區(qū)塊鏈與網絡安全的(de)“緣”

從幕後走向台前的(de)區(qū)塊鏈，與網絡安全緣分(fēn)幾何？
案例一：2018年4月(yuè)22日，BeautyChain合約出現重大(dà)漏洞，黑(hēi)客通(tōng)過合約的(de)批量轉賬方無限生成代币，導緻BEC價值幾乎歸零。
案例二：2018年4月(yuè)25日，SmartMesh出現類似BEC的(de)重大(dà)安全漏洞，損失1.4億美(měi)金。
案例三：2018年7月(yuè)25日，狼人(rén)遊戲出現“溢出”漏洞，導緻遊戲損失60686個(gè)EOS。
案例四：2018年9月(yuè)20日，日本數字貨币交易所Zaif宣布遭受黑(hēi)客攻擊，損失5967萬美(měi)元。其中1959萬美(měi)元屬于該交易所自有資金，其餘4007萬美(měi)元屬于客戶資金。
案例五：2018年12月(yuè)3日，Dice3D遭遇黑(hēi)客攻擊，損失10569個(gè)EOS。
區(qū)塊鏈和(hé)網絡安全前世有緣
數字世界缺乏信任的(de)問題已經很普遍，比如在沒有擔保的(de)情況，我們不相信網上的(de)交易。在數字世界證明(míng)你就是你、你什(shén)麽時(shí)間幹了(le)什(shén)麽，是一個(gè)比較困難的(de)事情。區(qū)塊鏈應運而生，正好能解決這(zhè)些問題，通(tōng)過它可(kě)以建立一個(gè)信任鏈。而某種角度區(qū)塊鏈技術也(yě)是安全技術的(de)一種衍生的(de)平台， 它可(kě)以解決who、 when、what等方面的(de)安全問題。
區(qū)塊鏈和(hé)網絡安全息息相關， 它的(de)核心就是各種安全的(de)算(suàn)法。區(qū)塊鏈有幾大(dà)特征：不可(kě)抵賴性、建立信任鏈、去中心化(huà)等，都是由算(suàn)法基石構建的(de)堡壘.比如區(qū)塊鏈中有一種算(suàn)法是哈希算(suàn)法，就是可(kě)以用(yòng)很小的(de)數據代替大(dà)的(de)數據，大(dà)的(de)數據一改動，小的(de)數據完全變化(huà)，并且小的(de)數據沒辦法推導出大(dà)的(de)數。
除了(le)加密算(suàn)法，區(qū)塊鏈還(hái)需要一些關鍵技術來(lái)保障，比如：共識機制，分(fēn)布式賬本，智能合約等。利用(yòng)這(zhè)些關鍵技術最後能夠構建一個(gè)完善的(de)信任鏈，這(zhè)些機制可(kě)以大(dà)大(dà)降低成本。
舉個(gè)例子：對(duì)賬需要大(dà)量的(de)人(rén)員(yuán)，可(kě)能是10個(gè)人(rén)，可(kě)能是100個(gè)人(rén)，而且人(rén)還(hái)不可(kě)靠，不同的(de)人(rén)相互不信任，而利用(yòng)區(qū)塊鏈技術就不需要有人(rén)進行直接操作，而用(yòng)機器來(lái)代替人(rén)，在不斷提升可(kě)靠性的(de)前提下(xià)，還(hái)可(kě)以大(dà)大(dà)節省人(rén)員(yuán)數量，這(zhè)就是建立一種低成本的(de)信任鏈。
區(qū)塊鏈真的(de)安全嗎？

區(qū)塊鏈體系存在數據層、網絡層、激勵層、共識層、合約層、業務層六個(gè)層面。在安全問題上，每一個(gè)層面其實都會涉及到，隻要是程序，它就有可(kě)能有漏洞。其中，合約層、業務層是區(qū)塊鏈架構中安全問題最爲頻(pín)發的(de)部分(fēn)。
黑(hēi)客通(tōng)過DDoS攻擊、CC攻擊、系統漏洞、代碼漏洞、業務流程漏洞、API-Key漏洞等進行攻擊和(hé)入侵，給區(qū)塊鏈項目的(de)管理(lǐ)運營團隊及用(yòng)戶造成巨大(dà)的(de)經濟損失。威脅來(lái)源主要包括以下(xià)方面：
1.平台可(kě)用(yòng)性風險 通(tōng)過DDoS攻擊、CC攻擊、跨站腳本攻擊等方式，降低平台的(de)可(kě)用(yòng)性，使平台在一定時(shí)間内無法向用(yòng)戶提供服務。
2. 智能合約風險 由于區(qū)塊鏈技術不可(kě)逆的(de)特點，智能合約一經發布，無法修改，已發布的(de)智能合約一旦發現重大(dà)安全漏洞，将嚴重影(yǐng)響整個(gè)項目，甚至導緻項目失敗。
例如：假設一筆交易一開始看上去是被驗證了(le)，然後完成了(le)。這(zhè)個(gè)時(shí)候一旦出現漏洞，智能合約就會不斷開始重複執行這(zhè)筆交易。比如說你有一張信用(yòng)卡，你到一個(gè)店(diàn)裏刷了(le)一下(xià)，付了(le)200塊錢。但如果說在後台有這(zhè)樣的(de)漏洞，你就會不斷地刷200塊錢，直到把你的(de)卡刷完爲止。
3. 平台業務安全風險 利用(yòng)平台的(de)系統漏洞、源代碼漏洞、業務邏輯漏洞等，通(tōng)過社工、跨站腳本、惡意掃描等方式進行攻擊。
在業務層，就好像互聯網開始的(de)時(shí)候，大(dà)量的(de)網站應用(yòng)，你買票(piào)也(yě)好，你購(gòu)物(wù)也(yě)好，營業廳也(yě)好，網銀也(yě)好，這(zhè)裏面其實也(yě)有各種各樣的(de)應用(yòng)漏洞，這(zhè)就是業務層的(de)漏洞。雖然說區(qū)塊鏈是一個(gè)分(fēn)布式的(de)架構，但其實很多(duō)的(de)交易所都是中心化(huà)的(de)，所謂的(de)中心化(huà)，比如說如果是跟比特币有關，一旦黑(hēi)客入侵，那他(tā)就可(kě)以把你的(de)币都轉走，都可(kě)以竊取。之前全球最大(dà)的(de)比特币交易所BITFINEX，就發生了(le)一起交易所業務應用(yòng)層被黑(hēi)客攻擊的(de)案例。
有數據顯示，BITFINEX目前近 80%的(de)攻擊損失都是基于業務層的(de)攻擊所造成的(de)，其損失額度從 2017 年開始呈現出指數上升的(de)趨勢，截止到 2018 年第一季度，所暴露的(de)安全事件就已經造成了(le) 8.1 億美(měi)元的(de)損失。所以在我們推進區(qū)塊鏈應用(yòng)的(de)同時(shí)也(yě)需要考慮衍生出來(lái)的(de)新問題。
4. 算(suàn)力安全威脅 通(tōng)過挪用(yòng)設備、篡改配置、物(wù)理(lǐ)劫持、系統漏洞入侵等方式，占用(yòng)甚至破壞算(suàn)力設備的(de)計算(suàn)能力，導緻設備無法正常提供服務。
區(qū)塊鏈可(kě)以與網絡安全再續前緣
那區(qū)塊鏈是不是可(kě)以應用(yòng)于網絡安全這(zhè)個(gè)行業，和(hé)網絡安全其它的(de)一些技術結合，是不是可(kě)以産生1+1>2的(de)效果呢(ne)？答(dá)案是肯定的(de)。
有一個(gè)小小的(de)例子，比如說大(dà)家經常聽(tīng)到會計發生挪用(yòng)大(dà)額款項，然後很長(cháng)時(shí)間都不知道的(de)事情。原因是什(shén)麽呢(ne)？其實原因很簡單，首先因爲會計權力很大(dà)，其次，這(zhè)個(gè)财務審計在時(shí)間上是滞後的(de)。
那麽在網絡世界裏，其實也(yě)有一類特權用(yòng)戶，叫“根用(yòng)戶”（root）。特權用(yòng)戶幾乎擁有任何權限。普通(tōng)的(de)用(yòng)戶做(zuò)某樣事情，會有一個(gè)日志，這(zhè)個(gè)日志把誰什(shén)麽時(shí)間幹了(le)些什(shén)麽都記錄下(xià)來(lái)。其實這(zhè)也(yě)是一種審計。但是對(duì)于特權用(yòng)戶來(lái)講，一種它有可(kě)能是沒有這(zhè)個(gè)日志，還(hái)有一種即使有日志，特權用(yòng)戶也(yě)可(kě)以把日志删掉。這(zhè)就神不知鬼不覺，在數字世界裏是非常危險的(de)行爲。
區(qū)塊鏈的(de)技術，怎麽來(lái)解決這(zhè)塊的(de)痛點呢(ne)？就可(kě)以這(zhè)樣操作，特權用(yòng)戶每做(zuò)任何一個(gè)行爲，就可(kě)以直接把這(zhè)個(gè)行爲上到區(qū)塊鏈。這(zhè)就做(zuò)到了(le)不可(kě)篡改，不可(kě)抵賴，非常美(měi)妙地解決了(le)一種監管和(hé)審計機制。
區(qū)塊鏈未來(lái)一方面在網絡安全行業會産生一些新的(de)價值和(hé)應用(yòng)，還(hái)一個(gè)就是區(qū)塊鏈和(hé)網絡安全、大(dà)數據、人(rén)工智能、雲計算(suàn)一樣，它們其實都在各自綜合存在于未來(lái)數字社會當中，在各個(gè)鏈條當中産生它們最終的(de)産業價值和(hé)社會價值。
區(qū)塊鏈技術用(yòng)于網絡安全領域
區(qū)塊鏈技術憑借其去中心化(huà)結構而帶來(lái)的(de)安全特性，目前已被國外金融、醫療、互聯網等領域各大(dà)公司用(yòng)來(lái)提升網絡安全。具體來(lái)看，區(qū)塊鏈技術可(kě)以在管理(lǐ)和(hé)保護用(yòng)戶認證數據、提高(gāo)網絡數據安全、有效阻止DDoS攻擊以及增強物(wù)聯網安全等領域發揮作用(yòng)。
——管理(lǐ)和(hé)保護用(yòng)戶認證數據。美(měi)國麻省理(lǐ)工大(dà)學推出的(de)虛拟貨币CertCoin最先采用(yòng)了(le)基于區(qū)塊鏈的(de)公鑰基礎設施，摒棄傳統中心認證方式，采用(yòng)公共密鑰實現分(fēn)布式節點之間的(de)互相認證，從而防止網絡單點故障。烏克蘭公司Ukroboronprom與網絡安全公司REMME合作，通(tōng)過在區(qū)塊鏈上管理(lǐ)用(yòng)戶認證相關數據，幾乎完全阻斷了(le)黑(hēi)客使用(yòng)虛假認證消息獲取用(yòng)戶身份的(de)可(kě)能。
——提高(gāo)網絡數據安全性。全球最大(dà)規模的(de)區(qū)塊鏈公司Guardtime通(tōng)過分(fēn)布節點之間協商來(lái)提供區(qū)塊鏈上數據的(de)機密性和(hé)完整性，實現了(le)愛(ài)沙尼亞100萬份用(yòng)戶醫療數據的(de)安全性保證。
——有效阻止DDoS攻擊。區(qū)塊鏈初創公司Nebulis基于區(qū)塊鏈的(de)分(fēn)布式互聯網域名系統，隻允許授權用(yòng)戶來(lái)管理(lǐ)域名，其他(tā)公司諸如Blockstack和(hé)MaidSafe也(yě)開始使用(yòng)分(fēn)布式Web技術，替代原有第三方管理(lǐ)Web服務器和(hé)數據庫的(de)模式，從而阻止網絡 DDoS攻擊。
——增強物(wù)聯網安全。通(tōng)過智能合約模式，區(qū)塊鏈一方面可(kě)以利用(yòng) P2P 網絡中的(de)網絡設備節點對(duì)待接入設備進行鑒權；另一方面可(kě)以有效抵擋物(wù)聯網DDoS攻擊。在2016年爆發的(de)Mirai僵屍網絡DDos攻擊事件中，大(dà)規模的(de)物(wù)聯網設備被入侵，緻使大(dà)半美(měi)國網絡癱瘓。在區(qū)塊鏈系統中，當某個(gè)節點被入侵時(shí)，其他(tā)設備會檢測到該設備異常，并且将其列爲異常和(hé)不信任節點，從而将其排除。
未來(lái)區(qū)塊鏈最大(dà)的(de)價值是極大(dà)地增強了(le)數字社會的(de)信任，這(zhè)是由它的(de)這(zhè)套分(fēn)布式架構、共識機制和(hé)它的(de)智能合約的(de)特點，以及網絡安全的(de)算(suàn)法共同産生的(de)這(zhè)一價值。

文字及圖片丨中國藍新聞公衆号等網絡整理(lǐ)