國家互聯網金融安全技術專家委員會近日發布的《區塊鏈技術安全概述報告》(以下簡稱《報告》)指出,目前區塊鏈的技術和應用大多還處于試驗階段,發生的安全事件多集中出現于加密資產相關領域,給用戶造成了較大的經濟損失。
據了解,加密資產主要存儲于電子錢包內。區塊鏈的錢包主要用于存儲區塊鏈資產的地址和私鑰文件,根據使用場景的不同,數字資產錢包主要包括中心化錢包、多種類錢包、網絡錢包、本地錢包和硬件錢包。
互金專委會指出,影響錢包安全的因素主要包括網絡釣魚、惡意三方程序、計算機黑客、丟失密碼/密鑰等。目前看來,加密資產交易平臺主要有六類常見隱患和漏洞,即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。
以網絡釣魚為例,欺詐者往往通過虛假域名或者仿冒頁面的方式迷惑受害者,受害者如無法分辨交易平臺的真實性便會遭受資產上的損失。目前,即使是最好的技術措施也無法保護加密資產交易平臺免受網絡釣魚攻擊。
熱錢包防范也存在很大漏洞。目前,許多交易平臺使用單個私鑰來保護熱錢包,如果犯罪分子可以訪問單個私鑰,他們將能夠破解與私鑰相關的熱錢包。《報告》指出,私鑰攻擊的典型例子是2017年首爾交易所Yapizon的攻擊,攻擊者一年內兩次對交易平臺發起了針對平臺上熱錢包的盜取,總共造成交易平臺近50%的資產損失,并最終導致了交易平臺的破產。
“區塊鏈技術的支持者常常認為區塊鏈交易是高度安全的,因為它們被記錄在據稱不可更改的記錄上。但是每個交易都需要有相應簽名,而在交易最終確認之前,記錄是可以被暫時偽造的。”互金專委會的技術專家舉例說,“Mt.Gox事件”是加密資產歷史上最大的攻擊之一,共造成了4.73億美元的損失,而這次攻擊事件便是由黑客在初始交易發布之前向公共賬本提交代碼更改進行的。
針對上述風險與隱患,互金專委會建議,平臺應在技術開發方面持續投入,抵御日益增長的黑客攻擊,切實地增強系統的安全性;確保員工保護安裝在專業工作計算機或個人計算機上軟件應用程序相關的登錄憑據,并完善安全培訓,提高安全意識;定期進行安全測試,建立完善的應急響應機制;進行網絡安全隔離,謹慎進行服務端口開放,并選擇具備完善防護能力的服務供應商。
京公網安備 11010502049343號