近年來(lái)區(qū)塊鏈的概念不斷被炒熱，但技術(shù)本身并未大規(guī)模落地商用，更多是一些金融、物流、公益方面的試點(diǎn)。區(qū)塊鏈目前在性能、權(quán)限、安全等方面仍存在諸多問(wèn)題，其中有五大安全問(wèn)題更是迫在眉睫。

底層代碼的安全性

區(qū)塊鏈項(xiàng)目（尤其是公有鏈）的一個(gè)特點(diǎn)是開(kāi)源。通過(guò)開(kāi)放源代碼，來(lái)提高項(xiàng)目的可信性，也使更多的人可以參與進(jìn)來(lái)。但源代碼的開(kāi)放也使得攻擊者對(duì)于區(qū)塊鏈系統(tǒng)的攻擊變得更加容易。近兩年就發(fā)生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個(gè)漏洞，該漏洞允許惡意礦工在區(qū)塊上添加虛假的時(shí)間戳，隨后快速挖出新塊，短短的幾個(gè)小時(shí)內(nèi)謀取了近價(jià)值175萬(wàn)美元的數(shù)字貨幣。雖然隨后攻擊就被成功制止，然而沒(méi)人能夠保證未來(lái)攻擊者是否會(huì)再次出擊。

當(dāng)然，區(qū)塊鏈開(kāi)發(fā)者們也可以采取一些措施

一是使用專(zhuān)業(yè)的代碼審計(jì)服務(wù)，

二是了解安全編碼規(guī)范，防患于未然。

密碼算法的安全性

隨著量子計(jì)算機(jī)的發(fā)展將會(huì)給現(xiàn)在使用的密碼體系帶來(lái)重大的安全威脅。區(qū)塊鏈主要依賴(lài)橢圓曲線(xiàn)公鑰加密算法生成數(shù)字簽名來(lái)安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會(huì)存在較大的風(fēng)險(xiǎn)，越來(lái)越多的研究人員開(kāi)始關(guān)注能夠抵抗量子攻擊的密碼算法。

當(dāng)然，除了改變算法，還有一個(gè)方法可以提升一定的安全性：

參考比特幣對(duì)于公鑰地址的處理方式，降低公鑰泄露所帶來(lái)的潛在的風(fēng)險(xiǎn)。作為用戶(hù)，尤其是比特幣用戶(hù)，每次交易后的余額都采用新的地址進(jìn)行存儲(chǔ)，確保有比特幣資金存儲(chǔ)的地址的公鑰不外泄。

共識(shí)機(jī)制的安全性

當(dāng)前的共識(shí)機(jī)制有工作量證明（Proof of Work，PoW）、權(quán)益證明（Proof of Stake，PoS）、授權(quán)權(quán)益證明（Delegated Proof of Stake，DPoS）、實(shí)用拜占庭容錯(cuò)（Practical Byzantine Fault Tolerance，PBFT）等。

PoW 面臨51%攻擊問(wèn)題。由于PoW 依賴(lài)于算力，當(dāng)攻擊者具備算力優(yōu)勢(shì)時(shí)，找到新的區(qū)塊的概率將會(huì)大于其他節(jié)點(diǎn)，這時(shí)其具備了撤銷(xiāo)已經(jīng)發(fā)生的交易的能力。需要說(shuō)明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶(hù)的交易（攻擊者沒(méi)有其他用戶(hù)的私鑰）。

在PoS 中，攻擊者在持有超過(guò)51%的Token 量時(shí)才能夠攻擊成功，這相對(duì)于PoW 中的51%算力來(lái)說(shuō)，更加困難。

在PBFT 中，惡意節(jié)點(diǎn)小于總節(jié)點(diǎn)的1/3 時(shí)系統(tǒng)是安全的。總的來(lái)說(shuō)，任何共識(shí)機(jī)制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會(huì)造成該系統(tǒng)的價(jià)值歸零，這時(shí)攻擊者除了破壞之外，并沒(méi)有得到其他有價(jià)值的回報(bào)。

對(duì)于區(qū)塊鏈項(xiàng)目的設(shè)計(jì)者而言，應(yīng)該了解清楚各個(gè)共識(shí)機(jī)制的優(yōu)劣，從而選擇出合適的共識(shí)機(jī)制或者根據(jù)場(chǎng)景需要，設(shè)計(jì)新的共識(shí)機(jī)制。

智能合約的安全性

智能合約具備運(yùn)行成本低、人為干預(yù)風(fēng)險(xiǎn)小等優(yōu)勢(shì)，但如果智能合約的設(shè)計(jì)存在問(wèn)題，將有可能帶來(lái)較大的損失。2016 年6 月，以太坊最大眾籌項(xiàng)目The DAO 被攻擊，黑客獲得超過(guò)350 萬(wàn)個(gè)以太幣，后來(lái)導(dǎo)致以太坊分叉為ETH 和ETC。

對(duì)此提出的措施有兩個(gè)方面：

一是對(duì)智能合約進(jìn)行安全審計(jì)，

二是遵循智能合約安全開(kāi)發(fā)原則。

智能合約的安全開(kāi)發(fā)原則有：對(duì)可能的錯(cuò)誤有所準(zhǔn)備，確保代碼能夠正確的處理出現(xiàn)的bug 和漏洞；謹(jǐn)慎發(fā)布智能合約，做好功能測(cè)試與安全測(cè)試，充分考慮邊界；保持智能合約的簡(jiǎn)潔；關(guān)注區(qū)塊鏈威脅情報(bào)，并及時(shí)檢查更新；清楚區(qū)塊鏈的特性，如謹(jǐn)慎調(diào)用外部合約等。

數(shù)字錢(qián)包的安全性

數(shù)字錢(qián)包主要存在三方面的安全隱患：第一，設(shè)計(jì)缺陷。2014 年底，某簽報(bào)因一個(gè)嚴(yán)重的隨機(jī)數(shù)問(wèn)題（R 值重復(fù)）造成用戶(hù)丟失數(shù)百枚數(shù)字資產(chǎn)。第二，數(shù)字錢(qián)包中包含惡意代碼。第三，電腦、手機(jī)丟失或損壞導(dǎo)致的丟失資產(chǎn)。

應(yīng)對(duì)措施主要有四個(gè)方面：

一是確保私鑰的隨機(jī)性；

二是在軟件安裝前進(jìn)行散列值校驗(yàn)，確保數(shù)字錢(qián)包軟件沒(méi)有被篡改過(guò)；

三是使用冷錢(qián)包；

四是對(duì)私鑰進(jìn)行備份。

詳情請(qǐng)戳：m.51huadong.com/2018/qukl.asp

天下數(shù)據(jù)IDC順應(yīng)互聯(lián)網(wǎng)+的潮流發(fā)展，并整合了金融，物聯(lián)網(wǎng)，公共服務(wù)領(lǐng)域，供應(yīng)鏈，云存儲(chǔ)，政府公共服務(wù)器行業(yè)案例，為各個(gè)行業(yè)用戶(hù)提供安全、可靠、靈活的區(qū)塊鏈服務(wù)。成為率先發(fā)布了行業(yè)+區(qū)塊鏈安全解決方案的IDC服務(wù)商。

本文鏈接：http://m.51huadong.com/cloundnews/11002013.html