近年來，區(qū)塊鏈技術(shù)越來越受歡迎。除了在加密貨幣領(lǐng)域的應(yīng)用外，區(qū)塊鏈技術(shù)已正被用于食品安全、醫(yī)療保健、智能合約等諸多領(lǐng)域。本質(zhì)上看，區(qū)塊鏈就是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊，每個區(qū)塊中包含了一定時間內(nèi)網(wǎng)絡(luò)中全部的信息交流數(shù)據(jù)，隨著時間推移，這條鏈會不斷增長。

　　基于以上特點，行業(yè)普遍認(rèn)為區(qū)塊鏈技術(shù)可以基于共識機制、去中心化和密碼學(xué)的應(yīng)用原理，有效解決交易過程中產(chǎn)生的安全和信任問題。然而，隨著區(qū)塊鏈應(yīng)用的推廣，區(qū)塊鏈數(shù)字資產(chǎn)引發(fā)的各種安全問題也開始出現(xiàn)，包括盜幣、詐騙、非法集資、洗錢、暗網(wǎng)非法交易、網(wǎng)絡(luò)犯罪等。

　　2021年7月，跨鏈橋項目Chainswap遭到黑客攻擊，超20個項目代幣被黑客盜取，總損失價值400萬美元；

　　同年7月，跨鏈橋項目Anyswap新推出的V3跨鏈流動性池遭到黑客攻擊，總計損失超過787萬美元；

　　2021年8月，區(qū)塊鏈應(yīng)用孵化機構(gòu)DAO Maker遭受黑客攻擊，總計被盜走700萬美元，有5521名用戶受影響；

　　2022年2月，跨鏈橋項目Wormhole遭攻擊，損失約3.2億美元；

　　2022年8月，區(qū)塊鏈平臺Solana遭遇攻擊，價值數(shù)百萬美元的加密貨幣錢包被洗劫一空。

　　根據(jù)相關(guān)數(shù)據(jù)統(tǒng)計，2021年全球區(qū)塊鏈生態(tài)系統(tǒng)發(fā)生的相關(guān)安全事件數(shù)量超過300起，相較于2020年增幅達(dá)到22%；所造成的經(jīng)濟損失超153億美元，同比增長了26%。大量事實表明，區(qū)塊鏈已然成為網(wǎng)絡(luò)攻擊者重點關(guān)注的誘人目標(biāo)。而且隨著應(yīng)用流行度的增加，未來還會出現(xiàn)更多區(qū)塊鏈安全問題。以下將對目前最常見的8種區(qū)塊鏈應(yīng)用安全威脅進行說明，并給出應(yīng)對建議。

　　01 女巫（Sybil）攻擊

　　在區(qū)塊鏈網(wǎng)絡(luò)中，用戶創(chuàng)建新身份或者新節(jié)點的成本極低，因此攻擊者大量利用這一特性來發(fā)動Sybil攻擊，通過偽造自己的身份加入?yún)^(qū)塊鏈網(wǎng)絡(luò)，在控制了若干節(jié)點以及節(jié)點身份之后，就可以做出一些惡意的行為：例如誤導(dǎo)正常節(jié)點的路由表，降低區(qū)塊鏈網(wǎng)絡(luò)節(jié)點的查找效率等。Sybil攻擊對區(qū)塊鏈網(wǎng)絡(luò)的影響主要體現(xiàn)在以下幾個方面：

　　虛假節(jié)點加入：在遵循區(qū)塊鏈網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上，任何網(wǎng)絡(luò)節(jié)點都可以向區(qū)塊鏈網(wǎng)絡(luò)發(fā)送節(jié)點加入請求消息。利用這個過程，Sybil攻擊者可以獲取大量的區(qū)塊鏈網(wǎng)絡(luò)節(jié)點信息來分析區(qū)塊鏈網(wǎng)絡(luò)拓?fù)洹?/p>

　　誤導(dǎo)區(qū)塊鏈節(jié)點的路由選擇：節(jié)點間路由信息的實時交互是保證區(qū)塊鏈網(wǎng)絡(luò)正常運行的關(guān)鍵因素之一。節(jié)點只需定時地向其鄰居節(jié)點宣告自己的在線情況，就能保證自己被鄰居節(jié)點加入到其路由表中。惡意的Sybil入侵者通過這個過程，入侵正常區(qū)塊鏈節(jié)點的路由表并誤導(dǎo)其路由選擇，降低區(qū)塊鏈節(jié)點的路由更新和節(jié)點查找效率。

　　虛假資源發(fā)布：Sybil攻擊者一旦入侵區(qū)塊鏈網(wǎng)絡(luò)節(jié)點的路由表，就可以隨意發(fā)布自己的虛假資源。

　　防護建議

　　使用可接受的共識算法，如工作量證明（PoW）、權(quán)益證明（PoS）、委托權(quán)益證明（DPoS）等。雖然這些算法不能直接阻止女巫攻擊，但可以有效降低攻擊者發(fā)起女巫攻擊的可能性。這些共識算法背后的共同特點就是增加區(qū)塊鏈網(wǎng)絡(luò)中創(chuàng)建身份的成本；

　　身份認(rèn)證，可以是基于第三方可靠節(jié)點的認(rèn)證，也可以是全節(jié)點制的認(rèn)證；

　　監(jiān)控替代節(jié)點的行為，并檢查僅對來自一個用戶的轉(zhuǎn)發(fā)塊進行測量的節(jié)點。

　　02 端點漏洞

　　雖然區(qū)塊鏈技術(shù)被認(rèn)為是幾乎“不可破解”，但我們需要注意到的是，大多數(shù)進行區(qū)塊鏈交易的終端計算設(shè)備卻并不安全。區(qū)塊鏈網(wǎng)絡(luò)的交易終端可能是用戶使用區(qū)塊鏈進行操作的任何地方：PC、手機或者其他電子設(shè)備。黑客會觀察用戶行為并針對利用終端系統(tǒng)的漏洞竊取密鑰。

　　防護建議

　　不要將區(qū)塊鏈密鑰作為文本文件保存在相關(guān)的終端設(shè)備上；

　　為終端電子設(shè)備安裝并使用可靠的終端安全防護軟件；

　　經(jīng)常檢查系統(tǒng)，跟蹤時間、位置和設(shè)備訪問信息。

　　03 51%攻擊

　　51%攻擊是指攻擊者擁有超過全網(wǎng)算力中的50%以上算力資源，便可以發(fā)動51%算力攻擊，修改自己的交易記錄、廢棄其余礦工開采的區(qū)塊、阻止交易確認(rèn)等不道德行為，這可能是災(zāi)難性的。在理論上，如果掌握了50%以上的算力，就擁有了獲得區(qū)塊鏈記賬權(quán)的絕對優(yōu)勢，可以更快地生成區(qū)塊信息，同時也擁有了篡改區(qū)塊鏈數(shù)據(jù)的能力。研究人員已經(jīng)發(fā)現(xiàn)，當(dāng)惡意攻擊者持有比特幣全網(wǎng)占比較高的算力時，即使尚未達(dá)到51%的比例，也可以制造相應(yīng)的攻擊，比較典型的案例就是雙花問題。

　　防護建議

　　確保哈希率更高；

　　增強對礦池的監(jiān)控能力。

　　04 網(wǎng)絡(luò)釣魚攻擊

　　針對區(qū)塊鏈網(wǎng)絡(luò)的網(wǎng)絡(luò)釣魚攻擊事件頻發(fā)，這已經(jīng)給整個網(wǎng)絡(luò)和用戶造成了較為嚴(yán)重的損失。攻擊者在網(wǎng)絡(luò)釣魚攻擊中的目標(biāo)是竊取用戶的憑據(jù)（密碼、私鑰等）。他們會向錢包密鑰的所有者發(fā)送看似合法的電子郵件，誘導(dǎo)用戶在虛假超鏈接中輸入登錄詳細(xì)信息。這會對用戶和區(qū)塊鏈網(wǎng)絡(luò)造成較嚴(yán)重的損害，受害者也容易受到后續(xù)持續(xù)性的攻擊影響。

　　防護建議

　　及時更新系統(tǒng)版本，并通過安裝經(jīng)過驗證的加載項或擴展程序來提高瀏覽器的安全性；

　　通過安裝終端安全防護軟件來提高設(shè)備安全性；

　　加強相關(guān)人員的網(wǎng)絡(luò)安全意識培養(yǎng)；

　　避免使用開放或公共的Wi-Fi網(wǎng)絡(luò)。

　　05 路由攻擊

　　區(qū)塊鏈技術(shù)安全和隱私的主要挑戰(zhàn)將會是路由攻擊。區(qū)塊鏈網(wǎng)絡(luò)和應(yīng)用程序依賴于大量數(shù)據(jù)的實時傳輸，黑客可以使用賬戶的匿名性來攔截正在傳輸?shù)臄?shù)據(jù)，這便是路由攻擊。在遭遇路由攻擊的情況下，區(qū)塊鏈參與者通常不會意識到威脅，因為數(shù)據(jù)傳輸和操作照常進行。風(fēng)險在于這些攻擊會經(jīng)常竊取用戶的機密數(shù)據(jù)或在用戶不知情的情況下提取數(shù)字化資產(chǎn)。

　　防護建議

　　使用更可靠的數(shù)據(jù)加密技術(shù)；

　　實施帶有證書的安全路由協(xié)議；

　　加強密碼管理，并且使用強密碼策略。

　　06 私鑰破解

　　私鑰是確保交易合法性校驗的唯一證明，私鑰丟失或者被盜也就意味著失去了對該賬戶下所有資產(chǎn)和數(shù)據(jù)的操作權(quán)，所以保證私鑰的安全成為了區(qū)塊鏈應(yīng)用的命門。如果私鑰不夠安全，黑客可能很容易破解，如此一來，他們就可以在無需任何密碼的情況下輕而易舉地轉(zhuǎn)移走用戶賬戶的資產(chǎn)。

　　防護建議

　　私鑰應(yīng)該保密且足夠強大；

　　私鑰不能以明文的方式出現(xiàn)在可被竊取的服務(wù)器或者第三方平臺上；

　　需要進行備份以便于私鑰丟失后的找回。

　　07 惡意節(jié)點

　　惡意節(jié)點通過攻擊者通過偽裝，可自由加入或離開區(qū)塊鏈網(wǎng)絡(luò)，并可利用區(qū)塊鏈節(jié)點的局限性來發(fā)動攻擊或破壞網(wǎng)絡(luò)的完整性。一旦攻擊者進入?yún)^(qū)塊鏈網(wǎng)絡(luò)并試圖破壞它，這種情況就會發(fā)生，他們將通過向網(wǎng)絡(luò)發(fā)送虛假交易請求或嘗試撤銷有效交易來開展破壞活動。

　　防護建議

　　加強節(jié)點安全檢測；

　　采用拜占庭容錯（PBFT）模型，即便存在少數(shù)惡意節(jié)點、故障節(jié)點時，也能保證大部分忠誠節(jié)點的一致性和正確性。

　　08 可擴展性問題

　　可擴展性是指隨著用戶數(shù)量的增加，系統(tǒng)能夠自動應(yīng)對不斷增長的計算需求。但區(qū)塊鏈由于去中心化的要求，其可擴展性往往難以滿足。區(qū)塊鏈應(yīng)用中有一個術(shù)語：TPS（Transactions Per Second），即每秒交易的數(shù)量，這個數(shù)量代表了某個區(qū)塊鏈應(yīng)用系統(tǒng)的交易能力。而這個交易能力受到區(qū)塊鏈的“不可能三角”的制約：“不可能三角”是指無法同時達(dá)到可擴展性（Scalability）、去中心化（Decentralization）、安全（Security），三者最多只能得其二，這極大地限制了區(qū)塊鏈技術(shù)的商業(yè)落地進程。

　　應(yīng)對建議

　　積極嘗試應(yīng)用側(cè)鏈（sidechains）或Rollups等創(chuàng)新主鏈擴展解決方案，提升區(qū)塊鏈網(wǎng)絡(luò)的可擴展性。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<