《区块链技术架构安全要求》正式发布,安全可信的区块链技术,又有哪些安全问题
日前国家互联网应急中心牵头推进的行业标准《区块链技术架构安全要求》正式发布并实施,成为国内首个正式发布的区块链通用安全技术行业标准。该标准规定了区块链技术架构应满足的安全要求,包括共识机制安全、智能合约安全、账本安全等,适用于区块链技术架构。
区块链技术被人看好,本身就是解决人与人之间信任问题,用一种安全、透明、防篡改的方式共享数据。但是再精良的数学逻辑和规则背后,也不是百分百安全。比特币被盗事件频频发生,Coinbase遭受以太坊经典网络的51%攻击。交易所被攻击,智能合约漏洞导致经济损失的案例也确实存在。那么,区块链技术存在哪些安全方面的问题?
公钥和私钥的风险
区块链或者分布式账本技术非常依赖公钥和私钥。如果你没有正确的公钥私钥组合,那么你将无法访问存储在区块链上的数字内容。
区块链最主要的突出的问题就是私钥的丢失、被盗的问题。一个方法是,授权另外一个私钥也可以转移资产,但是这个私钥的权限比较低,他转移资产需要1个月才能完成,中间如果发现转移资产是非法的,可以用原先的私钥实时把资金转走。还有一个比较好的方案是多重签名机制,资产放到多重签名的地址上,这样系统的安全性也会提高。而且这两种方法可以结合起来,让系统更加的安全。
代码安全的问题
区块链项目(尤其是公链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。一个例子就是震惊全球的 THE DAO 黑客攻击事件。在此次事件里,黑客利用其系统的漏洞,从数字货币投资基金中获取了大量的数字货币。
代码安全的问题可以分为两类:一类是平台自身的系统的安全问题,还有一类是用户写合约的安全性。平台安全问题其实是不可能完全解决的,目前还没有任何一家公司有这个实力。我们要做的是,在平台发生漏洞的情况下,需要有时间达成共识实现补救。
隐私安全的问题
区块链是一个公开的数据库,任何交易都是公开透明可以验证的。但是很多时候,我们并不希望是这样的。目前解决隐私安全主要可以通过环签名、零知识证明这两个方式。
共识机制挑战
当前的共识机制有工作量证明(Proof of Work,PoW)、权益证明(Proof of Stake,PoS)、授权权益证明(Delegated Proof of Stake,DPoS)、实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面临51%攻击问题。由于PoW 依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需
在PoS 中,攻击者在持有超过51%的Token 量时才能够攻击成功,这相对于PoW 中的51%算力来说,更加困难。
在PBFT 中,恶意节点小于总节点的1/3 时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
微信扫描关注公众号,及时掌握新动向
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场