金色荐读 | 区块链的安全 谁来保障？

近几年，区块链技术的发展非常迅猛，安全形势也越来越严峻，仅安全事件导致的直接经济损失就高达几十亿美元，给行业带来了巨大的经济损失和惨痛的教训。由于区块链技术是一个分布式的共享账本和数据库，具有去中心化、不可篡改、全程留痕、可以追溯、共同维护、公开透明等特点，为信任奠定了基础。但区块链技术存在的安全风险和技术特点也给广泛应用及安全监管带来了诸多挑战，随着区块链商业落地，安全需求也变得十分紧迫。可以说，安全是区块链的“立身之本”， 是区块链落地的第一要素！

中国政府将区块链视为构建未来智能城市的下一代关键IT 基础设施，将5G 链接的加密安全数据库连接到可扩展的云和数据管理基础设施，以便大数据/AI 分析能够高效地在上面运行

根据中国公司信息门户网站，在中国运营的区块链业务超过37000家. 仅在过去一年中，就有超过三分之一的实体注册

世界知识产权组织（WIPO）数据显示，2019年10月，中国区块链相关专利申请达到1.3万件，占全球专利申请总量的53%以上

中国央行已就数字货币DC/EP申请了84项专利

中国人民银行DCEP在4个主要城市进行试点，在连锁店星巴克、赛百味和麦当劳等19家当地企业进行试点

中国人民银行《金融分布式账本技术安全规范》

中国人民银行于2020年2月发布了《金融分布式账本技术安全规范》（JR/T 0184-2020），这份长达35页的规范文件阐述了安全要求的各个方面，规定了金融分布式账本技术的安全体系，包括：基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。

大中华区云安全联盟（CSA GCR）区块链安全工作组

国际著名非赢利组织云安全联盟大中华区CSA GCR（www.c-csa.cn）成立了专门的区块链/分布式账本技术工作组，专注于区块链安全（利用最新的安全技术，保障区块链的安全和隐私保护）和区块链技术在网络信息安全的应用（使用区块链和分布式账本技术提高网络信息的安全性），工作组整合国内外的先进经验及实践，建立和发展区块链安全指南、最佳实践以及测试标准等，并发布相应的白皮书、评测规范和检查清单等，希望帮助广大的区块链从业者和关注区块链安全的人们，以及改进区块链和网络信息的安全性。

金色沙龙 | 燕丽：零知识证明对于协调区块链底层扩容也有很大帮助:在今日举行的《隐私计算——区块链信息安全守护者》为主题的金色沙龙中，算力智库创始人燕丽表示，2020年1月1日，中国首部《中华人民共和国密码法》将正式开始实施，而在这之前一直只有一部 2007年4月23日公布的《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。很多人把这次《密码法》和2019年“1024”中央把区块链技术作为国家战略联系在一起。区块链技术是完全基于密码学技术，所以按照这个逻辑，如果政府要完全掌控未来区块链技术的发展，首先就要完全掌控密码学技术，而这个其中的核心是国家主权范围之间在所有的通信安全和商业行为之间军备竞赛的升级。区块链有大量扩容压力，而为了达到这个操作，必然要牺牲系统处理效能和部分隐私。但矛盾的是，区块链前期的应用场景如虚拟货币，数字金融等，都需要有更好的隐私保护和不容易被恶意攻击的防护。所以若想让区块链技术落地生根，那么提高区块链底层技术来满足对于高安全性(含高完整性和高保密性)、高性能、高广义效率的要求，也许是个稳妥做法。所以隐私计算中的零知识证明等对于协调区块链底层扩容也有很大帮助。[2020/4/15]

区块链安全：CSA GCR目前有9个区块链安全工作组（https://www.c-csa.cn/），包括智能合约安全、钱包安全、共识算法安全、交易所安全、dApp安全、用户自治数字身份、网路通讯层安全、数据层的安全、合规KYC/AML 等，未来还会根据需要增加其它相关工作组（如Token经济激励安全，治理DAO安全等）。每个工作组都由一位知名的专家领导，共有100多名网络信息安全专家和区块链安全专家在各个小组工作。

区块链技术在网络信息安全领域的应用：此外，还有可以将区块链和分布式账本技术应用于传统网络信息安全领域，以改进和完善传统网络信息安全（如抗DDOS、身份管理、数据安全和隐私保护、防范盗版及权限管控等），也由其它工作组（如IAM工作组、数据/大数据安全工作组、零信任/SDP工作组、IOT工作组、云/边缘计算工作组、智慧城市安全工作组、AI安全工作组等），与区块链安全工作组一起协作进行。

BTC减半倒计时｜金色财经挖矿收益播报:金色财经报道，据OKEx矿池数据显示，下一次BTC减半日期预计为2020年5月13日，今天距此还有53天。BTC当前块高622241，下一次减半块高630000。

今日全网算力约98.93EH/s，全网难度约16.55T，预测下次难度15.37（-7.15），距离调整还剩还有5天，今日BTC收益：0.00001519BTC/T/天。[2020/3/20]

OWAS的中国区列出区块链安全十大问题

OWASP中国收集、整理和分析了2011年至2019年间160多个典型区块链安全事件，给出了区块链安全TOP10：

高级可持续威胁

失控的币值通胀

失效的权限控制

不安全的共识协议

考虑不充分的程序逻辑

不严谨的业务策略

校验不严格的交易逻辑

脆弱的随机数机制

存在缺陷的激励机制

日志记录和监控不足

http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10

国内部分区块链安全公司

目前一些中国的区块链安全公司，在过去的几年里，也发表了许多安全事件报告和分析：

https://www.knownsec.com/

https://www.slowmist.com/and https://slowmist.io/

https://secbit.io/

https://peckshield.cn/

https://beosin.com/#/

https://noneage.com/

区块链安全技术书籍

现场 | 金色财经颁发“2019最具实力自媒体”奖 共10家媒体获奖:2019年12月27日，由金色财经主办的“与时共创”颁奖盛典在京举行。金色财经“与时共创”对2019年最具实力自媒体进行评选，经评委的评选，链捕手、PANews、白话区块链、加密谷、通证通、头等仓、链内参、蓝狐笔记、币、野花说获“2019行情分析大V”奖项。 本次活动邀请到国内外百余家知名区块链企业、300多名行业领袖、众多产业上下游服务机构代表等业界知名人士共同见证此次颁奖盛典。金色财经“与时共创”活动邀请到40余名资深行业专家作为专业评选团，结合网络投票进行综合评审，通过不同的奖项，对各个企业对实现赋能实体创新引领行业未来发展的努力进行表彰，实现与时代共同探索区块链，共创行业美好蓝图。[2019/12/27]

2018年机械工业出版社出版的<<区块链安全技术指南>>一书，对区块链技术潜在风险的进行详尽细致的分析：不仅包括区块链技术本身带来的风险（比如加密技术、身份管理技术、共识技术，以及“智能合约”技术可能涉及的风险），还包括区块链应用方面的风险（例如激励机制、数据安全和网络安全等方面可能面临的风险）。有对区块链技术各种安全机制的深度解剖，还有区块链应用遭受攻击的案例分析。理论与实际结合，对潜在风险的预期和评估置于现实背景之下。

第1章详解区块链的安全属性CIA，主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。

第2章特意挑选了一些主流数字货币（包括比特币、以太币和Zcash），对其安全属性进行分析。

第3章为应用与智能合约层的安全控制。主要从Web或者移动客户端应用程序、智能合约，以及身份与访问控制3个方面对安全问题以及区块链的身份管理与访问控制进行了分析。

第4章为激励层安全机制设计。从激励的产生和分配以及激励层安全两方面进行了分析，并从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面，对激励层安全进行了分析，以及如何设计才能有效避免区块链激励层安全事件的发生。

分析 | 金色盘面：BTC破位下行，市场陷入恐慌:金色盘面综合分析：BTC跌破6000大关，不到20天被打回原形，市场陷入恐慌，很多币持续下跌根本没有反弹，建议投资者保持冷静，不要以为价格低就随意进场，有些空气币有可能震荡要归零。[2018/8/14]

第5章为网络层安全与控制。网络层的安全与控制直接影响区块链的价值，从P2P加密、客户端与节点通信加密、防御DDoS等攻击3个方面进行了分析，描述了网络层安全与控制等的相关安全内容。

第6章为数据层与共识安全。数据层是区块链设计的基础部分，是影响区块链能否正常运行的关键。对区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析，阐述了数据层安全的知识以及保障区块链的正常运行的价值。

第7章为私钥的安全。从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析，给出任何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等方法和措施，提高区块链的安全性。

区块链的安全包括下面几个方面：

智能合约安全

智能合约承载有价值的数字资产是黑客主要攻击目标。黑客通过“重入攻击”、“整数溢出”、“伪随机数漏洞”等方式盗取数字资产。新的攻击方法也层出不穷。对于智能合约的案例进行分析，制定测试标准，探索形式化证明在智能合约安全的应用，和智能合约安全的最佳实践进行研究非常重要。

钱包安全

数字钱包存储数字资产的私钥，包括云钱包、在线的热钱包、离线的冷钱包等等Form Factor。安全隐患主要存在于用户使用上和钱包的安全技术设计上。数字钱包需要分析案例、制定测试标准和开发与应用最佳实践，提高钱包的安全性。

共识算法安全

共识算法是区块链底层技术的关键。共识算法的安全漏洞包括远程攻击、无利害关系攻击、51%攻击、自私挖掘、Eclipse攻击等，主要研究算法的(security)和活跃性（liveness)，包括对常用的共识算法POW、POS、DPOS、BFT、POC、POA算法等的安全性研究；希望建立制定测试标准和算法开发最佳实践，提高共识算法的安全性。

金色财经现场报道 邓迪：真正的共享经济应该通过区块链技术实现:金色财经现场报道，在今天柬埔寨金边举办的2018全球区块链高峰论坛上，中国区块链应用研究中心理事长、太一云董事长邓迪演讲说：共享经济一直以来是以社会资源整合者面貌出现，但是我们最后发现这些所谓的社会资源整合者最后都变成云服务提供者，不是将大家闲置的资源利用起来，来实现社会运力节省，而是采用和云计算类似模式，大量购置资产，提供给社会公民使用，所以现在共享经济不是真正的共享经济，可能称为云服务更加合适。真正的共享经济是应该通过区块链技术，实现分布式资源可以上链、上网。[2018/4/29]

交易所安全

交易所是数字资产价格发现和价值交换的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞频发，研究交易所安全，保护用户数字资产安全是区块链发展的必要条件之一。需要分析案例，制定测试标准和开发与应用最佳实践，Check list 等等。

dApp安全

分析主流公共链上dAPP开发（以太坊、EOS、Tron等）的安全案例，提出最佳实践、安全指南以及测试标准等，并发布相应的白皮书、评测规范和检查清单等，希望帮助广大的dApp从业者，提高dApp的安全性。在目前，DeFi的应用非常火，但是安全问题经常发生。主要是项目方对于安全重视不够。

用户自治数字身份

去中心化数字身份（DID：Decentralized ID）或者自治数字身份（SSI：Self Sovereign Identity)是区块链落地应用的基础，目前对于这方面的安全研究才刚刚开始，但具有十分重要的意义。需要研究欧盟的SSI标准、北美为主的DID标准以及元界的Avatar数字身份和EID数字身份链，探索安全方面的最佳实践、安全指南以及测试标准等，并发布相应的白皮书、评测规范和检查清单等，希望帮助广大的DID/SSI开发者和使用者，提高其安全性。

网络通讯层安全

区块链网络的安全运行是区块链系统可靠运行的关键。黑客利用“日蚀攻击”、“巫婆攻击”、“交易溯源”等方法破坏数据完整性和系统可用性，对交易机密性进行攻击给区块链技术的落地实践带来了巨大的隐患。此外，基于区块链可以构建一个新的安全通信系统。需要分析案例，制定测试标准，探索区块链交易溯源、隐私保护、数据完整性等技术，开展基于区块链网络层的数据隐蔽通信等应用，研究5G技术对区块链网络的影响。

数据层的安全区块链数据安全问题：

数据隐私保护（数据变形、数据加密、限制数据发布等）

数据可用性保护（网络可追溯性、连通性）

数据完整性保护（双花攻击防御、挖掘攻击防御）

数据可控性保护（智能合约的逻辑和语义分析、访问控制、安全审计）等以提高区块链数据安全和隐私保护。

合规（AML/KYC等技术与安全）

随着加密数字资产价值的不断提高，它越来越被人们所接受和使用。由于数字资产的匿名性，世界各国都在加紧对链上资产加密交易的监管，对KYC的需求也在不断增加。AML/KYC工作组通过对链上数据的分析，讨论了区块链上的异常交易、识别链上对应地址（KYC）背后实体的方法，以及追踪匿名数字货币的方法。

区块链开发安全工具

利用区块链的不可篡改性对于数据的完整性进行保护，包括美国的国家安全部在研究的区块链数据完整性系统就是把中心化需要保护的数据的Hash(相当于数据的指纹）进行上链，在使用的过程中检测数据库里面的数据的Hash与区块链上的相对应的Hash是否相同来判断数据的完整性。

密码学在区块链的应用

零知识证明，同态加密，和安全多方计算在区块链和云安全领域有非常大的应用。目前，美国斯坦福大学，伯克利分校，和美国湾区的一些初创公司非常重视这方面的研究。比如，零知识证明可以用于隐私保护，性能扩充，和跨链交易证明。因此各种零知识证明的优化方法层出不穷。零知识证明用于隐私保护主要是保护交易双方的地址和具体交易的内容。零知识证明用于性能扩充，主要是利用零知识的递归证明减少验证所需要的时间和内存，从而既能保证隐私，又能提高效率。在多方交易的情况下（比如供应链金融）安全多方计算是一个非常有用的算法。另外，同态加密意味数据可以在不被解密的情况下进行处理，处理的结果只有数据的拥有者才能解密。这个对于云安全和区块链都有重大的意义。目前能够满足全同态加密的算法的速度还不够，但是这方面的研究正在学术界如荼如火地进行。

公链和联盟链安全

公链和联盟链的主要两个区别：公链不需要身份就可以进入公链的网络。联盟链必须经过身份或者证书的验证才能进入联盟的网络。另外一个区别是共识算法。公链的共识算法对安全要求比较联盟链的共识算法安全要高。在公链与联盟链结合的时候需要考虑到他们之间不同的安全的要素。

跨链安全

跨链可以有同构的跨链和异构链之间的跨链。同构的跨链的安全方面较为简单。因为同构的区块链具有相同共识算法，共同的数据格式和交易确认时间。如果其中某一条链分叉了，另外一条链应该在规定的时间可以收到信息并且进行处理。但是异构链之间的跨链，如果其中某一条链分叉了，怎么办？这还是一个没有解决的问题。所以，跨链之间的安全是非常值得深入探讨的问题。

节点配置安全

区块链的共识节点决定数据的一致性问题。如果共识节点因为配置的不够安全，遭到黑客攻击，成为错误的节点。那么在这种情况之下，就有可能造成区块链网络的不安全。

运维安全及安全预算建议

区块链项目在上线以前必须通过第三方的安全审计。即使在上线以后也要做定时的安全监测，因为新的安全攻击经常发生。如果有新的智能合约或者新的应用案例上线以前，必须进行安全的检测。在运维过程之中，需要建立一系列的工具去检测区块链网路的运行状况，一般来说，整个区块链项目10%到20%的预算必须用于安全。低于10%安全预算的区块链项目基本上在上线6个月内就会有重大的安全问题发生。

区块链安全与企业组织关系

一个企业如果决定利用区块链部署应用落地项目，那么这个公司必须有区块链安全的专职人员。公司的CEO必须对于安全负责。分析以前在国内或国外的区块链安全事件，100% 都是因为公司的主要负责人（CEO）对于安全不重视，有的即使有区块链安全的专职人员，因为不能得到公司的支持，不能真正发挥作用，最终还是导致安全事件发生。因此区块链安全与企业组织关系必须有利于安全的技术开发和落地，也必须有利于第三方的安全审计。

隐私计算（Privacy Computing）

隐私计算是指在保护数据本身不对外泄露（隐私保护）的前提下，实现数据分析计算的一类信息技术，主要分为密码学和可信硬件两大领域。

密码学中重要的技术有多方计算MPC、同态加密、零知识证明ZKP、差分混淆等。多方安全计算技术核心思想是设计特殊的加密算法和协议，从而支持在加密数据之上直接进行计算。目前MPC通过秘密分割、不经意传输、混淆电路或同态加密等专门技术实现，通用性相对较低、性能处于中等水平，但近年来性能提升迅速、应用价值极高。

可信硬件技术目前主要指可信执行环境（TEE），其核心思想是构建一个硬件安全区域，数据仅在该安全区域内进行计算。TEE将信任机制交给硬件方（Intel的SGX、ARM的TrustZone、AMD的SEV等产品），严格来讲并不属于“数据可用不可见”，但其通用性高、开发难度低，使得在数据保护要求不是特别严苛的场景下存在价值发挥的可能。

此外，还有了联邦学习、共享学习、知识联邦、联邦智能等一系列“联邦学习类”技术，以实现机器学习、数据建模、数据预测分析等具体场景为目标，通过对上述技术改进融合，在算法层面进行调整优化而实现

综上所述，区块链安全目前面临的主要问题有共识过程的中心化、智能合约代码漏洞、算法漏洞、系统实现代码漏洞等，分析区块链安全性CIA需要从综合系统安全性、算法安全性、使用安全性、实践安全性与协议安全性等方面进行分析完善。行业需要从学术、技术和实践等方面研究区块链安全，探究其中存在的安全风险、对抗风险所需采取的措施，以及实践经验，最后形成一个安全规范，作为检测、开发、应用的具有开放性和经济性的指导标准，以解决“区块链的安全，谁来保障？”的问题，为打造一个更安全的数字经济和数字时代DT的到来打下坚实的基础和保障。

作者：Larry, 黄连金

标签：区块链HTTTPSBTC区块链的三个基本特征htt币价格tps币圈LFBTC价格

狗狗币热门资讯