區(qū)塊鏈?zhǔn)潜忍貛胖械暮诵募夹g(shù)，在無法建立信任關(guān)系的互聯(lián)網(wǎng)上，區(qū)塊鏈技術(shù)依靠密碼學(xué)和巧妙的分布式算法，無需借助任何第三方中心機(jī)構(gòu)的介入，用數(shù)學(xué)的方法使參與者達(dá)成共識(shí)，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

成都創(chuàng)新互聯(lián)公司主營洛扎網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都APP應(yīng)用開發(fā),洛扎h5小程序開發(fā)搭建,洛扎網(wǎng)站營銷推廣歡迎洛扎等地區(qū)企業(yè)咨詢

區(qū)塊鏈技術(shù)常被人們提及的特性是去中心化、共識(shí)機(jī)制等，由區(qū)塊鏈引申出來的虛擬數(shù)字貨幣是目前全球最火爆的項(xiàng)目之一，正在成就出新的一批億萬級富豪。像幣安交易平臺(tái)，成立短短幾個(gè)月，就被國際知名機(jī)構(gòu)評級市值達(dá)400億美金，成為了最富有的一批數(shù)字貨幣創(chuàng)業(yè)先驅(qū)者。但是自從有數(shù)字貨幣交易所至今，交易所被攻擊、資金被盜事件層出不窮，且部分?jǐn)?shù)字貨幣交易所被黑客攻擊損失慘重，甚至倒閉。

一、 令人震驚的數(shù)字貨幣交易所被攻擊事件

從最早的比特幣，到后來的萊特幣、以太幣，目前已有幾百種數(shù)字貨幣。隨著價(jià)格的攀升，各種數(shù)字貨幣系統(tǒng)被攻擊、數(shù)字貨幣被盜事件不斷增加，被盜金額也是一路飆升。讓我們來回顧一下令人震驚的數(shù)字貨幣被攻擊、被盜事件。

2014年2月24日，當(dāng)時(shí)世界最大的比特幣交易所運(yùn)營商Mt.Gox宣布其交易平臺(tái)的85萬個(gè)比特幣已經(jīng)被盜一空，承擔(dān)著超過80%的比特幣交易所的Mt.Gox由于無法彌補(bǔ)客戶損失而申請破產(chǎn)保護(hù)。

經(jīng)分析，原因大致為Mt.Gox存在單點(diǎn)故障結(jié)構(gòu)這種嚴(yán)重的錯(cuò)誤，被黑客用于發(fā)起DDoS攻擊：

2016年8月4日，最大的美元比特幣交易平臺(tái)Bitfinex發(fā)布公告稱，網(wǎng)站發(fā)現(xiàn)安全漏洞，導(dǎo)致近12萬枚比特幣被盜，總價(jià)值約為7500萬美元。

2018年1月26日，日本的一家大型數(shù)字貨幣交易平臺(tái)Coincheck系統(tǒng)遭遇黑客攻擊，導(dǎo)致時(shí)價(jià)580億日元、約合5.3億美元的數(shù)字貨幣“新經(jīng)幣”被盜，這是史上最大的數(shù)字貨幣盜竊案。

2018年3月7日，世界第二大數(shù)字貨幣交易所幣安(Binance)被黑客攻擊的消息讓幣圈徹夜難眠，黑客竟然玩起了經(jīng)濟(jì)學(xué)，買空賣空“炒幣”割韭菜。根據(jù)幣安公告，黑客的攻擊過程包括：

• 在長時(shí)間里，利用第三方釣魚網(wǎng)站偷盜用戶的賬號登錄信息。黑客通過使用Unicode字符冒充正規(guī)Binance網(wǎng)址域名里的部分字母對用戶實(shí)施網(wǎng)頁釣魚攻擊。
• 黑客獲得賬號后，自動(dòng)創(chuàng)建交易API，之后便靜默潛伏。
• 3月7日黑客通過盜取的API Key，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計(jì)1700萬個(gè)比特幣計(jì)算，比特幣一夜丟了170億美元。

二、黑客攻擊為什么能屢屢得手

基于區(qū)塊鏈的數(shù)字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀(jì)錄，盜竊事件的發(fā)生也引發(fā)了人們對數(shù)字貨幣安全的擔(dān)憂，人們不禁要問：區(qū)塊鏈技術(shù)安全嗎?

隨著人們對區(qū)塊鏈技術(shù)的研究與應(yīng)用，區(qū)塊鏈系統(tǒng)除了其所屬信息系統(tǒng)會(huì)面臨病毒、木馬等惡意程序威脅及大規(guī)模DDoS攻擊外，還將由于其特性而面臨獨(dú)有的安全挑戰(zhàn)。

1. 算法實(shí)現(xiàn)安全

由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù)，屬于算法高度密集工程，在實(shí)現(xiàn)上比較容易出現(xiàn)問題。歷史上有過此類先例，比如NSA對RSA算法實(shí)現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級別的漏洞，可以說構(gòu)成區(qū)塊鏈整個(gè)大廈的地基將不再安全，后果極其可怕。之前就發(fā)生過由于比特幣隨機(jī)數(shù)產(chǎn)生器出現(xiàn)問題所導(dǎo)致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個(gè)隨機(jī)數(shù)，就能推導(dǎo)出私鑰。

2. 共識(shí)機(jī)制安全

當(dāng)前的區(qū)塊鏈技術(shù)中已經(jīng)出現(xiàn)了多種共識(shí)算法機(jī)制，最常見的有PoW、PoS、DPos。但這些共識(shí)機(jī)制是否能實(shí)現(xiàn)并保障真正的安全，需要更嚴(yán)格的證明和時(shí)間的考驗(yàn)。

3. 區(qū)塊鏈?zhǔn)褂冒踩?/strong>

區(qū)塊鏈技術(shù)一大特點(diǎn)就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成并保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產(chǎn)做任何操作。一旦被黑客拿到，就能轉(zhuǎn)移數(shù)字貨幣。

4. 系統(tǒng)設(shè)計(jì)安全

像Mt.Gox平臺(tái)由于在業(yè)務(wù)設(shè)計(jì)上存在單點(diǎn)故障，所以其系統(tǒng)容易遭受DoS攻擊。目前區(qū)塊鏈?zhǔn)侨ブ行幕模灰姿侵行幕?。中心化的交易所，除了要防止技術(shù)盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區(qū)塊鏈面臨著算法實(shí)現(xiàn)、共識(shí)機(jī)制、使用及設(shè)計(jì)上挑戰(zhàn)，同時(shí)黑客通過利用系統(tǒng)安全漏洞、業(yè)務(wù)設(shè)計(jì)缺陷也可達(dá)成攻擊目的。目前，黑客攻擊已經(jīng)在對區(qū)塊鏈系統(tǒng)安全性造成越來越大的影響。

三、如何保證區(qū)塊鏈的安全

為了保證區(qū)塊鏈系統(tǒng)安全，建議參照NIST的網(wǎng)絡(luò)安全框架，從戰(zhàn)略層面、一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度出發(fā)構(gòu)建識(shí)別、保護(hù)、檢測、響應(yīng)和恢復(fù)5個(gè)核心組成部分，來感知、阻斷區(qū)塊鏈風(fēng)險(xiǎn)和威脅。

除此之外，根據(jù)區(qū)塊鏈技術(shù)自身特點(diǎn)重點(diǎn)關(guān)注算法、共識(shí)機(jī)制、使用及設(shè)計(jì)上的安全。

• 針對算法實(shí)現(xiàn)安全性：一方面選擇采用新的、本身經(jīng)得起考驗(yàn)的密碼技術(shù)，如國密公鑰算法SM2等。另一方面對核心算法代碼進(jìn)行嚴(yán)格、完整測試的同時(shí)進(jìn)行源碼混淆，增加黑客逆向攻擊的難度和成本。
• 針對共識(shí)算法安全性：PoW中使用防ASIC雜湊函數(shù)，使用更有效的共識(shí)算法和策略。
• 針對使用安全性：對私鑰的生成、存儲(chǔ)進(jìn)行保護(hù)，敏感數(shù)據(jù)加密存儲(chǔ)。
• 針對設(shè)計(jì)安全性：一方面要保證設(shè)計(jì)的功能盡量完善，如采用私鑰白盒簽名技術(shù)，防止病毒、木馬在系統(tǒng)運(yùn)行過程中提取私鑰;設(shè)計(jì)私鑰泄露追蹤功能，盡可能減少私鑰泄露后的損失。另一方面，應(yīng)對某些關(guān)鍵業(yè)務(wù)設(shè)計(jì)去中心化，防止單點(diǎn)故障攻擊。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文