尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
專家警告,區塊鏈的非加密貨幣用例也有安全風險。
網路安全圈子里最熱門的話題之一就是企業區塊鏈了。區塊鏈技術也是比特幣之類加密貨幣的底層技術。簡單講,區塊鏈就是網路節點間共享的被加密算法鎖定的一系列交易或合約。除了比特幣,區塊鏈還能確保供應鏈完整性、管理合約,甚至作為金融交易的平台。
區塊鏈在加密貨幣領域的流行度,其對密碼的應用和去中心化的特性,都向其支持者證明了這一技術是當前很多網路安全問題的解決方案。比如說,阿卡邁技術公司目前就在打造區塊鏈驅動的在線支付網路。其副總裁兼CTO表示:「區塊鏈本身就是種安全技術,融入了多種安全原則。」
比特幣交易所被黑的消息常會震撼到任何人都可以設立節點的開放網路,但企業區塊鏈項目與公開網路項目不同,企業區塊鏈通常是被許可的區塊鏈,其節點是私有的,只有機構本身通過了安全驗證的人員才可以訪問這些節點。
區塊鏈不僅僅是一陣炒作熱潮,即便不是萬靈丹,區塊鏈的益處也是真實有效的。理論上,區塊鏈的基礎概念就是抗攻擊的。學術視角上看,區塊鏈只要做到恰當,就非常難以被黑,其應用前景相當明朗。
但即便區塊鏈是黑客難以攻克的堡壘,它也不是完全無法突破的。很多安全專家都警告稱,區塊鏈做到中存在一些公司企業需要注意的危險。
加密貨幣犯罪是一門大生意
雖然目前尚無企業區塊鏈項目遭遇網路攻擊的報導,但這主要是因為該技術仍處於試行發展階段。對公共區塊鏈項目的攻擊已經非常普遍了。
Carbon Black 的研究表明,今年上半年就已有價值11億美元的加密貨幣被盜。網路犯罪的增長驅動了能寫惡意代碼的工程師數量的上升,而暗網給了他們售賣惡意代碼的完美市場。罪犯從這些攻擊中獲得的專業技能,以及暗網上湧現的各種工具,都可以被利用來攻擊企業項目。
大多數加密貨幣攻擊都沒針對核心區塊鏈技術,罪犯只是瞄準了防護不周的交易所和沒好好保護自己錢包個人及公司。發起中間人攻擊都可以將加密貨幣交易轉移到罪犯自己的錢包中。
邁克菲最近一份關於區塊鏈的安全報告中稱,很多此類問題都源於終端用戶安全或區塊鏈做到上的問題,並非區塊鏈加密協議自身的問題。企業區塊鏈項目也有可能出現做到問題,即便這些項目不像公共鏈那樣有著寬泛的攻擊界面。對希望采納區塊鏈的公司企業而言,首先應權衡做到的成本和收益以及採用新技術的風險。
基於此,我們有必要關注以下5種區塊鏈安全風險:
1. 進入區塊鏈交易時的人為錯誤
就某些方面而言,企業區塊鏈甚至有可能比公共鏈更脆弱。區塊鏈廣為宣傳的好處之一,就是大型分布式點對點網路的彈性。一個節點失效,並不會導致整個系統宕機,系統會繞過該節點,避免了單點故障問題。一位參與者試圖往帳本中引入非法交易,其他成員將迫使他老老實實做生意。但萬一有人犯了個誠實的錯誤呢?
去中心化的優勢在於必須取得共識才能做出修改。於是,即便加密貨幣交易所犯了錯,他們也無法修正。沒有中央權威的情況下,一旦丟失加密貨幣錢包口令,那就永遠找不回來了。企業區塊鏈應用場景下,沒人希望出現有錯也改不了的局面。
另外,雖然區塊鏈加密可防止用戶修改歷史帳本,但此類系統往往允許參與者添加新的記錄條目。企業區塊鏈項目中,參與者往往是可信方而非來自公眾的隨機成員。一旦可信方被黑,區塊鏈的安全也就消失了。
2. 51%攻擊
更糟的是,如果區塊鏈網路過半數成員被黑,那麼攻擊者就能奪取整個鏈的控制權,迫使所有成員服從他/他們的意志,造成巨大的傷害。
攻擊者很難拿下比特幣區塊鏈網路,因為這個網路包含了太多參與節點。小型加密貨幣就比較脆弱,比如 Bitcoin Gold,5月時攻擊者就以51%攻擊的形式卷走了價值1800萬美元的加密貨幣。
企業區塊鏈項目的參與者數量通常遠遠少於公共加密貨幣平台。網路規模越小,攻擊者需要黑的節點數量就越少。如果銀行要推出區塊鏈來處理交易,其節點數量將遠少於公共網路,黑客能相對輕鬆地拿下51%的節點,拿過銀行區塊鏈的控制權。
企業部署很大程度上是同質化的,所以一旦發現某個節點上存在漏洞,該漏洞往往可以被利用來攻擊所有其他節點。在公共域,人們下載各種不同的挖礦軟件,節點配置也各不相同。企業環境則正好相反,一致的部署反而給攻擊者帶來了以點帶面的便利條件。
3. 區塊鏈做到錯誤
區塊鏈項目的另一重大漏洞源,就是該技術還太新了,很容易出現做到上的錯誤。甚至核心區塊鏈加密技術都可能存在問題。該算法本身可能在數學上相當合理而優雅,但具體做到上就未必那麼完美了。
如果無法理解區塊鏈的基礎數學原理,那你基本上就是下載個號稱「神奇」的代碼黑盒而對其中都有些什麼一無所知。開源世界里太多人依賴第三方庫,而有人把GitHub上的代碼庫偷偷調換了都能長達6個月無人發現。這種情況還並不少見。
區塊鏈技術太新了,很多人都不知道該避免犯哪些錯誤。區塊鏈部署中的加密密鑰也需要妥善管理,但大多數企業甚至連自己的網站證書都管不好。
與其他技術項目一樣,企業區塊鏈也容易遭受類似的攻擊。就拿網路釣魚與欺騙來說,雖然目前尚未發現企業區塊鏈受到此類攻擊,但這不過是因為生產環境中太少用到區塊鏈的緣故而已。
公共區塊鏈上此類攻擊可多。攻擊者會假裝是收家,攔截或者黑掉網頁以劫持交易,未必是加密貨幣交易,可以是任何其他種類的交易。
推出區塊鏈項目的企業需確保所有安全基礎都覆蓋到,包括採用最新最安全的軟件開發和審計過程,確保設置了多因子身份驗證,以及鎖定網站以防網頁攻擊。跨站腳本攻擊可不管你是公共鏈還是私有鏈。所有這些攻擊在網路安全領域都很常見,區塊鏈並未自帶免疫光環。
4. 智能合約被黑
2016年,去中心化自治組織(DAO)利用以太坊平台啟動了基於區塊鏈的投資基金。以太坊是區塊鏈的一個變種,不僅僅能存儲加密貨幣交易,還可以存儲智能合約。但據Gartner報導,黑客利用一份智能合約從該系統中套取了價值1.5億美元的以太幣。
DAO案例給人們敲響了警鐘:不能僅僅因為某樣東西建立在區塊鏈基礎上就無條件相信它是安全的。
如今人人都在談論區塊鏈,大家都想使用區塊鏈。人們常有一種誤解,覺得只要利用該點對點分布式帳本模型,建立在其上的每樣東西就天生安全。但顯然,這是一種錯到離譜的假設。算法很神奇,具體做到則就看做到代碼到底寫得如何了。而有代碼的地方就有漏洞,這是工程師眾所周知的事實。
企業對智能合約很感興趣。智能合約只要條件達成就能自動履行而且不能反悔。但這同時也意味著,合約一旦建立,將幾乎無法撤銷問題、改正錯誤或者扭轉欺詐行為。比如說,很容易就會無意中寫下條件永遠無法滿足的合約,或者物流地址寫錯了。
一旦發生這種情況,合約里的資金就永遠鎖定在區塊鏈中了。而且此類情況已有前例,並非僅僅理論上會出現的事。去年秋天,某人意外鎖定了多方以太坊合約,造成了超過3億美元的損失。
5. 未檢出的區塊鏈漏洞
公共加密貨幣交易所如今已是區塊鏈生態系統中唾手可得的誘人果實。資金多,容易得手,難被抓到。犯罪團夥總是追逐投資回報率最高的產業走的。
區塊鏈產業目前還在新生階段,我們甚至還沒建立查找和報告非加密貨幣相關區塊鏈漏洞的平台。約50家主流公司企業都表示要麼投資,要麼並購,要麼做到區塊鏈技術。區塊鏈漏洞真正影響生產環境還有段時間。
但隨著企業區塊鏈項目上線,這些項目或資金龐大,或涉及關鍵基礎設施或業務流程,或涉及政治或軍事敏感信息,這種情況將發生改變。對每個人而言,區塊鏈技術及其威脅防禦都將伴隨著漫長的學習曲線。首先采納區塊鏈的大公司將會首先經歷區塊鏈漏洞陣痛並從中汲取經驗教訓。
還未到黃金時間
目前,商業世界中的區塊鏈是個「尋找問題的解決方案」。最大的風險來自於「我有個問題要用區塊鏈解決,趕緊部署一個」的想法。區塊鏈並非萬靈丹。
區塊鏈架構提供了無需中間人就能通過共識來享有信任的功能。它能解決很多問題,但解決不了所有問題。企業投資區塊鏈時常會在這方面誤入歧途,人們陷入「這個解決方案好,我們找幾個問題來應用吧」的錯誤。從技術角度看,目前還是個相當危險的階段。
