区块链自诞生以来,一直被认为是一种更安全的金融交易方式,事实也的确如此。毫无疑问,分布式账本技术需要获得绝大多数节点的一致同意才能进行每一笔交易,它为金融交易提供了一定程度的安全性,而且比当前的IT系统更高效、更便捷、更划算。
随着信息技术的不断发展,区块链也确实存在需要解决的漏洞,这些漏洞主要来自于在交易发送到区块链之前使用钱包创建和签署交易的端点。然而,这些钱包是黑客攻击的首要目标。倘若允许人们交流事务的应用程序容易受到攻击,那么使用安全的区块链又有什么意义呢?
智能合约漏洞频发
2019年5月3日,以太坊上一款应用中的所有波场币被盗,总价值427万多人民币。其原因就是黑客发现了该应用智能合约中的一个漏洞,通过该漏洞悄无声息地转走了应用中的所有资产。随后媒体头条反映了这一现实,一名黑客控制了该网络一半以上的计算能力,并利用它重写了交易历史。
事发一个月后,《麻省理工学院技术评论》上突出了“区块链曾经被认为是不可破解的,现在却遭到了黑客攻击”这样一个标题。随后各地的分析人士都开始重新考虑分布式账本技术是否真的像其追随者所宣称的那样安全。
有趣的是,交易所及时发现了攻击,并警告ETC社区,防止黑客从其用户那里窃取任何资金。这家总部位于旧金山的交易所,其信任记录和一流的安全性为它赢得了作为某种加密交易所标杆的声誉,并在当时流行起来。其实,在当时发生的其他黑客攻击中,ETC攻击是区块链历史上的一个转折点,它揭示了以一种利用区块链的安全优势并避免对其网络造成损害的方式来设计区块链的重要性。虽然最初关于黑客攻击的新闻标题是噩梦般的,但交易所避免了一场可能更糟糕的公关灾难。
而这只是众多区块链安全事件的冰山一角。据迅雷链开放平台产品负责人马双阳介绍,在以太坊上38000多个智能合约中,通过漏洞扫描工具发现存在815个漏洞。也就是说,超过2.1%的合约存在漏洞,这是非常惊人的一个比率。
尽管破解区块链异常困难,但这是考验单个矿商获得超过50%的网络计算能力的过程,技术上不太老练的黑客,也很容易破解通过区块链进行交易的钱包。
与整个区块链不同,这种以端点为目标的方法在2019年5月达到了新的高度,黑客在一次交易中从Binance exchange窃取了价值4000万美元的比特币,这一巨大的安全漏洞震惊了密码世界。这笔交易仅限于Binance公司的BTC热钱包,其中包含了该公司大约2%的比特币持有量。但不只是热钱包有被坏人利用的风险。如今市场上的大多数加密钱包,包括冷钱包,在某种程度上都与互联网相连,因此完全可以被黑客窃取。只要攻击方获得了正确的投资回报,每个钱包都可能被攻破。
这种脆弱性正在让企业付出代价。据不完全统计,仅在2019年上半年,就有大约42.6亿美元的数字资产被盗,其中大部分来自交易所。区块链的端点漏洞必须得到解决,因为企业要防止这种负担和不必要的经济损失。此外,网络攻击造成的损害远不止是经济上的,还附带损害包括声誉损害和恢复信任所需的时间,以及在攻击期间锁定漏洞所需的关闭时间。
全球最大的网络安全公司之一Akamai在2019年底发布的一份报告预测,2020年,将有更多的网络攻击武器化。在新的十年里,犯罪开发者和国家行为者之间的重叠为所有金融机构创造了一个非常危险的现实,创造了大量针对特定组织的专属工具。
安全才是企业发展的第一要素
不过业内专家也提醒说,企业在开发区块链应用时,固然要强调安全性,但也要注重使用效率,二者不可偏废,否则安全性倒是有保障,但应用本身的易用性却遭到损害,也不利于业务的开展。区块链头部平台也意识到了这方面的重要性,开始加强此方面的融合。
对于区块链安全来讲,从系统架构上,建议相关企业与专业区块链安全研究组织合作,及时发现、修复系统漏洞,避免导致严重的大规模资金被盗事件发生。
对于企业网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒,防止受到勒索病毒侵害。企业网站应防止被黑,及时修补服务器操作系统、应用系统的安全漏洞,避免企业服务器沦为黑客挖矿的工具,同时也避免因服务器被入侵而导致企业网站的访客电脑沦为“矿工”。
同时在很多业务场景中,需要对某些数据进行求证,而求证过程又往往意味着数据的公开,由此又与数据安全和隐私保护形成冲突。鉴于此种情况,迅雷链推出承诺系统,利用同态加密和零知识证明两种技术,实现了在不公开数据的情况下,完成对数据的求证。就好比写字楼门禁,当你拿工牌刷卡开门时,门禁只会反馈出“开”与“不开”这两个结果,并不会告诉你工牌上的姓名、公司、电话等信息。
写在最后
2020年,网络安全也会成为关乎企业命运的一个重要指标。无论全球科技发展有多么迅猛,数字威胁自始至终都是构成企业最大的风险。因此,我们要借助区块链所提供的完备安全机制,进行应用开发,最大程度地保障自身应用产品的安全性,能够更好的服务消费者。