区块链:企业区块链可能被黑的5个途径

网络安全领域最热门的话题之一就是企业区块链。它采用了与比特币一样的加密货币技术。简单地说，区块链是对等各方共享的交易或者合同的列表，并被一些巧妙的密码锁定。不同于比特币的是，区块链能够确保供应链的完整性，管理合同，甚至可以作为金融交易的平台。

它在加密货币领域的普及，以及应用了密码学及其分布式特性，向其支持者们表明，区块链是我们当前很多网络安全问题的解决方案。例如，Akamai目前正在构建一个用于在线支付的区块链网络。Akamai实验室副总裁兼首席技术官AndyChampagne说：“区块链本身就是一种安全技术。它确实是以安全原则为基础的。”

Champagne说，关于比特币交易遭黑客入侵的新闻一般与开放的、公共的网络有关。在这些网络中，任何人都可以建立一个节点，但企业区块链项目与公共网络的不同。他说：“企业区块链通常是需要获得许可的区块链。有一组节点，但节点是私有的，并且通过一组安全周界来限制企业中各类人员对这些节点的访问。”

Kudelski安全公司的首席技术官AndrewHoward证实说，这不仅仅是炒作。即使它不是灵丹妙药，区块链的好处也是实实在在的，这一技术还会继续发展下去。他说：“理论上，基本概念是非常抗攻击的。从学术角度来看，区块链很有意义。如果实施得当，它们很难被攻击。”

GFMA报告：企业区块链等DLT技术每年可为全球清算和结算成本节省200亿美元:5月17日消息，根据全球金融市场协会（GFMA）与波士顿咨询集团（Boston Consulting Group）和另外两家律师事务所合作的一份报告得出的结论，企业区块链等分布式账本技术（DLT）每年可为全球清算和结算成本节省200亿美元。据悉，GFMA是代表资本市场参与者和利益相关者利益的全球性机构。

该报告评估了在基于DLT的系统上结算全球贸易的机会和风险。尽管前景看好，但GFMA承认，DLT在证券市场的广泛采用尚未实现，主要原因是缺乏机构兴趣，以及流动性和风险管理不善。

报告称：“到2030年，代币化非流动性资产的全球价值估计将达到约16万亿美元，而目前的基础价值约为0.3万亿美元。通过产品创新的新工具（例如量身定制的频率收入支付）也可能成为满足客户需求的关键价值驱动因素。”[2023/5/17 15:09:14]

虽然区块链可能是黑客难以攻击的目标，但也并非无懈可击。很多安全专家警告说，区块链的实施使企业面临需要尽快重视起来的各种各样的风险。

加密货币犯罪是大买卖

目前还没有任何针对企业区块链项目的网络攻击报道，但这主要是因为该技术仍处于开发或者试点阶段。对公共区块链项目的攻击已经非常常见了。

GrainChain将转移至Symbiant的企业区块链平台:由Overstock全资子公司Medici Ventures投资的农业区块链公司GrainChain最近透露，将通过转移到Symbiant的企业区块链平台Assembly来扩大其业务规模，因该平台提供了GrainChain所需的隐私功能和可扩展性，以满足当前和未来市场不断增长的需求。据悉，GrainChain当前使用的是Hyperledger Fabric。（TechSutram）[2020/4/1]

据CarbonBlack公司称，今年上半年，黑客们窃取了价值11亿美元的加密货币。CarbonBlack的安全策略师RickMcElroy说：“随着网络犯罪的增长，编写恶意代码的个人也越来越多了，而暗网为他们提供了完美的市场销售渠道。”犯罪分子从这些攻击中获得经验，并利用在地下扩散的工具，这些都可以用在企业攻击犯罪活动中。

McElroy补充说，很多加密货币攻击都不是针对核心区块链技术的。相反，犯罪分子瞄准的是缺乏安全保障的交易以及个人和企业，他们没有很好地保护好自己的钱包。他们还发起了中间人攻击，将加密货币交易转移到他们自己的钱包中。

在McAfee最近关于区块链安全的报告中，很多这类问题都与最终用户的安全或者实施问题有关，而与区块链加密协议本身无关。企业项目也可能有实施问题，即使他们的被攻击面范围没有公开暴露的那么大。McElroy说：“对于任何想采用区块链的企业来说，他们首先应该权衡实施的好处和成本，以及应用新技术的风险。”

动态 | 三星SDS采用零知识证明增强其企业区块链隐私性:据coindesk消息，三星企业技术部门SDS (Samsung SDS)正在使用零知识证明(zero-knowledge proof, ZKPs)来增强其Nexledger区块链的隐私保护。该公司周四表示，它已与总部位于以色列的QEDIT建立了合作关系，在不披露保密信息的情况下，在一个共享的账簿上记录和验证资产转移。此举突显出采用分布式账本技术的公司面临的挑战之一，向网络广播交易，可能会暴露敏感的客户数据，并向竞争对手泄露信息。[2019/11/14]

考虑到这一点，以下列出了5个最大的区块链安全风险：

1.进入区块链交易时发生人为错误

在某些方面，企业区块链可能比公共区块链更脆弱。广为宣传的区块链的一个好处是非常有弹性的大规模分布式对等网络。如果一个节点宕机了，系统会绕过它，这样就不会有故障点。如果有一个参与方想偷偷地把一笔不正当的交易记入到账本中，但是在其他成员保持诚实的情形下，这是不可能发生的。但如果有人犯了“诚实的”错误呢?

Sophos的首席研究科学家ChetWisniewski指出：“去中心化的好处是，如果没有共识，就不能更改。因此，当加密货币交易出现了错误时，交易各方是无法撤销它的，因为没有中心的权威机构。如果你丢失了自己钱包的密码，那它就永远消失了。而在企业领域，这样的情况极少会发生。”

动态 | 2019年上半年中国企业区块链专利占总体的67%，阿里巴巴以322件专利位列第一:近日，知识产权产业媒体IPRdaily与incoPat创新指数研究中心联合发布了“2019上半年全球区块链企业发明专利排行榜（TOP100）”。榜单对2019上半年公开的全球区块链技术发明专利申请数量进行统计排名，与2018年相比，企业整体发明专利申请量增长明显。数据提取时间范围为2019年1月1日至2019年6月30日。入榜前100名企业主要来自11个国家和地区，中国占比67%，美国占比16%。其中阿里巴巴以322件专利位列第一，中国平安以274件专利排名第二，Nchain以241件专利排名第三。[2019/8/28]

当区块链加密可以防止用户改变历史账本时，系统通常被设置为参与方能够添加新条目。对于企业项目，参与方通常是可信的伙伴，而不是随机的公众成员。High-TechBridgeSA公司的首席执行官IliaKolochenko说:“如果受信任方被攻破了，那么区块链的安全性就不存在了。”

2.51%攻击

更糟糕的是，如果网络的大部分被攻破了，会怎样呢？那么，攻击者会造成很大的损失。这就是51%攻击背后的理念。一名恶意的犯罪分子或者犯罪分子集团控制了系统中的大部分节点后，会强迫每个人都服从他们的意愿。

动态 | Google Cloud与企业区块链平台Cypherium合作:Google Cloud和区块链平台Cypherium已合作为Google Cloud客户提供企业区块链服务。[2019/8/14]

对于比特币，这是很难做到的，因为网络上有这么多的参与方。小规模的加密货币比较容易被攻击，例如比特币黄金。今年5月，攻击者采用51%攻击，获得了价值1800万美元的加密货币。企业区块链项目的参与方通常比公共加密货币平台的参与方少得多。ForeScout新兴技术副总裁RobMcNutt说:“网络规模越小，被攻破的节点数量就越少。如果一家银行正在推出区块链来处理交易，那么节点的数量将远远少于公共网络，因此可能被攻破的设备数量要少得多。”

企业部署可能更为同质化，因此，如果在一个节点中发现漏洞，则可以利用这一漏洞来攻击所有其他节点。McNutt说：“在公共领域，人们下载不同的挖矿软件，配置也各不相同。”

3.区块链实施错误

区块链项目漏洞的另一个重要来源是，该技术是如此新颖以至于实施时容易出现错误。甚至核心区块链加密技术也有问题。Wisniewski说，算法在数学上可能是正确的，但具体的软件版本可能不是。

Wisniewski评论说：“如果你不能理解基础数学，那你基本上就是下载了一个盒子，上面写着‘魔术’，但不知道它能干什么用。我们在开源领域看到过很多次这种情况，人们依靠第三方的库来处理这些事情，有人进入了Github并切换了代码，六个月内都没有人注意到。”

还有一个事实，即区块链技术是如此新颖，Wisniewski说，“以至于根本不知道哪些错误不会发生。”他还补充说，“我们还需要正确地管理区块链部署时的所有加密密钥。很多企业甚至无法正确地管理他们的网站证书。”

企业区块链也会像其他技术项目一样，很容易受到很多相同攻击载体的攻击。CAVeracode的首席技术官兼联合创始人ChrisWysopal介绍说，以网络钓鱼和欺诈为例。他说，他还没有看到有针对企业区块链的此类攻击，这是因为在生产过程中很少有这样的攻击。这些攻击在公共项目中是很常见的。他说：“我们看到了很多这类攻击，有人假装是收件人，拦截或者黑掉网页，从而拦截交易。这不一定是加密货币，它可以是任何其他类型的交易。”

推出区块链项目的企业应确定自己具备所有的基本知识，包括使用最新、最安全的软件开发和审查过程，确保采用了多重身份验证手段，并锁定网站以防止网络攻击。弗吉尼亚州的网络安全公司Merlin国际的工程副总裁TejLuthra介绍说：“如果他们对跨站点脚本很敏感，那么不管是私有还是公众的都无所谓。所有那些在网络安全领域普遍存在的攻击，区块链也容易受到这类攻击。”

4.被攻破的智能合同

2016年，去中心化自治组织(DAO)使用以太坊平台推出了基于区块链的投资基金，这是一种区块链版本，可以存储智能合同而不仅仅是简单的货币交易。据Gartner说，黑客们能够使用智能合同，从系统中抽取出价值1.5亿美元的以太币。

Reason软件的创始人兼首席执行官AndrewNewman说：“DAO案例已经成为一个典型的例子，让我们记住，仅仅因为区块链的某些原因而使用区块链，并不意味着它本身就是安全的。”

现在，每个人都想使用区块链。他说：“人们的想法是，利用对等分布式账本模型，那么在其上实现的所有其他东西也将是安全的。显然，这是一个错误的假设。实施起来未必能像它们所承诺的那样安全和不出问题。”

智能合同对企业具有吸引力。它们在条件满足时会自动执行，不能被拒绝。这也意味着要解决问题、纠正错误和反欺诈是极其困难的。例如，在编写合同时很容易出现意外，所要求的条件会永远不能满足，也有可能交货地址是错误的。

如果出现这类情况，钱就会被永远锁在区块链里。同样，这不是一个理论问题。去年秋天，有人不小心锁定了多方以太坊合同，造成了3亿多美元的损失。

5.利用未检测到的区块链漏洞

目前，公共加密货币交易在区块链生态系统中是最容易实现的。钱很充足，很容易得到，被抓住的几率也很低。英特尔安全副总裁兼首席技术官RajSamani表示：“犯罪团伙瞄准的是能够获得最大投资回报的领域。”

近期情况可能就是如此。McAfee公司高级威胁研究负责人StevePovolny说：“这一行业现在太新了，以至于我们甚至没有一个平台来发现并报告与非加密货币相关的区块链漏洞。”他说，大约有50家大公司表示，他们正在投资、收购或者实施区块链技术。“我认为，我们在一段时间内不会真的看到有产品推出。”

这将随着企业项目的上线而改变，这些项目涉及大量的资金，需要关键的基础设施或者业务流程，涉及和军事敏感信息。拉斯维加斯一家专门从事智能合同审查的初创公司HoSoo的创始人兼首席执行官YoSubKwon说：“这对于每个人来说都将是漫长的学习过程。最先进入区块链的大公司将首先有所体验，并从中吸取教训。”

没有准备好迎接黄金时期

Verodin的行为研究部门负责人JamesLerud表示，目前，商业领域的区块链是问题的解决方案。他说：“最大的风险来自于想用区块链解决问题的心态——让我们尽快地部署一些东西。但这不是什么高招。”

Lerud说，区块链架构提供了不必依赖中间人而是通过共识达成信任的能力。它可以解决很多问题，但并不能解决所有问题。他说：“企业调查区块链时可能在这方面出错。人们认为这是一个很好的解决办法，人为地给它找一些问题。从技术角度来看，这是一个危险的阶段。”

来源：计算机世界

标签：区块链加密货币比特币区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势加密货币是什么意思啊加密货币市场还有未来吗知乎全球十大加密货币比特币中国官网联系方式40亿比特币能提现吗

聚币热门资讯