文章來源: 第一財經網
作者:杜川

區塊鏈技術迅速發展,虛擬貨幣漸漸走入大衆視線,虛擬幣交易平臺也如雨後春筍一般興起。然而交易平臺背後的經營者能力,以及平臺的自身安全性並無法得到很好的保障。

2017 年 6 月,韓國最大交易所 Bithumb 被盜數十億韓元,三萬用戶信息被泄露;2017 年 12 月,斯洛文尼亞加密挖礦網站 Nicehash 被盜約 4700 個比特幣,價值約 6200 萬美元。在區塊鏈和虛擬貨幣領域,此類由於交易所安全性導致損失的案件頻頻發生。

8 月 8 日,國家互聯網金融安全技術專家委員會(下稱“互金專委會”)發佈《區塊鏈技術安全概述報告》(下稱《報告》)指出,區塊鏈技術目前的發展方興未艾,大多的技術和應用處於試驗階段。目前,發生的安全事件多集中出現於加密資產相關領域,給用戶造成了較大的經濟損失,其安全問題日益受到行業關注。

區塊鏈安全環環相扣

區塊鏈應用從架構上分爲三層,基礎網絡、平臺層和應用層。三個層面相互影響,每一個環節出現的安全問題,都將給下個環節帶來更多的安全問題。

互金專委會表示,在進行區塊鏈項目開發的過程中,從設計到實現,從驗證到響應,不僅僅需要考慮到單個環節的安全性問題,也需要將其放入到整體的層面中去判斷可能出現的風險點。

以基礎網絡層爲例,基礎網絡由數據層及網絡層組成,是區塊鏈的基礎部分,該部分封裝了區塊鏈的底層數據,對區塊鏈的數據採用非對稱性加密,利用 P2P 網絡並設置了傳播、驗證機制等。目前,主要面臨的安全問題爲信息攻擊與加密算法攻擊、節點傳播與驗證機制風險。

《報告》指出,從數據區塊信息攻擊風險來看,一方面寫入區塊鏈後的信息很難刪除,不法分子將某些有害信息、病毒特徵碼、淫穢信息等寫入區塊中,影響區塊鏈生態環境。另一方面,大量的垃圾交易數據攻擊會堵塞區塊鏈,使得有效交易和信息遲遲無法被處理。

P2P 網絡風險方面,區塊鏈信息傳播採用 P2P 的模式,節點之間的信息傳播,會將包含自身 IP 地址的信息發送給相鄰節點。由於節點安全性參差不齊,較差的節點容易受到攻擊,目前可進行攻擊的方式包括:日食攻擊、竊聽攻擊、BGP 劫持攻擊、節點客戶端漏洞、拒絕服務(DDoS)攻擊等。

據悉,2018 年 3 月以太坊網絡就爆出「日食攻擊」。「日食攻擊」是其他節點實施的網絡層面攻擊,其攻擊手段是囤積和霸佔受害者的點對點連接時隙,將該節點保留在一個隔離的網絡中。這類攻擊旨在阻止最新的區塊鏈信息進入到日食節點,從而隔離節點。而比特幣網絡很容易受到日食攻擊。

加密資產交易平臺六類隱患

近幾月,數起針對交易平臺的攻擊事件發生。2018 年 1 月,日本的加密資產交易平臺 Coincheck 被入侵,損失超過 5 億美元;韓國交易平臺 Coinrail 也證實在 2018 年 6 月被黑客攻擊,入侵損失達 3690 萬美元。

互金專委會表示,加密資產是數字經濟中重要的組成部分,但針對加密資產交易平臺展開的頻繁網絡攻擊不斷衝擊着用戶對於數字資產的信任。

目前看來,加密資產交易平臺主要有六類常見隱患和漏洞,即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。

拒絕服務攻擊是目前最主要的針對交易平臺的攻擊方式。攻擊者通過拒絕服務攻擊使得交易平臺無法正常訪問,用戶因爲無法準確分辨攻擊程度,往往會造成恐慌性的資產轉移,從而給交易平臺帶來損失。

互金專委會表示,目前即使是最好的技術措施也無法保護加密資產交易平臺免受網絡釣魚攻擊。欺詐者往往通過虛假域名或者仿冒頁面的方式迷惑受害者,受害者如無法分辨交易平臺的真實性便會遭受資產上的損失。

許多交易平臺使用單個私鑰來保護熱錢包,如果犯罪分子可以訪問單個私鑰,他們將能夠破解與私鑰相關的熱錢包。例如,2017 年首爾交易所 Yapizon 的攻擊,攻擊者一年內前後兩次對交易平臺發起了針對平臺上熱錢包的盜取,總共造成交易平臺近 50% 的資產損失,並最終導致了交易平臺破產。

另外,由於沒有完善的風險隔離措施或對於員工權限監督不力,導致部分擁有平臺操作權限的員工利用內部信任監守自盜。例如,2016 年交易平臺 ShapeShift 發生的員工盜取比特幣事件,通過私下盜取和將敏感信息轉賣給他人的方式給交易平臺共造成 23 萬美元損失。

軟件漏洞則包括單點登陸漏洞、oAuth 協議漏洞等。互金專委會表示,目前各國都有法律要求銀行或其他金融機構實施信息安全措施,以保護客戶的存款。但由於區塊鏈領域還處於起步階段,目前缺少適用於加密資產的此類規範。因此,許多交易平臺在缺乏安全規範約束的條件下,存在大量漏洞並非偶然。

據悉,Mt.Gox 是曾經佔據世界交易總額 80% 的世界第一大比特幣交易平臺,然而,“Mt.Gox 事件”成爲加密資產歷史上最大的攻擊之一,共造成 4.73 億美元的損失,這次攻擊事件便是由黑客在初始交易發佈之前向公共賬本提交代碼更改進行的。

互金專委會指出,區塊鏈的技術支持者常常認爲區塊鏈交易是高度安全的,因爲它們被記錄在據稱不可更改的記錄上。但是每個交易都需要有相應簽名,而在交易最終確認之前,記錄是可以被暫時僞造的。

針對上述風險與隱患,互金專委會建議,平臺應在技術開發方面持續投入,抵禦日益增長的黑客攻擊,切實的增強系統的安全性;同時,確保員工保護安裝在專業工作計算機或個人計算機上軟件應用程序相關的登錄憑據,並完善安全培訓,提高安全意識;另外,應定期進行安全測試,建立完善的應急響應機制;進行網絡安全隔離,謹慎進行服務端口開放,並選擇具備完善防護的能力的服務供應商。

互金專委會指出,行業需要統一的治理機制,引入第三方監管與合作,在出現問題時及時與外部協同工作。