《區塊鏈安全報告》來了！提示加密資產交易平臺六類隱患_區塊鏈

文章來源：第一財經網作者：杜川

區塊鏈技術迅速發展，虛擬貨幣漸漸走入大眾視線，虛擬幣交易平臺也如雨后春筍一般興起。然而交易平臺背后的經營者能力，以及平臺的自身安全性并無法得到很好的保障。

2017年6月，韓國最大交易所Bithumb被盜數十億韓元，三萬用戶信息被泄露；2017年12月，斯洛文尼亞加密挖礦網站Nicehash被盜約4700個比特幣，價值約6200萬美元。在區塊鏈和虛擬貨幣領域，此類由于交易所安全性導致損失的案件頻頻發生。

8月8日，國家互聯網金融安全技術專家委員會發布《區塊鏈技術安全概述報告》指出，區塊鏈技術目前的發展方興未艾，大多的技術和應用處于試驗階段。目前，發生的安全事件多集中出現于加密資產相關領域，給用戶造成了較大的經濟損失，其安全問題日益受到行業關注。

美眾議院金融服務委員會通過《區塊鏈監管確定法案》:7月27日消息，美國眾議員Tom Emmer發推表示，他提出的《區塊鏈監管確定法案》（Blockchain Regulatory Certainty Act）剛剛在美國眾議院金融服務委員會獲得通過，該法案將奧巴馬政府時期制定、特朗普政府時期重新制定的關鍵財政部指導方針編入法律，以確保加密領域的開發商和非托管服務提供商（礦工、驗證者、錢包提供商）不被視為貨幣轉移者（Money Transmitters），并且不受與托管加密貨幣交易所相同級別的監管。

金色財經注：該法案已通過美國眾議院金融服務委員會，下一步將交由美國眾議院投票。[2023/7/27 16:01:07]

區塊鏈安全環環相扣

區塊鏈應用從架構上分為三層，基礎網絡、平臺層和應用層。三個層面相互影響，每一個環節出現的安全問題，都將給下個環節帶來更多的安全問題。

《區塊鏈應用操作員國家職業技能標準》啟動專家初審:《區塊鏈應用操作員國家職業技能標準》專家初審會在北京召開，該標準擬根據職業活動內容，對從業者的知識和技能需求提出綜合性要求，是教材出版、題庫開發、職業教育培訓、技能等級評價的基礎依據，為區塊鏈領域技能人才的職業發展建立上升通道。標準開發對提高區塊鏈從業人員的素質，引導職業教育培訓，促進就業和區塊鏈人才隊伍建設起到積極重要的作用。在本次初審會上，編寫專家組代表盧毅從區塊鏈應用操作員的職業定義與增設背景、標準編制工作進度、標準概況及職業功能和工作內容等四個方面對《區塊鏈應用操作員國家職業技能標準》的編制情況進行詳細匯報。經過嚴謹、細致、認真的評審，評審專家認為：《區塊鏈應用操作員國家職業技能標準》的編制科學合理，有較強可操作性，技能等級的劃分將引領區塊鏈人才的職業成長，推動區塊鏈專業人才能力的提升。[2020/12/7 14:27:49]

互金專委會表示，在進行區塊鏈項目開發的過程中，從設計到實現，從驗證到響應，不僅僅需要考慮到單個環節的安全性問題，也需要將其放入到整體的層面中去判斷可能出現的風險點。

眾安科技與眾安金融科技研究院聯合發布《區塊鏈產業運用白皮書》:眾安科技與眾安金融科技研究院聯合發布了《區塊鏈產業運用白皮書》（下文稱白皮書），《白皮書》從區塊鏈的技術價值、產業應用生態、現代金融體系構建以及保險領域實踐四大版塊，深入思考區塊鏈在行業中價值增厚與重塑作用，見證區塊鏈作為技術基礎，構建社會可信體系與現代高效金融體系的全程。《白皮書》指出：2020年，中國明確了“新基建”范圍，并提出加快信息基礎設施、融合基礎設施及創新基礎設施的建設進程。這其中，區塊鏈作為新技術基礎設施之一，與人工智能、云計算等技術融合創新，助力社會可信體系的多層次構建，優化金融資源配置的合理性及有效性，為實體經濟發展注入新的技術動能。[2020/4/23]

以基礎網絡層為例，基礎網絡由數據層及網絡層組成，是區塊鏈的基礎部分，該部分封裝了區塊鏈的底層數據，對區塊鏈的數據采用非對稱性加密，利用P2P網絡并設置了傳播、驗證機制等。目前，主要面臨的安全問題為信息攻擊與加密算法攻擊、節點傳播與驗證機制風險。

動態 | 《區塊鏈信息服務管理規定》發布被評選為2019年網絡安全大事件之一:2019年2月25日，由中國計算機學會主辦、中國計算機學會計算機安全專業委員會承辦的2019年中國網絡安全大事在京發布。此次活動通過對2019年重大網絡安全事件的梳理，采用專家組評選和網絡投票的方式，評選出2019年網絡安全大事件。其中，《區塊鏈信息服務管理規定》發布被評選為2019年網絡安全大事件之一。據悉，2019年1月10日，國家互聯網信息辦公室發布《區塊鏈信息服務管理規定》，自2019年2月15日起施行。（經濟參考報）[2020/2/27]

《報告》指出，從數據區塊信息攻擊風險來看，一方面寫入區塊鏈后的信息很難刪除，不法分子將某些有害信息、病特征碼、穢信息等寫入區塊中，影響區塊鏈生態環境。另一方面，大量的垃圾交易數據攻擊會堵塞區塊鏈，使得有效交易和信息遲遲無法被處理。

《區塊鏈金融應用白皮書》在京發布，列舉10個金融場景:4月2日，由京東金融研究院和工信部下屬中國信通院云計算和大數據所共同撰寫的《區塊鏈金融應用白皮書》（以下簡稱白皮書）在京正式發布。“區塊鏈不等于幣圈。技術是中性的，關鍵看應用的領域和場景。”京東金融研究院院長孟昭莉認為，“如果沒有真實的應用場景，區塊鏈技術將失去生命力。”而在金融場景中，區塊鏈技術不僅有廣泛的應用空間，而且已經有不少探索實踐。在白皮書所列舉的10個金融場景中，大都存在參與節點多、驗真成本高、交易流程長三類共同特性，并因此造成業務的效率低、信用風險較高等問題。區塊鏈的分布式記賬、不可篡改、內置合約等特性可以為金融業務中的痛點提供解決方案。[2018/4/2]

P2P網絡風險方面，區塊鏈信息傳播采用P2P的模式，節點之間的信息傳播，會將包含自身IP地址的信息發送給相鄰節點。由于節點安全性參差不齊，較差的節點容易受到攻擊，目前可進行攻擊的方式包括：日食攻擊、竊聽攻擊、BGP劫持攻擊、節點客戶端漏洞、拒絕服務攻擊等。

據悉，2018年3月以太坊網絡就爆出「日食攻擊」。「日食攻擊」是其他節點實施的網絡層面攻擊，其攻擊手段是囤積和霸占受害者的點對點連接時隙，將該節點保留在一個隔離的網絡中。這類攻擊旨在阻止最新的區塊鏈信息進入到日食節點，從而隔離節點。而比特幣網絡很容易受到日食攻擊。

加密資產交易平臺六類隱患

近幾月，數起針對交易平臺的攻擊事件發生。2018年1月，日本的加密資產交易平臺Coincheck被入侵，損失超過5億美元；韓國交易平臺Coinrail也證實在2018年6月被黑客攻擊，入侵損失達3690萬美元。

互金專委會表示，加密資產是數字經濟中重要的組成部分，但針對加密資產交易平臺展開的頻繁網絡攻擊不斷沖擊著用戶對于數字資產的信任。

目前看來，加密資產交易平臺主要有六類常見隱患和漏洞，即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。

拒絕服務攻擊是目前最主要的針對交易平臺的攻擊方式。攻擊者通過拒絕服務攻擊使得交易平臺無法正常訪問，用戶因為無法準確分辨攻擊程度，往往會造成恐慌性的資產轉移，從而給交易平臺帶來損失。

互金專委會表示，目前即使是最好的技術措施也無法保護加密資產交易平臺免受網絡釣魚攻擊。欺詐者往往通過虛假域名或者仿冒頁面的方式迷惑受害者，受害者如無法分辨交易平臺的真實性便會遭受資產上的損失。

許多交易平臺使用單個私鑰來保護熱錢包，如果犯罪分子可以訪問單個私鑰，他們將能夠破解與私鑰相關的熱錢包。例如，2017年首爾交易所Yapizon的攻擊，攻擊者一年內前后兩次對交易平臺發起了針對平臺上熱錢包的盜取，總共造成交易平臺近50%的資產損失，并最終導致了交易平臺破產。

另外，由于沒有完善的風險隔離措施或對于員工權限監督不力，導致部分擁有平臺操作權限的員工利用內部信任監守自盜。例如，2016年交易平臺ShapeShift發生的員工盜取比特幣事件，通過私下盜取和將敏感信息轉賣給他人的方式給交易平臺共造成23萬美元損失。

軟件漏洞則包括單點登陸漏洞、oAuth協議漏洞等。互金專委會表示，目前各國都有法律要求銀行或其他金融機構實施信息安全措施，以保護客戶的存款。但由于區塊鏈領域還處于起步階段，目前缺少適用于加密資產的此類規范。因此，許多交易平臺在缺乏安全規范約束的條件下，存在大量漏洞并非偶然。

據悉，Mt.Gox是曾經占據世界交易總額80%的世界第一大比特幣交易平臺，然而，“Mt.Gox事件”成為加密資產歷史上最大的攻擊之一，共造成4.73億美元的損失，這次攻擊事件便是由黑客在初始交易發布之前向公共賬本提交代碼更改進行的。

互金專委會指出，區塊鏈的技術支持者常常認為區塊鏈交易是高度安全的，因為它們被記錄在據稱不可更改的記錄上。但是每個交易都需要有相應簽名，而在交易最終確認之前，記錄是可以被暫時偽造的。

針對上述風險與隱患，互金專委會建議，平臺應在技術開發方面持續投入，抵御日益增長的黑客攻擊，切實的增強系統的安全性；同時，確保員工保護安裝在專業工作計算機或個人計算機上軟件應用程序相關的登錄憑據，并完善安全培訓，提高安全意識；另外，應定期進行安全測試，建立完善的應急響應機制；進行網絡安全隔離，謹慎進行服務端口開放，并選擇具備完善防護的能力的服務供應商。

互金專委會指出，行業需要統一的治理機制，引入第三方監管與合作，在出現問題時及時與外部協同工作。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626988.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

DEA：犯罪活動只占比特幣交易的10％

Tags：區塊鏈比特幣非小號比特幣交易區塊鏈是什么概念股比特幣匯率兌換人民幣非小號太空狗幣比特幣交易流程

DOGE