作者:Larry, 黄连金
近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达几十亿美元,给行业带来了巨大的经济损失和惨痛的教训。由于区块链技术是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、共同维护、公开透明等特点,为信任奠定了基础。但区块链技术存在的安全风险和技术特点也给广泛应用及安全监管带来了诸多挑战,随着区块链商业落地,安全需求也变得十分紧迫。可以说,安全是区块链的“立身之本”, 是区块链落地的第一要素!
中国区块链现状
中国政府将区块链视为构建未来智能城市的下一代关键IT 基础设施,将5G 链接的加密安全数据库连接到可扩展的云和数据管理基础设施,以便大数据/AI 分析能够高效地在上面运行
根据中国公司信息门户网站,在中国运营的区块链业务超过37000家. 仅在过去一年中,就有超过三分之一的实体注册
世界知识产权组织(WIPO)数据显示,2019年10月,中国区块链相关专利申请达到1.3万件,占全球专利申请总量的53%以上
中国央行已就数字货币DC/EP申请了84项专利
中国人民银行DCEP在4个主要城市进行试点,在连锁店星巴克、赛百味和麦当劳等19家当地企业进行试点
中国人民银行《金融分布式账本技术安全规范》
中国人民银行于2020年2月发布了《金融分布式账本技术安全规范》(JR/T 0184-2020),这份长达35页的规范文件阐述了安全要求的各个方面,规定了金融分布式账本技术的安全体系,包括:基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。
大中华区云安全联盟(CSA GCR)区块链安全工作组
国际著名非赢利组织云安全联盟大中华区CSA GCR(www.c-csa.cn)成立了专门的区块链/分布式账本技术工作组,专注于区块链安全(利用最新的安全技术,保障区块链的安全和隐私保护)和区块链技术在网络信息安全的应用(使用区块链和分布式账本技术提高网络信息的安全性),工作组整合国内外的先进经验及实践,建立和发展区块链安全指南、最佳实践以及测试标准等,并发布相应的白皮书、评测规范和检查清单等,希望帮助广大的区块链从业者和关注区块链安全的人们,以及改进区块链和网络信息的安全性。
区块链安全:CSA GCR目前有9个区块链安全工作组(https://www.c-csa.cn/),包括智能合约安全、钱包安全、共识算法安全、交易所安全、dApp安全、用户自治数字身份、网路通讯层安全、数据层的安全、合规KYC/AML 等,未来还会根据需要增加其它相关工作组(如Token经济激励安全,治理DAO安全等)。每个工作组都由一位知名的专家领导,共有100多名网络信息安全专家和区块链安全专家在各个小组工作。
区块链技术在网络信息安全领域的应用:此外,还有可以将区块链和分布式账本技术应用于传统网络信息安全领域,以改进和完善传统网络信息安全(如抗DDOS、身份管理、数据安全和隐私保护、防范盗版及权限管控等),也由其它工作组(如IAM工作组、数据/大数据安全工作组、零信任/SDP工作组、IOT工作组、云/边缘计算工作组、智慧城市安全工作组、AI安全工作组等),与区块链安全工作组一起协作进行。
OWAS的中国区列出区块链安全十大问题
OWASP中国收集、整理和分析了2011年至2019年间160多个典型区块链安全事件,给出了区块链安全TOP10:
高级可持续威胁
失控的币值通胀
失效的权限控制
不安全的共识协议
考虑不充分的程序逻辑
不严谨的业务策略
校验不严格的交易逻辑
脆弱的随机数机制
存在缺陷的激励机制
日志记录和监控不足
www.owasp.org.cn/owasp-project/533a575794fe5b895168top10