任何一个新兴产业诞生之初总会面对各种各样的难题,而区块链产业目前遇到的最大难题是全球互联网、信息、IT行业斗争多年的安全难题。表象是比特币等各类数字货币价格动荡,深究之后却发现背后竟有黑客攻击的加持;某些区块链平台犯了看起来很不可思议的低级错误,动辄爆出成千万、上亿美金的损失,甚至直接导致破产,正应了那句圈内有名的“世界上没有绝对安全的系统”。更不可思议的是,这些收益“颇丰”的攻击却往往使用了相对简单的攻击手法。
从业者似乎需要一本教科书去了解:攻击者视角下的区块链为何呈现出金矿般的诱惑力?但对绝大多数区块链产业链上的企业、从业者而言,很难通过现有资讯系统性的了解区块链安全现状、难题以及应对策略。为此,在国际顶级安全圈创下赫赫声名的中国初创安全公司长亭科技联合ConsenSys、比特大陆两家区块链行业巨头发布了国内首个区块链安全深度报告——《区块链安全生存指南》(报告全文下载链接:https://chaitin.cn/cn/download/blockchain_security_guide_20180507.pdf),通过剖析区块链技术的原理及特点,梳理了不同应用场景的安全诉求,复盘典型安全事件经过及技术原理,针对性总结区块链行业安全应对策略,接下来让我们一窥端倪。
从2008年概念提出到2013年业界认识到区块链技术的重要潜在价值,并开始尝试将其应用到数字货币以外的场景(如众募、资产交易、权属管理、身份认证等领域),再到当下人人热谈区块链,短短几年间区块链迅速成为最火爆的技术、行业、产业,随之而来的安全问题也令人揪心不已。《区块链安全生存指南》显示,针对区块链的攻击已经覆盖了应用层、智能合约层、底层结构层、基础设施层、安全意识与管理等整个行业的方方面面,攻防战火蔓延至区块链产业全线。
目前市场上多达几百家的区块链相关公司,根据业务类型和模式大致上可将其划分为数字货币和技术应用两大类。顾名思义,数字货币是与数字经济时代相匹配的一种体现和传递交换价值的中间件。而技术应用是在很多现实场景中利用区块链技术降低成本,提升效率。两者因业务形态、模式的区别,导致其安全诉求也不尽相同。
应用层通常成为攻击者首选的目标,也就是最常见到的各种交易平台。安全问题包括交易所服务器未授权访问、交易所DDoS攻击、员工主机安全问题、恶意程序感染等几个方面。智能合约层则是整个安全防范的重中之重,世界知名的DAO事件就是被重入攻击导致数千万美金的损失,涉及智能合约开发的代表性项目有区块链钱包、众筹基金、区块链代币发行、区块链游戏等。未授权访问攻击,杜绝Solidity 编程隐患等都是合约层的常见问题。底层机构层和基础设施层安全需要注意区块链实现层安全隐患、针对社区的DoS 攻击、EVM 安全隐患等等。此外,安全意识与管理,含如何识别防范社会工程学攻击、内部者攻击、第三方风险控制失败、钓鱼攻击也是一个都不能少。显而易见,区块链这一新贵安全的复杂性在于不仅在新维度上产生了问题,常见的安全问题也贯穿其中。
相对于区块链产业势不可挡的发展速度,公众对区块链安全的认知近乎为零,相应的规范和保障体系更如新生儿一样脆弱。自出现至今承受了大量的网络攻击,每一次成功的攻击带来的都是百万、千万到上亿美元实际损失,并且打击了人们对区块链行业的信心。
对策:开发具有生命周期的安防体系
可见,头顶新互联网之名的区块链也是个复杂的系统,区块链整体的安全,离不开系统架构中每一环节的安全性。从另一个角度来看,区块链是一个长期运行的分布式软件系统,任何软件系统必将经历从需求到设计,再到实现和发布,最终不断更新迭代的过程。在软件开发过程中的每一个环节出现的安全问题,都会给下一个环节引入更多的安全问题。例如,不考虑安全的应用场景难以引入安全设计,不安全的系统架构无法用安全的实现进行弥补,代码实现层面的漏洞能给已经发布的应用以毁灭性地打击。
为了更加全面和系统化地应对区块链所面临的安全问题,不仅要考虑技术架构中的每个层面面临的安全风险,也要将安全方案融入区块链开发的每一个环节中去。《区块链安全生存指南》建议区块链开发者们,根据区块链的技术架构进行具体化,最终实现区块链安全开发生命周期的安全管理方案。
杨坤,长亭科技联合创始人及首席安全研究员,曾任国际知名蓝莲花战队队长,带领中国战队取得国际顶级黑客大赛DEFCON CTF全球第二的最佳战绩,对于区块链安全他有极深的思考:“我们在拥抱区块链技术带来的革命时,也面临着严峻的安全考验——无论是系统的设计还是实现中出现的安全漏洞,都可能给整个应用带来毁灭性的打击。在此次发布指南中,我们围绕区块链安全,对不同应用的安全需求、过去发生的攻击事件和应对策略进行梳理,希望能够为行业带来启发”。
吴忌寒,业内第一个将比特币创始人中本聪论文翻译成中文的资深大咖,2013年和詹克团联合创立比特大陆,这家成立不到五年的中国公司,被誉为比特币产业链上的隐形帝国。吴忌寒认为:“区块链自诞生以来,各种攻击事件层出不穷,安全形势严峻,需要行之有效的方法来防御”。
唐弈,ConsenSys中国区负责人,提及这次三方联合发布国内首个区块链安全报告时的初衷时表示:“很荣幸与长亭科技和比特大陆共同撰写发布区块链安全深度报告,希望通过报告为提高全行业的安全意识和技术能力做出一些贡献。安全一直是区块链的核心课题之一,ConsenSys期待与行业伙伴们共建安全生态、推动区块链技术在中国和世界的发展。”总部设于纽约的ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年,现在全球团队一共超过600人。
前景:举国创新聚焦前沿技术
数据显示,区块链专利申请的主要国家包括中国、美国、韩国、日本,中国的增长最为迅速,世界上超过一半的区块链专利都在中国。目前中国区块链创业公司的数量仅次于美国,全球市值前二十的数字资产中,不少都有中国血统。
通过各行披露的年报可知,A股26家上市银行中共有12家在年内已上线运行区块链应用,其中包括三家国有大行、六家全国性股份制银行,以及三家城商行。这也意味着,区块链正逐渐渗透到国民日常生活的点点滴滴之中。未来,区块链金融应用只是排头兵,而各种区块链应用将会越来越深入,随之而来的改变可能会像科幻电影中的《明日世界》一样令人震撼。
千里之行始于足下千里之提溃于蚁穴,区块链企业、行业、产业可持续发展的前提是区块链安全,这跟掷地有声的“没有网络安全就没有国家安全”无疑处于同一层面。相信这也是长亭科技、ConsenSys、比特大陆三大行业领军企业发布《区块链安全生存指南》的核心动力。一方面,这三家企业有绝对实力对区块链安全现状做出深度分析并给出建议;另一方面,这也是企业高度社会责任感的体现,值得包括不限于区块链领域的更多依赖技术创新求突破的企业深思并学习。