浅谈区块链安全
前言
什么是区块链?区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。其最重要的特点:去中心化,为人类创造了一个最理想的货币,这是一个近乎完美的P2P网络,去中心化不需要第三方机构的参与,交易双方直接进行交易,这就大大缩短了时间,提高了效率。区块链在金融方面有着颠覆级的改变,在社会生活方面也有着不可想象的影响,区块链技术能使得交易数据完全公开透明,并可以提供完整的信息流,这样我们就可以清楚的看到在这其中是否存在了问题。在诸如:物流环节中保证货品的安全、优化运输路线和日程安排、小企业融资、商品溯源防伪等等方面都具有重要现实意义。
然而事物在外因的作用下,往往会朝无法预料的方向发展,从而背离初衷,中本聪当年恐怕无法想象自己发明的比特币,会被炒高到如此地步,在资本和利益的驱使下,以区块链之名,无数山寨币如雨后春笋般涌现,在缺乏市场监管和审查机制下,对区块链一无所知的资本家收割走了一波又一波韭菜,本应对社会发展起积极作用的技术,演变成了人们用来对赌的金融工具,人类逐利的本能在这场资本的盛宴中显露无遗。
区块链技术滥觞于电子货币领域,虽然去中心化的设计,使其具有足够的安全性,但因大量资本家入场,各类代币不受限制的发行,技术和安全意识却没有跟上,在矿力、钱包、交易等方面暴露出了许多安全风险,前段时间的BEC 智能合约爆发的数值溢出漏洞,使其60多亿市值一朝化为乌有,而同样基于ERC20智能合约的电子货币都存在类似的安全风险,而黑客攻击电子货币,非法窃取巨额财富的报道更是不绝于耳,因此区块链的安全问题,是任何一个参与者必须重视的。
本文只是作为一个门外汉的心态。基于目前的现实环境,对区块链和电子货币安全问题的一点想法,文中可能包含了诸多错误和不当之处,长见笑于大方,仅希望能对整个区块链安全行业做一点微小的贡献,以供同业者参考。
安全问题
智能合约
溢出漏洞
权限控制不当
拒绝服务
交易所
钱包
基础设施
山寨币
传统安全
区块链安全思考
风控
对异常交易的审计,做风控策略,防止漏洞利用。
合约自动审计
自动化的合约审计系统
威胁情报
蜜罐
总结
目前而言,对于整个区块链的安全攻防还处于初级阶段,很多暴露出的问题都只是一些较为初级的安全缺陷,参考其他行业的安全态势发展,这是在正常不过的情形,事物的发展往往都遵循着渐变的过程,在今后对区块链的安全攻防可能会涉及到更底层更核心的深水区,这一过程需要所有的从业者从现在开始引起高度重视,也希望安全行业能够把更多的目光投向区块链,区块链技术是未来技术革新重要方向,希望其能够长足的发展,更好的应用于现实社会中。