區塊鏈的安全軟肋是什麼？

鏈客，專爲開發者而生，有問必答！

此文章來自區塊鏈技術社區，未經容許拒絕轉載。

今天咱們來談談區塊鏈的安全軟肋。

做爲比特幣中的核心技術，在沒法創建信任關係的互聯網上，區塊鏈技術依靠密碼學和巧妙的分佈式算法，無需藉助任何第三方中心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

區塊鏈技術常被人們說起的特性是去中心化、共識機制等，由區塊鏈引伸出來的虛擬數字貨幣是目前全球最火爆的項目之一，正在成就出新的一批億萬級富豪。像幣安交易平臺，成立短短几個月，就被國際知名機構評級市值達400億美金，成爲了最富有的一批數字貨幣創業先驅者。然而最近幣安也遭到了黑客的攻擊，損失可謂慘重。自從有數字貨幣交易所至今，被攻擊、資金被盜事件太多了，且部分數字貨幣交易所被黑客攻擊慘重直接倒閉。

1、使人震驚的數字貨幣交易所被攻擊事件

從最先的比特幣，到後來的萊特幣、以太幣，目前已有幾百種數字貨幣。隨着價格的攀升，各類數字貨幣系統被攻擊、數字貨幣被盜事件不斷增長，被盜金額也是一路飆升。讓咱們來回顧一下使人震驚的數字貨幣被攻擊、被盜事件。

2014年2月24日，當時世界最大的比特幣交易所運營商Mt.Gox宣佈其交易平臺的85萬個比特幣已經被盜一空，承擔着超過80%的比特幣交易所的Mt.Gox因爲沒法彌補客戶損失而申請破產保護。經分析，緣由大體爲Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用於發起DDoS攻擊：比特幣提現環節的簽名被黑客篡改並先於正常的請求進入比特幣網絡，結果僞造的請求能夠提現成功，而正常的提現請求在交易平臺中出現異常並顯示爲失敗，此時黑客實際上已經拿到提現的比特幣了，可是他繼續在Mt.Gox平臺請求重複提現，Mt.Gox在沒有進行事務一致性校驗（對帳）的狀況下，重複支付了等額的比特幣，致使交易平臺的比特幣被竊取。

2016年8月4日，最大的美圓比特幣交易平臺Bitfinex發佈公告稱，網站發現安全漏洞，致使近12萬枚比特幣被盜，總價值約爲7500萬美圓。

2018年1月26日，日本的一家大型數字貨幣交易平臺Coincheck系統遭遇黑客攻擊，致使時價580億日元、約合5.3億美圓的數字貨幣「新經幣」被盜，這是史上最大的數字貨幣盜竊案。

2018年3月7日，世界第二大數字貨幣交易所幣安（Binance）被黑客攻擊的消息讓幣圈徹夜難眠，黑客居然玩起了經濟學，買空賣空「炒幣」割韭菜。根據幣安公告，黑客的攻擊過程包括：

1) 在長時間裏，利用第三方釣魚網站偷盜用戶的帳號登陸信息。黑客經過使用Unicode字符冒充正規Binance網址域名裏的部分字母對用戶實施網頁釣魚攻擊。

2) 黑客得到帳號後，自動建立交易API，以後便靜默潛伏。

3) 3月7日黑客經過盜取的API Key，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣計算，比特幣一晚上丟了170億美圓。

2、黑客攻擊爲何能屢屢得手

基於區塊鏈的數字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生也引起了人們對數字貨幣安全的擔心，人們不由要問：區塊鏈技術安全嗎？

隨着人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大規模DDoS攻擊外，還將因爲其特性而面臨獨有的安全挑戰。

1. 算法實現安全

因爲區塊鏈大量應用了各類密碼學技術，屬於算法高度密集工程，在實現上比較容易出現問題。歷史上有過此類先例，好比NSA對RSA算法實現埋入缺陷，使其可以輕鬆破解別人的加密信息。一旦爆發這種級別的漏洞，能夠說構成區塊鏈整個大廈的地基將再也不安全，後果極其可怕。以前就發生過因爲比特幣隨機數產生器出現問題所致使的比特幣被盜事件，理論上，在簽名過程當中兩次使用同一個隨機數，就能推導出私鑰。

1. 共識機制安全

當前的區塊鏈技術中已經出現了多種共識算法機制，最多見的有PoW、PoS、DPos。但這些共識機制是否能實現並保障真正的安全，須要更嚴格的證實和時間的考驗。

1. 區塊鏈使用安全

區塊鏈技術一大特色就是不可逆、不可僞造，但前提是私鑰是安全的。私鑰是用戶生成並保管的，理論上沒有第三方參與。私鑰一旦丟失，便沒法對帳戶的資產作任何操做。一旦被黑客拿到，就能轉移數字貨幣。

1. 系統設計安全

像Mt.Gox平臺因爲在業務設計上存在單點故障，因此其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人爲盜竊。

整體來講，從安全性分析的角度，區塊鏈面臨着算法實現、共識機制、使用及設計上挑戰，同時黑客經過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性形成愈來愈大的影響。

3、如何保證區塊鏈的安全

爲了保證區塊鏈系統安全，建議參照NIST的網絡安全框架，從戰略層面、一個企業或者組織的網絡安全風險管理的整個生命週期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區塊鏈風險和威脅。

除此以外，根據區塊鏈技術自身特色重點關注算法、共識機制、使用及設計上的安全。

的密碼技術，如國密公鑰算法SM2等。另外一方面對核心算法代碼進行嚴格、完整測試的同時進行源碼混淆，增長黑客逆向攻擊的難度和成本。

針對共識算法安全性：PoW中使用防ASIC雜湊函數，使用更有效的共識算法和策略。

針對使用安全性：對私鑰的生成、存儲進行保護，敏感數據加密存儲。

針對設計安全性：一方面要保證設計的功能儘可能完善，如採用私鑰白盒簽名技術，防止病毒、木馬在系統運行過程當中提取私鑰；設計私鑰泄露追蹤功能，儘量減小私鑰泄露後的損失。另外一方面，應對某些關鍵業務設計去中心化，防止單點故障攻擊。

4、如今在作區塊鏈安全的公司

知道創宇：創宇在安全圈的名氣就不用說了，畢竟國內最先開始提出雲檢測和雲防護的安全公司。據知情人透露目前知道創宇旗下的區塊鏈相關安全解決方案，已經被數家客戶以天價簽下。知道創宇看來確實實力不錯。

梆梆安全：梆梆安全在2016年開始針對區塊鏈安全中的核心問題——「私鑰保護」進行研究，好像已造成了相關產品和諮詢方案。

安全狗：安全狗的側重仍是在於服務器，他雲防護和總體的區塊鏈安全方案依託在過硬的技術上應該仍是不錯的。