區塊鏈存自身缺陷 攻擊層面多達6個

區塊鏈的出現與走熱似乎為解決企業之間的信任問題提供了一條新通路。但你可能不知道的是，由於自身設計缺陷，區塊鏈卻存在了6個攻擊面，可誘發安全風險。

區塊鏈存自身缺陷不容忽視

區塊鏈的6個攻擊面

區塊鏈是一套可記錄事務、交易的分散式帳本，該技術除了擁有分散式特性，其去中心化、無法篡改特性也令其與眾不同。然而現階段大眾對區塊鏈的熱情正在從概念層面轉移到技術層面。因此，對於區塊鏈本身是否值得信賴、鏈上鏈下如何錨定、如何有效治理區塊鏈等問題，顯然還需展開深入實踐才行。

相信在不少宣傳口徑中，你一定聽過區塊鏈是安全的說法。比如區塊鏈的鏈上數據公開透明並且可溯源，由於其分散式機制，還有效能防止數據上鏈後被篡改，所以它能保障數據的安全。但實際上，區塊鏈技術設計中自身就存在著一定的安全隱患，如51%攻擊性問題、雙花問題、惡意攻擊等，而這些技術本身存在的問題，都能打破區塊鏈安全的「神話」。如果根據區塊鏈架構來劃分，其攻擊層面實際可以分為6個，主要包括了應用層、合約層、激勵層、共識層、網路層、數據層。

三大層面安全問題凸顯

實際上，在上面提到的每個層面上都會存在一些風險點，而目前最易出現問題的有應用層、合約層和數據層，急需引發業內人士關注。

比如，應用層可分為交易所、礦機、礦池、錢包等。交易所往往會面臨比較傳統的外部安全問題，以及業務方面安全問題。礦機主要是可遭受遠程弱口令登陸問題，而礦池則存在可被偽造的問題，還有錢包的安全問題等等，不一而足。

而合約層面臨的問題也很多，比如相對熟知的智能合約。截至目前，針對智能合約所發生的攻擊次數已多達21次，累計造成了10億美金的損失。雖然智能合約的代碼邏輯比較簡單，但卻可以造成巨大的經濟損失。安全專家在對當前以太坊網路上現存合約做全面排查後，總共發現有160多個合約漏洞，其中有大量還未被公開的漏洞。

數據層則往往面臨惡意信息攻擊、資源濫用攻擊等威脅。由於區塊數據是分布在多個節點上的鏈式結構數據，節點與節點之間的交互變化記錄到區塊中，然後各節點間同步完整的區塊數據。但隨著時間的推移，區塊數據可能會爆炸式增長，也有可能被寫入惡意信息，如病毒特徵碼，都可能導致整個鏈條存在威脅。今年5月份，就有因為攻擊者篡改了區塊鏈生成時間，導致挖礦難度下降的事件，讓劫持整條主鏈成為可能，最終致使攻擊者獲取到大量代幣。

為了確保區塊鏈系統安全，可以參照美國國家標準與技術研究院（NIST）的網路安全框架，從戰略層面、一個企業或者組織的網路安全風險管理的整個生命周期的角度出發，進而構建識別、保護、檢測、響應和恢復5個核心組成部分，以感知、阻斷區塊鏈風險和威脅。

4方面化解不安因素

除此之外，也可區塊鏈技術自身特點重點關注演算法、共識機制、使用及設計上的安全，包括針對上述6個層面的問題逐一解決。

具體為：在演算法安全上，對核心演算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。在共識機制上，使用更有效的共識演算法和策略。在使用安全性上，可管控私鑰生成，對其存儲進行保護，加密存儲敏感數據等手段，來降低私鑰泄露可能性。而在機制設計上，確保完善的功能設計優化。

結語

雖然區塊鏈技術面臨了上述6個層面上的安全問題困擾，但其所帶來的積極意義亦不容抹殺。相信未來通過合規嚴謹的技術規劃與演進，企業與組織還是可以藉助區塊鏈技術中的優勢特性，進而拓展出更為安全高效的商業模式來的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！