區(qū)塊鏈與網絡安全的(de)“緣”

從(cóng)幕後走向台前的(de)區(qū)塊鏈，與網絡安全緣分(f←✘ēn)幾何？
案例一(yī)：2018年(nián)4月(£€≠÷yuè)22日(rì)，BeautyChain合約出現β •(xiàn)重大(dà)漏洞，黑(hēi)客通(tōn↓§±σg)過合約的(de)批量轉賬方無限生(s >λhēng)成代币，導緻BEC價值幾乎歸零。
案例二：2018年(nián)4月(yuè)25日(rì)→£Ω•，SmartMesh出現(xiàn)類似BEC的(de)♥αβπ重大(dà)安全漏洞，損失1.4億美(měi)金(jīn)。
案例三：2018年(nián)7月(yuè★‌δ)25日(rì)，狼人(rén)遊戲出現(xiànπ↑↕)“溢出”漏洞，導緻遊戲損失60686個(gè)EO∏÷♥S。
案例四：2018年(nián)9月(yuè)₹€<20日(rì)，日(rì)本數(shù)字貨币交易所Zaif宣布遭受黑(hΩ©≥ēi)客攻擊，損失5967萬美(měi)元。其中1‌ 959萬美(měi)元屬于該交易所自(zì)有(yǒu)資金(jīφ←n)，其餘4007萬美(měi)元屬于客戶資金(jīn® )。
案例五：2018年(nián)12月(yuè)3日(rì)，Dice3♠Ω™D遭遇黑(hēi)客攻擊，損失10569個(gè)‍α÷αEOS。
區(qū)塊鏈和(hé)網絡安全前世有(y÷≥ǒu)緣
數(shù)字世界缺乏信任的(de)問(  wèn)題已經很(hěn)普遍，比如(rú)在沒有(yǒu)擔保的(de)情況≈±，我們不(bù)相(xiàng)信網上(→♥shàng)的(de)交易。在數(shù)字©★¶←世界證明(míng)你(nǐ)就(jiù)是(shì)你(nǐ)、你(nǐ)什&₩(shén)麽時(shí)間(jiān)幹了(le)什(shé ∑n)麽，是(shì)一(yī)個(gè)比較困難的(de)事(shì)$→☆情。區(qū)塊鏈應運而生(shēng)，正好(hǎo¶ )能(néng)解決這(zhè)些(xiē​π ×)問(wèn)題，通(tōng)過它可(kě)以建立一(•‍yī)個(gè)信任鏈。而某種角度區(qū)塊鏈技δ→♥(jì)術(shù)也(yě)是(shì)安全技(jì)術(shù)的(d≈× ↑e)一(yī)種衍生(shēng)的(de)平台， 它可(♥±kě)以解決who、 when、what等方面的(de™₩• )安全問(wèn)題。
區(qū)塊鏈和(hé)網絡安全息息相(xiàng)關， 它的(de)核心就>★✘(jiù)是(shì)各種安全的(de)算(suàn)法。區(qū)塊↑∏‍₩鏈有(yǒu)幾大(dà)特征：不(bù)可(kě)抵賴性、建立信任鏈、去(♣<♥¥qù)中心化(huà)等，都(dōu)是(shì)由算(suàn)法✔→基石構建的(de)堡壘.比如(rú)區(qū)塊鏈中有(yǒu)一(yī)種算←♦‌(suàn)法是(shì)哈希算(suàn)法，就(j≥‌β&iù)是(shì)可(kě)以用(yòn↔‍∏g)很(hěn)小(xiǎo)的(de)數☆εσ←(shù)據代替大(dà)的(de)數(shù)據，大©&(dà)的(de)數(shù)據一(yī)改動，小(xiǎ☆εo)的(de)數(shù)據完全變化(huà)，并且小(xiǎo)₹‌♣✔的(de)數(shù)據沒辦法推導出大(dà)的(de)←±Ω©數(shù)。
除了(le)加密算(suàn)法，區(qū)塊鏈還(hái)需✔∑‍要(yào)一(yī)些(xiē)關鍵技(jì)術(shù)來(lá‌γ​i)保障，比如(rú)：共識機(jī)制(£ ∞★zhì)，分(fēn)布式賬本，智能(néng)合∞←≥>約等。利用(yòng)這(zhè)些(x'β₽iē)關鍵技(jì)術(shù)最後能(nén₩≈g)夠構建一(yī)個(gè)完善的(de)信任鏈，這(zhè)些(xiē)€λ↔ 機(jī)制(zhì)可(kě)以大(dà)大(dà)降∑≥低(dī)成本。
舉個(gè)例子(zǐ)：對(duì)賬需要(yào)大(dà)量的(de)‍≤←↑人(rén)員(yuán)，可(kě)能(néng)是(shì)10個(g$≤è)人(rén)，可(kě)能(néng)是(shìγ≤£)100個(gè)人(rén)，而且人(rén)∑¥ 還(hái)不(bù)可(kě)靠，不(bù)δ•"同的(de)人(rén)相(xiàng)✘↔φ互不(bù)信任，而利用(yòng)區(qū)塊鏈技(jì)術(sh'"®‌ù)就(jiù)不(bù)需要(yào)有(yǒu)人™ε​(rén)進行(xíng)直接操作(zuò)♦→，而用(yòng)機(jī)器(qì)來(lái)​‌<代替人(rén)，在不(bù)斷提升可(kě)靠性的(de)前提下(xià) ‌€，還(hái)可(kě)以大(dà)大(dà)節省人(rén)©÷∑•員(yuán)數(shù)量，這(zhè≠π$)就(jiù)是(shì)建立一(yī)種低(dī)成本₩'σ☆的(de)信任鏈。
區(qū)塊鏈真的(de)安全嗎(ma)？

區(qū)塊鏈體(tǐ)系存在數(shù)據層、網絡層、激勵層、共識層、合約層‍ε、業(yè)務層六個(gè)層面。在安全問(wèn)題上(sh× ∏↓àng)，每一(yī)個(gè)層面其實都(dōu)會(huì)涉及到(dδεào)，隻要(yào)是(shì)程序，它就(jiù)有(yǒu)可$‌®(kě)能(néng)有(yǒu)漏洞。其中，合約層、業(yè​λ∏)務層是(shì)區(qū)塊鏈架構中安全問(φ★wèn)題最為(wèi)頻(pín)發的(de)部分(fēn)。
黑(hēi)客通(tōng)過DDoS攻擊、CC<¶攻擊、系統漏洞、代碼漏洞、業(yè)務流程漏洞、API-Key漏洞‌$等進行(xíng)攻擊和(hé)入侵，給區(qū↔®♥)塊鏈項目的(de)管理(lǐ)運營團隊及用(yòng)∏α∑↑戶造成巨大(dà)的(de)經濟損失。威脅來(lái)源主要(yào)包括以δ≥σ✘下(xià)方面：
1.平台可(kě)用(yòng)性風(fēng)險 通(tōng)過↕∏DDoS攻擊、CC攻擊、跨站(zhàn)腳本攻擊等≥¥£×方式，降低(dī)平台的(de)可(kě)用(yòng)性，使平台在一(y©÷± ī)定時(shí)間(jiān)內(nèi)××↑Ω無法向用(yòng)戶提供服務。
2. 智能(néng)合約風(fēng)險 由于區(qū)塊鏈技(jì)術(sβ ♣hù)不(bù)可(kě)逆的(de)特點，智能(néng)合約一(yī)經發↔ ​布，無法修改，已發布的(de)智能(néng)合約一(yī)旦發現("↑→xiàn)重大(dà)安全漏洞，将嚴重影(yǐn∏→> g)響整個(gè)項目，甚至導緻項目失敗。
例如(rú)：假設一(yī)筆(bǐ)交易一(yī)開(kāi)始看(•≤↔kàn)上(shàng)去(qù)是(shì)被驗證了(le)，₹×€Ω然後完成了(le)。這(zhè)個(gè)時®∞γ∏(shí)候一(yī)旦出現(xiàn)漏洞，智能(nε↓↔₹éng)合約就(jiù)會(huì)不(bù)斷開(kāi)始重複執行(x∑≠≥íng)這(zhè)筆(bǐ)交易。比如(rú)說(shuō)你(n<σΩ‍ǐ)有(yǒu)一(yī)張信用(yòng)卡，你(nǐ)到(dào<×)一(yī)個(gè)店(diàn)裡(lǐ)刷了(☆φσ₹le)一(yī)下(xià)，付了(le)200塊錢(qián)。但♣≤↕♥(dàn)如(rú)果說(shuō)在後台有(yǒu)這(zhè)樣的(de)™×漏洞，你(nǐ)就(jiù)會(huì)不©$(bù)斷地(dì)刷200塊錢(qián)§ ，直到(dào)把你(nǐ)的(de)卡刷完為(wèi)止。
3. 平台業(yè)務安全風(fēng)險 利用(yòng)平>‍台的(de)系統漏洞、源代碼漏洞、業(yè)務邏輯漏洞等$α§，通(tōng)過社工(gōng)、跨站(Ωσzhàn)腳本、惡意掃描等方式進行(xíng)攻擊。
在業(yè)務層，就(jiù)好(hǎo÷→)像互聯網開(kāi)始的(de)時(shí)候，大(dà)量的(de)網站(δ✔λ↕zhàn)應用(yòng)，你(nǐ)買票(piào)也→§(yě)好(hǎo)，你(nǐ)購(gòu)物(wù)也(yě)好( ↔hǎo)，營業(yè)廳也(yě)好(hǎo)，網銀(yín)也( 'yě)好(hǎo)，這(zhè)裡(lǐ)面其實也(yě)有(yǒu∞™£)各種各樣的(de)應用(yòng)漏洞，這(zh¶"← è)就(jiù)是(shì)業(yè)務層的(d ↔e)漏洞。雖然說(shuō)區(qū)塊鏈是(shì)一(₹✘yī)個(gè)分(fēn)布式的(de)架構，但(dàn)其實很(¥✔ hěn)多(duō)的(de)交易所都(dōu)是(shì)中心化(h♦σuà)的(de)，所謂的(de)中心化(huà)，比如(rú)說(shuō¶↑→)如(rú)果是(shì)跟比特币有(yǒu)關，一(yī)旦黑(hēi)客σ'φ入侵，那(nà)他(tā)就(jiù)可(kě)以把你(n&→↑ǐ)的(de)币都(dōu)轉走，都(dōu)可(kě)以竊取。之前全球₹>≈↑最大(dà)的(de)比特币交易所BITFINEX，就(jiù)發生$‌≈(shēng)了(le)一(yī)起交易所業(yè)務應用(yε¥£òng)層被黑(hēi)客攻擊的(de)案例。<‌
有(yǒu)數(shù)據顯示，BITFINEX目前近(jìn) ←→¶80%的(de)攻擊損失都(dōu)是(shì)基于業(yè)務層的(d₹¥★₩e)攻擊所造成的(de)，其損失額度從(cóng) 2017 年(nβ" ₹ián)開(kāi)始呈現(xiàn)出指數 ™★(shù)上(shàng)升的(de)趨勢，截止到(dào) 2018 ®₹<年(nián)第一(yī)季度，所暴露的(÷‍ ♥de)安全事(shì)件(jiàn)就(jiù)已經£₹δ✘造成了(le) 8.1 億美(měi)元的(de)損失。所以在我們¥§₽✘推進區(qū)塊鏈應用(yòng)的(de)同時(shí)也(yě)需↓α§要(yào)考慮衍生(shēng)出來(lái)的(de)新問(wèn)題。
4. 算(suàn)力安全威脅 通(tōnφ•γ←g)過挪用(yòng)設備、篡改配置、物(wù)理λλλ(lǐ)劫持、系統漏洞入侵等方式，占用(yòng)甚至破壞算(su→•γ∑àn)力設備的(de)計(jì)算(suàn)能(néng)力，導緻σ→ σ設備無法正常提供服務。
區(qū)塊鏈可(kě)以與網絡安全再續前緣
那(nà)區(qū)塊鏈是(shì)不(bù)是(shì)可(kě)以×$β應用(yòng)于網絡安全這(zhè)個(gè)行(x∑≠ íng)業(yè)，和(hé)網絡安全其它的(de)一(y§ ī)些(xiē)技(jì)術(shù)結合，是(shì)不(bù)是(​®shì)可(kě)以産生(shēng)1+1>2的(de)效果呢(n↕​πβe)？答(dá)案是(shì)肯定的(de☆♦)。
有(yǒu)一(yī)個(gè)小(xiǎo)小(xi♠₽₩♦ǎo)的(de)例子(zǐ)，比如(rú)說(•"₩±shuō)大(dà)家(jiā)經常聽(t₩α∏īng)到(dào)會(huì)計(jì)發生(shēn☆↕£g)挪用(yòng)大(dà)額款項，然後很±'≈↑(hěn)長(cháng)時(shí)間(jiān)都(dōu)不(↑×bù)知(zhī)道(dào)的(de)事(shì)情™₩。原因是(shì)什(shén)麽呢(ne)？其實原因很(hδ​←$ěn)簡單，首先因為(wèi)會(huì)≈∞計(jì)權力很(hěn)大(dà)，其次，這(zhè)個(gè₩&≠↔)财務審計(jì)在時(shí)間(jiān)上(shà↓♦ng)是(shì)滞後的(de)。
那(nà)麽在網絡世界裡(lǐ)，其實也$≠≥'(yě)有(yǒu)一(yī)類特權用(yòng)戶，叫“根用(yòng)戶♣"φ”（root）。特權用(yòng)戶幾乎擁有(yǒ Ωu)任何權限。普通(tōng)的(de)用(yòng)戶做(zuò$£)某樣事(shì)情，會(huì)有(yǒu)一(±✔yī)個(gè)日(rì)志(zhì)，這(zhè)個(g βεè)日(rì)志(zhì)把誰什(shén)麽時(shí)間(jiān)幹了(‍←le)些(xiē)什(shén)麽都(dōu≈γ±ε)記錄下(xià)來(lái)。其實這(z™↑hè)也(yě)是(shì)一(yī)種審計(jì)。但(dδ∏₩àn)是(shì)對(duì)于特權用(yòng)戶來(lái)講，一(♦ δyī)種它有(yǒu)可(kě)能(néng)是(←←™φshì)沒有(yǒu)這(zhè)個(gè)日(rì)志(zhì)，還(h£•ái)有(yǒu)一(yī)種即使有(yǒu)日(rì)ε ¶‌志(zhì)，特權用(yòng)戶也(yě)可(kě)以把日(rì ÷)志(zhì)删掉。這(zhè)就(jiù)神不(¶×bù)知(zhī)鬼不(bù)覺，在數(shù)字世界裡(lǐ)是(shìβ<φ)非常危險的(de)行(xíng)為(wèi)。
區(qū)塊鏈的(de)技(jì)術(shùσ≥$₽)，怎麽來(lái)解決這(zhè)塊的(d→∏✘δe)痛點呢(ne)？就(jiù)可(kě)以這(zhè)樣操作(zuò)，•→β≈特權用(yòng)戶每做(zuò)任何一(yī)個(gè™≤)行(xíng)為(wèi)，就(jiù)可(kě)以直接把這(zhè≈¶≥§)個(gè)行(xíng)為(wèi)上(shàng)到(dào)區®φ÷≠(qū)塊鏈。這(zhè)就(jiù)做® ♠(zuò)到(dào)了(le)不(bù)可(kě)篡改，不(bù)λ≈可(kě)抵賴，非常美(měi)妙地(dì)解決了(le)一(yī≠​ )種監管和(hé)審計(jì)機(jī)制(zhì↔ )。
區(qū)塊鏈未來(lái)一(yī)方面在網絡安全行(xíng)業→ ©<(yè)會(huì)産生(shēng)一(yī♥•✔÷)些(xiē)新的(de)價值和(hé)應₩☆用(yòng)，還(hái)一(yī)個(gè)就(jiù)是(sh÷∑αì)區(qū)塊鏈和(hé)網絡安全、大(dà)數(shù)據、人(rén)&©§工(gōng)智能(néng)、雲計(j¥✔±©ì)算(suàn)一(yī)樣，它們其實都(dōu)在各自(zì)綜合存在γβ于未來(lái)數(shù)字社會(huì)當中，在各個& (gè)鏈條當中産生(shēng)它們最終的(de)産業(yè)價值和 ←↑•(hé)社會(huì)價值。
區(qū)塊鏈技(jì)術(shù)用(yòng​∞ε )于網絡安全領域
區(qū)塊鏈技(jì)術(shù)憑借其去(qù)中心化(huà)結構而±→™♣帶來(lái)的(de)安全特性，目前已≥©被國(guó)外(wài)金(jīn)融、醫(yī)療、互聯網等領域∏π∞↔各大(dà)公司用(yòng)來(lái)提升網絡安全。具體≈ λ(tǐ)來(lái)看(kàn)，區(qū)塊鏈技(jì)術(shù)可(β£☆↑kě)以在管理(lǐ)和(hé)保護用(yòng)戶認證數(shù)據、'€提高(gāo)網絡數(shù)據安全、有(yǒu)效阻止DDoS攻 £♠‌擊以及增強物(wù)聯網安全等領域發揮作(zuò)用(yòng)。
——管理(lǐ)和(hé)保護用(yòng) ≤戶認證數(shù)據。美(měi)國(guó)麻省理ΩΩ(lǐ)工(gōng)大(dà)學推出的(de)虛拟貨币Cer↓ γ'tCoin最先采用(yòng)了(le)基于區(qΩ>©αū)塊鏈的(de)公鑰基礎設施，摒棄傳統中心認證$ 方式，采用(yòng)公共密鑰實現(xiàn)分ε'✘(fēn)布式節點之間(jiān)的(de)互相(x→₹γiàng)認證，從(cóng)而防止網絡單點故障。烏克>‍≥蘭公司Ukroboronprom與網絡安全公司REMME合作(≤$☆¶zuò)，通(tōng)過在區(qū)塊鏈上(shàng)管理(lǐ)用 ₩♠(yòng)戶認證相(xiàng)關數(shù)據，幾φ←乎完全阻斷了(le)黑(hēi)客使用(yòng)虛假認證消γ♦‍✔息獲取用(yòng)戶身(shēn)份的(de)可(♣​​>kě)能(néng)。
——提高(gāo)網絡數(shù)據安全σ✘∏≈性。全球最大(dà)規模的(de)區(qū)塊鏈公司Guaγ✘₩>rdtime通(tōng)過分(fēn)布節點之間(ji≤↕ān)協商來(lái)提供區(qū)塊鏈上(shàng)數(shù)據的(d®ελ e)機(jī)密性和(hé)完整性，實現(xiàn)了(l"&↓ e)愛(ài)沙尼亞100萬份用(yòng"↓™)戶醫(yī)療數(shù)據的(de)∞∏"安全性保證。
——有(yǒu)效阻止DDoS攻擊。區(qū)塊鏈初創公司Nebulisεπ♦基于區(qū)塊鏈的(de)分(fēn)布式互聯網域✔εφ©名系統，隻允許授權用(yòng)戶來(l¶​ái)管理(lǐ)域名，其他(tā)公司 ®φ∏諸如(rú)Blockstack和(hé)MaidSafe也(yě)開(γ•kāi)始使用(yòng)分(fēn)布式Web技(jì)術(shù)，★₹ε♣替代原有(yǒu)第三方管理(lǐ)Web服•‌₽<務器(qì)和(hé)數(shù)據庫的(de)模式，₹©™從(cóng)而阻止網絡 DDoS攻擊。
——增強物(wù)聯網安全。通(tōng)過智能(nén≥ε≈Ωg)合約模式，區(qū)塊鏈一(yī)方面可(kě)以利用(yòng) P2P¥≠  網絡中的(de)網絡設備節點對(duì)待接入©<→¶設備進行(xíng)鑒權；另一(yī)方面可(kě)以有(yǒ≠♦u)效抵擋物(wù)聯網DDoS攻擊。在2016年(nián)爆發的(de™™Ωφ)Mirai僵屍網絡DDos攻擊事(shγβδì)件(jiàn)中，大(dà)規模的(de)物(wù)聯φγ↓"網設備被入侵，緻使大(dà)半美(měi)國(gu₩ ó)網絡癱瘓。在區(qū)塊鏈系統中，當某個(gè)節點被入侵時↕♣$(shí)，其他(tā)設備會(huì)檢測到(dàε$σ"o)該設備異常，并且将其列為(wèi)異常和(hé)不(bù)信≥&₩↓任節點，從(cóng)而将其排除。
未來(lái)區(qū)塊鏈最大(dà)™→δ÷的(de)價值是(shì)極大(dà)地(dì)增強了(le)數(s​‍hù)字社會(huì)的(de)信任，這(zhè)是(shì)由它的(de)這$♦(zhè)套分(fēn)布式架構、共識機( £×¶jī)制(zhì)和(hé)它的(de)智能(néng)合約<↑₽的(de)特點，以及網絡安全的(de)算(suàn)法共同産生(shēngσ"‌γ)的(de)這(zhè)一(yī)價值。

文(wén)字及圖片丨中國(guó)藍(lán)新聞公衆>±©号等網絡整理(lǐ)