什么是區(qū)塊鏈安全？

區(qū)塊鏈安全是區(qū)塊鏈網(wǎng)絡(luò)的綜合風(fēng)險(xiǎn)管理系統(tǒng)，使用網(wǎng)絡(luò)安全框架、保證服務(wù)和最佳實(shí)踐來降低攻擊和欺詐風(fēng)險(xiǎn)。

基本的區(qū)塊鏈安全

區(qū)塊鏈技術(shù)產(chǎn)生了一種具有內(nèi)在安全特性的數(shù)據(jù)結(jié)構(gòu)。它基于密碼學(xué)、去中心化和共識(shí)原則，確保交易的可信度。在大多數(shù)區(qū)塊鏈或分布式賬本技術(shù) (DLT) 中，數(shù)據(jù)被構(gòu)造成塊，每個(gè)塊包含一個(gè)事務(wù)或一組事務(wù)。每個(gè)新塊都以幾乎不可能篡改的方式連接到密碼鏈中它之前的所有塊。區(qū)塊內(nèi)的所有交易都通過共識(shí)機(jī)制進(jìn)行驗(yàn)證和同意，確保每筆交易都是真實(shí)和正確的。

區(qū)塊鏈技術(shù)通過分布式網(wǎng)絡(luò)中成員的參與實(shí)現(xiàn)去中心化。沒有單點(diǎn)故障，單個(gè)用戶無法更改交易記錄。然而，區(qū)塊鏈技術(shù)在一些關(guān)鍵的安全方面有所不同。

區(qū)塊鏈類型的安全性有何不同

區(qū)塊鏈網(wǎng)絡(luò)在誰可以參與以及誰可以訪問數(shù)據(jù)方面可能有所不同。網(wǎng)絡(luò)通常被標(biāo)記為公共或私有（描述允許誰參與）和許可或非許可（描述參與者如何訪問網(wǎng)絡(luò)）。

公共和私有區(qū)塊鏈
公共區(qū)塊鏈網(wǎng)絡(luò)通常允許任何人加入并讓參與者保持匿名。公共區(qū)塊鏈?zhǔn)褂寐?lián)網(wǎng)計(jì)算機(jī)來驗(yàn)證交易并達(dá)成共識(shí)。比特幣可能是公鏈最著名的例子，它通過“比特幣挖礦”達(dá)成共識(shí)。比特幣網(wǎng)絡(luò)上的計(jì)算機(jī)或“礦工”試圖解決復(fù)雜的密碼問題以創(chuàng)建工作證明，從而驗(yàn)證交易。除了公鑰之外，這種類型的網(wǎng)絡(luò)幾乎沒有身份和訪問控制。

私有區(qū)塊鏈?zhǔn)褂蒙矸輥泶_認(rèn)成員資格和訪問權(quán)限，并且通常只允許已知組織加入。這些組織一起形成了一個(gè)私人的、僅限會(huì)員的“商業(yè)網(wǎng)絡(luò)”。許可網(wǎng)絡(luò)中的私有區(qū)塊鏈通過稱為“選擇性背書”的過程達(dá)成共識(shí)，已知用戶在該過程中驗(yàn)證交易。只有具有特殊訪問權(quán)限的成員才能維護(hù)交易分類帳。這種網(wǎng)絡(luò)類型需要更多的身份和訪問控制。

在構(gòu)建區(qū)塊鏈應(yīng)用程序時(shí)，評估哪種類型的網(wǎng)絡(luò)最適合您的業(yè)務(wù)目標(biāo)至關(guān)重要。出于合規(guī)性和監(jiān)管原因，可以嚴(yán)格控制和優(yōu)先使用私有和許可網(wǎng)絡(luò)。然而，公共和無需許可的網(wǎng)絡(luò)可以實(shí)現(xiàn)更大的去中心化和分布。

公共區(qū)塊鏈是公開的，任何人都可以加入它們并驗(yàn)證交易。

私有區(qū)塊鏈受到限制，通常僅限于商業(yè)網(wǎng)絡(luò)。單個(gè)實(shí)體或財(cái)團(tuán)控制成員資格。

無許可區(qū)塊鏈對處理器沒有限制。

許可的區(qū)塊鏈僅限于使用證書授予身份的一組選定用戶。

網(wǎng)絡(luò)攻擊和欺詐

雖然區(qū)塊鏈技術(shù)產(chǎn)生了防篡改的交易分類賬，但區(qū)塊鏈網(wǎng)絡(luò)也不能免受網(wǎng)絡(luò)攻擊和欺詐。那些懷有惡意的人可以操縱區(qū)塊鏈基礎(chǔ)設(shè)施中的已知漏洞，多年來已經(jīng)成功進(jìn)行了各種黑客攻擊和欺詐。這里有一些例子：

代碼利用

去中心化自治組織 (DAO) 是一家受比特幣啟發(fā)、通過去中心化區(qū)塊鏈運(yùn)營的風(fēng)險(xiǎn)投資基金，通過代碼利用被盜取了價(jià)值超過 6000 萬美元的以太數(shù)字貨幣——約占其價(jià)值的三分之一。

秘鑰失竊

全球最大的加密貨幣交易所之一、總部位于香港的 Bitfinex 價(jià)值近 7300 萬美元的客戶比特幣被盜，表明該貨幣仍然存在很大風(fēng)險(xiǎn)?？赡艿脑蚴撬借€被盜，這是個(gè)人數(shù)字簽名。

電腦被黑

當(dāng)最大的以太坊和比特幣加密貨幣交易所之一 Bithumb 最近遭到黑客攻擊時(shí)，黑客泄露了 30,000 名用戶的數(shù)據(jù)并竊取了價(jià)值 870,000 美元的比特幣。盡管被黑客入侵的是員工的計(jì)算機(jī)——而不是核心服務(wù)器——但這一事件引發(fā)了對整體安全性的質(zhì)疑。

欺詐者如何攻擊區(qū)塊鏈技術(shù)

黑客和欺詐者主要通過四種方式威脅區(qū)塊鏈：網(wǎng)絡(luò)釣魚、路由、Sybil 和 51% 攻擊。

網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚是一種試圖獲取用戶憑據(jù)的詐騙行為。欺詐者向錢包密鑰所有者發(fā)送電子郵件，這些電子郵件看起來好像來自合法來源。這些電子郵件使用偽造的超鏈接要求用戶提供憑據(jù)。訪問用戶的憑據(jù)和其他敏感信息可能會(huì)給用戶和區(qū)塊鏈網(wǎng)絡(luò)造成損失。

路由攻擊

區(qū)塊鏈依賴于實(shí)時(shí)的大數(shù)據(jù)傳輸。黑客可以在數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)服務(wù)提供商時(shí)攔截?cái)?shù)據(jù)。在路由攻擊中，區(qū)塊鏈參與者通?？床坏酵{，因此一切看起來都很正常。然而，在幕后，欺詐者已經(jīng)提取了機(jī)密數(shù)據(jù)或貨幣。

Sybil攻擊

在 Sybil 攻擊中，黑客創(chuàng)建并使用許多虛假的網(wǎng)絡(luò)身份來充斥網(wǎng)絡(luò)并使系統(tǒng)崩潰。Sybil 指的是被診斷出患有多重身份障礙的著名書中人物。

51% 攻擊

挖礦需要海量的算力，尤其是對于大規(guī)模的公有鏈。但是，如果一個(gè)礦工或一組礦工能夠聚集足夠的資源，他們可以獲得超過 50% 的區(qū)塊鏈網(wǎng)絡(luò)挖礦算力。擁有超過 50% 的權(quán)力意味著擁有對賬本的控制權(quán)和操縱權(quán)。

注意：私有區(qū)塊鏈不容易受到 51% 攻擊。

在當(dāng)今的數(shù)字世界中，必須采取措施確保區(qū)塊鏈設(shè)計(jì)和環(huán)境的安全。

企業(yè)的區(qū)塊鏈安全

在構(gòu)建企業(yè)區(qū)塊鏈應(yīng)用程序時(shí)，重要的是要考慮技術(shù)堆棧所有層的安全性，以及如何管理網(wǎng)絡(luò)的治理和權(quán)限。企業(yè)區(qū)塊鏈解決方案的綜合安全策略包括使用傳統(tǒng)安全控制和技術(shù)獨(dú)特的控制。一些特定于企業(yè)區(qū)塊鏈解決方案的安全控制措施包括：

• 身份和訪問管理
• 密鑰管理  
• 數(shù)據(jù)隱私 
• 安全通信
• 智能合約安全
• 交易背書

聘請專家?guī)椭O(shè)計(jì)合規(guī)且安全的解決方案，并幫助您實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。尋找一個(gè)生產(chǎn)級平臺(tái)來構(gòu)建可以部署在您選擇的技術(shù)環(huán)境中的區(qū)塊鏈解決方案，無論是本地還是首選的云供應(yīng)商。

區(qū)塊鏈安全提示和最佳實(shí)踐

在設(shè)計(jì)區(qū)塊鏈解決方案時(shí)，請考慮以下關(guān)鍵問題：

• 參與組織或成員的治理模式是什么？
• 每個(gè)塊中將捕獲哪些數(shù)據(jù)？
• 相關(guān)監(jiān)管要求是什么，如何滿足？
• 如何管理身份的詳細(xì)信息？塊有效載荷是否加密？如何管理和撤銷密鑰？
• 區(qū)塊鏈參與者的災(zāi)難恢復(fù)計(jì)劃是什么？
• 區(qū)塊鏈客戶參與的最低安全狀況是什么？
• 解決區(qū)塊鏈區(qū)塊碰撞的邏輯是什么？

建立私有區(qū)塊鏈時(shí)，確保將其部署在安全、有彈性的基礎(chǔ)設(shè)施中。針對業(yè)務(wù)需求和流程的底層技術(shù)選擇不當(dāng)可能會(huì)通過其漏洞導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。

考慮業(yè)務(wù)和治理風(fēng)險(xiǎn)。商業(yè)風(fēng)險(xiǎn)包括財(cái)務(wù)影響、聲譽(yù)因素和合規(guī)風(fēng)險(xiǎn)。治理風(fēng)險(xiǎn)主要來自區(qū)塊鏈解決方案的去中心化性質(zhì)，它們需要對決策標(biāo)準(zhǔn)、治理策略、身份和訪問管理進(jìn)行強(qiáng)有力的控制。

區(qū)塊鏈安全是關(guān)于了解區(qū)塊鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)并對其進(jìn)行管理。對這些控制實(shí)施安全的計(jì)劃構(gòu)成了區(qū)塊鏈安全模型。創(chuàng)建區(qū)塊鏈安全模型以確保所有措施都到位以充分保護(hù)您的區(qū)塊鏈解決方案。

要實(shí)施區(qū)塊鏈解決方案安全模型，管理員必須開發(fā)一個(gè)可以解決所有業(yè)務(wù)、治理、技術(shù)和流程風(fēng)險(xiǎn)的風(fēng)險(xiǎn)模型。接下來，他們必須評估對區(qū)塊鏈解決方案的威脅并創(chuàng)建威脅模型。然后，管理員必須根據(jù)以下三個(gè)類別定義減輕風(fēng)險(xiǎn)和威脅的安全控制：

• 實(shí)施區(qū)塊鏈獨(dú)有的安全控制
• 應(yīng)用常規(guī)安全控制
• 對區(qū)塊鏈實(shí)施業(yè)務(wù)控制