信息來源：51CTO

近年來基于區(qū)塊鏈技術(shù)的數(shù)字貨幣交易平臺繁榮發(fā)展，各區(qū)塊鏈平臺都專注于核心業(yè)務(wù)，但在信息安全方面投入的精力十分有限導(dǎo)致安全事件才頻繁出現(xiàn)。近日最受歡迎的以太坊錢包遭到DNS劫持攻擊，許多安全意識較低的用戶，在登錄時無視“網(wǎng)站不安全”的提示強行訪問，攻擊者因此得到了受害者的在線錢包密碼、私鑰明文等，幾秒鐘之內(nèi)就把他們錢包里的ETH全部轉(zhuǎn)走。也有一些人看到安全提醒沒有繼續(xù)登錄，從而避免了遭受損失。2014年日本比特幣交易平臺遭到黑客攻擊，用戶丟失約75萬枚比特幣，并最終導(dǎo)致該平臺破產(chǎn)。雖然有前車之鑒，但各家數(shù)字貨幣交易平臺在安全建設(shè)方面仍然力度不夠，遭受黑客攻擊的事件更是有增無減，給數(shù)字貨幣交易平臺及其用戶造成了極大損失。

保護私鑰泄漏導(dǎo)致了資金被盜責(zé)任不在技術(shù)本身

從近期各家比特幣交易所遭到攻擊可以看出，私鑰的安全性是不容忽視的。雖然目前攻擊細節(jié)還不清楚，但可以肯定的是黑客是以某種方式成功獲取了保護用戶賬戶的私鑰之后才盜走了比特幣。私鑰可以保證數(shù)字資產(chǎn)的所有權(quán)，跟密碼類似。為金融服務(wù)企業(yè)研發(fā)私鏈的技術(shù)公司必須重新考量數(shù)字貨幣交易所采用的多重簽名和冷存儲方式是否真的有效。雖然這些解決方案的安全性是比較高，但卻要付出低效率和高額管理費用的代價。確實是因為保護私鑰走捷徑才導(dǎo)致了資金被盜，責(zé)任并不在技術(shù)本身。

回滾代碼至攻擊前版本備受爭議

另一個值得考慮的問題就是遭受攻擊之后應(yīng)該怎么做?被盜的是數(shù)字資產(chǎn)，而這些資產(chǎn)是以計算機代碼的形式存在的。因此我們是否能通過回滾區(qū)塊鏈，將其代碼修改為至攻擊前的版本呢?如果這樣做的話，從區(qū)塊鏈本身來看，攻擊事件就像沒發(fā)生過一樣。但比特幣社區(qū)并沒有采取這種方法挽救損失，反而是以太坊區(qū)塊鏈在遭受攻擊之后通過這種方式進行了交易回滾(即硬分叉)。硬分叉的順利進行需要全網(wǎng)大量節(jié)點的共識，而此次以太坊的硬分叉始終備受爭議。因為不可更改是區(qū)塊鏈的重要屬性，也就是說區(qū)塊鏈中記錄的每筆交易都不能更改或者取消。而現(xiàn)今的金融服務(wù)業(yè)是可以取消交易的：無論是證券交易所還是信用卡公司，或是任何涉及交易過程的軟件，他們都留有取消或者修改錯誤交易的權(quán)利。鑒于金融服務(wù)業(yè)終將采用分布式賬簿技術(shù)，那就躲不過區(qū)塊鏈的這一特性。不可更改性對于他們來說究竟是不是一個bug?又或者該行業(yè)是否會創(chuàng)建特定的函數(shù)來記錄抵消交易，在不破壞歷史交易記錄的完整性(尊重區(qū)塊鏈的不可更改性)的前提下達到和撤銷交易一樣的目的?

DAO攻擊事件的證明了智能合約存在安全漏洞

DAO攻擊事件的成功證明了智能合約存在安全漏洞。智能合約是一種電腦程序，可以自動執(zhí)行合約條款，并在多方之間實現(xiàn)價值轉(zhuǎn)移。而DAO就是基于以太坊區(qū)塊鏈的智能合約投資項目。然而智能合約代碼的不合理性給了黑客盜取資金的機會。智能合約是分布式賬簿技術(shù)解決方案中的重要一環(huán)，可以用于抵押品管理、衍生品的場外交易(OTC)等。智能合約的漏洞不止能引致攻擊，還能造成系統(tǒng)故障，發(fā)起錯誤交易。類似事件曾多次在金融市場上發(fā)生，參與方更是付出了慘痛的經(jīng)濟代價。因此我們整個行業(yè)應(yīng)該共同努力研發(fā)最佳用例，為智能合約提供最好的保護及控制措施來防止上述事件再發(fā)。

其它原因?qū)е碌墓?

• 一是通過釣魚等手段進行身份冒用。例如DNS劫持攻擊，在本質(zhì)上就是釣魚。另外黑客還經(jīng)常用郵件釣魚，或者電話、短信等方式的社工等方式。
• 二是利用區(qū)塊鏈交易平臺的網(wǎng)絡(luò)漏洞。除了網(wǎng)絡(luò)協(xié)議中的各種漏洞，也有賬號密碼中的弱口令、密碼復(fù)用等導(dǎo)致的漏洞。
• 三是內(nèi)部惡意人員。首先是公司管理員有可能利用自身權(quán)限監(jiān)守自盜;其次是靜態(tài)密碼、傳統(tǒng)令牌等方式“認令不認人”，存在內(nèi)部惡意人員盜用相關(guān)同事身份的風(fēng)險，而且事發(fā)后也無法追溯;因為缺乏統(tǒng)一的用戶管理平臺，隨著員工角色的變動，有些賬號不能及時增刪，有時離職員工仍然擁有賬號權(quán)限，導(dǎo)致信息泄漏。

千里之堤毀于蟻穴。由于區(qū)塊鏈生態(tài)中虛擬貨幣的屬性，哪怕出現(xiàn)一絲安全問題都有可能造成極大損失。分布式賬簿應(yīng)用于金融服務(wù)領(lǐng)域可以減少結(jié)算時間、消除摩擦、降低成本，還能合理化工作流程。在努力獲得這些優(yōu)勢之前，整個行業(yè)都必須關(guān)注安全問題。數(shù)字資產(chǎn)和分布式賬簿技術(shù)帶來了全新的交易方式，但同時我們也需要探索新的方法來保護區(qū)塊鏈的安全。保衛(wèi)區(qū)塊鏈生態(tài)安全任重道遠，用戶的身份安全更是重中之重。所以相關(guān)區(qū)塊鏈平臺需要從各個環(huán)節(jié)、由內(nèi)而外地加強抵御能力。