区块链在几个方向有很大的应用前景。
目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。
区块链政策导向
2016 年 10 月,工业和信息化部发布《中国区块链技术和应用发展白皮书 (2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。
2016 年 12 月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。
2017 年 1 月,工信部发布《软件和信息技术服务业发展规划 (2016-2020 年)》,提出区块链等领域创新达到国际先进水平等要求。2017 年 8 月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。
2017 年 10 月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。
2018 年 3 月,工信部发布《2018 年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。
2017 年 9 月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。
区块链面临的安全威胁
2009 年比特币正式发布,2011 年左右国际上有些比较潮的极客、金融人士意识到区块链技术的重要性。比特币发展到今天经历了无数次的暴涨暴跌,大家现在不会觉得它是一个纯粹的骗局了。
2018 年 5 月 29 号,根据国外网站 coinmarketcap.com 发布的数据,目前比特币市值 1200 千亿美金,紧随其后的是以太坊,大概五百多亿美金。13 年比特币大概 600 块钱,现在涨到了八千块钱,这是大家能够直观感受到的。
钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化, 11 年出现了第一次比特币安全事件,当时丢失 102 万美金,14 年全球区块链的资金损失大概是 4.6 亿美金。18 年上半年,这个数字达到 19 亿美金。
以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。
我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有 13.4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了 12.4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿厂矿工的一些病毒事件等等。
根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。
区块链自身机制
数据层。区块链数据可能是链式结构,也可能是 DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。
网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能 20 多个节点,其中几个节点被人 DoS 下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击跨了。
共识层。共识机制也非常重要,比特币的共识算法 PoW 决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前 PoS、DPoS 越来越多,PoS 涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。
合约层和业务层。今年 2 月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。
这次事件涉及的漏洞一年多之前就被网络暴光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。
区块链生态引发的安全威胁
区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括 PoW 机制下的矿场和矿池、PoS 机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp 应用,以及面向未来 dApp 应用的区块链网关系统等。
区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51% 等攻击的存在,导致区块链数据的安全收到威胁。
交易所被 DDoS 攻击案例
2017.5 月,某区块链货币交易平台突然遭遇猛烈 UDP FLOOD 攻击,受到的攻击流量和数据包峰值瞬间飙升到 84517Mbps 和 30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了 10 天。
10 天后,攻击者纠集了 6 万个肉鸡僵尸,CC 攻击流量急剧攀升到 51023.30GB。
三个小时后,攻击者再次利用 51890 个肉鸡,制造高达 12238.33GB 的 CC 流量。
目前,该平台每天仍遭受 20 余万次恶意扫描,38 余万次危险攻击。
数字钱包所面临的风险
数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。
冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。
某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。
某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。
使用者面临的安全威胁 欺诈案例——钓鱼攻击
2018 年 3 月 7 日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。
根据交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。
2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudong zheng 发表了一篇论文,题目是《Phishing with Unicode Domains》,中文为“利用 unicode 网址钓鱼”。
欺诈案例——不了解私钥的特性
2017 年 7 月 1 日,中原油田某小区居民 188.31 个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值 280 万美元。
2017 年 10 月,东莞一名 imToken 用户发现 100 多个 ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。