钱包被盗、账户被偷、交易所入侵？区块链上安全风险多了去了

来源：链得得

2017年，韩国Yapizon数字资产交易平台遭遇黑客入侵，近50%的资产损失，交易平台因此破产；2018年1月，日本的加密资产交易平台Coincheck遭遇黑客入侵，损失超过5亿美元；2018年6月，韩国交易平台Coinrail受到到黑客攻击，损失3,690万美元……区块链技术目前的发展方兴未艾，大多的技术和应用处于试验阶段，安全风险问题层出不穷。除了交易平台面临的风险，个人面临的风险也不在少数，比如钱包被盗、账户被偷。

近日，国家互联网金融安全技术专家委员会、上海圳链公司联手推出“区块链技术安全”报告，将常见的区块链安全风险分为基础网络安全风险、平台层安全风险以及应用层安全风险三大类，并针对风险提出了建议和解决方案。

一、基础层安全风险

基础网络由数据层及网络层组成，是区块链的基础部分，该部分封装了区块链的底层数据，安全风险高发。在数据层主要是信息攻击与加密算法攻击，而在网络层则面临节点传播与验证机制风险。接受专业的代码审计及注重安全编码可以有效规避潜在的风险。

二、平台层安全风险

平台层由共识层、激励层及合约层组成，是衔接基础网络与应用服务层的桥梁，该部分封装了网络节点的共识算法、发行机制、分配机制、脚本及智能合约等。

其中，共识层由于共识机制的不同，易遭受的攻击也会有所差别：

1. PoW工作量证明机制含义：节点通过计算随机哈希散列数值来争夺记账权。攻击方式：女巫攻击2. PoS权益证明机制含义：根据节点拥有的通证比例及时间，依据算法降低挖矿难度，加快随机数的寻找速度。攻击方式：short-range攻击、 Long-range攻击、币龄累计攻击、预计算攻击、女巫攻击3. DPoS股份授权证明机制含义：全体节点投票选举一定数量的节点代表，由他们确认区块，维持系统秩序。攻击方式：Long-range攻击、币龄累计攻击、女巫攻击

在激励层，主要是面临发行及分配机制的风险。发行机制目前暂无安全风险事件曝光，但不排除激励层发行机制中存在安全隐患；而在分配机制上，大量小算力节点易集中加入矿池，对于去中心化趋势造成威胁。

合约层可能出现以下攻击：Solidity漏洞、逃逸漏洞、短地址漏洞、堆栈溢出漏洞、可重入性攻击、交易顺序依赖攻击、时间戳依赖攻击、整数溢出攻击等。

三、应用层安全风险

应用层作为区块链技术一个实际的落地场景，也是目前区块链产业的所有架构中受到安全性事件影响最多也是最频繁的一个层级。攻击目标主要集中在与加密资产相关的领域例如用户节点、数字资产钱包以及交易平台之中，每一次的安全事件所带来的实际损失可达千万至上亿美元。

1.节点

节点遭受的攻击主要通过傀儡网络的方式。傀儡网络是指恶意软件开发者或运营者通过感染受害者的系统和设备在对方不知情的情况下进行加密资产挖矿行为。常见攻击行为包括：跨站脚本、Microsoft中远程执行代码的漏洞利用、命令缓冲区溢出漏洞利用、SQL注入、BlackNurse拒绝服务攻击等。

2.数字资产钱包

目前影响钱包安全的因素主要包括网络钓鱼、恶意三方程序、计算机黑客、丢失密码/密钥等。有别于其他的应用程序，钱包因为各自用途、属性的不同，目前并无统一的解决方案。

3.数字资产交易平台

加密资产是数字经济中重要的组成部分，但针对加密资产交易平台展开的频繁网络攻击不断冲击着用户对于数字资产的信任。目前看来，加密资产交易平台主要有六类常见隐患和漏洞，即拒绝服务攻击、网络钓鱼事件，热钱包防护问题，内部攻击，软件漏洞，和交易可锻性。

总体来说，一是在架构设计上，由于区块链应用具有高度自治特性，智能合约一旦运行就无法逆转，因此初期的安全设计规范尤显重要。二是在具体开发阶段，目前部分区块链开发者的代码质量、开发工具和应用平台的成熟度都需要进行不断完善与提升。三是区块链问题外延方面，鉴于安全问题始终是非静态的，关注区块链底层技术的安全问题同时，区块链安全问题同样外延到了传统的个人信息安全保护、基础设施安全、网络安全等领域中，无论是在区块链概念上,还是在实际应用层面上,都需要长期有效的校正机制。