加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

金色薦讀 | 區塊鏈的安全 誰來保障?_區塊鏈:數字資產

Author:

Time:1900/1/1 0:00:00

近幾年,區塊鏈技術的發展非常迅猛,安全形勢也越來越嚴峻,僅安全事件導致的直接經濟損失就高達幾十億美元,給行業帶來了巨大的經濟損失和慘痛的教訓。由于區塊鏈技術是一個分布式的共享賬本和數據庫,具有去中心化、不可篡改、全程留痕、可以追溯、共同維護、公開透明等特點,為信任奠定了基礎。但區塊鏈技術存在的安全風險和技術特點也給廣泛應用及安全監管帶來了諸多挑戰,隨著區塊鏈商業落地,安全需求也變得十分緊迫。可以說,安全是區塊鏈的“立身之本”, 是區塊鏈落地的第一要素!

中國政府將區塊鏈視為構建未來智能城市的下一代關鍵IT 基礎設施,將5G 鏈接的加密安全數據庫連接到可擴展的云和數據管理基礎設施,以便大數據/AI 分析能夠高效地在上面運行

根據中國公司信息門戶網站,在中國運營的區塊鏈業務超過37000家. 僅在過去一年中,就有超過三分之一的實體注冊

世界知識產權組織(WIPO)數據顯示,2019年10月,中國區塊鏈相關專利申請達到1.3萬件,占全球專利申請總量的53%以上

中國央行已就數字貨幣DC/EP申請了84項專利

中國人民銀行DCEP在4個主要城市進行試點,在連鎖店星巴克、賽百味和麥當勞等19家當地企業進行試點

中國人民銀行《金融分布式賬本技術安全規范》

中國人民銀行于2020年2月發布了《金融分布式賬本技術安全規范》(JR/T 0184-2020),這份長達35頁的規范文件闡述了安全要求的各個方面,規定了金融分布式賬本技術的安全體系,包括:基礎硬件、基礎軟件、密碼算法、節點通信、賬本數據、共識協議、智能合約、身份管理、隱私保護、監管支撐、運維要求和治理機制等方面。

大中華區云安全聯盟(CSA GCR)區塊鏈安全工作組

國際著名非贏利組織云安全聯盟大中華區CSA GCR(www.c-csa.cn)成立了專門的區塊鏈/分布式賬本技術工作組,專注于區塊鏈安全(利用最新的安全技術,保障區塊鏈的安全和隱私保護)和區塊鏈技術在網絡信息安全的應用(使用區塊鏈和分布式賬本技術提高網絡信息的安全性),工作組整合國內外的先進經驗及實踐,建立和發展區塊鏈安全指南、最佳實踐以及測試標準等,并發布相應的白皮書、評測規范和檢查清單等,希望幫助廣大的區塊鏈從業者和關注區塊鏈安全的人們,以及改進區塊鏈和網絡信息的安全性。

金色晚報 | 5月3日晚間重要動態一覽:12:00-21:00關鍵詞:Bakkt、MakerDAO、CME、海南“自由港”

1. MakerDAO新增WBTC作為Dai抵押品。

2. Compound關于“改變cDAI利率模型”提案已通過。

3. 數據:CME的未平倉合約增長了216.8%.

4. 數據:本周Bakkt比特幣月度期貨交易額增加44%,達9300萬美元。

5. 觀點:海南“自由港”單獨立法或提升區塊鏈和金融科技投資機會。

6. 摩根溪創始人:BTC每日價格并不重要,因為其基本面正持續增強。

7. 數據:比特幣平均交易費用已達10個月來最高水平。

8. 分析師:5個技術和基本面因素顯示,比特幣漲勢才剛剛開始。[2020/5/3]

區塊鏈安全:CSA GCR目前有9個區塊鏈安全工作組(https://www.c-csa.cn/),包括智能合約安全、錢包安全、共識算法安全、交易所安全、dApp安全、用戶自治數字身份、網路通訊層安全、數據層的安全、合規KYC/AML 等,未來還會根據需要增加其它相關工作組(如Token經濟激勵安全,治理DAO安全等)。每個工作組都由一位知名的專家領導,共有100多名網絡信息安全專家和區塊鏈安全專家在各個小組工作。

區塊鏈技術在網絡信息安全領域的應用:此外,還有可以將區塊鏈和分布式賬本技術應用于傳統網絡信息安全領域,以改進和完善傳統網絡信息安全(如抗DDOS、身份管理、數據安全和隱私保護、防范盜版及權限管控等),也由其它工作組(如IAM工作組、數據/大數據安全工作組、零信任/SDP工作組、IOT工作組、云/邊緣計算工作組、智慧城市安全工作組、AI安全工作組等),與區塊鏈安全工作組一起協作進行。

OWAS的中國區列出區塊鏈安全十大問題

OWASP中國收集、整理和分析了2011年至2019年間160多個典型區塊鏈安全事件,給出了區塊鏈安全TOP10:

高級可持續威脅

失控的幣值通脹

金色財經挖礦數據播報 | BSV今日全網算力下降1.58%:金色財經報道,據蜘蛛礦池數據顯示:

ETH全網算力175.460TH/s,挖礦難度2204.09T,目前區塊高度9763621,理論收益0.00788891/100MH/天。

BTC全網算力98.849EH/s,挖礦難度13.91T,目前區塊高度623391,理論收益0.00001807/T/天。

BSV全網算力2.428EH/s,挖礦難度0.37T,目前區塊高度628262,理論收益0.00074145/T/天。[2020/3/29]

失效的權限控制

不安全的共識協議

考慮不充分的程序邏輯

不嚴謹的業務策略

校驗不嚴格的交易邏輯

脆弱的隨機數機制

存在缺陷的激勵機制

日志記錄和監控不足

http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10

國內部分區塊鏈安全公司

目前一些中國的區塊鏈安全公司,在過去的幾年里,也發表了許多安全事件報告和分析:

https://www.knownsec.com/

https://www.slowmist.com/and https://slowmist.io/

https://secbit.io/

https://peckshield.cn/

https://beosin.com/#/

https://noneage.com/

區塊鏈安全技術書籍

2018年機械工業出版社出版的<<區塊鏈安全技術指南>>一書,對區塊鏈技術潛在風險的進行詳盡細致的分析:不僅包括區塊鏈技術本身帶來的風險(比如加密技術、身份管理技術、共識技術,以及“智能合約”技術可能涉及的風險),還包括區塊鏈應用方面的風險(例如激勵機制、數據安全和網絡安全等方面可能面臨的風險)。有對區塊鏈技術各種安全機制的深度解剖,還有區塊鏈應用遭受攻擊的案例分析。理論與實際結合,對潛在風險的預期和評估置于現實背景之下。

金色晚報 | 3月17日晚間重要動態一覽:12:00-21:00關鍵詞:USDT增發、韓國FSC、區塊鏈、比特幣

1. 韓國金融服務委員會(FSC)正與當地加密公司合作啟動《特殊金融信息法》。

2. 人民日報數字傳播FINTECH聯合金色財經推出“戰疫有我丨區塊鏈在行動”公益活動。

3. 佛羅里達州法官Bruce Reinhart裁定CSW只需支付約16.58萬美元訴訟費用。

4. 人民網:區塊鏈為復工復產注入新信心

5. Tether昨日增發1.7億枚USDT。

6. 比特幣入選《財富》雜志“現代百大最佳設計產品”。

7. 美國首家“加密銀行”任命五名新高管。

8. 湖南邵陽“虛擬貨幣”詐騙案宣判推廣人獲刑八年。

9. 總部位于新加坡的加密衍生品交易所Phemex推出黃金和美元交易對 以對沖BTC波動。[2020/3/18]

第1章詳解區塊鏈的安全屬性CIA,主要從保密性、數據完整性、可用性、物理安全性4個方面對區塊鏈的安全屬性進行詳解。

第2章特意挑選了一些主流數字貨幣(包括比特幣、以太幣和Zcash),對其安全屬性進行分析。

第3章為應用與智能合約層的安全控制。主要從Web或者移動客戶端應用程序、智能合約,以及身份與訪問控制3個方面對安全問題以及區塊鏈的身份管理與訪問控制進行了分析。

第4章為激勵層安全機制設計。從激勵的產生和分配以及激勵層安全兩方面進行了分析,并從激勵模式的安全隱患、安全事件、法律風險以及安全措施等方面,對激勵層安全進行了分析,以及如何設計才能有效避免區塊鏈激勵層安全事件的發生。

第5章為網絡層安全與控制。網絡層的安全與控制直接影響區塊鏈的價值,從P2P加密、客戶端與節點通信加密、防御DDoS等攻擊3個方面進行了分析,描述了網絡層安全與控制等的相關安全內容。

第6章為數據層與共識安全。數據層是區塊鏈設計的基礎部分,是影響區塊鏈能否正常運行的關鍵。對區塊鏈數據加密技術、數據傳輸、區塊鏈交易簽名、共識攻擊、區塊鏈安全性考慮5個方面進行分析,闡述了數據層安全的知識以及保障區塊鏈的正常運行的價值。

金色相對論 | 劉昌用:巨頭企業所進行的區塊鏈實踐能夠為高校區塊鏈提供非常有價值的實踐基礎:在今日的金色相對論中,針對“高校區塊鏈教育目前應該涵蓋哪些范疇,與巨頭企業的聯合會帶來哪些促進作用”的問題,知密大學發起人,北京大學經濟學博士劉昌用表示,區塊鏈是一個綜合性的創新,高校教育也應該適應這種綜合性,提供多方面的教育內容。在我看來,目前主要需要一下5個方面:一是通識課程。即能夠簡單通俗地讓不同專業的學生大致了解區塊鏈的歷史背景、基本特征、基本原理、應用方向和發展現狀等等。解決學生的入門需求。二是基礎課程。這是為進一步的專業化教育奠定理論基礎的課程,重點應該是對應用密碼學、點對點網絡系統、共識機制等方面的基本原理的深入講解。三是開發課程。面向區塊鏈應用的開發,讓學生能夠學習如何針對不同的應用場景和應用邏輯開發相應的區塊鏈系統。四是經濟課程。研究和解釋區塊鏈的經濟原理,區塊鏈系統中的經濟關系,各種區塊鏈應用的經濟影響,等等。五是法律課程。研究區塊鏈在社會經濟各領域的應用帶來的法律問題。目前看,這五個方面都是急需的。隨著相關實踐的深入發展,還會深入到學、社會學、哲學等其他領域,這些可以隨著經驗和研究力量的積累,慢慢推進。巨頭企業所進行的區塊鏈實踐能夠為高校區塊鏈提供非常有價值的實踐基礎,防止高校區塊鏈研究和教育脫離現實,過早地走向純學術。[2019/9/12]

第7章為私鑰的安全。從私鑰的重要性、使用方法、存在的問題等多個方面對私鑰的安全進行了全面的分析,給出任何使用私鑰才能有效避免安全問題的出現以及私鑰的更新、找回與吊銷等方法和措施,提高區塊鏈的安全性。

區塊鏈的安全包括下面幾個方面:

智能合約安全

智能合約承載有價值的數字資產是黑客主要攻擊目標。黑客通過“重入攻擊”、“整數溢出”、“偽隨機數漏洞”等方式盜取數字資產。新的攻擊方法也層出不窮。對于智能合約的案例進行分析,制定測試標準,探索形式化證明在智能合約安全的應用,和智能合約安全的最佳實踐進行研究非常重要。

金色財經獨家分析 谷歌:大數據區塊鏈一相逢 便勝卻人間無數:日前消息谷歌提交新的區塊鏈技術保護用戶數據安全性,與各大巨頭一道爭相布局區塊鏈,在谷歌chrome瀏覽器也十分歡迎非挖礦功能的區塊鏈擴展應用。今日三位杰出的前谷歌成員還組建了xGoogler區塊鏈藍面,為感興趣的辛勞谷歌員工建立了新社區,谷歌在互聯網時代的上一站實現了巨大成就,同時擁抱區塊鏈也實現了與其自身優勢的“大數據”的結合,更有利于尋找大數據、人工智能與區塊鏈的結合點,尋找技術結合帶來的新“化學反應”。金色財經認為,大數據和人工智能已經很好的解決了“記什么賬”、“怎樣記賬”的問題,現在,區塊鏈解決了記賬的真實性,技術一相逢,還原了一個真正的現實世界。[2018/4/16]

錢包安全

數字錢包存儲數字資產的私鑰,包括云錢包、在線的熱錢包、離線的冷錢包等等Form Factor。安全隱患主要存在于用戶使用上和錢包的安全技術設計上。數字錢包需要分析案例、制定測試標準和開發與應用最佳實踐,提高錢包的安全性。

共識算法安全

共識算法是區塊鏈底層技術的關鍵。共識算法的安全漏洞包括遠程攻擊、無利害關系攻擊、51%攻擊、自私挖掘、Eclipse攻擊等,主要研究算法的(security)和活躍性(liveness),包括對常用的共識算法POW、POS、DPOS、BFT、POC、POA算法等的安全性研究;希望建立制定測試標準和算法開發最佳實踐,提高共識算法的安全性。

交易所安全

交易所是數字資產價格發現和價值交換的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞頻發,研究交易所安全,保護用戶數字資產安全是區塊鏈發展的必要條件之一。需要分析案例,制定測試標準和開發與應用最佳實踐,Check list 等等。

dApp安全

分析主流公共鏈上dAPP開發(以太坊、EOS、Tron等)的安全案例,提出最佳實踐、安全指南以及測試標準等,并發布相應的白皮書、評測規范和檢查清單等,希望幫助廣大的dApp從業者,提高dApp的安全性。在目前,DeFi的應用非常火,但是安全問題經常發生。主要是項目方對于安全重視不夠。

用戶自治數字身份

去中心化數字身份(DID:Decentralized ID)或者自治數字身份(SSI:Self Sovereign Identity)是區塊鏈落地應用的基礎,目前對于這方面的安全研究才剛剛開始,但具有十分重要的意義。需要研究歐盟的SSI標準、北美為主的DID標準以及元界的Avatar數字身份和EID數字身份鏈,探索安全方面的最佳實踐、安全指南以及測試標準等,并發布相應的白皮書、評測規范和檢查清單等,希望幫助廣大的DID/SSI開發者和使用者,提高其安全性。

網絡通訊層安全

區塊鏈網絡的安全運行是區塊鏈系統可靠運行的關鍵。黑客利用“日蝕攻擊”、“巫婆攻擊”、“交易溯源”等方法破壞數據完整性和系統可用性,對交易機密性進行攻擊給區塊鏈技術的落地實踐帶來了巨大的隱患。此外,基于區塊鏈可以構建一個新的安全通信系統。需要分析案例,制定測試標準,探索區塊鏈交易溯源、隱私保護、數據完整性等技術,開展基于區塊鏈網絡層的數據隱蔽通信等應用,研究5G技術對區塊鏈網絡的影響。

數據層的安全區塊鏈數據安全問題:

數據隱私保護(數據變形、數據加密、限制數據發布等)

數據可用性保護(網絡可追溯性、連通性)

數據完整性保護(雙花攻擊防御、挖掘攻擊防御)

數據可控性保護(智能合約的邏輯和語義分析、訪問控制、安全審計)等以提高區塊鏈數據安全和隱私保護。

合規(AML/KYC等技術與安全)

隨著加密數字資產價值的不斷提高,它越來越被人們所接受和使用。由于數字資產的匿名性,世界各國都在加緊對鏈上資產加密交易的監管,對KYC的需求也在不斷增加。AML/KYC工作組通過對鏈上數據的分析,討論了區塊鏈上的異常交易、識別鏈上對應地址(KYC)背后實體的方法,以及追蹤匿名數字貨幣的方法。

區塊鏈開發安全工具

利用區塊鏈的不可篡改性對于數據的完整性進行保護,包括美國的國家安全部在研究的區塊鏈數據完整性系統就是把中心化需要保護的數據的Hash(相當于數據的指紋)進行上鏈,在使用的過程中檢測數據庫里面的數據的Hash與區塊鏈上的相對應的Hash是否相同來判斷數據的完整性。

密碼學在區塊鏈的應用

零知識證明,同態加密,和安全多方計算在區塊鏈和云安全領域有非常大的應用。目前,美國斯坦福大學,伯克利分校,和美國灣區的一些初創公司非常重視這方面的研究。比如,零知識證明可以用于隱私保護,性能擴充,和跨鏈交易證明。因此各種零知識證明的優化方法層出不窮。零知識證明用于隱私保護主要是保護交易雙方的地址和具體交易的內容。零知識證明用于性能擴充,主要是利用零知識的遞歸證明減少驗證所需要的時間和內存,從而既能保證隱私,又能提高效率。在多方交易的情況下(比如供應鏈金融)安全多方計算是一個非常有用的算法。另外,同態加密意味數據可以在不被解密的情況下進行處理,處理的結果只有數據的擁有者才能解密。這個對于云安全和區塊鏈都有重大的意義。目前能夠滿足全同態加密的算法的速度還不夠,但是這方面的研究正在學術界如荼如火地進行。

公鏈和聯盟鏈安全

公鏈和聯盟鏈的主要兩個區別:公鏈不需要身份就可以進入公鏈的網絡。聯盟鏈必須經過身份或者證書的驗證才能進入聯盟的網絡。另外一個區別是共識算法。公鏈的共識算法對安全要求比較聯盟鏈的共識算法安全要高。在公鏈與聯盟鏈結合的時候需要考慮到他們之間不同的安全的要素。

跨鏈安全

跨鏈可以有同構的跨鏈和異構鏈之間的跨鏈。同構的跨鏈的安全方面較為簡單。因為同構的區塊鏈具有相同共識算法,共同的數據格式和交易確認時間。如果其中某一條鏈分叉了,另外一條鏈應該在規定的時間可以收到信息并且進行處理。但是異構鏈之間的跨鏈,如果其中某一條鏈分叉了,怎么辦?這還是一個沒有解決的問題。所以,跨鏈之間的安全是非常值得深入探討的問題。

節點配置安全

區塊鏈的共識節點決定數據的一致性問題。如果共識節點因為配置的不夠安全,遭到黑客攻擊,成為錯誤的節點。那么在這種情況之下,就有可能造成區塊鏈網絡的不安全。

運維安全及安全預算建議

區塊鏈項目在上線以前必須通過第三方的安全審計。即使在上線以后也要做定時的安全監測,因為新的安全攻擊經常發生。如果有新的智能合約或者新的應用案例上線以前,必須進行安全的檢測。在運維過程之中,需要建立一系列的工具去檢測區塊鏈網路的運行狀況,一般來說,整個區塊鏈項目10%到20%的預算必須用于安全。低于10%安全預算的區塊鏈項目基本上在上線6個月內就會有重大的安全問題發生。

區塊鏈安全與企業組織關系

一個企業如果決定利用區塊鏈部署應用落地項目,那么這個公司必須有區塊鏈安全的專職人員。公司的CEO必須對于安全負責。分析以前在國內或國外的區塊鏈安全事件,100% 都是因為公司的主要負責人(CEO)對于安全不重視,有的即使有區塊鏈安全的專職人員,因為不能得到公司的支持,不能真正發揮作用,最終還是導致安全事件發生。因此區塊鏈安全與企業組織關系必須有利于安全的技術開發和落地,也必須有利于第三方的安全審計。

隱私計算(Privacy Computing)

隱私計算是指在保護數據本身不對外泄露(隱私保護)的前提下,實現數據分析計算的一類信息技術,主要分為密碼學和可信硬件兩大領域。

密碼學中重要的技術有多方計算MPC、同態加密、零知識證明ZKP、差分混淆等。多方安全計算技術核心思想是設計特殊的加密算法和協議,從而支持在加密數據之上直接進行計算。目前MPC通過秘密分割、不經意傳輸、混淆電路或同態加密等專門技術實現,通用性相對較低、性能處于中等水平,但近年來性能提升迅速、應用價值極高。

可信硬件技術目前主要指可信執行環境(TEE),其核心思想是構建一個硬件安全區域,數據僅在該安全區域內進行計算。TEE將信任機制交給硬件方(Intel的SGX、ARM的TrustZone、AMD的SEV等產品),嚴格來講并不屬于“數據可用不可見”,但其通用性高、開發難度低,使得在數據保護要求不是特別嚴苛的場景下存在價值發揮的可能。

此外,還有了聯邦學習、共享學習、知識聯邦、聯邦智能等一系列“聯邦學習類”技術,以實現機器學習、數據建模、數據預測分析等具體場景為目標,通過對上述技術改進融合,在算法層面進行調整優化而實現

綜上所述,區塊鏈安全目前面臨的主要問題有共識過程的中心化、智能合約代碼漏洞、算法漏洞、系統實現代碼漏洞等,分析區塊鏈安全性CIA需要從綜合系統安全性、算法安全性、使用安全性、實踐安全性與協議安全性等方面進行分析完善。行業需要從學術、技術和實踐等方面研究區塊鏈安全,探究其中存在的安全風險、對抗風險所需采取的措施,以及實踐經驗,最后形成一個安全規范,作為檢測、開發、應用的具有開放性和經濟性的指導標準,以解決“區塊鏈的安全,誰來保障?”的問題,為打造一個更安全的數字經濟和數字時代DT的到來打下堅實的基礎和保障。

作者:Larry, 黃連金

Tags:區塊鏈HTTTPS數字資產區塊鏈通俗易懂的例子htt幣價格tps幣行情數字資產和數字貨幣的區別

狗狗幣最新價格
Chainlink迅速崛起的背后是什么?_CHA:dashcarchain

Chainlink(LINK)今年迅速崛起,成為市值前五名的加密資產。我們查看了去中心化金融領域(DeFi)和谷歌的數據,以幫助解釋這一現象.

1900/1/1 0:00:00
視頻 | 央視部長共話:數字貨幣不取代銀行存款 也沒有其他金融交易_數字貨幣:Anito Legends

數字貨幣到底是什么?會給我們生活帶來哪些改變?8月10日,央視新聞《相對論》之《部長共話:下半年,這么干!》第五期,與易綱、黃益平、溫彬共話.

1900/1/1 0:00:00
項目周刊 | BTC網絡新用戶量迅速增長 ETH期貨日交易量創新高_以太坊:比特幣2013年1000元多少個

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態.

1900/1/1 0:00:00
緊握Q3行情 美元、貴金屬、比特幣迎來拐點_比特幣:比特幣占比多少的含義

在過去的一周內,國際黃金價格突然大漲,突破1920美元,已經超過2011年上一輪黃金牛市的最高點,時隔9年刷新歷史新高.

1900/1/1 0:00:00
以太坊經典賞金提案 尋找PoW網絡安全解決方案_ETC:以太坊

上周,Charles Hoskinson提出與以太坊經典(Ethereum Classic)合作,以應對最近的51%攻擊.

1900/1/1 0:00:00
專訪西安靈動創始人晏梓桐:分布式存儲行業市場空間可達數千億元_區塊鏈:op幣價格今日行情fil

2020年,“新基建”絕對是中國最熱的產業政策之一。2020年3月4日,中共中央局常委會提出要發力于科技端的新型基礎設施建設,拉開“新基建”序幕.

1900/1/1 0:00:00
ads