信息來源:51CTO
近年來基于區(qū)塊鏈技術(shù)的數(shù)字貨幣交易平臺繁榮發(fā)展,各區(qū)塊鏈平臺都專注于核心業(yè)務(wù),但在信息安全方面投入的精力十分有限導(dǎo)致安全事件才頻繁出現(xiàn)。近日最受歡迎的以太坊錢包遭到DNS劫持攻擊,許多安全意識較低的用戶,在登錄時無視“網(wǎng)站不安全”的提示強(qiáng)行訪問,攻擊者因此得到了受害者的在線錢包密碼、私鑰明文等,幾秒鐘之內(nèi)就把他們錢包里的ETH全部轉(zhuǎn)走。也有一些人看到安全提醒沒有繼續(xù)登錄,從而避免了遭受損失。2014年日本比特幣交易平臺遭到黑客攻擊,用戶丟失約75萬枚比特幣,并最終導(dǎo)致該平臺破產(chǎn)。雖然有前車之鑒,但各家數(shù)字貨幣交易平臺在安全建設(shè)方面仍然力度不夠,遭受黑客攻擊的事件更是有增無減,給數(shù)字貨幣交易平臺及其用戶造成了極大損失。
保護(hù)私鑰泄漏導(dǎo)致了資金被盜責(zé)任不在技術(shù)本身
從近期各家比特幣交易所遭到攻擊可以看出,私鑰的安全性是不容忽視的。雖然目前攻擊細(xì)節(jié)還不清楚,但可以肯定的是黑客是以某種方式成功獲取了保護(hù)用戶賬戶的私鑰之后才盜走了比特幣。私鑰可以保證數(shù)字資產(chǎn)的所有權(quán),跟密碼類似。為金融服務(wù)企業(yè)研發(fā)私鏈的技術(shù)公司必須重新考量數(shù)字貨幣交易所采用的多重簽名和冷存儲方式是否真的有效。雖然這些解決方案的安全性是比較高,但卻要付出低效率和高額管理費(fèi)用的代價。確實是因為保護(hù)私鑰走捷徑才導(dǎo)致了資金被盜,責(zé)任并不在技術(shù)本身。
回滾代碼至攻擊前版本備受爭議
另一個值得考慮的問題就是遭受攻擊之后應(yīng)該怎么做?被盜的是數(shù)字資產(chǎn),而這些資產(chǎn)是以計算機(jī)代碼的形式存在的。因此我們是否能通過回滾區(qū)塊鏈,將其代碼修改為至攻擊前的版本呢?如果這樣做的話,從區(qū)塊鏈本身來看,攻擊事件就像沒發(fā)生過一樣。但比特幣社區(qū)并沒有采取這種方法挽救損失,反而是以太坊區(qū)塊鏈在遭受攻擊之后通過這種方式進(jìn)行了交易回滾(即硬分叉)。硬分叉的順利進(jìn)行需要全網(wǎng)大量節(jié)點(diǎn)的共識,而此次以太坊的硬分叉始終備受爭議。因為不可更改是區(qū)塊鏈的重要屬性,也就是說區(qū)塊鏈中記錄的每筆交易都不能更改或者取消。而現(xiàn)今的金融服務(wù)業(yè)是可以取消交易的:無論是證券交易所還是信用卡公司,或是任何涉及交易過程的軟件,他們都留有取消或者修改錯誤交易的權(quán)利。鑒于金融服務(wù)業(yè)終將采用分布式賬簿技術(shù),那就躲不過區(qū)塊鏈的這一特性。不可更改性對于他們來說究竟是不是一個bug?又或者該行業(yè)是否會創(chuàng)建特定的函數(shù)來記錄抵消交易,在不破壞歷史交易記錄的完整性(尊重區(qū)塊鏈的不可更改性)的前提下達(dá)到和撤銷交易一樣的目的?
DAO攻擊事件的證明了智能合約存在安全漏洞
DAO攻擊事件的成功證明了智能合約存在安全漏洞。智能合約是一種電腦程序,可以自動執(zhí)行合約條款,并在多方之間實現(xiàn)價值轉(zhuǎn)移。而DAO就是基于以太坊區(qū)塊鏈的智能合約投資項目。然而智能合約代碼的不合理性給了黑客盜取資金的機(jī)會。智能合約是分布式賬簿技術(shù)解決方案中的重要一環(huán),可以用于抵押品管理、衍生品的場外交易(OTC)等。智能合約的漏洞不止能引致攻擊,還能造成系統(tǒng)故障,發(fā)起錯誤交易。類似事件曾多次在金融市場上發(fā)生,參與方更是付出了慘痛的經(jīng)濟(jì)代價。因此我們整個行業(yè)應(yīng)該共同努力研發(fā)最佳用例,為智能合約提供最好的保護(hù)及控制措施來防止上述事件再發(fā)。
其它原因?qū)е碌墓?
-
一是通過釣魚等手段進(jìn)行身份冒用。例如DNS劫持攻擊,在本質(zhì)上就是釣魚。另外黑客還經(jīng)常用郵件釣魚,或者電話、短信等方式的社工等方式。
-
二是利用區(qū)塊鏈交易平臺的網(wǎng)絡(luò)漏洞。除了網(wǎng)絡(luò)協(xié)議中的各種漏洞,也有賬號密碼中的弱口令、密碼復(fù)用等導(dǎo)致的漏洞。
-
三是內(nèi)部惡意人員。首先是公司管理員有可能利用自身權(quán)限監(jiān)守自盜;其次是靜態(tài)密碼、傳統(tǒng)令牌等方式“認(rèn)令不認(rèn)人”,存在內(nèi)部惡意人員盜用相關(guān)同事身份的風(fēng)險,而且事發(fā)后也無法追溯;因為缺乏統(tǒng)一的用戶管理平臺,隨著員工角色的變動,有些賬號不能及時增刪,有時離職員工仍然擁有賬號權(quán)限,導(dǎo)致信息泄漏。
千里之堤毀于蟻穴。由于區(qū)塊鏈生態(tài)中虛擬貨幣的屬性,哪怕出現(xiàn)一絲安全問題都有可能造成極大損失。分布式賬簿應(yīng)用于金融服務(wù)領(lǐng)域可以減少結(jié)算時間、消除摩擦、降低成本,還能合理化工作流程。在努力獲得這些優(yōu)勢之前,整個行業(yè)都必須關(guān)注安全問題。數(shù)字資產(chǎn)和分布式賬簿技術(shù)帶來了全新的交易方式,但同時我們也需要探索新的方法來保護(hù)區(qū)塊鏈的安全。保衛(wèi)區(qū)塊鏈生態(tài)安全任重道遠(yuǎn),用戶的身份安全更是重中之重。所以相關(guān)區(qū)塊鏈平臺需要從各個環(huán)節(jié)、由內(nèi)而外地加強(qiáng)抵御能力。