随着区块链技术的发展,安全性成为一种硬性需求。需要构建区块链安全生态系统,重点关注数字货币钱包、智能合约等不同产品,同时也需要从矿池、交易所等数字货币中产生的节点实施动态防范。
一行代码蒸发64亿人民币。这一令人难以置信的黑客攻击发生在今年4月。仅仅因为黑客发现了一个代码漏洞,与之相关的区块链产品的全部市值瞬间被转移出去,接近于零。
如果说传统意义上的货币价值取决于国家信用,那么加密数字货币的存在则取决于区块链技术的信用。9月6日,山东警察学院侦查系网络犯罪侦查教研室副主任娜塔莉在由中翔比特等主办的区块链与网络安全论坛上表示。人们对区块链技术的信心逐渐受到区块链技术代码漏洞的发现和一些相应的安全事件的打击。
此前,人们认为区块链技术被认为是万无一失的,因为它应用了分布式存储、加密算法等技术,无法被篡改和追踪。但是,该功能主要针对存储在块中的信息。以本文开头的案例为例,区块链科技保证可以追溯到64亿元被转移到哪里,黑客的操作会被系统不可撤销地记录下来,但无法拒绝黑客对底层代码的篡改,保护虚拟数字货币。
区块链技术本身也有漏洞可以利用。利用区块链技术已经成为犯罪分子非法获利的新手段。娜塔莉说,有些人甚至说区块链技术革新了经济犯罪。面对新手段带来的新挑战,我们应该如何应对才能保持区块链科技的长期发展?
虚拟货币成为新的盗窃目标。
前不久上映了一部名为《瞒天过海:美人计》的盗窃电影,讲述了一群美女偷走了一条价值1.5亿美元的钻石项链的故事。
相对于币圈的失窃,这条项链的价值并没有那么惊人。例如,今年3月30日,在中国警方破获的一起虚拟货币盗窃案中,3名供职于国内某知名网络公司的黑客侵入受害人张的电脑,将价值6亿元的比特币、以太坊等虚拟货币洗劫一空。
过去,小偷的目标是黄金、白银、珠宝和大量钞票。现在,他们只要稳稳地坐在电脑前,动动手指,就能靠盗取虚拟货币致富。数字货币加密已成为高科技犯罪的新目标。世界各国都有困扰。资料显示,在价值5.3亿美元的代币被盗后,16家日本加密数字货币交易所计划成立自我监控小组,对系统漏洞进行自省和检查。
30集团信息安全部王伟波表示,目前已经公开了57起针对非个人电脑的公共链和交易所攻击事件,造成了10亿美元的损失。然而,他认为这只是冰山一角。大量的攻击不会因为对交易所声誉的负面影响而公之于众,损失由交易所自己消化。
除了盗窃,虚拟货币也成为了犯罪分子的工具。比特币成了洗钱工具,催生了专业的水房。娜塔莉说。她举了一个实际案例:受害人在QQ上认识了嫌疑人,嫌疑人自称是在伊拉克打过仗的军人,希望受害人帮他收包裹,需要80万美元的定金。受害人的资金被送到专门从事比特币交易的王某处,王某支付给嫌疑人比特币,没有给嫌疑人留下诈骗证据,而交易比特币的王某有大量资金进入,增加了侦查难度。
有了比特币的参与(目前黑市认可的加密数字货币大部分是比特币),警方的破案和追查资金链的方法可能会失效。娜塔莉说,在他的工作中,他感到案件很难调查,追查罪犯的难度大大增加。
更何况罪犯已经不是一个人或者一个团伙,而是一个正常经营的合法企业。娜塔莉介绍,某技术运维公司开发了一个木马病毒,安装在自己的客户机器上,由该公司负责运维。机器内存占用一点后,启动挖矿程序,发现之前已经挖了5000多枚数字货币。据统计,该公司在全国范围内非法控制了300多万台机器。这种违法行为的法律定位还很模糊。娜塔莉说,新的犯罪形势促使法律法规的完善,也提醒执法人员不断更新知识储备。
每天三省,我的身体查漏补缺。
我们可能不知道黑客是如何攻击的,但我们应该让每个细节都安全。王伟波表示,对自身漏洞的调查可以最大限度地降低安全风险,甚至提前预防问题。
就像一场攻防战,一旦掌握了区块链的生命技术,黑客的外部攻击将会失控。加固城墙,严格查漏补漏,是防御方应对不断变化的有效方法。
根据王伟波的说法,黑客对区块链技术的攻击可以发生在六个不同的层面:应用层、合同层、激励层和数据层。不同等级的攻击方式不同,后果也不同。
发作级别越低,越有可能影响全身。例如,对数据层的攻击将改变整个区块链,而不是单个节点。今年5月,攻击者篡改了某个区块链生成的时间,降低了挖掘难度,劫持了整个主链,导致攻击者获得了大量令牌。
因此,360安全团队从黑客攻击的六个方面进行了研究,找出了漏洞,开出了药方。通过对某公链和exchange的安全测试,360安全团队发现了42个漏洞,其中29个高危漏洞可能影响用户账号安全。
除了排查漏洞,团队还对黑客的一些攻击进行了深入测试,编写了《公链渗透测试白皮书》。王伟波表示,即将发布白皮书,其中将对一些安全事件进行分析,以区块链攻击为切入点,深入分析黑客的攻击手段,以及如何针对不同的攻击做好安全防护。
王伟波认为,区块链产业处于一个比较初级的发展阶段,目前在安全方面还存在很多问题。随着区块链技术的发展,安全性成为一种硬性需求。要构建区块链安全生态,重点打造数字货币钱包、智能合约等不同产品。同时,还需要从矿池、交易所等数字货币产生的节点实施动态防范。
盲目上马区块链项目是不可取的。
我们除了让区块链技术本身更扎实,更值得信赖之外,还面临一个区块链的链上数据与现实数据衔接的问题。中国信息通信研究院云计算与大数据研究所部门主任魏凯表示,每个行业使用区块链时都有自己的痛点,例如溯源行业,如何确保上链的数据,对应的正是要追溯的产品,而不会被掉包?写到链上的信息是不是真实的,能够准确反映现实的。这是区块链技术解决不了的,而必须依靠链外的手段保障,例如制度体系。魏凯认为,目前配套体系是缺乏的。
要上马区块链应用,应该先问4个问题。魏凯说,任务要不要记录数据?记录的数据是不是必须多方参与?参与的多方能不能互信?如果找不到可以信任的,那么,就可以考虑抛弃原有载体,使用区块链技术。最后一个问题,能够容忍它与中心化系统相比效率较低的特性吗?
魏凯解释,使用区块链的成本也非常高,因为它是一个封闭式的系统,效率肯定没有中心化的系统效率高,目前,在使用时,区块链技术没有明显的效率优势。
魏凯用焦虑症形容目前产业界、甚至政府对区块链的态度。现在有二十几个省市发布了与区块链有关的激励刺激政策,很多地方盖起了区块链大厦,入驻这些大厦的企业有没有挖掘出什么非得用区块链不可的场景来呢?这个问题值得大家深思。魏凯认为,除了区块链技术本身的完善外,政策、法规、验证等体系仍需要进一步推动建设。为此,中国信息通信研究院于4月9日,联合158家企业发起了可信区块链推进计划,推进技术标准、行业应用和政策法规等工作,以期逐步完善区块链发展的有利生态。
本文链接:http://www.slxf119.com/17012.html 转载需授权!
网友评论