区块链:区块链技术存安全隐患，亟待行业规范出台

转自：链新

作者：冯铭

10月19日，国家标准《信息安全技术区块链信息服务安全规范》研制启动会召开。本次启动会旨在落实相关工作要求，推动《安全规范》标准的编制工作，中国科学院信息工程研究所将负责组织实施标准的编制、推进等工作。

“《安全规范》标准的制定和出台，对于区块链行业整体发展上有着很好的推动和促进作用；对于部分非法觊觎者和短期利益者，也有着较强的震慑作用；对于行业标准化、规范化的发展，有着很好的敦促和指引作用。”字节互链ByteLinkCEO杜超向《链新》表示。

技术安全存隐患

“区块链究竟安不安全，这个问题是仁者见仁智者见智。”佰链荟创始人、中国区块链应用研究中心研究员辛泓睿向《链新》表示。

辛泓睿认为，区块链安全主要涉及两大类：一是区块链＋产业生态的安全；二是区块链＋政务。区块链安全主要内容包括：技术安全，例如智能合约以及虚拟机的安全、密码学与网络安全、存储安全等；应用安全，例如金融安全、审计安全等；以及监管安全等安全性要求。

NTT、FATH Mechatronics与peaq合作利用区块链等技术创建数据中心安全解决方案:德国区块链即服务（BaaS）提供商Advanced Blockchain AG宣布，peaq正与NTT全球数据中心EMEA和FATH Mechanonics合作，为NTT的数据中心提供创新的安全解决方案。NTT全球数据中心EMEA将FATH Mechanonics和peaq结合在一起，为数据中心创建并集成了一个创新的访问控制解决方案。该解决方案将FATH的物联网硬件与peaq基于区块链的访问控制软件相结合，后者是一种权限和访问控制系统，利用区块链提高网络安全并优化访问管理流程。（DGAP.DE）[2020/12/10 14:49:33]

2016年6月17日，区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太坊资产被分离出TheDAO资产池。2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊被盗,共价值3000万美元。这些上亿元的安全损失只是因为一行代码引起的。

雄安区块链实验室相关负责人：用区块链做好信息技术领域安全问题和城市治理:雄安区块链实验室相关负责人表示，雄安区块链实验室发展目标有3个方面：成为区块链研究与应用新高地，在区块链自主可控技术研究、区块链与其他技术的融合创新、区块链在城市管理运行、生活服务各个场景的应用，雄安区块链实验室都有所领先和有所超越；打造开放的前沿创新基地，向全社会开放、向全球开放、向前沿智慧类技术开放、向创新人才开放、向创新思想开放、向创新实践开放；探索实验室经济新模式，发展创业孵化、技术转移转化、技术咨询、政策咨询、知识产权综合运用、测试评估认证等科技服务，充分发挥知识溢出效应。该负责人表示，将进一步完善区块链技术，围绕雄安建设新型智能城市、为全国树立典范的目标，做好数字城市基础建设。具体来说，要做好区块链数据生态，包括确权、共享、交易等，用区块链技术做好信息技术领域的安全问题和城市治理。（河北新闻网）[2020/6/16]

“从技术角度来讲，区块链面临的安全问题，既来自于区块链本身，也有其他技术发展产生的潜在威胁。”比特大学联合创始人、副校长王继尧向《链新》表示。

声音 | 迪拜数字集装箱航运协会COO：建议港口、集装箱等合作部署区块链系统:迪拜数字集装箱航运协会（Digital Container Shipping Association）首席运营官Henning Schleyerbach在该国的海事议程会议上表示，建议港口、码头运营商和集装箱船东合作部署区块链系统，以改善透明度、安全性和供应链。多方共同努力，采用区块链、物联网和人工智能技术，将简化国际集装箱运输流程。（Riviera Maritime Media）[2019/9/24]

据王继尧分析，以较为重视安全维度的公链系统自身来讲，目前公认较为安全的是比特币网，运行超过十年年没有遇到较严重的安全问题，主要原因是其在脚本上限制了开发拓展性，且节点数量相对较多，保证了链的安全稳定。

相比之下，可编程的区块链系统及其链上应用，在编程过程中难免产生漏洞，如近期以太坊上的一些DEFI项目，由于部分合约未经审计以致漏洞未被发现，导致项目不得不暂停运行。

动态 | 三家区块链企业入围理查德布兰森极限技术挑战前十:据dailyhodl报道，在第五届世界最大规模的创业公司竞赛——查德布兰森极限技术挑战（Richard Branson’s Extreme Tech Challenge ）中，三家区块链企业入围前十，它们分别是澳大利亚公司Liven和Power Ledger、瑞士公司BitLumens。这十家公司将在1月进行下一场比赛，决出前三，然后于明年4月决出最后胜利者。[2018/11/22]

“近年来，区块链安全方面，绝大多数的问题还是黑客攻击，另外也出现过信息和隐私泄漏风险；数字加密资产领域出现较多的道德风险以及潜在的非法信息和资金传递风险。”杜超向《链新》表示。

杜超认为，黑客攻击和开发者的道德风险，一定程度上可以通过技术发展以及逐渐健全、合规的代码审计机制有所控制；而信息和隐私泄漏以及使用者道德风险，一定程度上可以通过风险意识教育进行部分规避。

动态 | IDC支出指南显示 到2022年欧洲区块链支出将增长到35亿美元:7月24日消息，根据IDC新的全球半年度区块链支出指南，欧洲将成为区块链技术的第二大投资者。2017 – 2022年的复合年增长率（CAGR）为80.2％，欧洲将把支出从2018年的约4亿美元增加到2022年的35亿美元，缩小与最大的区块链投资者美国的差距。

“欧洲市场的灵活性不如其他地区，而且在业务规模方面也更加分散，”IDC 客户洞察与分析高级研究分析师Carla La Croce表示。“尽管如此，正如IDC已经强调的那样，2018年仍然是区块链的一年，欧洲公司在增加投资的支持下表现出越来越大的兴趣。公司认识到该技术的重要性，并开始探索如何在其业务中部署。”[2018/7/24]

“归根结底，这几块的风险会持续存在。其中对公共安全有较大潜在危害的‘非法信息和资金传递’风险，比较复杂且难以侦测，但有可能造成极为严重的危害，比如：极端组织非法信息传递以及跨境等。”

寻找解决方案

“区块链的安全问题是区块链技术的核心命题，有效解决安全问题将很大程度助力区块链发展。”王继尧说。

“正如DEFI的去中心化金融给未来金融提供了很多解决方案参考一样，对于目前产生的各种区块链漏洞，同样可以进行分类定级，建立一些常见的漏洞及安全识别体系，这有助于提升行业整体安全识别水平。”

王继尧认为，从技术手段上，通过建立可信的代码审计体系，可以一定程度上避免安全漏洞。整体而言，区块链的安全相关细则制定，需要涵盖公链、联盟链、智能合约及链上应用，这是一个长久的过程，需要建立标准细则、完善体系等，“现在相关安全细则已经着手制定，这是一个好的开始。”

与此同时，也需要建立项目、公司、个人用户的安全意识。“比如，用户不去参与未经代码审计的项目，这就会倒逼项目或企业完成代码的安全审计。再比如，一些设计BAAS服务类的平台，对于用户构建的技术模块，也应该考虑像以太坊网络一样，嵌入一个代码漏洞识别与审计功能，提升平台整体安全质量。这既需要商业机制的倒逼，也需要行业广泛宣传。”王继尧强调。

“当前区块链技术在各场景应用的过程中，主要存在密钥泄露、账号盗用、DDoS攻击、协议漏洞、合约漏洞、应用软件漏洞等安全隐患。”辛泓睿认为，可结合场景特点，从物理设施、区块链底层协议、应用层面针对性展开安全风险防范，开展代码审计工作，部分法规代码化，内置于区块链系统，打造符合国家安全要求的自主可控的区块链平台和应用。

“安全永远是人们最关心的问题，计算网络的安全性风险都可以通过技术来解决，来自用户钱密钥泄露、账号盗用的安全主要通过提高用户的安全意识，加强自我防范来实现。”辛泓睿表示。

目前，在高效低能耗、安全与去中心化这几个主要设计目标上，区块链技术存在“不可能三角”。如果选择去中心化和高效低能耗，则要牺牲安全性，特别是在金融领域，几乎可以一票否决；如果选择去中心化和安全，舍弃高效低能耗，必然导致交易模式和场景的极大压缩，几乎是在所有主流业务上的全面撤退；最后，如果选择高效低能耗与安全性，又极大损害了区块链的预期发展前景。

“目前市场上相关企业掌握的区块链技术，没有太大差异，区块链应用需要解决的是基础理论上的问题，这是政府部门、科研机构牵头承担的任务。”辛泓睿表示。

期待标准出台

“行业开始着手研究制定《安全规范》，恰恰体现了行业的蓬勃发展，并向着产业化、正规化方向迈进，这是我们喜闻乐见的。将对行业的安全防护、代码审计相关的项目和公司有比较好的促进作用。”王继尧表示。当下中国区块链产业处于高速发展阶段，国内主流金融机构、科技企业等纷纷加快区块链应用投入，区块链技术的应用领域从最初的金融逐步拓展到政务服务、供应链管理、工业制造等多个方面，新应用、新业态正在快速落地。

“区块链当前不成熟，但有发展潜力。”辛泓睿认为，虽然区块链行业总体仍处于发展早期，很多人研究区块链底层技术，但到一定程度就很难有进展，需要有实际应用场景拉动。“现在区块链应用落地项目，依然是一个痛点。要防范打击，否则这些行为容易影响行业的发展和声誉。同时，要鼓励技术研究，踏踏实实做技术，不要天天炒概念。区块链相对来说还是比较好管理，以链管链，以技术管技术。”

鉴于当前的技术缺陷，在区块链应用落地项目中，王继尧认为，应该“强化代码审计，产业端联盟链或开放联盟链，完善自主核心关键技术，尽量采用完全自主研发的技术架构，并制定相应标准。”

杜超建议，重视区块链行业监察、监管，建立有效的、快速的、多部门多层级共同协调的工作机制；加速推动密码学和隐私保护等技术的发展和研究；逐步建立、健全有法律法规基础的代码审查、备案机制；加大从业者普法以及行业自律教育。

“《安全规范》标准的制定，将解决好监管的问题，有助于保障区块链产业的健康发展。”辛泓睿认为，国家标准《安全规范》制定，将有利于研究区块链信息服务安全风险，提出安全要求和测试评估方法，指导区块链信息服务提供者开展安全建设和安全评估，进一步推进‘互联网+信用’监管，利用区块链、大数据、人工智能等技术手段，加强对行业和个人的信用信息的归集共享和分析应用，为数字人民币的开发提供支持，同时将推动云计算、物联网、区块链、5G等新一代信息技术与智慧信息系统的融合升级。

标签：区块链CHAATH以太坊区块链域名价格排行blockchain安全吗MATH以太坊价格

波场热门资讯