浅谈区块链技术安全风险及应对措施

 自2008年比特币诞生以来，区块链持续引发全球关注。区块链技术的集成应用逐渐成为新的技术革新和产业变革的重要驱动力量，世界各国纷纷加快区块链相关技术战略部署、研发应用和落地推广。区块链已经从加密数字货币领域的专有技术，扩展为面向制造、金融、教育、医疗等诸多垂直领域构建信任关系的关键使能技术。然而，随着区块链应用价值愈加获得认可，其安全问题也日益突出。据统计，针对区块链共识和智能合约的攻击造成的经济损失累计超过142亿元。各大交易平台被盗事件频发、智能合约漏洞凸显等安全事件持续引发公众对区块链技术安全性的质疑和对其发展前景的忧虑。区块链技术将打包的数据区块串接成链进行验证与存储数据，利用共识算法和对等网络技术生成和更新数据，利用密码学算法保证数据传输安全，利用智能合约操作数据。作为一种多学科交叉的集成创新技术，区块链不仅面临密钥管理、隐私保护等传统网络安全挑战，也面临对等网络、共识机制以及智能合约等核心技术引入的安全隐患。

    对等网络安全风险

    区块链基于对等网络实现全部节点在不需要中央权威机构的情况下同步交易和区块。由于对等网络采用不同于C/S网络的对等工作模式，传统的防火墙、入侵检测等技术无法进行有针对性的防护。对等网络中的攻击行为普遍具有不易检测、传播迅速等特点，使得其中节点更容易遭受攻击。例如，攻击者利用公有链中缺乏身份验证机制的漏洞来伪造多个身份进行女巫攻击，通过控制目标节点的数据传输以限制目标节点与其余节点交互实现日蚀攻击，以及通过创建多个身份将网络分区使得冲突交易通过验证从而实现克隆攻击。

    共识机制安全风险

    共识机制用于在分布式的区块链系统中维护系统运行顺序与公平性，主要面临双花攻击和51%算力攻击等安全风险。双花攻击又被称为双重支付攻击，是指攻击者将一笔钱花费了两次甚至多次的攻击行为，会对共识算法一致性产生严重破坏。51%算力攻击是指攻击者利用自己算力的相对优势（占全网算力的51%及以上）来篡改区块链、制造分叉等恶意行为。

    智能合约安全风险

    智能合约是可按照预设合约条款自动执行的计算机程序，在区块链中可用于高效支付与发送加密资产，不需要第三方监督即可自动执行。区块链中大多数智能合约控制着数额巨大的数字资产，极易成为黑客的攻击目标。同时由于区块链具有不可篡改性，一旦合约漏洞被利用将造成不可逆转的损失。例如，2016年6月，黑客利用智能合约缺陷，对以太坊最大众筹项目The DAO发动攻击，导致350万以太币被非法提取。当前，智能合约已经成为区块链金融应用领域中的“重灾区”。

    除此之外，计算机技术的发展也给区块链带来新的安全挑战。随着量子计算的发展，区块链底层依赖的哈希函数、公钥加密算法、数字签名、零知识证明等技术的安全性也将受到影响。针对区块链面临的以上安全风险，学术界和产业界已展开探索并取得较多成果。为解决对等网络的拓扑结构引发的安全问题，研究者提出限制节点创建、合理设置节点间连接等机制，其中Heilman等提出的确定性随机驱逐过程已被比特币社区采纳。为应对共识安全风险，一方面可以通过降低节点间收益差距等方法避免形成大矿池，提高攻击代价；另一方面也需要改进或提出新的共识机制，根据业务场景选择多种或可切换的共识算法。为确保智能合约安全，不仅需要通过代码审计等方法减少逻辑漏洞，也需及时发现和修复虚拟机漏洞，确保合约的可靠执行。同时，区块链项目研发人员也需要在抗量子计算方面下功夫，在量子计算机正式商用化之前及时对区块链系统升级换代，提前巩固算法安全。尽管现阶段区块链技术仍面临安全风险的困扰，但区块链作为核心技术自主创新的重要突破口，其应用已经延伸至数字金融、物联网、智能制造、供应链安全等多个领域。构建安全的区块链产业生态，需要学术界、产业界和国家监管机构从理论创新、安全开发流程以及行业标准等方面共同努力。光大银行信息科技部积极关注新技术引入的安全风险，针对区块链技术安全性开展深入研究，如隐私保护方面零知识证明、同态加密技术的研究；持续跟进区块链安全最新研究成果，积极关注区块链安全事件，充分利用安全攻防实验室的攻防研究与实战经验，致力于发现并降低区块链技术在我行落地的安全风险，为银行信息安全保驾护航。

文章转载来源：中国光大银行科技创新实验室

联系方式
QQ:1624000000 邮箱:1624000000@qq.com 微信16538900008 电话:16538900008