区块链与网络安全的“缘”

发布时间：2019-12-02

从幕后走向台前的区块链，与网络安全缘分几何？
案例一：2018年4月22日，BeautyChain合约出现重大漏洞，黑客通过合约的批量转账方无限生成代币，导致BEC价值几乎归零。
案例二：2018年4月25日，SmartMesh出现类似BEC的重大安全漏洞，损失1.4亿美金。
案例三：2018年7月25日，狼人游戏出现“溢出”漏洞，导致游戏损失60686个EOS。
案例四：2018年9月20日，日本数字货币交易所Zaif宣布遭受黑客攻击，损失5967万美元。其中1959万美元属于该交易所自有资金，其余4007万美元属于客户资金。
案例五：2018年12月3日，Dice3D遭遇黑客攻击，损失10569个EOS。
区块链和网络安全前世有缘
数字世界缺乏信任的问题已经很普遍，比如在没有担保的情况，我们不相信网上的交易。在数字世界证明你就是你、你什么时间干了什么，是一个比较困难的事情。区块链应运而生，正好能解决这些问题，通过它可以建立一个信任链。而某种角度区块链技术也是安全技术的一种衍生的平台， 它可以解决who、 when、what等方面的安全问题。
区块链和网络安全息息相关， 它的核心就是各种安全的算法。区块链有几大特征：不可抵赖性、建立信任链、去中心化等，都是由算法基石构建的堡垒.比如区块链中有一种算法是哈希算法，就是可以用很小的数据代替大的数据，大的数据一改动，小的数据完全变化，并且小的数据没办法推导出大的数。
除了加密算法，区块链还需要一些关键技术来保障，比如：共识机制，分布式账本，智能合约等。利用这些关键技术最后能够构建一个完善的信任链，这些机制可以大大降低成本。
举个例子：对账需要大量的人员，可能是10个人，可能是100个人，而且人还不可靠，不同的人相互不信任，而利用区块链技术就不需要有人进行直接操作，而用机器来代替人，在不断提升可靠性的前提下，还可以大大节省人员数量，这就是建立一种低成本的信任链。
区块链真的安全吗？

区块链体系存在数据层、网络层、激励层、共识层、合约层、业务层六个层面。在安全问题上，每一个层面其实都会涉及到，只要是程序，它就有可能有漏洞。其中，合约层、业务层是区块链架构中安全问题最为频发的部分。
黑客通过DDoS攻击、CC攻击、系统漏洞、代码漏洞、业务流程漏洞、API-Key漏洞等进行攻击和入侵，给区块链项目的管理运营团队及用户造成巨大的经济损失。威胁来源主要包括以下方面：
1.平台可用性风险 通过DDoS攻击、CC攻击、跨站脚本攻击等方式，降低平台的可用性，使平台在一定时间内无法向用户提供服务。
2. 智能合约风险 由于区块链技术不可逆的特点，智能合约一经发布，无法修改，已发布的智能合约一旦发现重大安全漏洞，将严重影响整个项目，甚至导致项目失败。
例如：假设一笔交易一开始看上去是被验证了，然后完成了。这个时候一旦出现漏洞，智能合约就会不断开始重复执行这笔交易。比如说你有一张信用卡，你到一个店里刷了一下，付了200块钱。但如果说在后台有这样的漏洞，你就会不断地刷200块钱，直到把你的卡刷完为止。
3. 平台业务安全风险 利用平台的系统漏洞、源代码漏洞、业务逻辑漏洞等，通过社工、跨站脚本、恶意扫描等方式进行攻击。
在业务层，就好像互联网开始的时候，大量的网站应用，你买票也好，你购物也好，营业厅也好，网银也好，这里面其实也有各种各样的应用漏洞，这就是业务层的漏洞。虽然说区块链是一个分布式的架构，但其实很多的交易所都是中心化的，所谓的中心化，比如说如果是跟比特币有关，一旦黑客入侵，那他就可以把你的币都转走，都可以窃取。之前全球最大的比特币交易所BITFINEX，就发生了一起交易所业务应用层被黑客攻击的案例。
有数据显示，BITFINEX目前近 80%的攻击损失都是基于业务层的攻击所造成的，其损失额度从 2017 年开始呈现出指数上升的趋势，截止到 2018 年第一季度，所暴露的安全事件就已经造成了 8.1 亿美元的损失。所以在我们推进区块链应用的同时也需要考虑衍生出来的新问题。
4. 算力安全威胁 通过挪用设备、篡改配置、物理劫持、系统漏洞入侵等方式，占用甚至破坏算力设备的计算能力，导致设备无法正常提供服务。
区块链可以与网络安全再续前缘
那区块链是不是可以应用于网络安全这个行业，和网络安全其它的一些技术结合，是不是可以产生1+1>2的效果呢？答案是肯定的。
有一个小小的例子，比如说大家经常听到会计发生挪用大额款项，然后很长时间都不知道的事情。原因是什么呢？其实原因很简单，首先因为会计权力很大，其次，这个财务审计在时间上是滞后的。
那么在网络世界里，其实也有一类特权用户，叫“根用户”（root）。特权用户几乎拥有任何权限。普通的用户做某样事情，会有一个日志，这个日志把谁什么时间干了些什么都记录下来。其实这也是一种审计。但是对于特权用户来讲，一种它有可能是没有这个日志，还有一种即使有日志，特权用户也可以把日志删掉。这就神不知鬼不觉，在数字世界里是非常危险的行为。
区块链的技术，怎么来解决这块的痛点呢？就可以这样操作，特权用户每做任何一个行为，就可以直接把这个行为上到区块链。这就做到了不可篡改，不可抵赖，非常美妙地解决了一种监管和审计机制。
区块链未来一方面在网络安全行业会产生一些新的价值和应用，还一个就是区块链和网络安全、大数据、人工智能、云计算一样，它们其实都在各自综合存在于未来数字社会当中，在各个链条当中产生它们最终的产业价值和社会价值。
区块链技术用于网络安全领域
区块链技术凭借其去中心化结构而带来的安全特性，目前已被国外金融、医疗、互联网等领域各大公司用来提升网络安全。具体来看，区块链技术可以在管理和保护用户认证数据、提高网络数据安全、有效阻止DDoS攻击以及增强物联网安全等领域发挥作用。
——管理和保护用户认证数据。美国麻省理工大学推出的虚拟货币CertCoin最先采用了基于区块链的公钥基础设施，摒弃传统中心认证方式，采用公共密钥实现分布式节点之间的互相认证，从而防止网络单点故障。乌克兰公司Ukroboronprom与网络安全公司REMME合作，通过在区块链上管理用户认证相关数据，几乎完全阻断了黑客使用虚假认证消息获取用户身份的可能。
——提高网络数据安全性。全球最大规模的区块链公司Guardtime通过分布节点之间协商来提供区块链上数据的机密性和完整性，实现了爱沙尼亚100万份用户医疗数据的安全性保证。
——有效阻止DDoS攻击。区块链初创公司Nebulis基于区块链的分布式互联网域名系统，只允许授权用户来管理域名，其他公司诸如Blockstack和MaidSafe也开始使用分布式Web技术，替代原有第三方管理Web服务器和数据库的模式，从而阻止网络 DDoS攻击。
——增强物联网安全。通过智能合约模式，区块链一方面可以利用 P2P 网络中的网络设备节点对待接入设备进行鉴权；另一方面可以有效抵挡物联网DDoS攻击。在2016年爆发的Mirai僵尸网络DDos攻击事件中，大规模的物联网设备被入侵，致使大半美国网络瘫痪。在区块链系统中，当某个节点被入侵时，其他设备会检测到该设备异常，并且将其列为异常和不信任节点，从而将其排除。
未来区块链最大的价值是极大地增强了数字社会的信任，这是由它的这套分布式架构、共识机制和它的智能合约的特点，以及网络安全的算法共同产生的这一价值。

文字及图片丨中国蓝新闻公众号等网络整理