國內首部《區塊鏈安全生存指南》聯合發布

關於區塊鏈，你是否知道？

? 針對區塊鏈的攻擊，已經涉及應用層、合約層、底層、基礎設施層各方面

? 區塊鏈攻擊一旦成功，損失通常多達百萬、千萬、上億美金

? 比特幣的價格斷崖，背後有攻擊者的加持

? 成功的區塊鏈攻擊，常常是一些最簡單的手段

? 邏輯漏洞的利用頻率決定了區塊鏈安全防護更需要成熟的攻擊者視角

? 攻擊者為了避免硬分叉處理方式，分批轉移財產的耐心可以延長至2年

? 區塊鏈平台連續1年內被多次攻擊，直接導致宣布破產

? 區塊鏈黑產規模初具，打牌者和偷牌者可能來自同一雙手

? ……

關於區塊鏈技術，你是否知道？

? 應用層是攻擊者的首選目標，交易所往往是靶心

? 智能合約層是安全防護的重中之重，「不可修改」成雙刃劍

? 底層結構和基礎設施層安全隱患突出

? 社會工程、內部攻擊、釣魚……一個都不少

區塊鏈攻擊，「海盜」攻擊者

聞名世界的索馬利亞海盜，執行者一般幾個人、一艘船、並不強大的火力，搶船成功後動輒百萬、千萬美金的贖金要求，拼的不是火力，不是船的大小，更多是對海域的熟悉、地理位置的利用和敢想敢做的行為。

總結歷史發生的所有區塊鏈安全案例來看，這個新興乍起的行業所遭受的攻擊過程和惡劣結果，會讓人時不時恍惚覺得，這種攻擊力量對比、手法策略和獲利的豐厚程度非常相似，現階段針對區塊鏈的攻擊者可被形象歸納為「海盜」攻擊者。

結果利好的是：當美國海軍、中國海軍等多方力量定期駐紮、輪崗對過往商船護航開始，索馬利亞海盜因為正規軍的介入而逐漸銷聲匿跡。

當前的區塊鏈企業似乎也急需專業正規軍的介入，通過對攻擊者畫像、攻擊行為特點、攻擊邏輯鏈條、損失追回的有效方法等維度進行深入研究，提出切實可行的有效手段，對當前「無牆」的攻擊進行遏制。

長亭科技、ConsenSys、比特大陸

聯合發聲

隨著整個區塊鏈行業的興起，長亭科技服務了多個相關企業，囊括多種類型。在這個過程中，長亭安全服務團隊意識到區塊鏈企業從業者擁有很高的安全意識，但針對區塊鏈安全的了解卻是匱乏的；國內外研究區塊鏈安全技術的機構並非不存在，但信息渠道的不暢通導致了知識獲取的延遲，遂決定通過多年在安全行業的積累，聯合優質且真正能解決問題的資源，將各自的研究成果集合，在當前階段，給區塊鏈從業者一個相對客觀的可參考、可查找資源。

由此產生了長亭科技、ConsenSys和比特大陸的此次聯手，發布全國首部《區塊鏈安全生存指南》。

長亭科技因擅長攻防技術的背景，是國內最早開始研究並服務區塊鏈企業的網路安全公司之一，積攢了豐富的素材，並利用多年攻防研究和實戰經驗，梳理了相對成熟的方法論；ConsenSys由以太坊聯合創始人Joseph Lubin成立於2015年，總部位於紐約，全球團隊超過600人，旗下安全團隊ConsenSys Diligence為以太坊生態提供安全服務、工具和最佳實踐指南；比特大陸創始人吳忌寒，是第一個將比特幣創始人中本聰的論文翻譯成中文的人，2013年聯合詹克團創立比特大陸，這家成立不到五年的中國公司，被稱為比特幣產業鏈上的隱形帝國。

三家企業從更豐富的視角對報告內容進行了補充，盡量為區塊鏈從業者提供更多維度的參考信息。

區塊鏈安全，本身也是「鏈」

區塊鏈，聲名鵲起於比特幣。幣也成為目前最廣為人知的區塊鏈應用案例。然而，從應用角度看，區塊鏈是融合了密碼學、數學、計算機科學、網路科學、社會學等多門學科的產物。從創新角度看，區塊鏈巧妙融合升級了多種現有技術，如非對稱加密、點對點網路技術、哈希演算法和共識演算法，它是一次工程學意義上而非科學理論上的創新。區塊鏈的興起始於幣，卻遠遠不限於幣，其應用的本質都可以被歸類為將資產數字化後，利用區塊鏈可信任與可溯源性進行管理。

從2008年概念提出到2013年業界認識到區塊鏈技術的重要潛在價值，並開始嘗試將其應用到數字貨幣以外的場景（如眾募、資產交易、權屬管理、身份認證等領域），短短几年間區塊鏈迅速成為最熱的技術。

目前市場上多達幾百家的區塊鏈相關公司，根據業務類型和模式大致上可將其劃分為數字貨幣和技術應用兩大類。顧名思義，數字貨幣是與數字經濟時代相匹配的一種體現、傳遞和交換價值的中間件。而技術應用是在很多現實場景中利用區塊鏈技術降低成本，提升效率。兩者因業務形態、模式的區別，導致其安全訴求也不盡相同。

應用層通常成為攻擊者首選的目標，也就是最常見到的各種交易平台。安全問題包括交易所伺服器未授權訪問、交易所DDoS攻擊、員工主機安全問題、惡意程序感染等幾個方面。智能合約層則是整個安全防範的重點，智能合約一旦發布極難修改，合約的安全與否往往決定了一個項目的生死。世界知名的The DAO事件就是被重入攻擊導致數千萬美金的損失；涉及智能合約開發的代表性項目有區塊鏈錢包、眾籌基金、區塊鏈代幣發行、區塊鏈遊戲等。未授權訪問攻擊，Solidity 編程隱患等都是合約層的常見問題。底層結構層和基礎設施層安全需要注意區塊鏈實現層安全隱患、針對社區的DoS 攻擊、EVM 安全隱患等等。此外，安全意識與管理，含如何識別防範社會工程學攻擊、內部攻擊、第三方風險控制失敗、釣魚攻擊也是一個都不能少。顯而易見，區塊鏈安全本身就是一個環環相扣的「鏈條」，安全防護需要系統化的生命周期體系及上帝視角思考。

開發具有生命周期的安防體系

數據顯示，區塊鏈專利申請的主要國家包括中國、美國、韓國、日本，中國的增長最為迅速，世界上超過一半的區塊鏈專利都在中國。目前中國區塊鏈創業公司的數量僅次於美國，全球市值前二十的數字資產中，不少都有中國血統。此外，通過披露各行年報可知，A股26家上市銀行中共有12家在年內已上線運行區塊鏈應用，其中包括三家國有大行、六家全國性股份制銀行，以及三家城商行。

圖：區塊鏈的Hyper Cycle周期圖

區塊鏈技術的應用在逐漸深入，為了更全面和系統化地應對區塊鏈所面臨的安全問題，不僅要考慮技術架構中的每個層面面臨的安全風險，也要將安全方案融入區塊鏈開發的每一個環節中去，最終實現區塊鏈安全開發生命周期的安全管理方案。

「

區塊鏈自誕生以來，各種攻擊事件層出不窮，安全形勢嚴峻，需要行之有效的方法來防禦。

—— 吳忌寒，比特大陸創始人

」

「

很榮幸與長亭科技和比特大陸共同撰寫發布區塊鏈安全深度報告，希望通過報告為提高全行業的安全意識和技術能力做出一些貢獻。安全一直是區塊鏈的核心課題之一，ConsenSys期待與行業夥伴們共建安全生態，推動區塊鏈技術在中國和世界的發展。

——唐弈，ConsenSys

中國區負責人

我們在擁抱區塊鏈技術帶來的革命時，也面臨著嚴峻的安全考驗——無論是系統的設計還是實現中出現的安全漏洞，都可能給整個應用帶來毀滅性的打擊。在此次發布的指南中，我們圍繞區塊鏈安全，對不同應用的安全需求、過去發生的攻擊事件和應對策略進行梳理，希望能夠為行業帶來啟發。

——楊坤，長亭科技聯合創始人

首席安全研究員

」

戳原文，下載完整版報告！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！