區(qū)塊鏈與網(wǎng)絡(luò)安全的“緣”
發(fā)布時間:2019-12-02
從幕后走向臺前的區(qū)塊鏈�,與網(wǎng)絡(luò)安全緣分幾何?
案例一:2018年4月22日��,BeautyChain合約出現(xiàn)重大漏洞���,黑客通過合約的批量轉(zhuǎn)賬方無限生成代幣��,導(dǎo)致BEC價值幾乎歸零���。
案例二:2018年4月25日,SmartMesh出現(xiàn)類似BEC的重大安全漏洞��,損失1.4億美金����。
案例三:2018年7月25日,狼人游戲出現(xiàn)“溢出”漏洞��,導(dǎo)致游戲損失60686個EOS��。
案例四:2018年9月20日�����,日本數(shù)字貨幣交易所Zaif宣布遭受黑客攻擊����,損失5967萬美元。其中1959萬美元屬于該交易所自有資金��,其余4007萬美元屬于客戶資金��。
案例五:2018年12月3日�,Dice3D遭遇黑客攻擊,損失10569個EOS�。
區(qū)塊鏈和網(wǎng)絡(luò)安全前世有緣
數(shù)字世界缺乏信任的問題已經(jīng)很普遍,比如在沒有擔(dān)保的情況�����,我們不相信網(wǎng)上的交易��。在數(shù)字世界證明你就是你���、你什么時間干了什么���,是一個比較困難的事情。區(qū)塊鏈應(yīng)運而生�����,正好能解決這些問題,通過它可以建立一個信任鏈�����。而某種角度區(qū)塊鏈技術(shù)也是安全技術(shù)的一種衍生的平臺����, 它可以解決who、 when���、what等方面的安全問題�。
區(qū)塊鏈和網(wǎng)絡(luò)安全息息相關(guān)�, 它的核心就是各種安全的算法。區(qū)塊鏈有幾大特征:不可抵賴性����、建立信任鏈、去中心化等�����,都是由算法基石構(gòu)建的堡壘.比如區(qū)塊鏈中有一種算法是哈希算法�,就是可以用很小的數(shù)據(jù)代替大的數(shù)據(jù),大的數(shù)據(jù)一改動����,小的數(shù)據(jù)完全變化��,并且小的數(shù)據(jù)沒辦法推導(dǎo)出大的數(shù)����。
除了加密算法�,區(qū)塊鏈還需要一些關(guān)鍵技術(shù)來保障�,比如:共識機(jī)制,分布式賬本�����,智能合約等����。利用這些關(guān)鍵技術(shù)最后能夠構(gòu)建一個完善的信任鏈,這些機(jī)制可以大大降低成本�����。
舉個例子:對賬需要大量的人員�����,可能是10個人,可能是100個人���,而且人還不可靠���,不同的人相互不信任,而利用區(qū)塊鏈技術(shù)就不需要有人進(jìn)行直接操作��,而用機(jī)器來代替人�,在不斷提升可靠性的前提下,還可以大大節(jié)省人員數(shù)量����,這就是建立一種低成本的信任鏈。
區(qū)塊鏈真的安全嗎��?
區(qū)塊鏈體系存在數(shù)據(jù)層�、網(wǎng)絡(luò)層、激勵層����、共識層、合約層��、業(yè)務(wù)層六個層面���。在安全問題上�����,每一個層面其實都會涉及到����,只要是程序���,它就有可能有漏洞��。其中���,合約層、業(yè)務(wù)層是區(qū)塊鏈架構(gòu)中安全問題最為頻發(fā)的部分�����。
黑客通過DDoS攻擊�����、CC攻擊��、系統(tǒng)漏洞、代碼漏洞�����、業(yè)務(wù)流程漏洞��、API-Key漏洞等進(jìn)行攻擊和入侵����,給區(qū)塊鏈項目的管理運營團(tuán)隊及用戶造成巨大的經(jīng)濟(jì)損失。威脅來源主要包括以下方面:
1.平臺可用性風(fēng)險 通過DDoS攻擊���、CC攻擊�����、跨站腳本攻擊等方式���,降低平臺的可用性,使平臺在一定時間內(nèi)無法向用戶提供服務(wù)���。
2. 智能合約風(fēng)險 由于區(qū)塊鏈技術(shù)不可逆的特點���,智能合約一經(jīng)發(fā)布�,無法修改����,已發(fā)布的智能合約一旦發(fā)現(xiàn)重大安全漏洞,將嚴(yán)重影響整個項目����,甚至導(dǎo)致項目失敗。
例如:假設(shè)一筆交易一開始看上去是被驗證了��,然后完成了�����。這個時候一旦出現(xiàn)漏洞��,智能合約就會不斷開始重復(fù)執(zhí)行這筆交易�。比如說你有一張信用卡�,你到一個店里刷了一下,付了200塊錢�����。但如果說在后臺有這樣的漏洞,你就會不斷地刷200塊錢���,直到把你的卡刷完為止��。
3. 平臺業(yè)務(wù)安全風(fēng)險 利用平臺的系統(tǒng)漏洞�����、源代碼漏洞�、業(yè)務(wù)邏輯漏洞等����,通過社工、跨站腳本�����、惡意掃描等方式進(jìn)行攻擊��。
在業(yè)務(wù)層�,就好像互聯(lián)網(wǎng)開始的時候,大量的網(wǎng)站應(yīng)用���,你買票也好�����,你購物也好�����,營業(yè)廳也好���,網(wǎng)銀也好��,這里面其實也有各種各樣的應(yīng)用漏洞���,這就是業(yè)務(wù)層的漏洞。雖然說區(qū)塊鏈?zhǔn)且粋€分布式的架構(gòu)��,但其實很多的交易所都是中心化的���,所謂的中心化,比如說如果是跟比特幣有關(guān)���,一旦黑客入侵�,那他就可以把你的幣都轉(zhuǎn)走�����,都可以竊取。之前全球最大的比特幣交易所BITFINEX�,就發(fā)生了一起交易所業(yè)務(wù)應(yīng)用層被黑客攻擊的案例。
有數(shù)據(jù)顯示����,BITFINEX目前近 80%的攻擊損失都是基于業(yè)務(wù)層的攻擊所造成的,其損失額度從 2017 年開始呈現(xiàn)出指數(shù)上升的趨勢����,截止到 2018 年第一季度,所暴露的安全事件就已經(jīng)造成了 8.1 億美元的損失�。所以在我們推進(jìn)區(qū)塊鏈應(yīng)用的同時也需要考慮衍生出來的新問題。
4. 算力安全威脅 通過挪用設(shè)備�����、篡改配置����、物理劫持、系統(tǒng)漏洞入侵等方式���,占用甚至破壞算力設(shè)備的計算能力�,導(dǎo)致設(shè)備無法正常提供服務(wù)。
區(qū)塊鏈可以與網(wǎng)絡(luò)安全再續(xù)前緣
那區(qū)塊鏈?zhǔn)遣皇强梢詰?yīng)用于網(wǎng)絡(luò)安全這個行業(yè)��,和網(wǎng)絡(luò)安全其它的一些技術(shù)結(jié)合���,是不是可以產(chǎn)生1+1>2的效果呢�����?答案是肯定的��。
有一個小小的例子�,比如說大家經(jīng)常聽到會計發(fā)生挪用大額款項��,然后很長時間都不知道的事情��。原因是什么呢����?其實原因很簡單,首先因為會計權(quán)力很大���,其次,這個財務(wù)審計在時間上是滯后的�����。
那么在網(wǎng)絡(luò)世界里,其實也有一類特權(quán)用戶����,叫“根用戶”(root)。特權(quán)用戶幾乎擁有任何權(quán)限�。普通的用戶做某樣事情,會有一個日志���,這個日志把誰什么時間干了些什么都記錄下來����。其實這也是一種審計����。但是對于特權(quán)用戶來講,一種它有可能是沒有這個日志��,還有一種即使有日志����,特權(quán)用戶也可以把日志刪掉。這就神不知鬼不覺��,在數(shù)字世界里是非常危險的行為。
區(qū)塊鏈的技術(shù)����,怎么來解決這塊的痛點呢?就可以這樣操作����,特權(quán)用戶每做任何一個行為,就可以直接把這個行為上到區(qū)塊鏈����。這就做到了不可篡改,不可抵賴���,非常美妙地解決了一種監(jiān)管和審計機(jī)制����。
區(qū)塊鏈未來一方面在網(wǎng)絡(luò)安全行業(yè)會產(chǎn)生一些新的價值和應(yīng)用�,還一個就是區(qū)塊鏈和網(wǎng)絡(luò)安全、大數(shù)據(jù)���、人工智能����、云計算一樣,它們其實都在各自綜合存在于未來數(shù)字社會當(dāng)中�,在各個鏈條當(dāng)中產(chǎn)生它們最終的產(chǎn)業(yè)價值和社會價值�。
區(qū)塊鏈技術(shù)用于網(wǎng)絡(luò)安全領(lǐng)域
區(qū)塊鏈技術(shù)憑借其去中心化結(jié)構(gòu)而帶來的安全特性,目前已被國外金融����、醫(yī)療、互聯(lián)網(wǎng)等領(lǐng)域各大公司用來提升網(wǎng)絡(luò)安全���。具體來看�����,區(qū)塊鏈技術(shù)可以在管理和保護(hù)用戶認(rèn)證數(shù)據(jù)�����、提高網(wǎng)絡(luò)數(shù)據(jù)安全�����、有效阻止DDoS攻擊以及增強(qiáng)物聯(lián)網(wǎng)安全等領(lǐng)域發(fā)揮作用����。
——管理和保護(hù)用戶認(rèn)證數(shù)據(jù)。美國麻省理工大學(xué)推出的虛擬貨幣CertCoin最先采用了基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施��,摒棄傳統(tǒng)中心認(rèn)證方式�,采用公共密鑰實現(xiàn)分布式節(jié)點之間的互相認(rèn)證,從而防止網(wǎng)絡(luò)單點故障���。烏克蘭公司Ukroboronprom與網(wǎng)絡(luò)安全公司REMME合作��,通過在區(qū)塊鏈上管理用戶認(rèn)證相關(guān)數(shù)據(jù)����,幾乎完全阻斷了黑客使用虛假認(rèn)證消息獲取用戶身份的可能���。
——提高網(wǎng)絡(luò)數(shù)據(jù)安全性���。全球最大規(guī)模的區(qū)塊鏈公司Guardtime通過分布節(jié)點之間協(xié)商來提供區(qū)塊鏈上數(shù)據(jù)的機(jī)密性和完整性,實現(xiàn)了愛沙尼亞100萬份用戶醫(yī)療數(shù)據(jù)的安全性保證��。
——有效阻止DDoS攻擊��。區(qū)塊鏈初創(chuàng)公司Nebulis基于區(qū)塊鏈的分布式互聯(lián)網(wǎng)域名系統(tǒng)���,只允許授權(quán)用戶來管理域名��,其他公司諸如Blockstack和MaidSafe也開始使用分布式Web技術(shù)��,替代原有第三方管理Web服務(wù)器和數(shù)據(jù)庫的模式�����,從而阻止網(wǎng)絡(luò) DDoS攻擊���。
——增強(qiáng)物聯(lián)網(wǎng)安全。通過智能合約模式��,區(qū)塊鏈一方面可以利用 P2P 網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備節(jié)點對待接入設(shè)備進(jìn)行鑒權(quán)���;另一方面可以有效抵擋物聯(lián)網(wǎng)DDoS攻擊�。在2016年爆發(fā)的Mirai僵尸網(wǎng)絡(luò)DDos攻擊事件中����,大規(guī)模的物聯(lián)網(wǎng)設(shè)備被入侵,致使大半美國網(wǎng)絡(luò)癱瘓��。在區(qū)塊鏈系統(tǒng)中�,當(dāng)某個節(jié)點被入侵時,其他設(shè)備會檢測到該設(shè)備異常,并且將其列為異常和不信任節(jié)點����,從而將其排除。
未來區(qū)塊鏈最大的價值是極大地增強(qiáng)了數(shù)字社會的信任�,這是由它的這套分布式架構(gòu)、共識機(jī)制和它的智能合約的特點����,以及網(wǎng)絡(luò)安全的算法共同產(chǎn)生的這一價值。
文字及圖片丨中國藍(lán)新聞公眾號等網(wǎng)絡(luò)整理
網(wǎng)站首頁 > 新聞中心 > 行業(yè)新聞
