區塊鏈御“風(fēng)”而來(lái)，安全網(wǎng)如何密織？

區塊鏈“忽如一夜春風(fēng)來(lái)”。作為核心技術(shù)自主創(chuàng )新的重要突破口，區塊鏈的安全風(fēng)險問(wèn)題被視為當前制約行業(yè)健康發(fā)展的一大短板，頻頻發(fā)生的安全事件為業(yè)界敲響警鐘。擁抱區塊鏈，需要加快探索建立適應區塊鏈技術(shù)機制的安全保障體系。

安全形勢不容樂(lè )觀(guān)

區塊鏈技術(shù)近年來(lái)快速發(fā)展，技術(shù)應用已延伸到數字金融、物聯(lián)網(wǎng)、智能制造、供應鏈管理、數字資產(chǎn)交易等多個(gè)領(lǐng)域。與此同時(shí)，區塊鏈安全事件也屢屢發(fā)生，甚至成為黑客攻擊的“重災區”。

2014年，世界最大的比特幣交易所運營(yíng)商Mt.Gox宣布其交易平臺的比特幣被黑客盜??；2018年3月，交易所“幣安”發(fā)布公告稱(chēng)，遭遇黑客一次有規模的釣魚(yú)獲取用戶(hù)賬號并試圖盜幣的行為；去年5月，360公司伏爾甘（Vulcan）團隊發(fā)現了區塊鏈平臺EOS的一系列高危安全漏洞，并稱(chēng)其為“區塊鏈史詩(shī)級漏洞”……

騰訊安全此前發(fā)布的《2018上半年區塊鏈安全報告》顯示，隨著(zhù)區塊鏈的經(jīng)濟價(jià)值不斷升高，促使不法分子利用各種攻擊手段獲取更多敏感數據，“盜竊”“勒索”“挖礦”等，借著(zhù)區塊鏈概念和技術(shù)，使區塊鏈安全形勢變得更加復雜。

金融分析師肖磊表示，區塊鏈技術(shù)的安全性目前看仍存在很大問(wèn)題，這種問(wèn)題主要是缺乏整體標準和安全的認證，導致市場(chǎng)產(chǎn)品良莠不齊。另外區塊鏈本身承載了很多的資產(chǎn)和數據，也更容易被黑客攻擊，這方面也存在一定的隱患。

區塊鏈通常分為公有鏈、聯(lián)盟鏈和私有鏈。其中，公有鏈面向全球用戶(hù)，所有用戶(hù)均可登錄，不設訪(fǎng)問(wèn)權限，是黑客攻擊的重點(diǎn)；聯(lián)盟鏈和私有鏈上的安全事故大多發(fā)生在其算法和底層設計本身，偶有黑客出于商業(yè)目的進(jìn)行攻擊。

中國區塊鏈應用研究中心創(chuàng )始理事長(cháng)徐明星表示，根據相關(guān)機構的調查顯示，2018年全球發(fā)生的區塊鏈安全事件高達128起，造成約20億美元的經(jīng)濟損失。隨著(zhù)區塊鏈行業(yè)逐步發(fā)展壯大，安全問(wèn)題也日益嚴峻。

風(fēng)險成為產(chǎn)業(yè)發(fā)展短板

目前，國內正加快推進(jìn)區塊鏈技術(shù)創(chuàng )新和應用落地。在專(zhuān)家看來(lái)，區塊鏈核心技術(shù)、機制和應用部署等方面均存在諸多安全隱患，如果不法分子利用相關(guān)漏洞實(shí)施攻擊，將可能造成嚴重安全風(fēng)險事件。

根據相關(guān)機構統計，由于智能合約的開(kāi)發(fā)尚處在初始階段，因此，它成為區塊鏈安全領(lǐng)域的重災區；此外，在區塊鏈的應用層，從事第三方數字錢(qián)包或交易平臺服務(wù)的公司或機構由于采用不安全的私鑰管理方式，往往也成為黑客攻擊的重點(diǎn)。

安全專(zhuān)家認為，當前區塊鏈安全問(wèn)題主要可分為三個(gè)方面，一是區塊鏈自身機制安全問(wèn)題，二是區塊鏈生態(tài)安全問(wèn)題，三是使用者安全問(wèn)題。

作為新興產(chǎn)業(yè)，區塊鏈行業(yè)的一些從業(yè)人員安全意識較為缺乏，導致目前區塊鏈相關(guān)軟硬件的安全系數不高，存在大量安全漏洞。此外，整個(gè)區塊鏈生態(tài)環(huán)節眾多，這也為區塊鏈安全防護帶來(lái)難度。

“安全是當前制約區塊鏈應用的關(guān)鍵短板，許多傳統區塊鏈項目的安全保障相對較弱?！敝袊鴧^塊鏈應用研究中心理事長(cháng)郭宇航表示。

需要進(jìn)一步筑牢安全柵欄

推動(dòng)區塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng )新發(fā)展，推進(jìn)區塊鏈和經(jīng)濟社會(huì )融合發(fā)展，首先要筑牢區塊鏈的安全柵欄，要探索建立適應區塊鏈技術(shù)機制的安全保障體系。

我國區塊鏈領(lǐng)域相關(guān)安全服務(wù)企業(yè)近年來(lái)也逐漸發(fā)展起來(lái)，并走在世界前列。相關(guān)企業(yè)涉及業(yè)務(wù)包括智能合約安全審計、威脅情報服務(wù)、安全測評服務(wù)等方方面面。同時(shí)，越來(lái)越多的區塊鏈企業(yè)內部也在加大對區塊鏈安全領(lǐng)域的研發(fā)和投資。

對于區塊鏈行業(yè)日益突出的安全問(wèn)題，徐明星表示，可以從政策、行業(yè)、企業(yè)多方面入手。政府應加快制定區塊鏈安全標準與規范；在行業(yè)層面，大力發(fā)展區塊鏈安全服務(wù)企業(yè)，推動(dòng)安全解決方案和安全服務(wù)落地；在企業(yè)層級，企業(yè)應投入更多資金和人力加大安全防護。

業(yè)內人士認為，為改善區塊鏈上重要數據信息泄露情況，當前首先需要做的是研發(fā)和推廣數據加密功能，保護數據安全和用戶(hù)隱私；在防范算力攻擊方面，從機制角度，在設計區塊鏈系統時(shí)，應當盡可能提高算力攻擊成本，令算力攻擊者得不償失。