區(qū)塊鏈生態(tài)安全挑戰(zhàn)及解決方案研究

摘? ?要：區(qū)塊鏈巧妙地融合了密碼學(xué)、點(diǎn)對點(diǎn)傳輸、共識機(jī)制等多種技術(shù)，實(shí)現(xiàn)了有效的價(jià)值傳輸體系。近年來，隨著區(qū)塊鏈各類應(yīng)用的爆發(fā)式增長，其各層面的安全問題也隨之凸顯。區(qū)塊鏈底層平臺、區(qū)塊鏈應(yīng)用漏洞導(dǎo)致的風(fēng)險(xiǎn)以及各類虛擬資產(chǎn)犯罪行為對區(qū)塊鏈生態(tài)的安全帶來了極大的挑戰(zhàn)。文章針對區(qū)塊鏈生態(tài)的各類安全挑戰(zhàn)進(jìn)行深入分析，基于區(qū)塊鏈安全技術(shù)以及區(qū)塊鏈監(jiān)管兩個(gè)維度，提供了區(qū)塊鏈全生態(tài)安全解決方案。最后依據(jù)深度學(xué)習(xí)技術(shù)的發(fā)展，提出le 區(qū)塊鏈生態(tài)安全技術(shù)及方案的未來展望和研究方向。

關(guān)鍵詞：區(qū)塊鏈生態(tài);虛擬資產(chǎn)犯罪;安全解決方案;深度學(xué)習(xí)

中圖分類號： TP319? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： Blockchain skillfully integrates Cryptography， P2P transmission， Consensus mechanism and other technologies to achieve effective value transmission system. In recent years， with the explosive growth of various blockchain applications， the blockchain security issues at all levels have become prominent. The risks caused by the vulnerability of blockchain underlying platforms and blockchain applications and a various kinds of virtual asset crimes， have brought great challenges to blockchain ecology security. Based on the in-depth analysis of various security challenges of blockchain ecology， this paper provides a security solution of full blockchain ecology from two dimensions： blockchain security technology and blockchain supervision. At last， the future prospect and research direction of blockchain ecology security technology and solution are proposed according to the development of deep learning technology.

Key words： blockchain ecology; virtual asset crime; security solutions; deep learning

1 引言

區(qū)塊鏈技術(shù)發(fā)展至今已經(jīng)形成了一個(gè)較為完整的技術(shù)棧，區(qū)塊鏈被廣泛地關(guān)注和研究主要是因?yàn)槠浔旧淼奶匦裕喝ブ行摹⑼该餍院涂伤菰葱浴㈤_放性、不可篡改性及匿名性[1]。區(qū)塊鏈技術(shù)已廣泛應(yīng)用于金融、醫(yī)療、物流、產(chǎn)品溯源等多個(gè)領(lǐng)域，隨著區(qū)塊鏈技術(shù)的廣泛應(yīng)用，區(qū)塊鏈生態(tài)中的安全問題也層出不窮，引起了全球的高度重視。據(jù)中國信息通信研究院/中國通信標(biāo)準(zhǔn)化協(xié)會發(fā)布的《區(qū)塊鏈安全白皮書》數(shù)據(jù)統(tǒng)計(jì)，全球區(qū)塊鏈重大安全事件的損失金額從2011-2019年呈逐步上升趨勢，2017-2019年甚至出現(xiàn)了指數(shù)級增長。2019年，區(qū)塊鏈安全事件造成的損失已高達(dá)60億美元[2]。

2 全球區(qū)塊鏈生態(tài)安全現(xiàn)狀

從全球來看，區(qū)塊鏈生態(tài)的安全問題日益嚴(yán)重，虛擬資產(chǎn)被盜、虛擬資產(chǎn)服務(wù)商被黑客攻擊、智能合約邏輯問題導(dǎo)致執(zhí)行出錯(cuò)等安全事故不斷發(fā)生。2016年6月17日，一名黑客發(fā)現(xiàn)了以太坊上一個(gè)去中心化的自治風(fēng)險(xiǎn)投資基金The Dao的合約漏洞，可無限從合約中轉(zhuǎn)出資金，短短幾小時(shí)，360萬枚以太幣被轉(zhuǎn)出;2018年1月26日，日本交易所Coincheck被黑客入侵，稱被盜資金為“史上最高的盜竊金額”（約5.3億美元）此數(shù)字超過Mt.Gox交易所被盜數(shù)額（4.73億美元）;2017年9月13日，有人通過利用以太坊錢包客戶端Parity漏洞竊取了超過15.3萬枚以太幣，其價(jià)格超過3000萬美元。世界各國已經(jīng)對區(qū)塊鏈生態(tài)安全進(jìn)行了相關(guān)的研究，并制定了各項(xiàng)區(qū)塊鏈的安全監(jiān)管條例。英國政府提出以技術(shù)監(jiān)管為核心，法律監(jiān)管為輔助，雙措并舉打造區(qū)塊鏈監(jiān)管新模式。美國鼓勵(lì)探索區(qū)塊鏈在安全領(lǐng)域的應(yīng)用，注重區(qū)塊鏈安全風(fēng)險(xiǎn)技術(shù)應(yīng)對[3]。我國的區(qū)塊鏈技術(shù)生態(tài)結(jié)構(gòu)與國外基本一致，在推動區(qū)塊鏈技術(shù)發(fā)展和引用落地時(shí)，同樣重視區(qū)塊鏈的安全問題，從區(qū)塊鏈安全威脅描述、安全體系構(gòu)建、安全應(yīng)對建議等方面加強(qiáng)了指導(dǎo)。

3 區(qū)塊鏈生態(tài)主要安全挑戰(zhàn)

3.1 區(qū)塊鏈平臺

區(qū)塊鏈平臺就是區(qū)塊鏈的底層系統(tǒng)，負(fù)責(zé)支撐各類區(qū)塊鏈應(yīng)用的運(yùn)行環(huán)境，是區(qū)塊鏈生態(tài)中的核心與基石。在經(jīng)歷了新的區(qū)塊鏈分化與發(fā)展后，產(chǎn)生了公有鏈和聯(lián)盟鏈的應(yīng)用方向[4]。

3.1.1 公有鏈

公有鏈?zhǔn)侵溉魏稳硕伎梢詤⑴c，無任何訪問限制的區(qū)塊鏈，如比特幣、以太坊、EOS等。由于公有鏈的開源性質(zhì)，導(dǎo)致公有鏈的安全性較低，受攻擊面較大，包括在節(jié)點(diǎn)通信、區(qū)塊處理、交易邏輯、數(shù)據(jù)存儲及共識機(jī)制等各個(gè)層面，容易受到威脅。

3.1.2 聯(lián)盟鏈

聯(lián)盟鏈?zhǔn)怯煞夏撤N條件的成員組成聯(lián)盟來管理的區(qū)塊鏈，只有經(jīng)過許可的可信節(jié)點(diǎn)才能參與該聯(lián)盟鏈的記賬，其它用戶僅有部分權(quán)限[5]，包括IBM的Hyperledger Fabric 2.0、螞蟻金服的開放聯(lián)盟鏈等。聯(lián)盟鏈由于有對接入權(quán)限管控的限制，安全性相較于公有鏈有些許提升，但依然存在某些和公鏈類似的安全風(fēng)險(xiǎn)點(diǎn)，如鏈上數(shù)據(jù)異常、節(jié)點(diǎn)異常、加密通信的安全性，以及聯(lián)盟鏈特有的認(rèn)證授權(quán)策略及賬戶授權(quán)機(jī)制的風(fēng)險(xiǎn)等。

在計(jì)算機(jī)科學(xué)中，形式化驗(yàn)證是一種面向軟硬件的基于規(guī)約、開發(fā)、以及驗(yàn)證的方法，主要借助于數(shù)理邏輯分析來加強(qiáng)系統(tǒng)的可靠性和穩(wěn)固性。將形式化驗(yàn)證技術(shù)運(yùn)用于智能合約的安全驗(yàn)證，運(yùn)用形式化驗(yàn)證中最重要的定理證明和模型檢測來驗(yàn)證智能合約的安全性。根據(jù)成都鏈安的內(nèi)部實(shí)驗(yàn)數(shù)據(jù)表明，形式化驗(yàn)證技術(shù)對智能合約安全驗(yàn)證的準(zhǔn)確度高達(dá)97%，是一種非常可靠且準(zhǔn)確的智能合約安全檢測技術(shù)。

（2）人工深度代碼檢測

對于區(qū)塊鏈應(yīng)用中的智能合約以及鏈下業(yè)務(wù)系統(tǒng)端（Web、APP）安全性的保證，還可以通過人工深度代碼檢測的方式（包括核心代碼審查及攻防測試）。對于智能合約代碼檢測人員，需要熟悉各種智能合約的代碼編寫規(guī)律，精確發(fā)現(xiàn)代碼級別漏洞，并提供改進(jìn)意見，出具專業(yè)的智能合約安全審計(jì)報(bào)告，有效地保障合約代碼的安全性。

4.2 運(yùn)行階段

4.2.1 區(qū)塊鏈應(yīng)用安全態(tài)勢感知

在區(qū)塊鏈應(yīng)用的運(yùn)行階段，也需要實(shí)時(shí)了解是否有安全風(fēng)險(xiǎn)。運(yùn)用區(qū)塊鏈應(yīng)用安全態(tài)勢感知技術(shù)方法可以有效地解決此類問題。

區(qū)塊鏈應(yīng)用安全態(tài)勢感知主要面向區(qū)塊鏈上特有的交易風(fēng)險(xiǎn)及安全威脅的可視化態(tài)勢感知和安全管控，以區(qū)塊鏈上數(shù)據(jù)收集、關(guān)聯(lián)分析挖掘?yàn)楹诵模鉀Q現(xiàn)有區(qū)塊鏈全局視角缺乏統(tǒng)一安全監(jiān)管，無法挖掘有價(jià)值的安全威脅的訴求。

首先，對區(qū)塊鏈上應(yīng)用進(jìn)行7×24小時(shí)的實(shí)時(shí)安全風(fēng)險(xiǎn)及運(yùn)營情況進(jìn)行監(jiān)控，之后對鏈上交易和威脅情報(bào)數(shù)據(jù)的綜合關(guān)聯(lián)分析，自動發(fā)現(xiàn)風(fēng)險(xiǎn)交易和安全威脅事件，對事件進(jìn)行評級，之后再對預(yù)警和報(bào)警事件按照發(fā)生位置、影響范圍、危害程度等條件進(jìn)行分類，并且將事件精準(zhǔn)推送給用戶，用戶在收到預(yù)警或告警后，可運(yùn)用態(tài)勢感知中的防火墻模塊進(jìn)行有效地處置。打造一個(gè)“安全監(jiān)測→安全分析→安全預(yù)警與告警→安全響應(yīng)及處置→安全態(tài)勢呈現(xiàn)”的閉環(huán)安全流程，如圖2所示。

4.2.2 區(qū)塊鏈威脅情報(bào)推送

區(qū)塊鏈威脅情報(bào)推送也是保障區(qū)塊鏈整體運(yùn)行階段安全的有效思路。通過各種渠道（包括互聯(lián)網(wǎng)開源情報(bào)、第三方安全情報(bào)，鏈上威脅情報(bào)信息等）收集區(qū)塊鏈安全相關(guān)的情報(bào)信息及數(shù)據(jù)，自動聚合開源情報(bào)，對情報(bào)進(jìn)行詳細(xì)地解析，根據(jù)用戶畫像建立針對用戶的威脅情報(bào)分析模型，實(shí)時(shí)推送與用戶相關(guān)的威脅情報(bào)，并做好情報(bào)管理，便于用戶提前做好相關(guān)安全防護(hù)。

4.3 監(jiān)管階段

4.3.1 建立整體虛擬資產(chǎn)風(fēng)控體系

針對各類虛擬資產(chǎn)犯罪行為，可采用建立整體虛擬資產(chǎn)風(fēng)控體系的方式進(jìn)行解決。虛擬資產(chǎn)風(fēng)控體系內(nèi)容主要包含持續(xù)性風(fēng)險(xiǎn)評估、溯源追蹤及調(diào)查取證、風(fēng)險(xiǎn)實(shí)時(shí)自動告警以及整體風(fēng)險(xiǎn)態(tài)勢呈現(xiàn)。

（1）持續(xù)性風(fēng)險(xiǎn)評估。建設(shè)KYT（Know Your Transactions）及持續(xù)性風(fēng)險(xiǎn)評估的能力，通過對鏈上海量交易信息進(jìn)行深入地分析，就能夠得出賬戶和地址之間的關(guān)系、交易之間的關(guān)系以及賬戶地址和交易之間的關(guān)系[9]，再利用積累的海量實(shí)體地址庫和機(jī)器學(xué)習(xí)異常行為建模技術(shù)識別并深入評估風(fēng)險(xiǎn)資金來源去向、風(fēng)險(xiǎn)賬戶及風(fēng)險(xiǎn)交易。

（2）溯源追蹤及調(diào)查取證。深入調(diào)查虛擬資產(chǎn)交易活動的實(shí)體來源和去向，生成資金溯源追蹤的可視化拓?fù)鋱D，并提供詳細(xì)的調(diào)查取證報(bào)告。

（3）風(fēng)險(xiǎn)實(shí)時(shí)自動告警。當(dāng)監(jiān)控到可疑的賬戶或交易風(fēng)險(xiǎn)，進(jìn)行實(shí)時(shí)告警，可查看實(shí)時(shí)告警信息，并對風(fēng)險(xiǎn)賬戶進(jìn)行及時(shí)進(jìn)一步的調(diào)查及處理。

（4）整體風(fēng)險(xiǎn)態(tài)勢呈現(xiàn)。為用戶呈現(xiàn)整體的風(fēng)險(xiǎn)態(tài)勢情況，用戶從整體態(tài)勢中可了解到風(fēng)險(xiǎn)賬戶Top 10，風(fēng)險(xiǎn)類型及風(fēng)險(xiǎn)級別分布以及交易風(fēng)險(xiǎn)的趨勢等。

4.3.2 虛擬資產(chǎn)監(jiān)管合規(guī)

世界各國對于虛擬資產(chǎn)的監(jiān)管也愈發(fā)嚴(yán)格，2019年6月，金融行動特別工作組FATF發(fā)布了對VASP的監(jiān)管標(biāo)準(zhǔn)。對于評估各國是否已經(jīng)采取必要行動來部署虛擬資產(chǎn)的相關(guān)監(jiān)管標(biāo)準(zhǔn)，F(xiàn)ATF已達(dá)成一致。FATF強(qiáng)調(diào)：鑒于虛擬資產(chǎn)行業(yè)的全球性，各國必須即刻實(shí)施這些要求，特別是要了解風(fēng)險(xiǎn)并確保對該行業(yè)的有效監(jiān)督。G20領(lǐng)導(dǎo)人、財(cái)長和央行行長已經(jīng)宣布將遵守FATF的虛擬資產(chǎn)合規(guī)標(biāo)準(zhǔn)要求，即將遵守虛擬資產(chǎn)反洗錢和打擊非法金融交易的相關(guān)規(guī)定。

如若各類虛擬資產(chǎn)服務(wù)商需要進(jìn)行持續(xù)性地經(jīng)營和發(fā)展，則必須要滿足FATF以及各國管轄區(qū)內(nèi)的對虛擬資產(chǎn)的監(jiān)管要求。建立整體的虛擬資產(chǎn)的風(fēng)控體系可有效滿足各類針對虛擬資產(chǎn)服務(wù)商的合規(guī)要求，如圖3所示。

5 區(qū)塊鏈生態(tài)安全未來展望

基于本文區(qū)塊鏈全生態(tài)的安全解決方案，以及對整個(gè)行業(yè)生態(tài)的洞察，提出對區(qū)塊鏈生態(tài)安全的未來展望：運(yùn)用深度學(xué)習(xí)技術(shù)加強(qiáng)對區(qū)塊鏈虛擬資產(chǎn)風(fēng)控及威脅情報(bào)推送能力。

人工智能分析技術(shù)已日益成熟，已經(jīng)有各個(gè)領(lǐng)域的成熟應(yīng)用場景。目前，深度學(xué)習(xí)在無人駕駛、語音識別、文本識別、圖像分類、目標(biāo)檢測與人臉識別領(lǐng)域已經(jīng)得到了充分的應(yīng)用。

深度學(xué)習(xí)也可以應(yīng)用在區(qū)塊鏈虛擬資產(chǎn)風(fēng)控的應(yīng)用場景中。MIT-IBM 沃森人工智能實(shí)驗(yàn)室已經(jīng)將圖卷積神經(jīng)網(wǎng)絡(luò)算法（Graph Convolutional Network，GCN）使用在比特幣反洗錢領(lǐng)域中[10]，基于分析出的海量鏈上地址標(biāo)簽，運(yùn)用GCN算法等深度學(xué)習(xí)技術(shù)，研究針對區(qū)塊鏈地址的聚類和分類模型，經(jīng)過多輪的訓(xùn)練后，形成自動識別地址和實(shí)體映射關(guān)系的深度學(xué)習(xí)模型，實(shí)現(xiàn)高效的虛擬資產(chǎn)風(fēng)控模型，如圖4所示。

在威脅情報(bào)推送方面，除了互聯(lián)網(wǎng)、及第三方情報(bào)源，可運(yùn)用神經(jīng)網(wǎng)絡(luò)深度學(xué)習(xí)技術(shù)有效地對各類與用戶有關(guān)的威脅情報(bào)進(jìn)行文本解析、摘要生成、關(guān)聯(lián)分析等，建立針對用戶的威脅情報(bào)分析模型，定向推送出高精確度的威脅情報(bào)。

6 結(jié)束語

區(qū)塊鏈生態(tài)的安全問題愈演愈烈，為了區(qū)塊鏈生態(tài)健康長遠(yuǎn)的發(fā)展，應(yīng)加強(qiáng)區(qū)塊鏈安全監(jiān)管，規(guī)避風(fēng)險(xiǎn)，為場景落地應(yīng)用過程提供一個(gè)安全可靠的環(huán)境[11]。同時(shí)，加強(qiáng)區(qū)塊鏈生態(tài)安全的創(chuàng)新能力，不斷研究新的技術(shù)方向，為區(qū)塊鏈生態(tài)安全提供更加強(qiáng)有力的技術(shù)支撐。

參考文獻(xiàn)

[1] 王錫亮，劉學(xué)楓，趙淦森，王欣明，周子衡，莫澤楓.區(qū)塊鏈綜述：技術(shù)與挑戰(zhàn)[J].無線電通信技術(shù)，2018，44（06）：531-537.

[2] 楊霞，魏凱，卿蘇德，等.區(qū)塊鏈安全白皮書.[EB/OL].可信區(qū)塊鏈推進(jìn)計(jì)劃，2018，12：03-04.

[3] 區(qū)塊鏈安全白皮書.[EB/OL].中國信息通信研究院/中國通信標(biāo)準(zhǔn)化協(xié)會，2018，09：05-08.

[4] 何寶宏，魏凱，楊霞，等.公有鏈白皮書.[EB/OL].可信區(qū)塊鏈推進(jìn)計(jì)劃，2019，05：01.

[5] 何寶宏，魏凱，楊霞，等.公有鏈白皮書.[EB/OL].可信區(qū)塊鏈推進(jìn)計(jì)劃，2019，05：02.

[6] 趙甜，魏昂，周鳴愛.區(qū)塊鏈安全發(fā)展現(xiàn)狀、問題與對策研究. [J].網(wǎng)絡(luò)空間安全，2019（11）：22.

[7] 王繼輝.區(qū)塊鏈與智能合約圖譜分析[J].網(wǎng)絡(luò)空間安全， 2019（11）：01.

[8] 邱欣欣，馬兆豐，徐明昆.以太坊智能合約安全漏洞分析及對策[J].信息安全與通信保密，2019（02）：44-53.

[9] Zyskind G，Nathan 0.Decentralizing privacy：using blockchain to protect personal data[C].∥IEEE Security and Privacy Workshops.2015：180-184.

[10] Mark Weber，Daniel Karl I. Weidele，Giacomo Domeniconi. Anti-Money Laundering in Bitcoin： Experimenting with Graph Convolutional Networks for Financial Forensics[J].IBM 2019（07）：03-04.

[11] 張濱.區(qū)塊鏈安全風(fēng)險(xiǎn)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化， 2017，30（11）：1-5.

作者簡介：

楊霞（1978 -），女，漢族，四川成都人，電子科技大學(xué)，副教授;主要研究方向和關(guān)注領(lǐng)域： 區(qū)塊鏈安全技術(shù)。