智能合约运行环境的安全性是区块链安全的关键环节,智能合约起步较晚,其风险主要来源于代码实现中的安全漏洞。目前,部分区块链项目会设计并使用自己的虚拟机环境,如以太坊的EVM,而Hyper Ledger Fabric等则直接使用成熟的Docker等技术作为智能合约的处理环境,一旦在运行环境中存在虚拟机自身安全漏洞,或验证、控制等机制不完善等,攻击者可通过部署恶意智能合约代码,扰乱正常业务秩序,消耗整个系统中的网络、存储和计算资源,进而引发各类安全威胁。
( 五 ) 使用安全
主要指使用的智能合约、数字钱包、交易所以及应用软件等存在的安全问题。另外,区块链应用所在服务器上的恶意软件、系统的安全漏洞等都可能成为攻击者攻破区块链应用的脆弱点。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统都会遭到黑客攻击,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。
( 六 ) 系统安全
上述基础设施、密码算法、协议、实现、使用安全漏洞与黑客攻击结合,可使区块链受到致命打击。社会工程学手段与传统攻击方法结合使区块链变得更加脆弱,有组织的攻击行为将对区块链安全造成极大危害。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。
四、安全性威胁应对建议
( 一 ) 集中力量攻关区块链安全风险应对技术
针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略;针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约;针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标;针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名、门限签名策略,总之是要采用新的、本身经得起考验的密码技术;针对黑客的攻击,提出拟态防御的方法。拟态防御是一项技术,利用拟态防御技术,对于提高区块链系统安全性会起到非常好的作用。
( 二 ) 探索创新性的区块链监管手段
探索“沙盒监管”、“穿透监管”等区块链监管模式,监管机构可为特定区块链产品、服务和应用模式的测试创新构造“安全沙盒空间”,在满足企业在真实场景中测试其产品方案需求的同时,严防风险外溢;或在区块链节点中设置一个或多个监管机构节点的方式,使监管方可全面及时获取区块链业务流程、用户关系、信息流向等监管信息,以“穿透式”的方式深入区块链业务核心实施监管。
( 三 ) 区块链应回归技术本质, 存储安全标准亟待建立
随着信息的交互流动加速,区块链得以脱离数字货币的范畴而走向更广大的权益资产市场,数字资产管理成为目前区块链有望尽快落地的应用之一。然而由于缺乏安全基础设施建设和防护,存储为目标的区块链成为黑客攻击的“重灾区”。
在区块链技术的发展过程中,区块链各技术分支和应用领域发展程度不均衡,缺乏统一的概念术语、架构及测评标准,技术和机制特性给法律和监管带来挑战等问题在不同程度上对技术的发展应用和产业化形成了阻碍。围绕技术架构规范、开发规范、身份认证等相关标准化、合规化问题,国际标准化组织和开源组织已开始启动区块链安全标准化工作,规范区块链技术应用发展。截至目前,国际电信联盟远程通信标准化组织在区块链安全议题上表现活跃,参与方众多,研究范围较广,推进路线明确。国际电信联盟远程通信标准化组织成立了三个焦点组、一个问题小组,设立多个标准研究项目,围绕区块链整体发展、安全及物联网、下一代网络演进、数据管理应用等开展标准化工作。
( 四 ) 强化推动区块链安全产品和服务市场发展