在“雙刃劍”理論普遍適應(yīng)新技術(shù)的當(dāng)下,最尷尬的莫過(guò)于“區(qū)塊鏈”了,正所謂“生于斯毀于斯”,得名于“中本聰”《比特幣:一種點(diǎn)對(duì)點(diǎn)電子現(xiàn)金系統(tǒng)》一文的“區(qū)塊鏈”,也因比特幣在全球范圍內(nèi)過(guò)山車(chē)一樣的動(dòng)蕩表現(xiàn)而頗受微詞。實(shí)際上,從創(chuàng)新角度看,區(qū)塊鏈巧妙融合升級(jí)了多種現(xiàn)有技術(shù),如非對(duì)稱(chēng)加密、點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)技術(shù)、哈希算法和共識(shí)算法,嚴(yán)格意義上講它是一次工程學(xué)意義上而非科學(xué)理論上的創(chuàng)新。比特幣等令全球各經(jīng)濟(jì)實(shí)體如履薄冰的數(shù)字貨幣,僅僅只是區(qū)塊鏈技術(shù)諸多應(yīng)用中最廣為人知的一種而已。

任何一個(gè)新興產(chǎn)業(yè)誕生之初總會(huì)面對(duì)各種各樣的難題,而區(qū)塊鏈產(chǎn)業(yè)目前遇到的最大難題是全球互聯(lián)網(wǎng)、信息、IT行業(yè)斗爭(zhēng)多年的安全難題。表象是比特幣等各類(lèi)數(shù)字貨幣價(jià)格動(dòng)蕩,深究之后卻發(fā)現(xiàn)背后竟有黑客攻擊的加持;某些區(qū)塊鏈平臺(tái)犯了看起來(lái)很不可思議的低級(jí)錯(cuò)誤,動(dòng)輒爆出成千萬(wàn)、上億美金的損失,甚至直接導(dǎo)致破產(chǎn),正應(yīng)了那句圈內(nèi)有名的“世界上沒(méi)有絕對(duì)安全的系統(tǒng)”。更不可思議的是,這些收益“頗豐”的攻擊卻往往使用了相對(duì)簡(jiǎn)單的攻擊手法。

從業(yè)者似乎需要一本教科書(shū)去了解:攻擊者視角下的區(qū)塊鏈為何呈現(xiàn)出金礦般的誘惑力?但對(duì)絕大多數(shù)區(qū)塊鏈產(chǎn)業(yè)鏈上的企業(yè)、從業(yè)者而言,很難通過(guò)現(xiàn)有資訊系統(tǒng)性的了解區(qū)塊鏈安全現(xiàn)狀、難題以及應(yīng)對(duì)策略。為此,在國(guó)際頂級(jí)安全圈創(chuàng)下赫赫聲名的中國(guó)初創(chuàng)安全公司長(zhǎng)亭科技聯(lián)合ConsenSys、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國(guó)內(nèi)首個(gè)區(qū)塊鏈安全深度報(bào)告——《區(qū)塊鏈安全生存指南》,通過(guò)剖析區(qū)塊鏈技術(shù)的原理及特點(diǎn),梳理了不同應(yīng)用場(chǎng)景的安全訴求,復(fù)盤(pán)典型安全事件經(jīng)過(guò)及技術(shù)原理,針對(duì)性總結(jié)區(qū)塊鏈行業(yè)安全應(yīng)對(duì)策略,接下來(lái)讓我們一窺端倪。

現(xiàn)狀:像新生兒一樣脆弱

從2008年概念提出到2013年業(yè)界認(rèn)識(shí)到區(qū)塊鏈技術(shù)的重要潛在價(jià)值,并開(kāi)始嘗試將其應(yīng)用到數(shù)字貨幣以外的場(chǎng)景(如眾募、資產(chǎn)交易、權(quán)屬管理、身份認(rèn)證等領(lǐng)域),再到當(dāng)下人人熱談區(qū)塊鏈,短短幾年間區(qū)塊鏈迅速成為最火爆的技術(shù)、行業(yè)、產(chǎn)業(yè),隨之而來(lái)的安全問(wèn)題也令人揪心不已。《區(qū)塊鏈安全生存指南》顯示,針對(duì)區(qū)塊鏈的攻擊已經(jīng)覆蓋了應(yīng)用層、智能合約層、底層結(jié)構(gòu)層、基礎(chǔ)設(shè)施層、安全意識(shí)與管理等整個(gè)行業(yè)的方方面面,攻防戰(zhàn)火蔓延至區(qū)塊鏈產(chǎn)業(yè)全線(xiàn)。

目前市場(chǎng)上多達(dá)幾百家的區(qū)塊鏈相關(guān)公司,根據(jù)業(yè)務(wù)類(lèi)型和模式大致上可將其劃分為數(shù)字貨幣和技術(shù)應(yīng)用兩大類(lèi)。顧名思義,數(shù)字貨幣是與數(shù)字經(jīng)濟(jì)時(shí)代相匹配的一種體現(xiàn)和傳遞交換價(jià)值的中間件。而技術(shù)應(yīng)用是在很多現(xiàn)實(shí)場(chǎng)景中利用區(qū)塊鏈技術(shù)降低成本,提升效率。兩者因業(yè)務(wù)形態(tài)、模式的區(qū)別,導(dǎo)致其安全訴求也不盡相同。

應(yīng)用層通常成為攻擊者首選的目標(biāo),也就是最常見(jiàn)到的各種交易平臺(tái)。安全問(wèn)題包括交易所服務(wù)器未授權(quán)訪(fǎng)問(wèn)、交易所DDoS攻擊、員工主機(jī)安全問(wèn)題、惡意程序感染等幾個(gè)方面。智能合約層則是整個(gè)安全防范的重中之重,世界知名的DAO事件就是被重入攻擊導(dǎo)致數(shù)千萬(wàn)美金的損失,涉及智能合約開(kāi)發(fā)的代表性項(xiàng)目有區(qū)塊鏈錢(qián)包、眾籌基金、區(qū)塊鏈代幣發(fā)行、區(qū)塊鏈游戲等。未授權(quán)訪(fǎng)問(wèn)攻擊,杜絕Solidity 編程隱患等都是合約層的常見(jiàn)問(wèn)題。底層機(jī)構(gòu)層和基礎(chǔ)設(shè)施層安全需要注意區(qū)塊鏈實(shí)現(xiàn)層安全隱患、針對(duì)社區(qū)的DoS 攻擊、EVM 安全隱患等等。此外,安全意識(shí)與管理,含如何識(shí)別防范社會(huì)工程學(xué)攻擊、內(nèi)部者攻擊、第三方風(fēng)險(xiǎn)控制失敗、釣魚(yú)攻擊也是一個(gè)都不能少。顯而易見(jiàn),區(qū)塊鏈這一新貴安全的復(fù)雜性在于不僅在新維度上產(chǎn)生了問(wèn)題,常見(jiàn)的安全問(wèn)題也貫穿其中。

相對(duì)于區(qū)塊鏈產(chǎn)業(yè)勢(shì)不可擋的發(fā)展速度,公眾對(duì)區(qū)塊鏈安全的認(rèn)知近乎為零,相應(yīng)的規(guī)范和保障體系更如新生兒一樣脆弱。自出現(xiàn)至今承受了大量的網(wǎng)絡(luò)攻擊,每一次成功的攻擊帶來(lái)的都是百萬(wàn)、千萬(wàn)到上億美元實(shí)際損失,并且打擊了人們對(duì)區(qū)塊鏈行業(yè)的信心。

對(duì)策:開(kāi)發(fā)具有生命周期的安防體系

可見(jiàn),頭頂新互聯(lián)網(wǎng)之名的區(qū)塊鏈也是個(gè)復(fù)雜的系統(tǒng),區(qū)塊鏈整體的安全,離不開(kāi)系統(tǒng)架構(gòu)中每一環(huán)節(jié)的安全性。從另一個(gè)角度來(lái)看,區(qū)塊鏈?zhǔn)且粋€(gè)長(zhǎng)期運(yùn)行的分布式軟件系統(tǒng),任何軟件系統(tǒng)必將經(jīng)歷從需求到設(shè)計(jì),再到實(shí)現(xiàn)和發(fā)布,最終不斷更新迭代的過(guò)程。在軟件開(kāi)發(fā)過(guò)程中的每一個(gè)環(huán)節(jié)出現(xiàn)的安全問(wèn)題,都會(huì)給下一個(gè)環(huán)節(jié)引入更多的安全問(wèn)題。例如,不考慮安全的應(yīng)用場(chǎng)景難以引入安全設(shè)計(jì),不安全的系統(tǒng)架構(gòu)無(wú)法用安全的實(shí)現(xiàn)進(jìn)行彌補(bǔ),代碼實(shí)現(xiàn)層面的漏洞能給已經(jīng)發(fā)布的應(yīng)用以毀滅性地打擊。

為了更加全面和系統(tǒng)化地應(yīng)對(duì)區(qū)塊鏈所面臨的安全問(wèn)題,不僅要考慮技術(shù)架構(gòu)中的每個(gè)層面面臨的安全風(fēng)險(xiǎn),也要將安全方案融入?yún)^(qū)塊鏈開(kāi)發(fā)的每一個(gè)環(huán)節(jié)中去。《區(qū)塊鏈安全生存指南》建議區(qū)塊鏈開(kāi)發(fā)者們,根據(jù)區(qū)塊鏈的技術(shù)架構(gòu)進(jìn)行具體化,最終實(shí)現(xiàn)區(qū)塊鏈安全開(kāi)發(fā)生命周期的安全管理方案。

楊坤,長(zhǎng)亭科技聯(lián)合創(chuàng)始人及首席安全研究員,曾任國(guó)際知名藍(lán)蓮花戰(zhàn)隊(duì)隊(duì)長(zhǎng),帶領(lǐng)中國(guó)戰(zhàn)隊(duì)取得國(guó)際頂級(jí)黑客大賽DEFCON CTF全球第二的最佳戰(zhàn)績(jī),對(duì)于區(qū)塊鏈安全他有極深的思考:“我們?cè)趽肀^(qū)塊鏈技術(shù)帶來(lái)的革命時(shí),也面臨著嚴(yán)峻的安全考驗(yàn)——無(wú)論是系統(tǒng)的設(shè)計(jì)還是實(shí)現(xiàn)中出現(xiàn)的安全漏洞,都可能給整個(gè)應(yīng)用帶來(lái)毀滅性的打擊。在此次發(fā)布指南中,我們圍繞區(qū)塊鏈安全,對(duì)不同應(yīng)用的安全需求、過(guò)去發(fā)生的攻擊事件和應(yīng)對(duì)策略進(jìn)行梳理,希望能夠?yàn)樾袠I(yè)帶來(lái)啟發(fā)”。

吳忌寒,業(yè)內(nèi)第一個(gè)將比特幣創(chuàng)始人中本聰論文翻譯成中文的資深大咖,2013年和詹克團(tuán)聯(lián)合創(chuàng)立比特大陸,這家成立不到五年的中國(guó)公司,被譽(yù)為比特幣產(chǎn)業(yè)鏈上的隱形帝國(guó)。吳忌寒認(rèn)為:“區(qū)塊鏈自誕生以來(lái),各種攻擊事件層出不窮,安全形勢(shì)嚴(yán)峻,需要行之有效的方法來(lái)防御”。

唐弈,ConsenSys中國(guó)區(qū)負(fù)責(zé)人,提及這次三方聯(lián)合發(fā)布國(guó)內(nèi)首個(gè)區(qū)塊鏈安全報(bào)告時(shí)的初衷時(shí)表示:“很榮幸與長(zhǎng)亭科技和比特大陸共同撰寫(xiě)發(fā)布區(qū)塊鏈安全深度報(bào)告,希望通過(guò)報(bào)告為提高全行業(yè)的安全意識(shí)和技術(shù)能力做出一些貢獻(xiàn)。安全一直是區(qū)塊鏈的核心課題之一,ConsenSys期待與行業(yè)伙伴們共建安全生態(tài)、推動(dòng)區(qū)塊鏈技術(shù)在中國(guó)和世界的發(fā)展。”總部設(shè)于紐約的ConsenSys由以太坊聯(lián)合創(chuàng)始人Joseph Lubin成立于2015年,現(xiàn)在全球團(tuán)隊(duì)一共超過(guò)600人。

前景:舉國(guó)創(chuàng)新聚焦前沿技術(shù)

數(shù)據(jù)顯示,區(qū)塊鏈專(zhuān)利申請(qǐng)的主要國(guó)家包括中國(guó)、美國(guó)、韓國(guó)、日本,中國(guó)的增長(zhǎng)最為迅速,世界上超過(guò)一半的區(qū)塊鏈專(zhuān)利都在中國(guó)。目前中國(guó)區(qū)塊鏈創(chuàng)業(yè)公司的數(shù)量?jī)H次于美國(guó),全球市值前二十的數(shù)字資產(chǎn)中,不少都有中國(guó)血統(tǒng)。

通過(guò)各行披露的年報(bào)可知,A股26家上市銀行中共有12家在年內(nèi)已上線(xiàn)運(yùn)行區(qū)塊鏈應(yīng)用,其中包括三家國(guó)有大行、六家全國(guó)性股份制銀行,以及三家城商行。這也意味著,區(qū)塊鏈正逐漸滲透到國(guó)民日常生活的點(diǎn)點(diǎn)滴滴之中。未來(lái),區(qū)塊鏈金融應(yīng)用只是排頭兵,而各種區(qū)塊鏈應(yīng)用將會(huì)越來(lái)越深入,隨之而來(lái)的改變可能會(huì)像科幻電影中的《明日世界》一樣令人震撼。

千里之行始于足下千里之提潰于蟻穴,區(qū)塊鏈企業(yè)、行業(yè)、產(chǎn)業(yè)可持續(xù)發(fā)展的前提是區(qū)塊鏈安全,這跟擲地有聲的“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”無(wú)疑處于同一層面。相信這也是長(zhǎng)亭科技、ConsenSys、比特大陸三大行業(yè)領(lǐng)軍企業(yè)發(fā)布《區(qū)塊鏈安全生存指南》的核心動(dòng)力。一方面,這三家企業(yè)有絕對(duì)實(shí)力對(duì)區(qū)塊鏈安全現(xiàn)狀做出深度分析并給出建議;另一方面,這也是企業(yè)高度社會(huì)責(zé)任感的體現(xiàn),值得包括不限于區(qū)塊鏈領(lǐng)域的更多依賴(lài)技術(shù)創(chuàng)新求突破的企業(yè)深思并學(xué)習(xí)。

關(guān)鍵詞： 區(qū)塊 策略 報(bào)告