區塊鏈安全發展現狀、問題與對策研究

趙甜，魏昂，周鳴愛

〔1.賽迪（青島）區塊鏈研究院，山東青島 266000 ；2.賽迪智庫網絡空間研究所，北京 100846〕

1 引言

近年來，伴隨區塊鏈技術的不斷創新，區塊鏈技術依托去中心化、不可篡改、可追溯等技術特性，為傳統領域應用提供了一種的新模式，受到各界的廣泛關注。為進一步推動區塊鏈技術在各領域應用的落地實施，在2 0 1 6年12月國務院印發的《“十三五”國家信息化規劃》，首次將區塊鏈定為戰略性前沿技術并列入國家信息化規劃中。

隨著區塊鏈技術的廣泛應用，區塊鏈行業出現的安全問題日益增多，安全問題逐漸成為阻礙區塊鏈發展的重要原因之一。近兩年來，隨著資產損失的日益增大，區塊鏈安全問題也越來越被市場所重視[1]。為了區塊鏈能夠更好的發展和應用，建立良好的區塊鏈安全生態，本文研究了區塊鏈安全現狀，主要分析了區塊鏈存在的技術、生態、使用安全問題，通過提出對應的建議策略，以其進一步推動區塊鏈健康發展，實現區塊鏈場景的大規模應用，推動區塊鏈整個行業的發展[2]。

2 區塊鏈安全現狀

因代碼開源、區塊鏈自身技術漏洞等原因，區塊鏈很容易遭受惡意攻擊，以及各大交易平臺虛擬貨幣被盜、交易所被攻擊、智能合約漏洞凸顯等安全事故不斷發生，尤其是在2014年世界最大比特幣交易所運營商Mt.Gox宣布其交易平臺的85萬個比特幣被盜，隨后宣布破產過后，引發了大眾對區塊鏈安全的質疑[3]。后來在2018年 1月26日，日本東京虛擬貨幣交易所運營商Coincheck網站遭黑客攻擊，損失了價值近580億日元，創下了虛擬貨幣失竊的最高紀錄，因涉及損失巨大，再一次引發了人們對于區塊鏈發展前景的擔憂。

近年來安全事件呈指數級上升，2018年發生的重大安全事件就有139個，比2017年增長了769%，造成的經濟損失高達22億美元。最重要的是，因為技術安全造成的經濟損失占總體損失的一半，而且其損失逐漸呈上升之勢；生態安全占比40%，在2018年區塊鏈發展的元年，損失達到最大；使用安全相較于技術安全和生態安全方面，損失較少，但是仍不可忽略。2019年上半年隨著國內區塊鏈產業環境逐漸升級，應用牽引力度逐漸加大，政策驅動效果逐漸顯現，區塊鏈的核心技術以及創新能力也不斷提升，取得了許多成果。但是，隨著區塊鏈安全事件頻發造成的巨大經濟損失，敲響了警鐘，也引發各界對區塊鏈安全的重視[4]。

3 區塊鏈安全問題分析

從發生的安全事件上可以看到，區塊鏈不僅在自身技術安全上存在漏洞風險問題，在生態上也會遭受到攻擊，所以不僅要關注區塊鏈技術本身，也要重點關注使用者。

3.1 技術安全

3.1.1 共識機制的安全性

共識機制是區塊鏈核心價值的體現，區塊鏈的共識機制有很多，但是沒有一種共識機制是完美無缺的[5]。目前，常用的共識機制有PoW（工作量證明機制）、PBFT（實用拜占庭容錯）、PoS（權益證明機制）、DPoS（股份授權證明機制），其共識機制各有優勢和不足，如表1所示為各類共識機制的優劣對比。

因各種共識機制的特性，很容易遭受各類攻擊，如表2所示，由此產生各種損失。

3.1.2 智能合約的安全性

智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議，本質上是一份代碼程序，必然不可避免存在考慮因素不完全導致出現漏洞的情況[6]。智能合約面臨的主要問題有三個方面。

（1）以整數溢出為代表的安全漏洞。安全漏洞通常代碼寫入不嚴謹造成的，它可能引起合約某些功能部件失效，最嚴重的情況，可能導致黑客攻擊、用戶丟幣、甚至黑客憑空造出來很多的幣。

（2）智能合約權限控制。一般智能合約里會設置一個管理員，管理員一般擁有超級權限，這類合約的安全隱患比較大，因為一旦管理員的私鑰被盜用，很容易造成巨大損失。

（3）規范性問題。目前，對于智能合約的設計與實現并沒有統一的規范。智能合約是以交互的方式多人協作，如果合約不規范，容易導致不同人對合約的行為產生誤解，從而出現大量的安全問題。

3.1.3 網絡傳輸的安全性

區塊鏈信息傳播采用P2P網絡的方式，節點將包含自身IP地址的信息發送給相鄰節點[7]。由于節點采用自由加入的方式并沒經過安全性篩選，安全性較差的節點將容易受到攻擊，進而威脅整個網絡的安全性。目前，可預見的攻擊方式有很多，例如日食攻擊、竊聽攻擊、BGP劫持攻擊、節點客戶端漏洞、拒絕服務（DDoS）攻擊等。

3.1.4 區塊數據的安全性

區塊鏈技術依托其去中心化的特性，將區塊數據通過鏈式結構分布存儲在鏈上，區塊鏈上的信息一旦經過驗證并添加至區塊鏈后，就會得到永久存儲—除具備特殊更改需求的私有區塊鏈之外，否則很難被更改。這就造成了區塊數據存在兩方面問題：一是隨著時間的推移，區塊數據可能會爆炸式增長（節點之間惡意頻繁交互）的情況，這可能導致節點無法容納又或者使區塊鏈運轉緩慢，從而使穩定運行的節點越來越少，節點越少，則越趨于中心化，引發區塊鏈危機；二是作惡節點利用區塊鏈不可篡改的特性，寫入威脅病毒特征碼、政治敏感話題等惡意信息。

表1 各類共識技術優劣對比

表2 各類共識易受攻擊

3.2 生態安全

區塊鏈生態安全主要包括交易所、礦池、錢包安全，在使用加密貨幣的過程中難免會將自己的資產托管到這些環節中，而這些涉及到數字貨幣交易與存儲的地點也是攻擊的重災區。

3.2.1 礦池安全

礦池是比特幣等虛擬貨幣開采所必須的基礎設施，它的誕生是因為隨著挖礦人數的增多，比特幣全網算力呈指數級別上漲，單個設備或者是較低算力設施很難再挖到比特幣，而礦池可以將全球所有礦工聯合在一起進行挖礦，挖到區塊的概率也會提高，然后再根據每個參與的礦工所占算力配額來進行獎勵分配。雖然因為礦池的存在，降低了比特幣等虛擬貨幣挖礦的難度，但是因為算力接入礦池，礦池掌握著龐大的算力資源，為了爭搶算力獲得記賬權，攻擊者可以通過入侵，竊取數字貨幣，對算力進行占用甚至破壞，侵害礦主、礦工利益，也對礦池造成了威脅。

3.2.2 錢包安全

隨著區塊鏈技術的發展，數字貨幣也吸引了眾多大眾的視線，為了記錄數字貨幣私鑰、地址和區塊鏈數據，數字錢包接踵而來。數字錢包就相當于銀行賬戶，用戶可以通過分散的方式對數字貨幣進行存儲、發送和接收，根據聯網狀態可將數字錢包分成熱錢包和冷錢包。根據2018年5月發布的《數字貨幣錢包安全白皮書》中的數據，市場上近20多款主流數字貨幣錢包中，有80%以上存在安全隱患。

3.2.3 交易所安全

交易所是區塊鏈生態的中心組織，是加密數字貨幣流通的主要場所，它會收集大量用戶數據，不僅包含個人信息，還有購買記錄等信息，這就存在了安全隱患，有可能會發生信息泄露或者是被攻擊等安全事故的發生。

3.3 使用安全

區塊鏈使用安全主要包含用戶使用過程中個人賬號管理不善，造成私鑰丟失、密鑰泄露帶來的損失，以及被欺詐、被釣魚、遭遇病毒木馬帶來的安全問題。

3.3.1 密鑰管理不善

區塊鏈的使用安全性最主要的就是在對私鑰的使用上，用戶在交易所、錢包上進行交易都必須要有私鑰的存在。想要完全地掌握如何在這些平臺上安全的進行交易，這就要求數字貨幣的持有者對加密算法、共識算法等有很高的認知，但是大部分持有者對整個交易的進行只是有表面上的了解，必須對私鑰的管理沒有正確的認識，安全意識相對薄弱，非常容易出現問題，導致用戶的權益受損。

3.3.2 賬號被盜

用戶在使用過程中可能會遇到黑客利用區塊鏈的漏洞發動攻擊導致賬戶失竊，黑客利用自己的賬戶作惡，對區塊鏈平臺產生影響，對用戶自身也產生較大的損失。也可能因為一時沒有看清，被釣魚攻擊所迷惑，被盜取賬戶信息，導致利益受損。2017年10月，東莞一名用戶發現100多個以太坊幣被盜，最終發現是身邊的朋友盜取了他的加密數字貨幣，所以要妥善的保管自己的賬戶信息，不要輕易泄露，避免產生不必要的損失。

4 對策建議

針對以上技術安全、生態安全和使用安全分析，提出三點建議。

一是加強安全技術方面的研究，為避免由于開源性代碼存在的漏洞而遭受黑客攻擊，所以應了解代碼標準規范，遵循開發的原則和規則，保障代碼的高準確性，通過建立的形式化規格進行形式化驗證，加強對智能合約的審計，及時發現并修復其中的風險漏洞，從源頭上減免安全漏洞的發生，減少經濟損失。

二是構建一個健康的安全生態環境，對交易所、礦池、錢包等提供設計方案評估，明確交易所、礦池、錢包生態所面臨的風險威脅，并對交易狀況進行實時監測，當發現異常情況時及時告警，防止非法集資、傳銷、詐騙等違法行為，利用加密技術加強對私鑰的保護，確保交易的安全，保障生態系統安全系統穩定的運行。

三是使用者要多關注區塊鏈存在的風險漏洞，加強安全防范意識，警惕釣魚陷阱，交易前充分學習區塊鏈相關知識，避免由于私鑰和賬戶泄露帶來不必要的財產損失。

區塊鏈風險問題層出不窮，為了我國區塊鏈健康長遠的發展，應加強區塊鏈安全監管，規避風險，為場景落地應用過程提供一個安全可靠的環境；加快對區塊鏈安全標準與規范的建設[8]，建立區塊鏈安全等級評價體系來規范區塊鏈行業市場，從整體上提高區塊鏈開發的安全性，從根源上消除安全隱患；還應積極關注區塊鏈的動態發展，推動安全企業提供安全服務制定相應的解決方案去解決各種風險漏洞問題，為區塊鏈的發展保駕護航。

5 結束語

2018年是區塊鏈大爆發的一年，在2019年逐漸趨于穩定進入場景落地階段。盡管區塊鏈存在一定的安全風險問題，但是它提供了一種去中心化、不可篡改、可追溯的新模式，給應用落地帶來了新的可能性。安全是區塊鏈必須要關注的問題，在注重區塊鏈自身技術發展的同時，也要關注區塊鏈各種風險問題，不斷的去發展和完善，推動區塊鏈行業穩定發展。