区块链技术存安全隐患,亟待行业规范出台

作者 | 冯铭 编辑 | 尹岳  

2020年10月26日 10:41  

本文3103字,约4分钟

10月19日,国家标准《信息安全技术区块链信息服务安全规范》(下称《安全规范》)研制启动会召开。本次启动会旨在落实相关工作要求,推动《安全规范》标准的编制工作,中国科学院信息工程研究所将负责组织实施标准的编制、推进等工作。

“《安全规范》标准的制定和出台,对于区块链行业整体发展上有着很好的推动和促进作用;对于部分非法觊觎者和短期利益者,也有着较强的震慑作用;对于行业标准化、规范化的发展,有着很好的敦促和指引作用。”字节互链ByteLink CEO杜超向《链新》表示。

技术安全存隐患

“区块链究竟安不安全,这个问题是仁者见仁智者见智。”佰链荟创始人、中国区块链应用研究中心研究员辛泓睿向《链新》表示。

辛泓睿认为,区块链安全主要涉及两大类:一是区块链+产业生态的安全(如电子交易、版权);二是区块链+政务(如身份验证、存证等)。区块链安全主要内容包括:技术安全,例如智能合约以及虚拟机的安全、密码学与网络安全、存储安全等;应用安全,例如金融安全、审计安全等;以及监管安全等安全性要求。

2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太坊资产被分离出TheDAO资产池。2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊被盗,共价值3000万美元。这些上亿元的安全损失只是因为一行代码引起的。

“从技术角度来讲,区块链面临的安全问题,既来自于区块链本身,也有其他技术发展产生的潜在威胁。”比特大学联合创始人、副校长王继尧向《链新》表示。

据王继尧分析,以较为重视安全维度的公链系统自身来讲,目前公认较为安全的是比特币网,运行超过十年年没有遇到较严重的安全问题,主要原因是其在脚本上限制了开发拓展性,且节点数量相对较多,保证了链的安全稳定。

相比之下,可编程的区块链系统及其链上应用,在编程过程中难免产生漏洞,如近期以太坊上的一些DEFI项目,由于部分合约未经审计以致漏洞未被发现,导致项目不得不暂停运行。

“近年来,区块链安全方面,绝大多数的问题还是黑客攻击,另外也出现过信息和隐私泄漏风险;数字加密资产领域出现较多的道德风险以及潜在的非法信息和资金传递风险。”杜超向《链新》表示。

杜超认为,黑客攻击和开发者的道德风险,一定程度上可以通过技术发展以及逐渐健全、合规的代码审计机制有所控制;而信息和隐私泄漏以及使用者道德风险,一定程度上可以通过风险意识教育进行部分规避。

“归根结底,这几块的风险会持续存在。其中对公共安全有较大潜在危害的‘非法信息和资金传递’风险,比较复杂且难以侦测,但有可能造成极为严重的危害,比如:极端组织非法信息传递以及跨境洗钱等。”

寻找解决方案

“区块链的安全问题是区块链技术的核心命题,有效解决安全问题将很大程度助力区块链发展。”王继尧说。

“正如DEFI的去中心化金融给未来金融提供了很多解决方案参考一样,对于目前产生的各种区块链漏洞,同样可以进行分类定级,建立一些常见的漏洞及安全识别体系,这有助于提升行业整体安全识别水平。”

王继尧认为,从技术手段上,通过建立可信的代码审计体系,可以一定程度上避免安全漏洞。整体而言,区块链的安全相关细则制定,需要涵盖公链、联盟链、智能合约及链上应用,这是一个长久的过程,需要建立标准细则、完善体系等,“现在相关安全细则已经着手制定,这是一个好的开始。”

与此同时,也需要建立项目、公司、个人用户的安全意识。“比如,用户不去参与未经代码审计的项目,这就会倒逼项目或企业完成代码的安全审计。再比如,一些设计BAAS服务类的平台,对于用户构建的技术模块,也应该考虑像以太坊网络一样,嵌入一个代码漏洞识别与审计功能,提升平台整体安全质量。这既需要商业机制的倒逼,也需要行业广泛宣传。”王继尧强调。

“当前区块链技术在各场景应用的过程中,主要存在密钥泄露、账号盗用、DDoS攻击、协议漏洞、合约漏洞、应用软件漏洞等安全隐患。”辛泓睿认为,可结合场景特点,从物理设施、区块链底层协议、应用层面针对性展开安全风险防范,开展代码审计工作,部分法规代码化,内置于区块链系统,打造符合国家安全要求的自主可控的区块链平台和应用。

“安全永远是人们最关心的问题,计算网络的安全性风险都可以通过技术来解决,来自用户钱密钥泄露、账号盗用的安全主要通过提高用户的安全意识,加强自我防范来实现。”辛泓睿表示。

目前,在高效低能耗、安全与去中心化这几个主要设计目标上,区块链技术存在“不可能三角”。如果选择去中心化和高效低能耗,则要牺牲安全性,特别是在金融领域,几乎可以一票否决;如果选择去中心化和安全,舍弃高效低能耗,必然导致交易模式和场景的极大压缩,几乎是在所有主流业务上的全面撤退;最后,如果选择高效低能耗与安全性,又极大损害了区块链的预期发展前景。

“目前市场上相关企业掌握的区块链技术,没有太大差异,区块链应用需要解决的是基础理论上的问题,这是政府部门、科研机构牵头承担的任务。”辛泓睿表示。

期待标准出台

“行业开始着手研究制定《安全规范》,恰恰体现了行业的蓬勃发展,并向着产业化、正规化方向迈进,这是我们喜闻乐见的。将对行业的安全防护、代码审计相关的项目和公司有比较好的促进作用。”王继尧表示。当下中国区块链产业处于高速发展阶段,国内主流金融机构、科技企业等纷纷加快区块链应用投入,区块链技术的应用领域从最初的金融逐步拓展到政务服务、供应链管理、工业制造等多个方面,新应用、新业态正在快速落地。

“区块链当前不成熟,但有发展潜力。”辛泓睿认为,虽然区块链行业总体仍处于发展早期,很多人研究区块链底层技术,但到一定程度就很难有进展,需要有实际应用场景拉动。“现在区块链应用落地项目,依然是一个痛点。要防范打击诈骗,否则这些诈骗行为容易影响行业的发展和声誉。同时,要鼓励技术研究,踏踏实实做技术,不要天天炒概念。区块链相对来说还是比较好管理,以链管链,以技术管技术。”

鉴于当前的技术缺陷,在区块链应用落地项目中,王继尧认为,应该“强化代码审计,产业端联盟链或开放联盟链,完善自主核心关键技术,尽量采用完全自主研发的技术架构,并制定相应标准。”

杜超建议,重视区块链行业监察、监管,建立有效的、快速的、多部门多层级共同协调的工作机制;加速推动密码学和隐私保护等技术的发展和研究;逐步建立、健全有法律法规基础的代码审查、备案机制;加大从业者普法以及行业自律教育。

“《安全规范》标准的制定,将解决好监管的问题,有助于保障区块链产业的健康发展。”辛泓睿认为,国家标准《安全规范》制定,将有利于研究区块链信息服务安全风险,提出安全要求和测试评估方法,指导区块链信息服务提供者开展安全建设和安全评估,进一步推进‘互联网+信用’监管,利用区块链、大数据、人工智能等技术手段,加强对行业和个人的信用信息的归集共享和分析应用,为数字人民币的开发提供支持,同时将推动云计算、物联网、区块链、5G等新一代信息技术与智慧信息系统的融合升级。