• <object id="oy6sm"></object>
    <strong id="oy6sm"><sup id="oy6sm"></sup></strong>
  • <input id="oy6sm"><label id="oy6sm"></label></input>

    中國國際電子商務網,第一手的商務信息

    當前位置 : 區域電商 > 上海 > 正文

    區塊鏈安全事件激增 上海正制定相關技術安全標準

    來源:界面新聞作者:2018-09-19 11:10:13
    導讀:區塊鏈安全事件激增,安全已經成為區塊鏈技術難以回避的問題,目前上海市信息安全測評認證中心正著手制定區塊鏈技術安全標準。

    2018年被公認為區塊鏈大年。9月18日,上海市委網信辦、上海市經濟和信息化委員會、上海市楊浦區人民政府舉辦“網絡安全分論壇——區塊鏈應用發展與安全論壇”。界面新聞從論壇獲悉,區塊鏈安全事件激增,安全已經成為區塊鏈技術難以回避的問題,目前上海市信息安全測評認證中心正著手制定區塊鏈技術安全標準。

    區塊鏈(Blockchain)是去中心化(Decentralization)技術中的一個重要概念,其本質是一串使用密碼學方法相關聯產生的數據塊,每一個數據塊中包含了過去十分鐘內所有比特幣網絡交易的信息,用于驗證其信息的有效性(防偽)和生成下一個區塊,其具有去中心化、開放性、不可篡改性和可追溯性等特點。該概念在中本聰(Satoshi Nakamoto,Bitcoin的創始人)的白皮書中最早提出。

    區塊鏈科學研究所(Institute for Blockchain Studies)創始人梅蘭妮·斯萬在《區塊鏈:新經濟藍圖及導讀》一書中,將區塊鏈技術的應用分為三個階段:區塊鏈1.0應用于虛擬貨幣,實現了去中心化的數字支付系統和無障礙的價值交換,代表場景是比特幣區塊鏈;區塊鏈2.0應用于虛擬金融,包括股票、清算、私募股權等眾多領域,代表場景是以太坊區塊鏈;區塊鏈3.0將應用于可編程社會,包括財稅、審計、物流、醫療、物聯網等領域。

    區塊鏈技術迅速發展,但其安全性不可忽視。

    據互聯網安全公司白帽匯安全研究院發布的《區塊鏈產業安全分析報告》顯示,2011年到2018年4月,全球范圍內因區塊鏈因安全事件造成的損失多達28.64億美元。但值得注意的是,損失額度從2017年開始呈現出指數上升的趨勢,僅2018年以來,損失金額就高達19億美元。

    玄貓安全實驗室聯合創始人陳亮講解智能合約常見安全漏洞。攝影:劉素楠

    玄貓安全實驗室聯合創始人陳亮梳理了2014年以來發生的區塊鏈重大安全事件。

    2014年8月,比特兒交易平臺被盜,黑客通過交易平臺留言進行談判。同年12月,當時世界最大的比特幣交易所Mt.Gox由于85萬個比特幣被盜,最終被迫宣布破產。

    The DAO是一個去中心化的風險投資基金,以智能合約的形式運行在以太坊區塊鏈上。2016年,黑客通過The DAO利用智能合約腳本的漏洞,成功盜取360萬以太幣,導致以太坊硬分叉。同年8月,Bitfinex大約6500萬美元比特幣遭竊,全球比特幣價格應聲下跌25%。同時,本次事件損失由平臺上所有用戶共同承擔,導致每位用戶的賬戶平均損失36%。

    陳亮指出,2017年至2018年,區塊鏈出現了更多智能合約的安全問題。2018年4月,美圖科技發行的數字貨幣——美鏈(BEC)智能合約被曝出整數溢出漏洞,導致BEC價值急遽下跌,幾乎歸零。

    區塊鏈技術的安全風險源于何處?

    今年8月,騰訊安全聯合實驗室與知名互聯網安全公司北京知道創宇信息技術有限公司共同發布《2018年上半年區塊鏈安全報告》。報告指出,基于區塊鏈加密數字貨幣引發的安全問題來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面,上述三方面原因造成的經濟損失分別是12.5億、14.2億和0.56億美元。

    陳亮指出,較之往年發生的事件和造成的損失,2018年呈現暴漲趨勢。同時,2018年由區塊鏈自身機制引發的損失同樣呈現暴漲趨勢。“因為在早期區塊鏈項目,很多開發者安全開發意識不足,所以遺留了很多問題,這種問題不斷被黑客發現和利用。”

    據區塊鏈媒體Odaily星球日報發布的《2018年區塊鏈技術安全服務行業報告》顯示,區塊鏈面臨諸多方面安全挑戰,主要包含密碼算法安全性、協議安全性、使用安全性和系統安全性四大方面。

    在上海,區塊鏈技術發展勢頭迅猛。

    9月6日,上海市科委發布了上海首個《區塊鏈技術與應用白皮書》,其中指出:工信部信息中心發布的2018中國區塊鏈產業白皮書顯示,截至2018年3月底,全國有區塊鏈企業456家,目前上海有區塊鏈企業95家,位列第二;從國內區塊鏈融資事件地域分布來看,上海有73次,排名第二。從上海區塊鏈企業注冊地域來看,浦東新區數量最多,為27家,楊浦、松江、奉賢、寶山、虹口、黃埔等地區塊鏈企業也比較集中。

    如何測量區塊鏈技術的安全性,已經成為一個亟待解決的問題。

    上海市信息安全測評認證中心高級工程師徐御透露,該中心和上海區塊鏈技術研究中心合作,力求在今年制定一個區塊鏈技術安全標準。

    他透露,目前該標準的設計思路是:從已經發生的安全事件中識別風險,從而采取相應措施對抗風險,梳理風險措施對應表,與此同時,提出最佳實踐,形成安全要求。

    徐御指出,區塊鏈技術安全標準將采用開放架構設計、按照適度保護原則進行設計。目前,上海市信息安全測評認證中心已梳理出區塊鏈風險20類左右,其中6類為新風險,其余為傳統風險。這6類新風險包括整數溢出、短地址攻擊、算力控制、雙重支付、代碼重入、惡意操縱節點。針對上述安全風險,該中心已梳理了相應安全措施。

    他表示,區塊鏈技術安全標準將包括三個方面:安全層面、安全項和安全要求。例如,在數據層層面,包含區塊數據、哈希算法、隨機數、非對稱加密等若干安全項,其中,針對區塊數據的安全要求包括:數據區塊格式符合《區塊鏈數據格式規范》;應采用加密算法對敏感信息進行保護……

    徐御認為,未來或可從區塊鏈產品信息安全認證和區塊鏈項目安全評測兩方面結合來定義一款區塊鏈應用是否安全。

    玄貓安全實驗室則推出了針對智能合約、交易所、電子錢包的安全評估服務。“針對智能合約,我們主要針對智能合約代碼、邏輯、函數等十余項安全指標進行安全性檢測。交易所面臨的安全問題比較多,交易所內部和外部都面臨安全風險,我們針對交易所12個大類總計95個子項安全進行檢測。”陳亮表示。

    他指出,更重要的是建設區塊鏈安全生態,包括交易所、數字錢包、礦池、智能合約、公鏈等在內的區塊鏈生態,如果其中一方出現安全問題,其他方均無法幸免于難。為此,玄貓安全實驗室正在與上海相關機構籌建一個區塊鏈安全專委會,建設區塊鏈安全生態。

    熱門標簽
    微信掃一掃
    關注EC官微
    广西十一选五app