過去一段時間，區塊鏈在各個行業迅猛發展，網絡虛擬貨幣、公證、存證類應用，包括證券市場、支付系統甚至是音樂、游戲等數字化產品都能看到區塊鏈的身影。隨著信息交互流速加快，區塊鏈也逐漸從數字貨幣等概念向外延伸，安全問題必然需要提升日程。

區塊鏈，安全并不簡單

區塊鏈本質上是一個分布式數據庫，也成為一個分布式公共賬本，可通過去中心化、去信任機制，使得鏈上信息不可篡改，集體維護的可靠數據庫。

南京郵電大學教授孫國梓曾在第七屆全國網絡與信息安全防護峰會上指出，作為分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新興應用模式，區塊鏈具備以下五個特點：

1. 通過去中心化和去信任的方式集體維護一個可靠數據庫的技術方案;

2. 讓參與系統中的任意多個節點，通過使用密碼學方法相關聯產生一串數據塊;

3. 每個數據塊中包含了一定時間內的系統全部信息交流數據;

4. 生成數據指紋，用于驗證其信息的有效性和鏈接下一個數據庫塊;

5. 用區塊鏈所串接的分布式賬本能讓兩方有效率的記錄交易，且此交易可永久被查驗;

盡管區塊鏈看似不可偽造不可篡改，且支持追蹤溯源、公開透明可驗證，但區塊鏈依舊是安全事故的重災區。相關報告顯示，2011年至2018年期間，重大安全事件在系統各個層級都有出現，但超過90%的安全事件集中在智能合約和業務應用中，且造成了超過98%的損失。從以前的幣安受到攻擊，到因為智能合約漏洞導致巨額經濟損失，和EOS爆發高危漏洞，無一不證明區塊鏈安全絕不像表面那樣看似簡單。

區塊鏈的安全基礎保障

1976年，Bailey W.Diffie、Martin E.Hellman兩位密碼學大師發表了論文《密碼學的新方向》，論文覆蓋了未來幾十年密碼學所有的新的進展領域，包括非對稱加密、橢圓曲線算法、哈希等手段，奠定了迄今為止整個密碼學的發展方向，也對區塊鏈的技術和比特幣的誕生起到了決定性作用。孫國梓認為，現今區塊鏈的安全保證在于：Hash的唯一性(保障每一個區塊和Hash都是一一對應的);非對稱密碼安全性(確保所有的數據存儲和記錄都有數字簽名作為憑據);身份驗證(交易過程中的數據轉移都會對其進行驗證);去中心化的分布式設計(賬本數據多副本存在，不存在數據丟失的風險);傳輸安全性(采用Http+SSL或WebSocket+websockets)幾個方面。

從源頭解決安全事件

在各類安全威脅事件頻發的時段，防護顯得尤為可貴。要想徹底解決安全問題，就應該從源頭上解決這一事件。當前的安全威脅主要集中在智能合約、節點系統、密碼學、低沉共識機制和錢包安全上，其中尤以智能合約安全最甚。對此，孫國梓總結了市面上幾大安全威脅類別：

1. 平臺可用性安全威脅：通過DDoS攻擊、cc攻擊、跨站腳本攻擊等方式，降低平臺可用性，使平臺在一定時間內無法向用戶提供服務。

2. 平臺業務安全威脅：利用平臺的系統漏洞、源代碼漏洞、業務邏輯漏洞等，通過社工、跨站腳本、惡意掃描等方式進行攻擊。

3. 數字錢包的安全威脅：由于許多用戶習慣于將自己數字錢包的私鑰以及助記詞存放在電腦中，因此黑客可以利用滲透技術竊取數字錢包所登錄需要的私鑰以及助記詞。

4. 量子計算機發展迅速，一旦量子計算機進入日常運用階段，其強大算力能很容易解決當今的數字難題，因此現有的常見密碼學算法(ECDSA/RSA/DSA等)鮮有能抵御量子攻擊的密碼學算法。

5. 智能合約的安全威脅：處理交易順序不同引起合約執行產生差異;當前區塊時間戳的不同引起合約執行產生差異;合約未設定返回值來檢驗合約是否正確被執行等方面。

6. 共識機制中的安全威脅：當前的共識機制有工作量證明PoW、權益證明PoS、授權權益證明DPoS、使用拜占庭容錯PBFT等，然而PoW算法和POS算法在當今的主流區塊鏈平臺中應用廣泛，這種基于算力的共識算法，總歸收到數據完整性威脅。例如，比特幣的51%攻擊就是一種典型的威脅。

7. 區塊鏈數據完整性威脅：當今對于區塊鏈數據完整性的威脅有很多，最為常見的有雙花攻擊、日蝕攻擊、扣塊攻擊、賄賂攻擊等。

要想實現信息安全要求，抗擊攻擊者的攻擊，區塊鏈就必須增加自身的安全能力。市面上大多以云防護、智能合約審計、智能錢包安全、算力安全監控、安全服務、業務反欺詐等六個環節進行安全防護。

PS：本文根據第七屆全國網絡與信息安全防護峰會演講整理而成。