“绝对安全”从不存在区块链也不例外
2018-09-15上海茁思迅行企业管理咨询有限公司咨询总监金峰
上海茁思迅行企业管理咨询有限公司咨询总监|金峰
未来,区块链将被应用在金融、能源等诸多国计民生领域,安全性工作显得尤其重要。未雨绸缪,在区块链技术被广泛应用之前,一系列已经暴露的安全问题需要得到全面解决。
曾几何时,区块链高举一面“高度安全”的大旗,全面进入了公众视线,似乎原有网络所有的安全性问题,皆不会再发生。同时,率先应用在代币领域,并且被传统金融行业所重视,都让区块链的这面“高度安全”大旗飘扬不止。
然而在信息通信产业中,安全永远不是绝对的。只要利益激励足够多,所谓的安全防线总可以被攻破,区块链也不例外。当前,区块链安全问题凸显,已经到了迫在眉睫、亟待解决的境地。
利益放大:安全问题暴露基础
纵观信息通信产业的发展历程,便可发现——所有安全防御都有一定限度。只要存在人的因素,就会有若干考虑不周之处,让安全防御的围墙出现漏洞。而在黑客眼中,“人造”围墙都如同筛子,只存在洞眼疏密与是否好找的区别,这也就是各类操作系统、应用软件始终在不断升级,不停打安全补丁的重要原因。同时,安全防御围墙高度也不可无限高,哪怕靠暴力方法,只要集结充足的能力也能够翻越过去,或者让防御围墙直接垮塌。例如,即使密码再长、传输与保存过程中加密次数再多,只要循环试验就能将其攻破。
好在安全攻击还是有一定技术门槛与资金门槛的,能否吸引黑客等攻击,要看攻破安全防御围墙是否有足够多的利益。有了足够多的利益,黑客才能找到更多的漏洞;有了足够多的利益,才能够调动更多的资源进行暴力攻击;有了足够多的利益,才能够动用非常规手段,例如收买人员等方式。
同样,在区块链领域也是如此。曾经,区块链技术同比特币几乎可以划上等号,而比特币不过几块钱,甚至只有几分钱一枚,攻破防线的收获有限使得区块链暂时“安全”。
短短十年,风云变幻。比特币不再是2010年时需要1万个才能换1个披萨的虚拟货币,“江湖”上也不再只有一种基于区块链的虚拟货币。除了代币领域,区块链技术应用范围越来越广。据统计,目前全球范围内,各类代币总市值在6000亿美元左右,若加上各类企业级应用,足够吸引各类黑客的目光。
并且,区块链安全原有的基石是分布式网络,没有塌陷一个影响一片的产业中心,让攻击缺乏着力点。但随着行业对区块链重视程度越来越高,矿池成为生产中心、交易所成为贸易中心以及仓库,同时也形成了专注提供解决方案的技术中心,这让安全攻击变得更加有利可图。为了能够发挥中心价值,原有协议被增加了智能合约层等新层级,但行业内相关技术专家认为:愈多的协议层级意味着安全风险暴露点更多,反而降低了区块链安全性。
安全危机:必须正视的问题
目前,应用区块链技术最多的是数字加密货币领域,由于真金白银的存在,区块链的安全问题几乎都在加密货币领域发生,而这些问题未来也同样会在其他区块链应用领域中发生。
根据腾讯安全所发布的《2018年上半年区块链安全报告》显示,当前区块链领域安全事件主要集中在三个方面,一是区块链自身机制,二是区块链生态,三是使用者自身问题。其中,区块链自身机制问题主要集中在智能合约、51%攻击等,此外还包括交易延展性攻击、双花攻击、垃圾交易攻击、扣块攻击等;区块链生态问题主要集中在交易所被盗、交易所DDoS攻击等,此外还包括交易所被钓鱼、内鬼盗窃、钱包DNS劫持、钱包失窃、交易地址篡改、交易所信息泄露、交易数据篡改、场外操纵、拒绝服务攻击、矿池DDoS攻击、矿池DNS劫持、矿池失窃、网站DDoS攻击、网站数据泄露等;使用者问题主要包括账号失窃、钱包失窃等,此外还包括反欺诈、用户被钓鱼、私钥保管问题等。笔者总结了当前区块链所出现的种种安全问题,有如下五大特征。
第一,区块链安全事件数量不断增多,损失金额也日益扩大。2018年上半年,仅在数字货币领域发生的区块链安全事件就比2017年全年增加了40%左右,损失金额则增长数十倍,达23亿美元之多,单笔金额超过1亿美元的“大案要案”屡见不鲜。这同当前区块链行业参与者不断增多、资金量不断增大不无关系,作案者组织化、规模化特征也日益明显。
第二,区块链安全问题的种类不断增多。随着越来越多的人参与到区块链行业研究区块链技术,一些原本隐藏的安全漏洞被发掘,攻击方法也花样繁多。据统计,2018年所使用的攻击方法数量,比2015年足足增长了三倍。
第三,区块链安全攻击呈现了日益规模化的特征,理论上存在的51%攻击也成为可能。区块链共识机制是一种表决,如遇到问题,只要51%的算力达成一致,那么区块链就能够往多数算力期望的方向发展。按照原有设想,全世界的算力非常分散,不会出现一个人能够掌握51%算力从而影响整个链条未来走势的情况。但即便是中聪本也没能够想到,当前矿场频出,黑客们可以通过木马控制数十万台个人电脑形成云矿池,这样,一个人能够拥有的算力大大增强。并且各种新数字货币频出,那些拥有较多算力的人,在比特币的世界中或许只能算强者,但到了小型数字货币的链条中,则成为决定其生死的“巨鲨”。
第四,区块链安全问题的爆发为全生态性的,不仅只针对区块链自身机制。相对而言,区块链自身机制较安全,毕竟架设在网状网络上,对其攻击需要费些工夫。但是,区块链周边的附属设施,则通常采用传统IT架构,安全性相当薄弱。这些附属设施虽薄弱,却往往蕴含了大量区块链资产,例如用户终端上
的钱包是最疏于防范、最薄弱的地方。在黑客眼中,个人电脑就是不设防的存在,只要能够在更多电脑上种上木马,比特币将会滚滚而至,若是技术超凡则可以直接攻击交易所,所得都是价值上亿美元的虚拟货币。
第五,区块链安全的修正机制明显不足。同传统中心结构业务不同,区块链架设在P2P网状结构上,前者会有一个机构作为运营主体,当出现安全问题的时候,它会负责发放安全补丁。只要把中心节点安全性提升上去,就能够极大程度地提升业务的整体安全性,尤其在当前较多业务采用云模式的情况下。而后者则缺乏强有力的运营主体,负责整个链条的后期安全,区块链建立基于“共识”,当链条建立起来之后,理论上除非所有的参与者均同意修改“共识”,否则没有办法对安全问题进行修正。在区块链2.0中,所兴起可自行约定的“智能合约”则加剧了这一风险,合约当中部分“共识”为之后的安全直接埋下隐患,并且部分“智能合约”连修改机制都没有。
安全布局:为区块链技术全面应用奠定基础
依据AMC行业成熟度曲线,笔者认为,以比特币为代表的数字加密货币,把区块链行业推到了第一个顶峰。公众知晓率与参与度升高、产业资本不断涌入、各类技术开发人员不断涌入,除了制造数字货币泡沫之外,也在不断发现包括安全性在内的各种技术问题,发掘用户对区块链的需求,从而不断完善区块链技术。
随着数字货币高峰度过——尤其是一些空气币的存在,放大了数字货币泡沫,区块链行业预计会到达谷底,沉淀产业发展前期所取得的技术成就,为向成熟应用阶段发起冲击而做好准备。毕竟,区块链不是数字货币,它有更多的应用场景,数字货币只是区块链技术发展的“试验田”而已。
从发展前景看,区块链将被应用在金融、能源等诸多国计民生领域,因此安全性工作显得尤其重要。未雨绸缪,在区块链技术被广泛应用之前,一系列已经暴露的安全问题需要得到全面解决,尤其是一些区块链技术机制问题,不仅需要通过后期打补丁方式得到解决方案,也需要产业协作共同制定全产业共同遵循的标准。例如2018年8月1日,《信息技术区块链和分布式账本技术参考架构》标准制定启动会召开,产业内数十家企业将从整体框架开始,制定我国区块链的标准。而从国际角度看,ISO等国际组织也成立若干工作组,制定国际标准。
具体到区块链安全领域,2018年6月,二十余家机构联合成立“中国区块链安全联盟”,将着手建立区块链生态良性发展长效机制,构建技术方案,并针对变相传销等违法行为进行打击。同时,从产业实践来看,一些解决方案正在推出,正在先期应用,尤其是在数字货币“试验田”中发挥效能。例如区块链安全研究中心在2018年8月推出国内第一个智能合约检测平台,可以自动对智能合约进行扫描,发现其中的漏洞,从而为新的共识奠定良好的安全基础。