錢包的安全性

數(shù)字錢包主要存在三方面的安全隱患：第一，設(shè)計(jì)缺陷。2014年底，某簽報(bào)因一個(gè)嚴(yán)重的隨機(jī)數(shù)問題(R值重復(fù))造成用戶丟失數(shù)百枚數(shù)字資產(chǎn)。第二，數(shù)字錢包中包含惡意代碼。2017年，有網(wǎng)友使用某投資微信群推薦的錢包軟件，導(dǎo)致數(shù)字資產(chǎn)丟失[13]。第三，電腦、手機(jī)丟失或損壞導(dǎo)致的丟失資產(chǎn)。應(yīng)對(duì)措施主要有四個(gè)方面：一是確保私鑰的隨機(jī)性;二是在軟件安裝前進(jìn)行散列值校驗(yàn)，確保數(shù)字錢包軟件沒有被篡改過;三是使用冷錢包;四是對(duì)私鑰進(jìn)行備份。

2.區(qū)塊鏈安全服務(wù)

針對(duì)目前區(qū)塊鏈存在的底層代碼、密碼算法、共識(shí)機(jī)制、智能合約、數(shù)字錢包等安全問題，該領(lǐng)域也出現(xiàn)了一些提供安全服務(wù)的公司，它們主要通過技術(shù)手段、代碼審計(jì)幫助客戶解決各種區(qū)塊鏈安全問題。

例如，成都鏈安科技有限公司對(duì)區(qū)塊鏈智能合約進(jìn)行形式化驗(yàn)證，開發(fā)了面向區(qū)塊鏈智能合約安全性和功能正確性驗(yàn)證平臺(tái)VaaS。目前，VaaS平臺(tái)已支持主流區(qū)塊鏈平臺(tái)(如以太坊、EOS等)智能合約的形式化驗(yàn)證，并且已與國內(nèi)10多家區(qū)塊鏈行業(yè)的知名企業(yè)建立了合作關(guān)系。VaaS形式化驗(yàn)證平臺(tái)，采用了多種形式化驗(yàn)證方法，具有驗(yàn)證效率高、自動(dòng)化程度高、人工參與度低、易于使用、支持多個(gè)合約開發(fā)語言、可支持大容量區(qū)塊鏈底層平臺(tái)的形式化驗(yàn)證等優(yōu)點(diǎn)。VaaS提供了針對(duì)智能合約的形式化驗(yàn)證工具，極大提高了智能合約的安全性與可靠性。產(chǎn)品通過對(duì)合約代碼進(jìn)行嚴(yán)格的安全驗(yàn)證，杜絕邏輯漏洞，確保合約安全，在滿足實(shí)際應(yīng)用效率需求的同時(shí)，達(dá)到有效控制漏洞風(fēng)險(xiǎn)的目的。

再如，廈門慢霧科技有限公司，專注區(qū)塊鏈生態(tài)安全，已經(jīng)為全球多家知名區(qū)塊鏈公司做了安全審計(jì)與防御部署，作為第三方審計(jì)單位審計(jì)了200多份以太坊智能合約，累計(jì)發(fā)現(xiàn)數(shù)十個(gè)高危、中危安全問題。區(qū)塊鏈生態(tài)風(fēng)控產(chǎn)品——惡意錢包地址庫，涵蓋釣魚、勒索、盜竊三大類型的惡意錢包地址，涵蓋多種區(qū)塊鏈數(shù)字資產(chǎn)，同時(shí)提供Python、NodeJS、Go、Java等主流語言的SDK，可靈活接入產(chǎn)品風(fēng)控體系。依托慢霧的墨子系統(tǒng)及蜜罐分析技術(shù)，以及能夠近實(shí)時(shí)監(jiān)控、分析社交媒體上釣魚信息的語義識(shí)別模塊，再輔以其安全團(tuán)隊(duì)專業(yè)的篩選、判斷，保證了數(shù)據(jù)的準(zhǔn)確有效。此外，通過其廣大的生態(tài)合作伙伴，還可實(shí)現(xiàn)惡意錢包信息共享。“慢霧區(qū)”區(qū)塊鏈安全社群已累計(jì)輻射人數(shù)達(dá)10多萬人，通過共享威脅情報(bào)、交流區(qū)塊鏈安全技術(shù)，與眾多的區(qū)塊鏈從業(yè)人員一起共同努力為區(qū)塊鏈生態(tài)安全添磚加瓦。

3.量子技術(shù)發(fā)展帶來的安全挑戰(zhàn)和應(yīng)對(duì)

量子計(jì)算機(jī)就是建立在量子實(shí)體(如光子、電子、原子、離子)基礎(chǔ)上運(yùn)行量子比特的計(jì)算機(jī)，由于量子計(jì)算機(jī)具有基于量子比特的并行處理信息的能力，理論上其計(jì)算能力隨量子比特位數(shù)的增加呈指數(shù)級(jí)增加，因此相比經(jīng)典計(jì)算機(jī)具有超級(jí)強(qiáng)大的計(jì)算能力。國際上，Google、IBM、微軟等公司都投入了巨資研發(fā)量子計(jì)算機(jī)的硬件及軟件，2017年IBM公司宣布研制出具有50個(gè)量子比特的量子計(jì)算原型機(jī)，2018年Google公司發(fā)布了72個(gè)量子比特的量子芯片，微軟公司主要針對(duì)拓?fù)淞孔佑?jì)算進(jìn)行研發(fā)，2018年宣布取得重大進(jìn)展。國內(nèi)也有多個(gè)科研機(jī)構(gòu)及阿里巴巴、騰迅、百度等互聯(lián)網(wǎng)公司在量子計(jì)算領(lǐng)域進(jìn)行前沿研究。

量子計(jì)算機(jī)將會(huì)給現(xiàn)在使用的密碼體系帶來重大的安全威脅。區(qū)塊鏈主要依賴橢圓曲線公鑰加密算法生成數(shù)字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊。根據(jù)理論預(yù)測(cè)，對(duì)于一定長(zhǎng)度的基于非對(duì)稱橢圓曲線加密算法ECC密鑰，用目前超級(jí)計(jì)算機(jī)需要幾十年才能破解的密碼如果采用具有數(shù)千個(gè)量子比特的量子計(jì)算機(jī)及Shor算法預(yù)計(jì)數(shù)十分鐘就可以破解。可見，一些量子算法將對(duì)目前區(qū)塊鏈所采用的公鑰密碼體系產(chǎn)生嚴(yán)重的威脅，必須提出應(yīng)對(duì)量子計(jì)算的安全策略。

為了應(yīng)對(duì)量子計(jì)算機(jī)給密碼帶來的安全威脅，目前主要可以采用基于抗量子計(jì)算密碼和量子密鑰的方法。抗量子計(jì)算密碼的優(yōu)勢(shì)在于，將抗量子計(jì)算密碼應(yīng)用于互聯(lián)網(wǎng)中不需要添加額外的硬件設(shè)備，特別是昂貴的量子硬件系統(tǒng)，有利于快速大規(guī)模普及應(yīng)用。量子密鑰的優(yōu)勢(shì)在于其具有更高的基于物理上的安全性，而目前主要的缺點(diǎn)在于需要基于相對(duì)昂貴的量子硬件系統(tǒng)，將來量子硬件設(shè)備會(huì)進(jìn)一步集成化和降低成本，這將有利于量子密鑰的廣泛應(yīng)用。在今后的實(shí)際應(yīng)對(duì)策略中，可以根據(jù)具體應(yīng)用的安全需求，將兩種策略組合使用。

應(yīng)對(duì)策略1：采用抗量子計(jì)算密碼。

量子計(jì)算機(jī)對(duì)一些特定數(shù)學(xué)問題可以極大地加速計(jì)算，但是目前看并沒有對(duì)所有數(shù)學(xué)問題都具有加速作用，因此可以利用量子計(jì)算機(jī)不擅長(zhǎng)的數(shù)學(xué)問題來進(jìn)行抗量子計(jì)算加密算法的研發(fā)。國際上早在2006年就舉行了抗量子計(jì)算密碼研討會(huì)，目前有多個(gè)被認(rèn)為是抗量子計(jì)算的加密體制：基于Hash的密碼、基于糾錯(cuò)碼的密碼、基于格的密碼、基于多變量公鑰密碼等，這些加密方法被認(rèn)為在足夠長(zhǎng)的密鑰下可以抵抗經(jīng)典與量子計(jì)算攻擊。目前，國外已經(jīng)有區(qū)塊鏈采用了抗量子計(jì)算密碼加密算法，英國的抗量子賬本采用了能夠抵抗量子計(jì)算攻擊的加密算法。而抗量子計(jì)算密碼如果要廣泛應(yīng)用還需要相關(guān)國際通用標(biāo)準(zhǔn)的制定，因?yàn)樾滤惴ū仨氁饶艿挚沽孔佑?jì)算機(jī)的攻擊又能抵抗傳統(tǒng)經(jīng)典計(jì)算機(jī)的攻擊，需要進(jìn)行深入研究。

抗量子計(jì)算密碼本質(zhì)上仍然是基于數(shù)學(xué)的安全，未來量子計(jì)算進(jìn)一步發(fā)展也有可能突破某些數(shù)學(xué)難題，讓部分抗量子計(jì)算密碼不再安全。如果純粹從安全性上考慮也存在一定風(fēng)險(xiǎn)，因此人們也在關(guān)注基于物理安全的量子密鑰加密方式。

應(yīng)對(duì)策略2：采用量子密鑰。

量子密鑰分發(fā)是利用光子的量子性質(zhì)而分配密鑰的一種方式，通過這種方式產(chǎn)生的密鑰可以不斷地給用戶提供新的隨機(jī)密鑰，而且這是來自于物理層的隨機(jī)性。在量子密鑰分發(fā)的過程中，并不直接將密鑰通過信道傳給對(duì)方，而是雙方經(jīng)過進(jìn)一步協(xié)商后產(chǎn)生密鑰，如果中間有人試圖竊聽，那么就會(huì)增加系統(tǒng)的誤碼率而被發(fā)現(xiàn)，通信雙方就可以舍棄這一段不安全的密鑰而協(xié)商新的隨機(jī)密鑰。相比基于數(shù)學(xué)算法的密鑰，量子密鑰是基于物理上的安全，因此即使運(yùn)算能力強(qiáng)大的量子計(jì)算機(jī)也無法對(duì)其進(jìn)行計(jì)算破解。1984年IBM的科學(xué)家CharlesBennett及其合作者提出了首個(gè)量子密鑰分發(fā)協(xié)議BB84協(xié)議，之后又發(fā)展出了E91、B92、MDI-QKD等協(xié)議。中國在這個(gè)領(lǐng)域后來居上，目前處于世界最領(lǐng)先的水平。2017年，俄羅斯科學(xué)家將量子密鑰分發(fā)技術(shù)應(yīng)用于區(qū)塊鏈的加密，并在實(shí)驗(yàn)上進(jìn)行了成功的演示。