超半数加密货币交易所未执行标准安全措施区块链存储安全标准亟待建立
2019-03-27梁倩
梁倩
随着大数据、区块链、云计算等相关技术的发展,人们开始探索将数据作为资产的可能性。日前,主题为“极致安全 创新未来”的2018数字资产安全高峰论坛在北京召开。与会多位专家表示,过去十年,区块链技术发展迅猛被认可成为未来信息存储的主要发展方向,在数字化开始改变人们生活的大趋势下,由于缺乏安全基础设施建设和防护,存储为目标的区块链更是成为黑客攻击的“重灾区”。因此不少专家呼吁,行业亟待建立严格的安全标准。
近年来,信息的交互流动加速,数字资产的外延也将从数字货币的概念向外快速拓展,安全储存和管理数字资产的需求大大提升。
工信部中国电子技术标准化研究院区块链研究室主任李鸣表示,区块链是一种基础技术,它的作用是最大化数据价值。随着数据的不断增多,价值不断提升,有价值的数据封装后便可视为资产,这可以是原生态下的数字化资产,也可以是实物资产的变形。
Cobo联合创始人CTO蒋长浩说:“数字资产快速扩张,未来数据将回归个人,每个人通过自己的数字资产钱包管理自己的一切,例如一枚独特的代币或将成为你个体的所有代表,通過这枚代币可以让对方进行认证,而不用让其知道你的具体个人信息。这就意味着,随着资产的流动性极大增强,交易效率极大提升,用户对于安全和便捷的数字资产储存管理产品和服务的需求会大大提升。”
的确,数字资产价值渐被大众认可。有消息显示,2018年11月2日,非洲数字资产框架(ADAF)启动,其任务是促进非洲大陆的加密货币贸易。联合创始人Felix Macharia表示,ADAF是一个开源软件平台,旨在为加密货币和区块链技术创建跨境标准。它还将补充非洲联盟的单一非洲数字市场倡议,该倡议利用技术促进数字化经济一体化。
中国人民银行参事盛松成此前曾表示,区别于已有的电子形式的本位币,安全芯片、移动支付、可信可控云计算、区块链、密码算法等技术是将来数字资产可能涉及的领域。
但需注意的是,北京邮电大学区块链及安全技术联合实验室马兆丰主任讲到,区块链作为一种分布式信任技术,在数字资产、供应链管理、跨境支付、版权管理等分布式信任管理方面具有极其广阔的应用前景。目前区块链在安全性方面存在很大问题,区块链安全技术需要在算法安全性、共识机制安全性、数据安全性、网络安全性、合约安全性和应用安全性方面做好安全技术研究与加强。
目前的区块链技术却面临着极度的不安全。以目前区块链应用最多的数字货币为例,目前其交易所,甚至部分智能合约漏洞百出。但由于区块链技术的特性不可追溯,交易所账户即使被盗也无法追回,给用户造成巨大损失。
国家互联网应急中心互联网金融监管技术支撑专项组组长吴震表示,目前数字货币面临风险集聚,除了数字货币交易经济损失等事件引起的群体性社会事件外,更重要的是,其技术风险更为明显。
吴震举例,技术风险例如逻辑风险包括51%攻击、区块截留、自私挖矿等;代码漏洞、交易所被盗、密匙窃取等。
“ 目前来看,主要发生过的风险集中在代码实现以及外部风险。”吴震说,例如2013年,Mt.Gox交易所丢失 85万个比特币,造成企业破产;2016年,香港Bitfinex交易所遭黑客入侵,丢失 12万个比特币;2017年,韩国Youbit交易所遭黑客入侵,公司申请破产;2018年,日本Coincheck交易所丢失 5.2亿个新经币,损失5.4亿美元。
的确,区块链安全并未受到应有的重视。区块链项目评分网站ICO Rating此前对100家24小时交易额超过100万美元的加密货币交易所进行分析发现,超过 54%的加密货币交易所都没有执行标准的安全措施。例如,超过41%的加密货币交易所允许创建长度小于8个字符的密码,37%允许仅使用数字或字母创建密码,5%更是无需电子邮件验证创建。
去中心化漏洞平台DVP此前更是发现,有超过600家交易所使用存在漏洞的已被废弃的开源程序,该漏洞可使攻击者绕过交易所原本的限制,违规修改信息,或在未授权的情况下删除交易所的数据。
同时值得注意的是,数字货币的丢失不仅仅是黑客造成,还有交易所平台监守自盗。2014年,世界最大比特币交易所运营商Mt.Gox宣布其交易平台的65万个比特币被盗一空,随后便宣布破产。而后来执法部门的调查发现,所谓的65万比特币被盗,其实只有7000个比特币因黑客攻击而失踪,其余的都被平台的内部人拿去了。
对此,吴震表示,从发展形势上看,区块链系统的安全受多个层面的影响,攻击手段日益升级,损失不断增加。这更应该让我们认识到,随着区块链应用的范围和深度逐渐扩大,安全是必须重视的课题。我们必须加强区块链安全威胁分析和检测手段建设,提高防护水平。
“区块链发展不能脱离以技术为核心。”李鸣说,区块链相关团体标准将逐步出台,其中,安全层面标准也将是重中之重。
吴震介绍,目前,《区块链平台安全技术要求》行业标准正立项并起草。 其将明确区块链平台面临的主要威胁和安全体系架构,针对各关键模块提出安全技术要求,为区块链平台的安全稳健运行提供基础和保障。