什么是區塊鏈安全？

區塊鏈安全是區塊鏈網絡的綜合風險管理系統，使用網絡安全框架、保證服務和最佳實踐來降低攻擊和欺詐風險。

基本的區塊鏈安全

區塊鏈技術產生了一種具有內在安全特性的數據結構。它基于密碼學、去中心化和共識原則，確保交易的可信度。在大多數區塊鏈或分布式賬本技術 (DLT) 中，數據被構造成塊，每個塊包含一個事務或一組事務。每個新塊都以幾乎不可能篡改的方式連接到密碼鏈中它之前的所有塊。區塊內的所有交易都通過共識機制進行驗證和同意，確保每筆交易都是真實和正確的。

區塊鏈技術通過分布式網絡中成員的參與實現去中心化。沒有單點故障，單個用戶無法更改交易記錄。然而，區塊鏈技術在一些關鍵的安全方面有所不同。

區塊鏈類型的安全性有何不同

區塊鏈網絡在誰可以參與以及誰可以訪問數據方面可能有所不同。網絡通常被標記為公共或私有（描述允許誰參與）和許可或非許可（描述參與者如何訪問網絡）。

公共和私有區塊鏈
公共區塊鏈網絡通常允許任何人加入并讓參與者保持匿名。公共區塊鏈使用聯網計算機來驗證交易并達成共識。比特幣可能是公鏈最著名的例子，它通過“比特幣挖礦”達成共識。比特幣網絡上的計算機或“礦工”試圖解決復雜的密碼問題以創建工作證明，從而驗證交易。除了公鑰之外，這種類型的網絡幾乎沒有身份和訪問控制。

私有區塊鏈使用身份來確認成員資格和訪問權限，并且通常只允許已知組織加入。這些組織一起形成了一個私人的、僅限會員的“商業網絡”。許可網絡中的私有區塊鏈通過稱為“選擇性背書”的過程達成共識，已知用戶在該過程中驗證交易。只有具有特殊訪問權限的成員才能維護交易分類帳。這種網絡類型需要更多的身份和訪問控制。

在構建區塊鏈應用程序時，評估哪種類型的網絡最適合您的業務目標至關重要。出于合規性和監管原因，可以嚴格控制和優先使用私有和許可網絡。然而，公共和無需許可的網絡可以實現更大的去中心化和分布。

公共區塊鏈是公開的，任何人都可以加入它們并驗證交易。

私有區塊鏈受到限制，通常僅限于商業網絡。單個實體或財團控制成員資格。

無許可區塊鏈對處理器沒有限制。

許可的區塊鏈僅限于使用證書授予身份的一組選定用戶。

網絡攻擊和欺詐

雖然區塊鏈技術產生了防篡改的交易分類賬，但區塊鏈網絡也不能免受網絡攻擊和欺詐。那些懷有惡意的人可以操縱區塊鏈基礎設施中的已知漏洞，多年來已經成功進行了各種黑客攻擊和欺詐。這里有一些例子：

代碼利用

去中心化自治組織 (DAO) 是一家受比特幣啟發、通過去中心化區塊鏈運營的風險投資基金，通過代碼利用被盜取了價值超過 6000 萬美元的以太數字貨幣——約占其價值的三分之一。

秘鑰失竊

全球最大的加密貨幣交易所之一、總部位于香港的 Bitfinex 價值近 7300 萬美元的客戶比特幣被盜，表明該貨幣仍然存在很大風險。可能的原因是私鑰被盜，這是個人數字簽名。

電腦被黑

當最大的以太坊和比特幣加密貨幣交易所之一 Bithumb 最近遭到黑客攻擊時，黑客泄露了 30,000 名用戶的數據并竊取了價值 870,000 美元的比特幣。盡管被黑客入侵的是員工的計算機——而不是核心服務器——但這一事件引發了對整體安全性的質疑。

欺詐者如何攻擊區塊鏈技術

黑客和欺詐者主要通過四種方式威脅區塊鏈：網絡釣魚、路由、Sybil 和 51% 攻擊。

網絡釣魚攻擊

網絡釣魚是一種試圖獲取用戶憑據的詐騙行為。欺詐者向錢包密鑰所有者發送電子郵件，這些電子郵件看起來好像來自合法來源。這些電子郵件使用偽造的超鏈接要求用戶提供憑據。訪問用戶的憑據和其他敏感信息可能會給用戶和區塊鏈網絡造成損失。

路由攻擊

區塊鏈依賴于實時的大數據傳輸。黑客可以在數據傳輸到互聯網服務提供商時攔截數據。在路由攻擊中，區塊鏈參與者通常看不到威脅，因此一切看起來都很正常。然而，在幕后，欺詐者已經提取了機密數據或貨幣。

Sybil攻擊

在 Sybil 攻擊中，黑客創建并使用許多虛假的網絡身份來充斥網絡并使系統崩潰。Sybil 指的是被診斷出患有多重身份障礙的著名書中人物。

51% 攻擊

挖礦需要海量的算力，尤其是對于大規模的公有鏈。但是，如果一個礦工或一組礦工能夠聚集足夠的資源，他們可以獲得超過 50% 的區塊鏈網絡挖礦算力。擁有超過 50% 的權力意味著擁有對賬本的控制權和操縱權。

注意：私有區塊鏈不容易受到 51% 攻擊。

在當今的數字世界中，必須采取措施確保區塊鏈設計和環境的安全。

企業的區塊鏈安全

在構建企業區塊鏈應用程序時，重要的是要考慮技術堆棧所有層的安全性，以及如何管理網絡的治理和權限。企業區塊鏈解決方案的綜合安全策略包括使用傳統安全控制和技術獨特的控制。一些特定于企業區塊鏈解決方案的安全控制措施包括：

• 身份和訪問管理
• 密鑰管理  
• 數據隱私 
• 安全通信
• 智能合約安全
• 交易背書

聘請專家幫助設計合規且安全的解決方案，并幫助您實現業務目標。尋找一個生產級平臺來構建可以部署在您選擇的技術環境中的區塊鏈解決方案，無論是本地還是首選的云供應商。

區塊鏈安全提示和最佳實踐

在設計區塊鏈解決方案時，請考慮以下關鍵問題：

• 參與組織或成員的治理模式是什么？
• 每個塊中將捕獲哪些數據？
• 相關監管要求是什么，如何滿足？
• 如何管理身份的詳細信息？塊有效載荷是否加密？如何管理和撤銷密鑰？
• 區塊鏈參與者的災難恢復計劃是什么？
• 區塊鏈客戶參與的最低安全狀況是什么？
• 解決區塊鏈區塊碰撞的邏輯是什么？

建立私有區塊鏈時，確保將其部署在安全、有彈性的基礎設施中。針對業務需求和流程的底層技術選擇不當可能會通過其漏洞導致數據安全風險。

考慮業務和治理風險。商業風險包括財務影響、聲譽因素和合規風險。治理風險主要來自區塊鏈解決方案的去中心化性質，它們需要對決策標準、治理策略、身份和訪問管理進行強有力的控制。

區塊鏈安全是關于了解區塊鏈網絡風險并對其進行管理。對這些控制實施安全的計劃構成了區塊鏈安全模型。創建區塊鏈安全模型以確保所有措施都到位以充分保護您的區塊鏈解決方案。

要實施區塊鏈解決方案安全模型，管理員必須開發一個可以解決所有業務、治理、技術和流程風險的風險模型。接下來，他們必須評估對區塊鏈解決方案的威脅并創建威脅模型。然后，管理員必須根據以下三個類別定義減輕風險和威脅的安全控制：

• 實施區塊鏈獨有的安全控制
• 應用常規安全控制
• 對區塊鏈實施業務控制