前四月全球區(qū)塊鏈產(chǎn)業(yè)因安全問(wèn)題損失19億美元

國(guó)家信息技術(shù)安全研究中心主任俞克群8日在2018年區(qū)塊鏈安全高峰論壇上表示,區(qū)塊鏈技術(shù)發(fā)展可能會(huì)成為我國(guó)掌握全球科技競(jìng)爭(zhēng)先機(jī)的重要一步,這個(gè)“先機(jī)”就是中國(guó)實(shí)現(xiàn)彎道超車(chē)的關(guān)鍵所在。

他同時(shí)表示,安全是區(qū)塊鏈未來(lái)的生命。區(qū)塊鏈還處在初級(jí)階段,存在密碼算法安全性等諸多挑戰(zhàn),風(fēng)險(xiǎn)不僅來(lái)自外部實(shí)體,也有可能來(lái)自?xún)?nèi)部參與者的攻擊。如何圍繞物理、數(shù)據(jù)、應(yīng)用系統(tǒng)、加密、風(fēng)險(xiǎn)控制等構(gòu)建安全體系,是目前面臨的重要問(wèn)題。

區(qū)塊鏈技術(shù)作為一種分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等技術(shù)的新型集成應(yīng)用,被認(rèn)為是新一輪技術(shù)創(chuàng)新和產(chǎn)業(yè)變革,其具有去中心化、開(kāi)放性、自治性、防篡改、匿名性等特點(diǎn)。

區(qū)塊鏈也寫(xiě)進(jìn)了“十三五”國(guó)家信息化規(guī)劃。中國(guó)云體系產(chǎn)業(yè)創(chuàng)新戰(zhàn)略聯(lián)盟秘書(shū)長(zhǎng)沈寓實(shí)在論壇上表示,如果說(shuō)代幣是區(qū)塊鏈1.0版本,那么區(qū)塊鏈在金融領(lǐng)域應(yīng)用的拓展則是2.0版本,而延展至實(shí)體經(jīng)濟(jì),則是區(qū)塊鏈的3.0版本。

“隨著區(qū)塊鏈技術(shù)廣泛應(yīng)用于金融服務(wù)、供應(yīng)鏈管理、文化娛樂(lè)、智能制造、社會(huì)公益以及教育就業(yè)等經(jīng)濟(jì)社會(huì)各領(lǐng)域,將降低運(yùn)營(yíng)成本、提升協(xié)同效率,進(jìn)而為經(jīng)濟(jì)社會(huì)轉(zhuǎn)型升級(jí)提供系統(tǒng)化的支撐。”沈寓實(shí)說(shuō)。

區(qū)塊鏈技術(shù)作為一種新興技術(shù),安全性威脅已是其面臨的最重要的問(wèn)題之一。隨著信息經(jīng)濟(jì)價(jià)值不斷上升,促使攻擊者利用各種攻擊手段獲取更多敏感數(shù)據(jù)。

工信部電子工業(yè)標(biāo)準(zhǔn)化研究院區(qū)塊鏈研究室主任李鳴認(rèn)為,從標(biāo)準(zhǔn)化角度,區(qū)塊鏈更需要標(biāo)準(zhǔn)的規(guī)范和安全保障,一個(gè)真正的系統(tǒng)、平臺(tái)要落地應(yīng)用,其實(shí)不光是喊口號(hào)出來(lái)的,需要系統(tǒng)工程的思想去支持。

中國(guó)信息安全測(cè)評(píng)中心主任助理李斌表示,以安全為核心的區(qū)塊鏈技術(shù)的安全問(wèn)題不斷引人矚目。“一行代碼,打倒一種代幣”、“一個(gè)漏洞,摧毀一類(lèi)智能合約”,區(qū)塊鏈技術(shù)的安全風(fēng)險(xiǎn)需要全社會(huì)的力量共同面對(duì)。

俞克群表示,由于區(qū)塊鏈的去中心化,暴露在公有鏈中的系統(tǒng)不能關(guān)停,其錯(cuò)誤修復(fù)也異常棘手,應(yīng)用領(lǐng)域逐漸廣泛,區(qū)塊鏈將演化成技術(shù)基礎(chǔ)設(shè)施類(lèi)的服務(wù),一旦出現(xiàn)問(wèn)題就會(huì)導(dǎo)致嚴(yán)重的安全后果。

論壇上白帽匯安全研究院發(fā)布的《區(qū)塊鏈產(chǎn)業(yè)安全分析報(bào)告》顯示,2011年到2018年4月,全球范圍內(nèi)因區(qū)塊鏈因安全事件造成的損失多達(dá)28.64億美元。損失額度從 2017 年開(kāi)始呈現(xiàn)出指數(shù)上升的趨勢(shì),僅2018年以來(lái),損失金額就高達(dá)19億美元。

白帽匯安全研究院負(fù)責(zé)人鄧煥表示,每年由區(qū)塊鏈安全漏洞造成的損失高達(dá)數(shù)十億美元,攻擊者主要選擇保護(hù)相對(duì)薄弱的合約層和業(yè)務(wù)層進(jìn)行攻擊,在該技術(shù)層本身也是目前攻擊者最佳變現(xiàn)的場(chǎng)景。

報(bào)告顯示,目前攻擊者主要采用拒絕服務(wù)攻擊、木馬劫持攻擊、支付漏洞等手段對(duì)業(yè)務(wù)層進(jìn)行破壞。區(qū)塊鏈作為底層技術(shù)基礎(chǔ),支撐著整個(gè)系統(tǒng)。如底層出現(xiàn)安全問(wèn)題,必將導(dǎo)致依托于此的上層均受到影響。因此,在系統(tǒng)設(shè)計(jì)之初就應(yīng)加入安全性設(shè)計(jì)。”

鄧煥介紹,為了給相關(guān)企業(yè)起到較好的參考作用,此次同時(shí)推出的區(qū)塊鏈產(chǎn)業(yè)安全網(wǎng)站便會(huì)分為安全事件收集、事件分析、以及區(qū)塊鏈生態(tài)監(jiān)控等欄目,其將對(duì)整個(gè)區(qū)塊鏈生態(tài)安全進(jìn)行分析跟蹤,不定期的更新區(qū)塊鏈產(chǎn)業(yè)安全分析報(bào)告。

關(guān)鍵詞： 區(qū)塊 損失 產(chǎn)業(yè)