網絡安全領域最熱門的話題之一就是企業區塊鏈。它采用了與比特幣一樣的加密貨幣技術。簡單地說,區塊鏈是對等各方共享的交易或者合同的列表,并被一些巧妙的密碼鎖定。不同于比特幣的是,區塊鏈能夠確保供應鏈的完整性,管理合同,甚至可以作為金融交易的平臺。
它在加密貨幣領域的普及,以及應用了密碼學及其分布式特性,向其支持者們表明,區塊鏈是我們當前很多網絡安全問題的解決方案。例如,Akamai目前正在構建一個用于在線支付的區塊鏈網絡。Akamai實驗室副總裁兼首席技術官AndyChampagne說:“區塊鏈本身就是一種安全技術。它確實是以安全原則為基礎的。”
Champagne說,關于比特幣交易遭黑客入侵的新聞一般與開放的、公共的網絡有關。在這些網絡中,任何人都可以建立一個節點,但企業區塊鏈項目與公共網絡的不同。他說:“企業區塊鏈通常是需要獲得許可的區塊鏈。有一組節點,但節點是私有的,并且通過一組安全周界來限制企業中各類人員對這些節點的訪問。”
Kudelski安全公司的首席技術官AndrewHoward證實說,這不僅僅是炒作。即使它不是靈丹妙藥,區塊鏈的好處也是實實在在的,這一技術還會繼續發展下去。他說:“理論上,基本概念是非常抗攻擊的。從學術角度來看,區塊鏈很有意義。如果實施得當,它們很難被攻擊。”
中央企業區塊鏈合作創新平臺:申請區塊鏈核心專利1200多項:10月24日消息,由國務院國資委科創局指導,中國產學研合作促進會支持,20余家中央企業聯合發起的中央企業區塊鏈合作創新平臺迎來成立一周年紀念日。過去一年間,中央企業區塊鏈合作創新平臺在科技創新方面,國家電網、中國電子等累計申請區塊鏈核心專利1200多項,國家電網立項全球首個“區塊鏈+碳交易”國際標準。在基礎設施建設方面,國家電網建設了“國網鏈”,中國電信建設了“CT-Chain”,中國聯通建設了“聯通鏈”,中國移動建設了“CMBaaS”,中國寶武建設了“歐冶鏈”,中國中車建設了“中企云鏈”。在場景應用方面,國家電網、航天科工、中國遠洋海運、招商局集團、華潤集團、中交集團等分別在綠色電力交易、疫苗追溯、進口放貨、跨國貿易物流、積分權益、智慧交通等場景實現應用落地。(中央企業區塊鏈合作創新平臺)[2021/10/24 6:10:20]
雖然區塊鏈可能是黑客難以攻擊的目標,但也并非無懈可擊。很多安全專家警告說,區塊鏈的實施使企業面臨需要盡快重視起來的各種各樣的風險。
加密貨幣犯罪是大買賣
目前還沒有任何針對企業區塊鏈項目的網絡攻擊報道,但這主要是因為該技術仍處于開發或者試點階段。對公共區塊鏈項目的攻擊已經非常常見了。
報告:2020年是企業區塊鏈和分布式賬本技術領域增長的重要一年:美國市場研究公司Forrester最近發布了2021年區塊鏈的預測。該報告指出2020年是企業區塊鏈和分布式賬本技術領域增長的重要一年。Forrester的首席分析師、該報告的合著者Martha Bennet表示,該公司對區塊鏈的預測是基于顯示明確變化的拐點,而不是趨勢的延續。例如,該報告預測,全球30%的項目將在明年投產。這在一定程度上是由于COVID-19大流行的影響。據Bennet稱,如今許多基于區塊鏈的系統都有一個共同點,即解決差異所需的時間更短。在某些情況下,這甚至可以是即時的。Bennet指出,這一共同因素適用于供應鏈用例以及金融服務。(Cointelegraph)[2020/11/7 11:56:10]
據CarbonBlack公司稱,今年上半年,黑客們竊取了價值11億美元的加密貨幣。CarbonBlack的安全策略師RickMcElroy說:“隨著網絡犯罪的增長,編寫惡意代碼的個人也越來越多了,而暗網為他們提供了完美的市場銷售渠道。”犯罪分子從這些攻擊中獲得經驗,并利用在地下擴散的工具,這些都可以用在企業攻擊犯罪活動中。
McElroy補充說,很多加密貨幣攻擊都不是針對核心區塊鏈技術的。相反,犯罪分子瞄準的是缺乏安全保障的交易以及個人和企業,他們沒有很好地保護好自己的錢包。他們還發起了中間人攻擊,將加密貨幣交易轉移到他們自己的錢包中。
律師觀點:企業區塊鏈需要建立清晰的治理結構避免不確定性:全球律師事務所DLA Piper合伙人Mark Radcliffe認為,區塊鏈這個行業很吸引對權威持懷疑態度、高度個人主義的人。然而,他相信協作框架對于區塊鏈實現和代幣化的成功至關重要,就像開源軟件一樣。他表示,如果企業正在考慮利用區塊鏈來提高業務效率,那么設計一個風險和規則明確的治理結構以避免新技術的不確定性是很重要的。(Cointelegraph)[2020/7/27]
在McAfee最近關于區塊鏈安全的報告中,很多這類問題都與最終用戶的安全或者實施問題有關,而與區塊鏈加密協議本身無關。企業項目也可能有實施問題,即使他們的被攻擊面范圍沒有公開暴露的那么大。McElroy說:“對于任何想采用區塊鏈的企業來說,他們首先應該權衡實施的好處和成本,以及應用新技術的風險。”
考慮到這一點,以下列出了5個最大的區塊鏈安全風險:
1.進入區塊鏈交易時發生人為錯誤
在某些方面,企業區塊鏈可能比公共區塊鏈更脆弱。廣為宣傳的區塊鏈的一個好處是非常有彈性的大規模分布式對等網絡。如果一個節點宕機了,系統會繞過它,這樣就不會有故障點。如果有一個參與方想偷偷地把一筆不正當的交易記入到賬本中,但是在其他成員保持誠實的情形下,這是不可能發生的。但如果有人犯了“誠實的”錯誤呢?
現場 | 百度區塊鏈劉堯:區塊鏈已發展到企業區塊鏈范式 需要融合ABC+IOT+5G:金色財經現場報道,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯在會上表示,區塊鏈已從分布式記賬和加密貨幣、智能合約和場景公鏈等獨立技術范式發展到企業業務+區塊鏈等企業區塊鏈的融合范式。企業區塊鏈的主要特征包括5點:1.分布式信任;2.安全、隱私;3.公平、協作;4.聯盟化治理;5.商業的閉環。區塊鏈不能再單打獨斗,技術上需要和其它技術相結合,從單鏈到系統,成為整個系統的一部分。他還表示,融合ABC+IOT+5G的區塊鏈工程平臺是產業落地的基礎設施。[2019/12/20]
Sophos的首席研究科學家ChetWisniewski指出:“去中心化的好處是,如果沒有共識,就不能更改。因此,當加密貨幣交易出現了錯誤時,交易各方是無法撤銷它的,因為沒有中心的權威機構。如果你丟失了自己錢包的密碼,那它就永遠消失了。而在企業領域,這樣的情況極少會發生。”
當區塊鏈加密可以防止用戶改變歷史賬本時,系統通常被設置為參與方能夠添加新條目。對于企業項目,參與方通常是可信的伙伴,而不是隨機的公眾成員。High-TechBridgeSA公司的首席執行官IliaKolochenko說:“如果受信任方被攻破了,那么區塊鏈的安全性就不存在了。”
動態 | 研究報告:90%的企業區塊鏈平臺需要在18個月內更換以保持競爭力:據Information-age報道,研究機構Gartner在報告中表示,到2021年,目前90%的企業區塊鏈平臺實現將需要在18個月內更換,以保持競爭力、安全性和避免被淘汰。區塊鏈平臺是新興的平臺,在某些情況下,它與核心區塊鏈技術幾乎沒有什么區別。許多首席信息官高估了區塊鏈作為一種技術幫助其實現業務目標的能力和短期利益,因此在評估區塊鏈平臺供應商和服務提供商的產品時產生了不切實際的期望。[2019/6/3]
2.51%攻擊
更糟糕的是,如果網絡的大部分被攻破了,會怎樣呢?那么,攻擊者會造成很大的損失。這就是51%攻擊背后的理念。一名惡意的犯罪分子或者犯罪分子集團控制了系統中的大部分節點后,會強迫每個人都服從他們的意愿。
對于比特幣,這是很難做到的,因為網絡上有這么多的參與方。小規模的加密貨幣比較容易被攻擊,例如比特幣黃金。今年5月,攻擊者采用51%攻擊,獲得了價值1800萬美元的加密貨幣。企業區塊鏈項目的參與方通常比公共加密貨幣平臺的參與方少得多。ForeScout新興技術副總裁RobMcNutt說:“網絡規模越小,被攻破的節點數量就越少。如果一家銀行正在推出區塊鏈來處理交易,那么節點的數量將遠遠少于公共網絡,因此可能被攻破的設備數量要少得多。”
企業部署可能更為同質化,因此,如果在一個節點中發現漏洞,則可以利用這一漏洞來攻擊所有其他節點。McNutt說:“在公共領域,人們下載不同的挖礦軟件,配置也各不相同。”
3.區塊鏈實施錯誤
區塊鏈項目漏洞的另一個重要來源是,該技術是如此新穎以至于實施時容易出現錯誤。甚至核心區塊鏈加密技術也有問題。Wisniewski說,算法在數學上可能是正確的,但具體的軟件版本可能不是。
Wisniewski評論說:“如果你不能理解基礎數學,那你基本上就是下載了一個盒子,上面寫著‘魔術’,但不知道它能干什么用。我們在開源領域看到過很多次這種情況,人們依靠第三方的庫來處理這些事情,有人進入了Github并切換了代碼,六個月內都沒有人注意到。”
還有一個事實,即區塊鏈技術是如此新穎,Wisniewski說,“以至于根本不知道哪些錯誤不會發生。”他還補充說,“我們還需要正確地管理區塊鏈部署時的所有加密密鑰。很多企業甚至無法正確地管理他們的網站證書。”
企業區塊鏈也會像其他技術項目一樣,很容易受到很多相同攻擊載體的攻擊。CAVeracode的首席技術官兼聯合創始人ChrisWysopal介紹說,以網絡釣魚和欺詐為例。他說,他還沒有看到有針對企業區塊鏈的此類攻擊,這是因為在生產過程中很少有這樣的攻擊。這些攻擊在公共項目中是很常見的。他說:“我們看到了很多這類攻擊,有人假裝是收件人,攔截或者黑掉網頁,從而攔截交易。這不一定是加密貨幣,它可以是任何其他類型的交易。”
推出區塊鏈項目的企業應確定自己具備所有的基本知識,包括使用最新、最安全的軟件開發和審查過程,確保采用了多重身份驗證手段,并鎖定網站以防止網絡攻擊。弗吉尼亞州的網絡安全公司Merlin國際的工程副總裁TejLuthra介紹說:“如果他們對跨站點腳本很敏感,那么不管是私有還是公眾的都無所謂。所有那些在網絡安全領域普遍存在的攻擊,區塊鏈也容易受到這類攻擊。”
4.被攻破的智能合同
2016年,去中心化自治組織(DAO)使用以太坊平臺推出了基于區塊鏈的投資基金,這是一種區塊鏈版本,可以存儲智能合同而不僅僅是簡單的貨幣交易。據Gartner說,黑客們能夠使用智能合同,從系統中抽取出價值1.5億美元的以太幣。
Reason軟件的創始人兼首席執行官AndrewNewman說:“DAO案例已經成為一個典型的例子,讓我們記住,僅僅因為區塊鏈的某些原因而使用區塊鏈,并不意味著它本身就是安全的。”
現在,每個人都想使用區塊鏈。他說:“人們的想法是,利用對等分布式賬本模型,那么在其上實現的所有其他東西也將是安全的。顯然,這是一個錯誤的假設。實施起來未必能像它們所承諾的那樣安全和不出問題。”
智能合同對企業具有吸引力。它們在條件滿足時會自動執行,不能被拒絕。這也意味著要解決問題、糾正錯誤和反欺詐是極其困難的。例如,在編寫合同時很容易出現意外,所要求的條件會永遠不能滿足,也有可能交貨地址是錯誤的。
如果出現這類情況,錢就會被永遠鎖在區塊鏈里。同樣,這不是一個理論問題。去年秋天,有人不小心鎖定了多方以太坊合同,造成了3億多美元的損失。
5.利用未檢測到的區塊鏈漏洞
目前,公共加密貨幣交易在區塊鏈生態系統中是最容易實現的。錢很充足,很容易得到,被抓住的幾率也很低。英特爾安全副總裁兼首席技術官RajSamani表示:“犯罪團伙瞄準的是能夠獲得最大投資回報的領域。”
近期情況可能就是如此。McAfee公司高級威脅研究負責人StevePovolny說:“這一行業現在太新了,以至于我們甚至沒有一個平臺來發現并報告與非加密貨幣相關的區塊鏈漏洞。”他說,大約有50家大公司表示,他們正在投資、收購或者實施區塊鏈技術。“我認為,我們在一段時間內不會真的看到有產品推出。”
這將隨著企業項目的上線而改變,這些項目涉及大量的資金,需要關鍵的基礎設施或者業務流程,涉及和軍事敏感信息。拉斯維加斯一家專門從事智能合同審查的初創公司HoSoo的創始人兼首席執行官YoSubKwon說:“這對于每個人來說都將是漫長的學習過程。最先進入區塊鏈的大公司將首先有所體驗,并從中吸取教訓。”
沒有準備好迎接黃金時期
Verodin的行為研究部門負責人JamesLerud表示,目前,商業領域的區塊鏈是問題的解決方案。他說:“最大的風險來自于想用區塊鏈解決問題的心態——讓我們盡快地部署一些東西。但這不是什么高招。”
Lerud說,區塊鏈架構提供了不必依賴中間人而是通過共識達成信任的能力。它可以解決很多問題,但并不能解決所有問題。他說:“企業調查區塊鏈時可能在這方面出錯。人們認為這是一個很好的解決辦法,人為地給它找一些問題。從技術角度來看,這是一個危險的階段。”
來源:計算機世界
Tags:區塊鏈加密貨幣比特幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣比特幣中國官網聯系方式40億比特幣能提現嗎
幣圈擎天:BTC4小時K線完成頭肩底反轉關鍵看量價能否持續本周幣世界研究院分析師擎天認為:4小時K線圖中,BTC以頭肩底反轉形式擴大漲幅,究其原因,持續不斷的脈沖放量提示多空爭奪激烈.
1900/1/1 0:00:00文|《核財經》主筆尹謙 當持久的熊市疊加監管風暴,數字貨幣市場哀鴻遍野。山寨幣歸零、ICO退場,政府對數字幣的“圍剿”成效卓著。然而,與嚴密監管同時呈現的,是各地政府對區塊鏈技術發展的熱情支持.
1900/1/1 0:00:002008年,蘋果公司市值尚未突破萬億美元,喬布斯依然主政蘋果,不過卻停售了第一代iPhone,官方原因是價格過高.
1900/1/1 0:00:00周末,新發行的ARB代幣成為Arbitrum加密貨幣社區恐慌電話和FUD的主題,因為持有者推測Arbitrum基金會最近出售了大量代幣.
1900/1/1 0:00:00btc短時上漲150點以上,說明晚上多軍準備上攻,經過今天白天一整天的盤整,看著要跌卻跌不下去,說明空軍動量不足,多軍占優勢地位,目前7600附近,今晚有望探7800以上.
1900/1/1 0:00:00有機構把北上深杭列為中國區塊鏈四大核心城市。這個排名是否權威我不清楚,但在如今的上海,要想參加一個不提及區塊鏈的飯局,已經相當有難度.
1900/1/1 0:00:00