區塊鏈:區塊鏈的安全軟肋到底是什么？

今日咱們來談談區塊鏈的安全軟肋。

作為比特幣中的中心技術，在無法樹立信任聯絡的互聯網上，區塊鏈技術依托密碼學和美妙的分布式算法，無需憑借任何第三方中心組織的介入，用數學的方法使參加者到達共同，保證生意記錄的存在性、合約的有用性以及身份的不行狡賴性。

區塊鏈技術常被人們提及的特性是去中心化、共同機制等，由區塊鏈引申出來的虛擬數字錢銀是現在全球最火爆的項目之一，正在效果出新的一批億萬級富豪。像幣安生意途徑，建立短短幾個月，就被世界出名組織評級市值達400億美金，成為了最富有的一批數字錢銀創業先驅者。但是最近幣安也遭到了黑客的侵犯，丟掉可謂沉重。自從有數字錢銀生意所至今，被侵犯、資金被盜工作太多了，且部分數字錢銀生意所被黑客侵犯沉重直接倒閉。

A股開盤：深證區塊鏈50指數上漲0.28%:金色財經消息，A股開盤，上證指數報3224.98點，開盤上漲0.28%，深證成指報12860.09點，開盤上漲0.29%，深證區塊鏈50指數報3800.56點，開盤上漲0.28%。區塊鏈板塊開盤上漲0%，數字貨幣板塊開盤上漲0%。[2020/9/28]

一、令人震驚的數字錢銀生意所被侵犯工作

從最早的比特幣，到后來的萊特幣、以太幣，現在已有幾百種數字錢銀。跟著價格的攀升，各種數字錢銀系統被侵犯、數字錢銀被盜工作不斷增加，被盜金額也是一路飆升。讓咱們來回顧一下令人震驚的數字錢銀被侵犯、被盜工作。

2014年2月24日，當時世界最大的比特幣生意所運營商Mt.Gox宣布其生意途徑的85萬個比特幣現已被盜一空，承擔著超越80%的比特幣生意所的Mt.Gox由于無法彌補客戶丟掉而申請破產維護。經分析，原因大致為Mt.Gox存在單點故障結構這種嚴峻的差錯，被黑客用于發起DDoS侵犯：比特幣提現環節的簽名被黑客篡改并先于正常的央求進入比特幣網絡，結果假造的央求可以提現成功，而正常的提現央求在生意途徑中出現異常并顯示為失利，此時黑客實際上現已拿到提現的比特幣了，可是他持續在Mt.Gox途徑央求重復提現，Mt.Gox在沒有進行業務共同性校驗的情況下，重復支付了等額的比特幣，導致生意途徑的比特幣被盜取。

萬向區塊鏈鄒傳偉：區塊鏈兼有信息互聯網和價值互聯網的功能:萬向區塊鏈首席經濟學家鄒傳偉表示，很多研究者把區塊鏈稱為價值互聯網。這個說法不全對。區塊鏈實際上兼有信息互聯網和價值互聯網的功能。區塊鏈應用于供應鏈管理、防偽溯源、精準扶貧、醫療健康、食品安全、公益和社會救助等場景，主要體現區塊鏈作為信息互聯網的功能，是用公共賬本來記錄區塊鏈外商品、藥品、食品和資金等的流向，讓上下游、不同環節相互校驗，穿透信息“孤島”，讓全流程可管理。這類應用在很多場合也被稱為“無幣區塊鏈”，它們共同的關鍵特征是：區塊鏈本身不涉及價值流轉（指資產產權或風險轉移），而是記錄區塊鏈外的價值流轉。（新浪財經）[2020/7/1]

2016年8月4日，最大的美元比特幣生意途徑Bitfinex發布布告稱，網站發現安全漏洞，導致近12萬枚比特幣被盜，總價值約為7500萬美元。

動態 | 過去一年全球對區塊鏈工程師崗位需求增長517％:據國際招聘公司Hired提供統計數據顯示，在過去一年中，全球對區塊鏈工程師需求增長517％。自2018年12月以來，與區塊鏈和加密貨幣相關職位空缺總數無減少，反而增加。總體而言，截至2019年7月底，相關企業已發布16668份崗位需求，比去年增加2％。其中，美國企業對區塊鏈專家需求最大。據求職網站Glassdoor披露數據顯示，截至7月底，美國企業共發布2907份區塊鏈相關職位。從2018年2月到2019年2月，區塊鏈和比特幣相關職位增長比例達到90％。[2019/8/15]

2018年1月26日，日本的一家大型數字錢銀生意途徑Coincheck系統遭遇黑客侵犯，導致時值580億日元、約合5.3億美元的數字錢銀“新經幣”被盜，這是史上最大的數字錢銀盜竊案。

聲音 | 程立：港版支付寶上線基于區塊鏈的跨境匯款服務:據報道，2018杭州·云棲大會今日開幕，螞蟻金服CTO兼國際事業群COO程立表示：港版支付寶將上線基于區塊鏈的跨境匯款服務。這意味著所有的香港錢包用戶向菲律賓用戶轉賬，將實現實時到賬。[2018/9/20]

2018年3月7日，世界第二大數字錢銀生意所幣安被黑客侵犯的消息讓幣圈徹夜難眠，黑客竟然玩起了經濟學，買空賣空“炒幣”割韭菜。依據幣安布告，黑客的侵犯過程包括：

1)在長時間里，運用第三方垂釣網站盜竊用戶的賬號登錄信息。黑客通過運用Unicode字符冒充正規Binance網址域名里的部分字母對用戶施行網頁垂釣侵犯。

2)黑客獲得賬號后，自動創建生意API，之后便靜默埋伏。

3)3月7日黑客通過盜取的APIKey，運用買空賣空的方法，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣核算，比特幣一夜丟了170億美元。

國家千人計劃專家：第三代區塊鏈必須滿足五大要素:國家千人計劃專家、安達鏈創始人韓永飛博士今日在第二屆區塊鏈新金融高峰論壇上表示，第三代區塊鏈必須滿足五大要素：首先要滿足安全要求，必須超過目前行業內最為安全的比特幣；其次是效率，必須能支持大規模的、百萬級交易量；然后是生態，社區固然重要，但是區塊鏈應用也是十分重要的組成部分；第四點為合規與便利，必須和各個國家的政策站成一線，便利更多用戶；最后一點是要實現智能化。[2018/6/6]

二、黑客侵犯為什么能屢屢得手

基于區塊鏈的數字錢銀其熾熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊工作的發生也引發了人們對數字錢銀安全的擔憂，人們不由要問：區塊鏈技術安全嗎？

跟著人們對區塊鏈技術的研討與運用，區塊鏈系統除了其所屬信息系統會面臨病、木馬等惡意程序挾制及大規模DDoS侵犯外，還將由于其特性而面臨獨有的安全應戰。

1.算法完結安全

由于區塊鏈很多運用了各種密碼學技術，歸于算法高度密布工程，在完結上比較簡略出現問題。歷史上有過此類先例，比方NSA對RSA算法完結埋入缺陷，使其可以輕松破解他人的加密信息。一旦爆發這種級別的漏洞，可以說構成區塊鏈整個大廈的地基將不再安全，結果極其可怕。之前就發生過由于比特幣隨機數產生器出現問題所導致的比特幣被盜工作，理論上，在簽名過程中兩次運用同一個隨機數，就能推導出私鑰。

2.共同機制安全

當前的區塊鏈技術中現已出現了多種共同算法機制，最常見的有PoW、PoS、DPos。但這些共同機制是否能完結并保證真實的安全，需求更嚴峻的證明和時間的考驗。

3.區塊鏈運用安全

區塊鏈技術一大特征便是不行逆、不行假造，但條件是私鑰是安全的。私鑰是用戶生成并保管的，理論上沒有第三方參加。私鑰一旦丟掉，便無法對賬戶的資產做任何操作。一旦被黑客拿到，就能轉移數字錢銀。

4.系統規劃安全

像Mt.Gox途徑由于在業務規劃上存在單點故障，所以其系統簡略遭受DoS侵犯。現在區塊鏈是去中心化的，而生意所是中心化的。中心化的生意所，除了要防止技術盜竊外，還得辦理好人，防止人為盜竊。

總體來說，從安全性分析的視點，區塊鏈面臨著算法完結、共同機制、運用及規劃上應戰，一同黑客通過運用系統安全漏洞、業務規劃缺陷也可到達侵犯意圖。現在，黑客侵犯現已在對區塊鏈系統安全性形成越來越大的影響。

三、怎么保證區塊鏈的安全

為了保證區塊鏈系統安全，建議參照NIST的網絡安全結構，從戰略層面、一個企業或者組織的網絡安全風險辦理的整個生命周期的視點出發構建辨認、維護、檢測、響應和恢復5個中心組成部分，來感知、阻斷區塊鏈風險和挾制。

除此之外，依據區塊鏈技術自身特征要點重視算法、共同機制、運用及規劃上的安全。

的密碼技術，如國密公鑰算法SM2等。另一方面臨中心算法代碼進行嚴峻、無缺測驗的一同進行源碼混雜，增加黑客逆向侵犯的難度和本錢。

針對共同算法安全性：PoW中運用防ASIC雜湊函數，運用更有用的共同算法和戰略。

針對運用安全性：對私鑰的生成、存儲進行維護，敏感數據加密存儲。

針對規劃安全性：一方面要保證規劃的功用盡量完善，如選用私鑰白盒簽名技術，防止病、木馬在系統運轉過程中提取私鑰；規劃私鑰走漏追尋功用，盡可能削減私鑰走漏后的丟掉。另一方面，應對某些要害業務規劃去中心化，防止單點故障侵犯。

Tags：區塊鏈比特幣API區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢API價格API幣

Luna