新华社上海10月31日电题:区块链御“风”而来,安全网如何密织?
新华社记者高少华、毛振华
区块链“忽如一夜春风来”。作为核心技术自主创新的重要突破口,区块链的安全风险问题被视为当前制约行业健康发展的一大短板,频频发生的安全事件为业界敲响警钟。拥抱区块链,需要加快探索建立适应区块链技术机制的安全保障体系。
安全形势不容乐观
区块链技术近年来快速发展,技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域。与此同时,区块链安全事件也屡屡发生,甚至成为黑客攻击的“重灾区”。
2014年,世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的比特币被黑客盗取;2018年3月,交易所“币安”发布公告称,遭遇黑客一次有规模的钓鱼获取用户账号并试图盗币的行为;去年5月,360公司伏尔甘(Vulcan)团队发现了区块链平台EOS的一系列高危安全漏洞,并称其为“区块链史诗级漏洞”……
腾讯安全此前发布的《2018上半年区块链安全报告》显示,随着区块链的经济价值不断升高,促使不法分子利用各种攻击手段获取更多敏感数据,“盗窃”“勒索”“挖矿”等,借着区块链概念和技术,使区块链安全形势变得更加复杂。
金融分析师肖磊表示,区块链技术的安全性目前看仍存在很大问题,这种问题主要是缺乏整体标准和安全的认证,导致市场产品良莠不齐。另外区块链本身承载了很多的资产和数据,也更容易被黑客攻击,这方面也存在一定的隐患。
区块链通常分为公有链、联盟链和私有链。其中,公有链面向全球用户,所有用户均可登录,不设访问权限,是黑客攻击的重点;联盟链和私有链上的安全事故大多发生在其算法和底层设计本身,偶有黑客出于商业目的进行攻击。
中国区块链应用研究中心创始理事长徐明星表示,根据相关机构的调查显示,2018年全球发生的区块链安全事件高达128起,造成约20亿美元的经济损失。随着区块链行业逐步发展壮大,安全问题也日益严峻。
风险成为产业发展短板
目前,国内正加快推进区块链技术创新和应用落地。在专家看来,区块链核心技术、机制和应用部署等方面均存在诸多安全隐患,如果不法分子利用相关漏洞实施攻击,将可能造成严重安全风险事件。
根据相关机构统计,由于智能合约的开发尚处在初始阶段,因此,它成为区块链安全领域的重灾区;此外,在区块链的应用层,从事第三方数字钱包或交易平台服务的公司或机构由于采用不安全的私钥管理方式,往往也成为黑客攻击的重点。
安全专家认为,当前区块链安全问题主要可分为三个方面,一是区块链自身机制安全问题,二是区块链生态安全问题,三是使用者安全问题。
作为新兴产业,区块链行业的一些从业人员安全意识较为缺乏,导致目前区块链相关软硬件的安全系数不高,存在大量安全漏洞。此外,整个区块链生态环节众多,这也为区块链安全防护带来难度。
“安全是当前制约区块链应用的关键短板,许多传统区块链项目的安全保障相对较弱。”中国区块链应用研究中心理事长郭宇航表示。
需要进一步筑牢安全栅栏
推动区块链技术和产业创新发展,推进区块链和经济社会融合发展,首先要筑牢区块链的安全栅栏,要探索建立适应区块链技术机制的安全保障体系。
我国区块链领域相关安全服务企业近年来也逐渐发展起来,并走在世界前列。相关企业涉及业务包括智能合约安全审计、威胁情报服务、安全测评服务等方方面面。同时,越来越多的区块链企业内部也在加大对区块链安全领域的研发和投资。
对于区块链行业日益突出的安全问题,徐明星表示,可以从政策、行业、企业多方面入手。政府应加快制定区块链安全标准与规范;在行业层面,大力发展区块链安全服务企业,推动安全解决方案和安全服务落地;在企业层级,企业应投入更多资金和人力加大安全防护。
业内人士认为,为改善区块链上重要数据信息泄露情况,当前首先需要做的是研发和推广数据加密功能,保护数据安全和用户隐私;在防范算力攻击方面,从机制角度,在设计区块链系统时,应当尽可能提高算力攻击成本,令算力攻击者得不偿失。