区块链安全事件激增 上海正制定相关技术安全标准
2018-09-19 10:10:39 界面 新闻
图片来源:视觉中国
2018年被公认为区块链大年。9月18日,上海市委网信办、上海市经济和信息化委员会、上海市杨浦区人民政府举办“网络安全分论坛——区块链应用发展与安全论坛”。界面新闻从论坛获悉,区块链安全事件激增,安全已经成为区块链技术难以回避的问题,目前上海市信息安全测评认证中心正着手制定区块链技术安全标准。
区块链(Blockchain)是去中心化(Decentralization)技术中的一个重要概念,其本质是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了过去十分钟内所有比特币网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块,其具有去中心化、开放性、不可篡改性和可追溯性等特点。该概念在中本聪(Satoshi Nakamoto,Bitcoin的创始人)的白皮书中最早提出。
区块链科学研究所(Institute for Blockchain Studies)创始人梅兰妮·斯万在《区块链:新经济蓝图及导读》一书中,将区块链技术的应用分为三个阶段:区块链1.0应用于虚拟货币,实现了去中心化的数字支付系统和无障碍的价值交换,代表场景是比特币区块链;区块链2.0应用于虚拟金融,包括股票、清算、私募股权等众多领域,代表场景是以太坊区块链;区块链3.0将应用于可编程社会,包括财税、审计、物流、医疗、物联网等领域。
区块链技术迅速发展,但其安全性不可忽视。
据互联网安全公司白帽汇安全研究院发布的《区块链产业安全分析报告》显示,2011年到2018年4月,全球范围内因区块链因安全事件造成的损失多达28.64亿美元。但值得注意的是,损失额度从2017年开始呈现出指数上升的趋势,仅2018年以来,损失金额就高达19亿美元。
玄猫安全实验室联合创始人陈亮讲解智能合约常见安全漏洞。摄影:刘素楠
玄猫安全实验室联合创始人陈亮梳理了2014年以来发生的区块链重大安全事件。
2014年8月,比特儿交易平台被盗,黑客通过交易平台留言进行谈判。同年12月,当时世界最大的比特币交易所Mt.Gox由于85万个比特币被盗,最终被迫宣布破产。
The DAO是一个去中心化的风险投资基金,以智能合约的形式运行在以太坊区块链上。2016年,黑客通过The DAO利用智能合约脚本的漏洞,成功盗取360万以太币,导致以太坊硬分叉。同年8月,Bitfinex大约6500万美元比特币遭窃,全球比特币价格应声下跌25%。同时,本次事件损失由平台上所有用户共同承担,导致每位用户的账户平均损失36%。
陈亮指出,2017年至2018年,区块链出现了更多智能合约的安全问题。2018年4月,美图科技发行的数字货币——美链(BEC)智能合约被曝出整数溢出漏洞,导致BEC价值急遽下跌,几乎归零。
区块链技术的安全风险源于何处?
今年8月,腾讯安全联合实验室与知名互联网安全公司北京知道创宇信息技术有限公司共同发布《2018年上半年区块链安全报告》。报告指出,基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,上述三方面原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。
陈亮指出,较之往年发生的事件和造成的损失,2018年呈现暴涨趋势。同时,2018年由区块链自身机制引发的损失同样呈现暴涨趋势。“因为在早期区块链项目,很多开发者安全开发意识不足,所以遗留了很多问题,这种问题不断被黑客发现和利用。”
据区块链媒体Odaily星球日报发布的《2018年区块链技术安全服务行业报告》显示,区块链面临诸多方面安全挑战,主要包含密码算法安全性、协议安全性、使用安全性和系统安全性四大方面。
在上海,区块链技术发展势头迅猛。
9月6日,上海市科委发布了上海首个《区块链技术与应用白皮书》,其中指出:工信部信息中心发布的2018中国区块链产业白皮书显示,截至2018年3月底,全国有区块链企业456家,目前上海有区块链企业95家,位列第二;从国内区块链融资事件地域分布来看,上海有73次,排名第二。从上海区块链企业注册地域来看,浦东新区数量最多,为27家,杨浦、松江、奉贤、宝山、虹口、黄埔等地区块链企业也比较集中。
如何测量区块链技术的安全性,已经成为一个亟待解决的问题。
上海市信息安全测评认证中心高级工程师徐御透露,该中心和上海区块链技术研究中心合作,力求在今年制定一个区块链技术安全标准。
他透露,目前该标准的设计思路是:从已经发生的安全事件中识别风险,从而采取相应措施对抗风险,梳理风险措施对应表,与此同时,提出最佳实践,形成安全要求。
徐御指出,区块链技术安全标准将采用开放架构设计、按照适度保护原则进行设计。目前,上海市信息安全测评认证中心已梳理出区块链风险20类左右,其中6类为新风险,其余为传统风险。这6类新风险包括整数溢出、短地址攻击、算力控制、双重支付、代码重入、恶意操纵节点。针对上述安全风险,该中心已梳理了相应安全措施。
他表示,区块链技术安全标准将包括三个方面:安全层面、安全项和安全要求。例如,在数据层层面,包含区块数据、哈希算法、随机数、非对称加密等若干安全项,其中,针对区块数据的安全要求包括:数据区块格式符合《区块链数据格式规范》;应采用加密算法对敏感信息进行保护……
徐御认为,未来或可从区块链产品信息安全认证和区块链项目安全评测两方面结合来定义一款区块链应用是否安全。
玄猫安全实验室则推出了针对智能合约、交易所、电子钱包的安全评估服务。“针对智能合约,我们主要针对智能合约代码、逻辑、函数等十余项安全指标进行安全性检测。交易所面临的安全问题比较多,交易所内部和外部都面临安全风险,我们针对交易所12个大类总计95个子项安全进行检测。”陈亮表示。
他指出,更重要的是建设区块链安全生态,包括交易所、数字钱包、矿池、智能合约、公链等在内的区块链生态,如果其中一方出现安全问题,其他方均无法幸免于难。为此,玄猫安全实验室正在与上海相关机构筹建一个区块链安全专委会,建设区块链安全生态。