區塊鏈安全性問題與挑戰
導語
近年來,由于大眾對于比特幣及其它加密貨幣的興趣爆炸式增長,區塊鏈技術越來越受到關注,有關區塊鏈技術的討論愈演愈烈,它已經在逐漸改變人們的生活方式,并且持續在某些領域造成影響。伴隨而來的也有質疑以及對區塊鏈安全問題的思考。雖然區塊鏈的技術特點可以給我們帶來更可靠和方便的服務,但這種創新技術背后的安全問題和其面臨的挑戰也是我們需要關注的一個重要話題。
區塊鏈是過去10年最偉大的技術發展之一。作為一種通用技術,區塊鏈技術的集成應用逐漸成為新的技術革新和產業變革的重要驅動力量,世界各國紛紛加快區塊鏈相關技術戰略部署、研發應用和落地推廣,探索區塊鏈在各行業領域的應用模式,搶占技術發展先機。
區塊鏈技術不僅僅是單一的一種技術,而是包含密碼學、數學、算法和經濟模型,結合點對點網絡,使用分布式共識算法來解決傳統分布式數據庫同步問題,一體化的多領域基礎設施建設。隨著各種應用落地,區塊鏈數字資產引發的安全問題總體呈上升趨勢,數字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網非法交易、犯罪等案件頻發,各種原因造成的「黑天鵝」事件層出不窮。
一、區塊鏈技術日益重要
我們可以簡單將區塊鏈理解為——是一個分布在全球各地、能夠協同運轉的數據庫存儲系統。區別于傳統數據庫運作——讀寫與權限掌握在一個公司或者一個集權手上(中心化的特征),區塊鏈認為,任何有能力架設服務器節點的人都可以參與其中。
區塊鏈允許快速輕松地處理交易數據,這使得它在各種在線投資市場中越來越受歡迎。此外,它還提供了一些重要的安全預防措施。區塊鏈中的任何區塊都很難被更改,這有助于防止欺詐。每個區塊中內置的識別代碼允許輕松跟蹤交易數據。
二、區塊鏈生態安全事故頻發
因為區塊鏈如此受歡迎(并且因為它通常用于交易環境),它已成為黑客和其他網絡犯罪分子的誘人目標。隨著這種流行度的增加,出現了許多區塊鏈安全性問題。
7月11日,跨鏈橋項目Chainswap發布推文表示遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取,總損失價值400萬美元。這已經是該項目于7月內遭受的第二次攻擊。
繼Chainswap遭受攻擊之后,7月12日,跨鏈橋項目Anyswap新推出的V3跨鏈流動性池也遭到黑客攻擊,總計損失超過787萬美元。
6月,BSC生態系的DeFi協議Impossible Finance遭遇閃電貸攻擊,這已是自5月以來,BSC生態系統中發生的第九起閃電貸攻擊事件
8月12日,加密孵化機構DAO Maker發布公告宣布遭受黑客攻擊,總計被盜走700萬美元,有5521名用戶受影響。
9月12日,雪崩協議(Avalanche)上 Zabu Finance 項目遭受閃電貸攻擊……
數據顯示,2020年,DeFi安全攻擊事件60起,損失2.5億美元,2021年僅半年,攻擊事件總數已逼近去年整年,而損失金額已超去年3倍多。
慢霧區塊鏈被黑事件檔案庫統計數據顯示,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起,錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起。
其中,以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元。經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。
三、區塊鏈主要安全問題
像任何系統一樣,區塊鏈也有弱點,以下是與區塊鏈相關的最緊迫的安全問題:
1. 區塊鏈端點漏洞
雖然區塊鏈被吹捧為幾乎“不可破解”,但我們需要注意到的是,大多數區塊鏈交易的端點安全性要差得多。例如,比特幣交易或投資的結果可能是將大量比特幣存入“熱錢包”或虛擬儲蓄賬戶,這些錢包賬戶可能不像區塊鏈中的實際區塊那樣防黑客。
為了促進區塊鏈交易,可能會招募多個第三方供應商。例如一些支出處理器、智能合約和區塊鏈支付平臺。通常,這些第三方區塊鏈供應商在他們自己的應用程序和網站上的安全性相對較弱,這可能為黑客敞開大門。
2. 可擴展性問題
公鏈面臨“不可能三角模型”、“根特別多,沒長葉子的市場”的困境,極大的限制了區塊鏈技術的商業落地進程。
目前,區塊鏈公鏈多達百種“比特幣、以太坊、EOS、比原鏈、多數公鏈為發幣設計,基于實體經濟業務進行的公鏈極為稀少。區塊鏈技術商業落地嚴重滯后,區塊鏈行業成了根特別多,沒長葉子的市場。
3. 監管問題
區塊鏈缺乏明顯的監管標準,政治因素可能會影響其執行和發展。基于區塊鏈的貨幣是去中心化和國際化的,這意味著政府控制的貨幣本質上可能會變得不那么有價值。
因此,一些國家政府正在努力對區塊鏈引入更嚴格的法規。他們希望在它威脅到國家經濟或變得更強大之前控制它。作為區塊鏈安全性的眾多問題之一,這可能會推遲該技術的廣泛采用。
4. 測試不足
雖然區塊鏈歷來用于加密貨幣交易,但它越來越多地用于其他領域。問題在于非加密貨幣應用程序中使用的編碼往往未經測試且具有高度實驗性,這意味著黑客也許能夠找到并利用漏洞。
5. 技術的復雜性
這是一個很難從頭開始創建的系統。一個小小的失誤,整個系統都可能受到損害。當然,這不是系統本身的缺陷,而是執行的缺陷。同樣,技術的復雜性使得普通人更難以理解。因此,大多數人可能無法正確理解系統的風險和功能。
6.網絡的大小
要讓區塊鏈發揮作用,至少需要數百個——最好是數千個節點協同工作。這使得區塊鏈系統在增長的早期階段特別容易受到攻擊,也容易出現腐敗問題。例如:如果單個用戶控制系統上51%的節點,那么他們有可能完全控制其結果。在只有20個節點的規模上,這并非不可能。
7.網絡的速度和效率
區塊鏈的設計也可能會損害其以合適的速率處理交易的能力。如果系統在開發可以支持它的基礎設施之前變得過于復雜或需求過多,則可能會導致數據存儲和交易速度問題。這會對其他有效的系統產生負面影響,這就是為什么它會列為區塊鏈安全問題的原因。
8.區塊鏈交易使用公鑰和私鑰
這些密鑰幾乎不可能自行破解,但網絡犯罪分子可以通過更傳統、更簡單的方式獲得這些密鑰。例如:如果將密鑰存儲在不安全的平臺上,黑客就可以輕松地獲得它們。如果有人找到用戶的電子郵件密碼,將可以訪問整個收件箱。同樣,如果有人找到用戶的區塊鏈密鑰,他們可以在區塊鏈上冒充該用戶,這是區塊鏈安全性需要思考的主要問題之一。
四、展望后區塊鏈世界
任何系統都有一些漏洞,區塊鏈也不例外。這里要記住的關鍵是,絕大多數區塊鏈安全漏洞都與人為錯誤有關。當正確執行和保護時,區塊鏈是透明且防篡改的。而且,這與技術所能達到的“安全”差不多。這樣做,使得人們能夠利用好這些好處而不必擔心區塊鏈安全性問題。
總之,區塊鏈技術具有可靠的信息交互、完整的數據存儲、可信的節點認證等安全性優勢,因而為網絡安全提供一種嶄新的安全防護思路和模式,將傳統網絡邊界式防護轉變成全網絡節點參與的安全防護新模式,通過分布式的節點共識機制來抵抗惡意節點的攻擊,在網絡安全領域具有極大的應用潛力。
只是,現階段區塊鏈技術還不夠成熟,區塊鏈系統仍然存在許多安全隱患和漏洞,而且硬件設施落后也是現階段的一個難點,因此在下一步區塊鏈應用推進中,關鍵是要加強基礎設施的建設,以及加強區塊鏈的監管和安全技術的研究和實踐,推動區塊鏈應用的穩步發展,充分發揮區塊鏈技術的安全優勢,有效提升網絡安全防護水平,才能更有效的使區塊鏈市場良性發展。
