9 月 19 日，作為 2018 年國家網絡安全宣傳周活動之一的 " 區(qū)塊鏈應用發(fā)展與安全 " 分論壇在復旦學術國際交流中心舉辦，論壇就區(qū)塊鏈技術中存在的安全隱患和解決方法進行了討論。

2018年區(qū)塊鏈安全事件激增

玄貓安全實驗室聯(lián)合創(chuàng)始人陳亮整理了 2014-2018 年間區(qū)塊鏈領域的重大安全事件，他指出：" 從區(qū)塊鏈技術創(chuàng)新和變革的出現(xiàn)開始，其安全問題就已經存在了。"

2014 年 8 月比特兒交易所被黑客盜取了全部的數字貨幣；同年 12 月，世界上最大的比特幣交易所 Mt.Gox 被盜 85 萬比特幣，交易所被迫宣布破產；2016 年 6 月黑客利用智能合約腳本漏洞，通過 ICO 項目盜取 360 萬以太幣，直接導致以太坊的硬分叉；近兩年則出現(xiàn)了更多的智能合約方面的安全事件，今年 5 月區(qū)塊鏈平臺 EOS 被發(fā)現(xiàn)一系列高危漏洞。

基于對以上區(qū)塊鏈安全問題的回顧，陳亮指出："2018 年區(qū)塊鏈安全事件和所造成的損失較前幾年明顯激增，越來越多的黑客把攻擊的目標聚焦在區(qū)塊鏈安全漏洞之上；同時由于區(qū)塊鏈自身的機制所引發(fā)的損失在 2018 年呈現(xiàn)出暴漲趨勢。"

上海紐頓科技股份有限公司董事長楊騰霄介紹了區(qū)塊鏈所面臨的幾種常見攻擊。楊騰霄表示：" 諸如 DDoS 等傳統(tǒng)網絡攻擊對區(qū)塊鏈依然有作用。而使用區(qū)塊鏈時所面臨最典型的安全隱患是雙花攻擊，即針對某個區(qū)塊鏈控制它 51% 以上的計算能力以后就可以控制時間差，再利用時間差進行攻擊。"

" 雙花攻擊 " 指掌握了超過 51% 的算力后，攻擊比特幣生態(tài)，好比一份錢當作兩次花。比如 A 用比特幣向 B 轉賬購買東西，當 A 把比特幣轉給 B 后需要等待 6 個區(qū)塊確認后才能夠真正到賬。那么如果 A 有全網 51% 以上的算力后，就可以在轉賬的同時，進行對區(qū)塊的篡改，讓這筆轉賬無法到達 B 手里。這樣的結果就是東西到了 A 手里，但是錢卻沒到 B 手里。

區(qū)塊鏈安全問題如何解決？

上海市信息安全行業(yè)協(xié)會副會長石堅表示在論壇中表示：" 盡管區(qū)塊鏈的發(fā)展前景非常廣闊，但目前在實際落地和接受度方面仍然受限。區(qū)塊鏈是一個先進的技術，但不是萬能的，區(qū)塊鏈技術還需要應對存在的性能問題、安全風險，需要投入新的技術研發(fā)、實踐，促進其成熟應用。"

石堅稱：" 在推動區(qū)塊鏈發(fā)展的同時，解決其安全問題是當務之急。區(qū)塊鏈目前面臨的主要問題有共識過程的中心化、智能合約代碼漏洞、算法漏洞、系統(tǒng)實現(xiàn)代碼漏洞等，分析區(qū)塊鏈安全性需要從綜合安全性、算法安全性、使用安全性、實踐安全性與協(xié)議安全性這五個方面進行分析。"

上海市信息安全測評中心高級工程師徐御就區(qū)塊鏈技術安全測評方面介紹了研究思路。徐御稱：" 需要從實踐和技術研究方面形成區(qū)塊鏈安全要求，探究其中存在的安全風險、對抗風險所采取的措施，以及實踐經驗來源經驗，最后形成一個安全要求作為檢測、開發(fā)、應用的具有開放性和經濟性的指導標準。"

同時，徐御介紹了和目前在區(qū)塊鏈安全測評方面所取得的幾個成果。徐御透露：" 在對區(qū)塊鏈進行安全風險梳理后，統(tǒng)計風險達到 20 種左右，其中的 6 種是最新的風險。我們根據所梳理的 20 種風險，利用風險對抗的模型和思路，形成了風險對抗的幾個措施，比如根據工信部《區(qū)塊鏈數據格式規(guī)范》做出規(guī)范性的設計等。"

2018 年 2 月，工信部發(fā)布《區(qū)塊鏈數據格式規(guī)范》。該標準有助于為區(qū)塊鏈系統(tǒng)的數據結構設計提供參考，為區(qū)塊鏈行業(yè)應用提供統(tǒng)一的數據標準，對我國區(qū)塊鏈標準建設具有重要意義。

來源：新浪科技