一站式 賬戶: 密碼: >>視頻商會 自助建站區
溫州模式  |  溫州商幫  |  政府招商  |  誠信聯盟  |  供求大全  |  法律維權  |  財經縱橫  |  管理之道  |  禮儀社交
溫州商會  |  溫州品牌  |  走進溫州  |  商戶家園  |  庫存特價  |  商經新聞  |  招標采購  |  創業天地  |  衣食住行
當前位置:首頁 > 創業天地 > 網上創業 > 正文
區塊鏈創業者如何應對網絡安全問題
  中國溫州商會網
瀏覽方式 [大字體 中字體 小字體]
 (關鍵詞:網絡安全 問題 應對 如何 創業者 區塊 安全 技術 數字)
  

 

  2018年,區塊鏈引領著中國進行了一場關于技術和金融的混亂試驗,近20年以互聯網技術為核心的獨霸局面開始傾斜,區塊鏈成為繼大數據風口之后,和人工智能、物聯網并列的未來最有價值的三大戰略技術。充斥著暴富幻象和投機心態的技術試驗,在過度夸大作用和故意炒作下,給人們關于未來的更多思考。

同一時間,國家級的區塊鏈產業相關政策陸續下發。包括教育部、工業和信息化部、國家知識產權局、國家郵政局、商務部辦公廳、國務院辦公廳、中國保險監督管理委員會、財政部、國家發展和改革委員會、國土資源部、交通運輸部等部門,相關政策文件中,都將區塊鏈技術在各部門的業務中應用。

 

1區塊鏈網絡安全現狀

 

此外,各地政府也開始從政策上為區塊鏈初創企業提供適合生長的土壤,一些地區甚至給出政策性的優惠條件,吸引區塊鏈企業入駐。北京市、上海市、天津省、重慶市、廣東省、江蘇省、浙江省、河北省、安徽省、山東省、福建省、甘肅省等相繼出臺政策,或建立區塊鏈技術試點區域,或開展基于區塊鏈、人工智能等新技術的試點應用。

去中心化思想,被賦予了無限的可能,成為所有跟人性有關事件的解藥。加密匿名性,被看作隱私泛濫的救星,不可篡改和偽造則成為存證溯源的關鍵。每一個直擊痛點的特點,背后都是區塊鏈技術對應的與以往全然不同的技術公開化,操作匿名化,行為透明化。

經過一整年的高速發展,行業在亂象叢生中逐漸沉淀,區塊鏈的真正價值重要性被挖掘。國家層面上,很多國家將區塊鏈技術加入到國家鼓勵發展的戰略技術名單,越來越多在互聯網賽道上屈居二線的企業也將區塊鏈技術看作是新一輪技術革命制勝的關鍵。國際上,更多國家加大對區塊鏈研究經費的投入,全球統一的區塊鏈標準也正在構建。

在發展的過程中,區塊鏈技術落地的主要問題還是效率和匿名的矛盾性,但二者的取舍取決于產品的具體場景,不能一概而論。其次,區塊鏈技術的安全保障目前仍存在較大問題。一方面是區塊鏈產品本身的代碼運行時間短,前期試錯需要一定時間。另一方面,從業者能力參差不齊造成的安全隱患。隨著更多傳統安全機構進入,這種不安全因素會大量減少。

經過近3年的發展,區塊鏈技術已經成為業內公認的,繼大數據、云計算、物聯網、人工智能之后,又一顛覆性的新興技術,也被一些國家列為國家戰略級的前沿技術。

在技術不斷積累深入時,國內部分城市已開始鼓勵區塊鏈產業入駐,創建出初步的區塊鏈創業扶持政策。與此同時,國外相對成熟的資本市場也正在完善區塊鏈衍生品加密數字貨幣的相關法規。

技術層面上,區塊鏈技術目前生活化的場景落地以螞蟻金服、騰訊、百度、京東等巨頭企業為主力,區塊鏈創業公司在底層技術上取得較大成果,成為傳統企業連接區塊鏈技術的橋梁。

但不可忽視的是,區塊鏈領域的安全問題屢見不鮮,合約機制中的天然弊端和發展過程中產生的漏洞成為不法分子的攻擊點。

具體表現上,加密數字貨幣交易的日交易量和總市值呈現相同的趨勢。2018年1月到12月,總市值從最高點2973億美元降至1111億美元,年蒸發量達73%。日交易量也與趨勢吻合,從年初到年末經歷了大幅縮水。

2018年加密數字貨幣交易市場呈現出兩個極端表現,加密資產交易在2017年12月至2018年4月的牛市呈現異常火熱的狀態,資金和投資人大量涌入,交易所作為最大獲利者也屢次受到黑客攻擊。5月-12月,整個區塊鏈行業都在下行的陰影中,幣價表現不佳,部分心思不純的項目方趁機拋售代幣,引發市場恐慌,幣價走向更低點。

與此相反的是,主打底層技術,在上半年的牛市中被湮沒的DAPP團隊,在熊市中反而創造出屢屢刷屏的爆款作品。不論是FOMO3D,還是310個比特幣懸賞的藏寶圖,簡單的游戲設置和幼稚的內容,都成功打破區塊鏈行業在外界的乏善可陳和晦澀難懂的原始標簽。

在牛市集中的上半年,加密數字貨幣交易參與者急劇增加,安全事件也明顯增加。下半年熊市中,發展迅猛的DAPP成為安全事件頻出的對象,區塊鏈安全問題亟待解決。黑客盜幣以2014年3月Mt.Gox被盜4.6億美元比特幣、銀行賬號被盜2740萬美元為典型。至2018年,黑客攻擊變得更加復雜和謹慎。3月初,黑客在幣安實施了精心策劃的盜幣計劃,盜取用戶賬號買入小幣種,在拉升該幣種前下好期貨單,開創黑客盜幣新模式。

投資機構方面,機構和個人面臨的最大問題就是專業素養缺失和項目盡調不合格,二者是導致投資者遭受巨大損失的核心原因。火熱的市場和項目方的虛假包裝,容易使專業判斷出錯。加上缺乏規則化的行業行為準則和監管措施,也使得機構和投資人的加密資產安全問題更加突出。

對開發團隊來說,刨除道德風險,團隊面臨基礎設施、網絡攻擊威脅、數據丟失和泄漏等三重安全風險,不論是區塊鏈存儲設備的漏洞和所處環境等客觀因素造成的安全風險,還是團隊內部矛盾造成的主觀安全風險,都成為項目開發團隊的重點安全問題。

安全事件使得區塊鏈的2018年動蕩不安,其背后,是區塊鏈技術的不斷革新和區塊鏈項目對生活的變革。在資本和技術人才的大量涌入下,國內區塊鏈技術已經進入了3.0時代,一定程度上掌握了區塊鏈技術的信息技術主導權。在跨境支付、慈善溯源、電子發票等方面已有場景落地。未來,更多更加規范的項目將會落地在人們的具體生活場景中。

同時,作為區塊鏈的最佳應用場景,加密數字貨幣在2018年度過轉折年,先后經歷狂熱迷戀、萎靡不振、以及批量退潮三個階段。目前加密數字貨幣交易市場進入低潮期,所有幣價都在不斷刷新底線,大量不合格投資人和趁亂撈油水的機構被清洗出去。對金融市場來說,此次清洗對金融市場起到普及風險教育的作用,也讓數字貨幣交易有了模板,為今后行業監管規則的創建打下基礎。

總體來看,2018年區塊鏈安全問題突出。數據顯示,2018年區塊鏈安全事故造成的經濟損失高達22.38億美元,較2017年大增253%,2018年區塊鏈安全事故數量也達到了138起,遠超2017年的15起。進入2019年之后,區塊鏈安全事故數量有增無減,2019年1月份前兩周就發生了6起安全事故,等于2015年全年的安全事故數量。與此同時,因為各區塊鏈開發團隊對安全的重視,安全事故造成的經濟損失也得到了大幅度下降。

加密數字貨幣與個人財產直接相關,因此很容易成為黑客攻擊的突破口。而除去高額的數字資產損失,風險事件給普通民眾心中的區塊鏈打上混亂、無序、不安全的標簽,也降低使用者對加密數字資產的信心,嚴重影響了區塊鏈市場的用戶獲取。

當前區塊鏈生態處于發展初期,百廢待興之時,安全攻防對抗非常激烈。而且隨著區塊鏈生態的豐富和完善,未來這種激烈的對抗將會繼續增強。

一行代碼葬送一個項目的事情頻頻發生,數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜,在全球范圍內因區塊鏈安全事件損失金額還在不斷攀升。

區塊鏈生態自帶金融屬性,讓攻擊者更容易套現,更多的黑客正加速。另外,區塊鏈生態被盜幣后,由于生態的匿名屬性,也讓溯源變得困難。這兩個原因直接導致了區塊鏈安全將會成為一場沒有硝煙的戰爭。

 區塊鏈安全和傳統互聯網安全的區別是區塊鏈有一些新的東西,智能合約、語言等,這些也可能存在漏洞。

具體來說,區塊鏈網絡安全問題根據受損主體的不同可以分為以下幾類:

 (1)交易所安全

在區塊鏈安全問題中,交易所安全問題占了大頭。各國監管的滯后性,導致數字資產成為黑客眼中的肥肉,各大交易所安全事故不斷。

數字貨幣交易所有中心化交易所和去中心化交易所,兩者的安全內容也各有側重點。當前中心化交易所在區塊鏈生態中占了很大的比重,中心化交易所的安全問題,其實囊括了互聯網安全的方方面面。

去中心化交易所構建在智能合約之上,所以去中心化交易所面臨的主要是智能合約的安全問題,包括權限管理、數據校驗、余額檢查、撮合交易等業務邏輯。

無論是以太坊、EOS或者其他,它們都是通過插件或者錢包來進行操作,都包含Web的程序,以及錢包的DApp。

在相關安全公司統計整理的交易所安全審計項中,將審計內容分為十二大類,開源情報采集、App安全審計、服務端安全配置審計、節點安全審計、身份鑒別管理審計、認證與授權審計、會話管理審計、輸入安全審計、業務邏輯審計、密碼學安全審計、熱錢包架構安全審計、私鑰管理系統安全設計。

 (2)智能合約安全

區塊鏈頻繁爆出智能合約的安全問題,由智能合約安全事件導致的經濟損失甚至超越交易所,智能合約成為區塊鏈項目的重中之重。

早期BEC等token類的智能合約,因為出現了溢出或者邏輯漏洞,攻擊者無中生有地創建了非常大量的token,最后將token拿去交易所交易來獲得收入,這會對整個token市場和交易所的交易造成很大的影響。比如,the DAO事件損失很大。

除了BEC通過智能合約溢出的問題,另外還有條件競爭,比如合約初始化,攻擊者可以影響token的相關信息。

智能合約的開發人員需要有足夠的安全意識,盡可能避免一些常見的安全問題,例如智能合約溢出、權限控制或者構造函數的大小寫等。

(3)錢包安全

在區塊鏈的圈子里,錢包有著舉足輕重的地位,無論是用戶還是企業,無論是to C還是to B都有需求的場景,錢包也分為去中心化的錢包和中心化的錢包。在安全審計方面,不同類別的錢包,安全各有側重。

但它們的共同點是,加密數字貨幣資產的安全性完全建立在加密數字錢包私鑰本身的安全性上,私鑰是唯一的數字資產憑證。私鑰一旦創建就不能修改,沒法重置,只要私鑰不丟失,資產就不會丟失。

因此整個加密數字資產的安全性話題都是圍繞私鑰的存儲和使用來進行的。而數字錢包卻又不盡安全。目前數字錢包主要存在三方面的安全隱患:第一,設計缺陷。第二,數字錢包中包含惡意代碼。第三,電腦、手機丟失或損壞導致的丟失資產。

 (4)游戲安全

隨著區塊鏈游戲的井噴,慢霧也披露了多個區塊鏈游戲的安全問題,比如EOS Fomo3D、God Game等。

在游戲的安全和審計方面,慢霧科技也做了很多的安全研究,無論是針對游戲攻擊方式的預警,還是攻擊源碼的復現,以及對新出現的智能合約進行威脅監測。

以太坊天然具有上傳源碼進行驗證的功能,以太坊上的游戲一般都會公開源碼。相較而言,EOS的各種設施還不完善,急需區塊鏈安全從業者提供查詢EOS合約合約是否開源的工具產品。

2創業者的應對措施

利用區塊鏈技術搭建而成的系統有較高的復雜度,系統整體的安全離不開整體架構的科學性和安全性,更離不開其中每一個環節的安全性。為了更加全面和系統化地應對區塊鏈所面臨的安全問題,不僅要考慮技術架構中的每個層面面臨的安全風險,也要將安全方案融入區塊鏈開發的每一個環節中去。

從預防角度而言,區塊鏈創業者需要先于攻擊者發現系統中潛藏的問題,并予以解決。在開發階段,無論是何種機構研發的區塊鏈平臺,其自身程序和代碼中存在的漏洞和問題,是導致被攻擊的關鍵因素。這些問題就如同不定時的隱藏炸彈,暴露在網絡環境中,一旦為有心人發現和利用,造成的損失難以估量。

如果在項目上線之前,或者雖然上線但尚未遭受攻擊,就通過技術手段發現了潛藏的問題,則在面對激烈的攻防對抗時,占據了極大的主動權。而掌握主動權的方式,則是引入滲透測試、代碼審計等高級安全服務,先于攻擊者發現漏洞和安全隱患并排除。

通過代碼審計、滲透測試等安全服務,企業用戶可以從攻擊角度了解系統是否存在隱性漏洞和安全風險,特別是在進行安全項目之前進行的滲透測試,可以對信息系統的安全性得到深刻的感性認知,有助于進一步健全安全建設體系;審計完畢后,也可以幫助用戶更好地驗證經過安全保護后的網絡是否真實的達到了預期安全目標、遵循了相關安全策略、符合安全合規的要求。

從合規的角度而言,凡是屬于相關法律規定需要滿足一定網絡安全需求的信息系統,都應及時地完成等保測評,并部署安全措施符合相應等級的安全保護要求。

關注生態文明

饋贈名家字畫


 

來源:區塊鏈逍遙子 責任編輯:張力   

【返回頂部】 【打印本頁】 【關閉窗口】

相 關 鏈 接
相 關 評 論     >>全部評論
  發 表 評 論
用戶名:   
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。)
熱點招商
無毒無輻射滅蚊燈
壽香坊紫蘇油招商
法國膠原蛋白膠囊
 
商務資訊
休閑生活
 溫州商會會員團購中心
     
  COPYRIGHT © 2000-2013 中國溫州商會網 版權所有 保留所有權  
國內客服電話:400-822-8182  
經營許可證編號京ICP證040825號  
 
 
富利彩票开奖查 十一选五顺口溜 排列7多少钱 广西快3历史开奖号码 炒股的人一生如何买卖股票 江西11选5模拟开奖 七乐彩规则及玩法 配资做期货有成功的吗 黑龙江36选7app 福建22选5走势图表 投资计划福彩3d独胆论坛