区块链可能是安全的,但是所有的软件都能与它交互吗?在许多情况下,并不能做到。我们已经看到,由于区块链存在的漏洞,从钱包,智能合约到交易所的网络攻击都在增加。
确保区块链生态系统的安全是当前最具有挑战性的网络安全问题。区块链本身可能是安全的,但这并不意味着所有与它交互的东西——钱包、交易所、矿工、智能合约是安全的。根据Carbon Black最近的一项研究,今年上半年,黑客总共盗取了价值11亿美元的加密货币。
目前的威胁主要局限于公共区块链,下一个将是企业级的区块链。有如此多的资金可以针对公共区块链,以至于企业区块链目前还没有被黑客所探索。由于已经成功地设涉及了公共区块链,企业区块链的弱点也将在不久的将来被发现。
安全的学习曲线
新技术就一定会伴随着新的威胁和新的安全学习曲线。任何新技术,都需要一定的时间才会出现风险,然后需要了解如何应对风险。我们使用wifi经历了同样的曲折曲线,并且仍然处在物联网的世界里。我们目前正处于对区块链安全性方面的早期学习阶段。我们需要学得更快,因为这是一个有吸引力的目标。涉及到大量的资金,相应地大量的攻击者活动也就出现了。
它之所以成为如此有吸引力的目标技术,部分原因在于,在这个新的领域中,网络攻击者可以让你在发薪日前先做出行动:他们不必担心如何从窃取的数据中赚钱。他们会直接偷了钱本身。
最薄弱的环节
与区块链交互的组件是用代码编写的,而且大多数软件代码都有错误和漏洞。我们已经在CA Veracode上扫描了数十亿行代码,并且发现了大量的漏洞。我们最近的数据集发现,77%的应用程序在初始扫描时至少有一个漏洞。有了这样的统计,你相信所有与区块链交互的软件都是安全的吗 ?
让我们看一下交易所和智能合约的例子。加密货币交易所是一种在线平台,用户可以用一种加密货币交换另一种加密货币(或用法定货币)。换言之,视交易所而定,它的功能可类似于证券交易所或货币交易所。
近年来,香港的交易所出现了一些严重的违规情况:
Gox在比特币上损失了4.8亿美元
2016年,Bitfinex遭受了多重签名钱包攻击,损失了7200万美元
Nicehash在一个攻击者通过网络钓鱼攻击窃取凭证后损失了6300万美元
Coincheck遭到了攻击,因为它将所有东西都存储在一个热钱包中,并使用单一的身份验证。(这就像银行把他们所有的钱都存放在一个出纳员的抽屉里一样的危险)。
智能合约对合同的协商或履行进行数字化的便利、验证或强制,也不能避免。我们还发现,聪明合约中的简单编程错误会导致一些严重的后果:
DAO在其智能合约中有一个缺陷。一个可重入性的bug允许攻击者消耗5000万美元的以太币
Parity钱包访问控制的问题导致损耗3000万美元的资金。
如果说到这里,你还认为你使用区块链技术,就可以使您的事务安全的话,那就真的太天真了。
区块链用户应该如何保护自己呢?从一些基本的安全措施来看看:
不要公开你的私钥
使用双重身份验证
在使用交换时,不要在网上发布任何电子邮件地址或电话号码
不要在网上吹嘘你的加密货币财富
确保代码级别的安全性
我们需要那些创建与区块链交互的软件来在他们的过程中建立安全性。需要考虑:
一个好的软件生态系统应该为开发的过程增加安全性并审查其继承的代码
使用双重身份验证和硬件钱包
坚持标准的最佳实践–使用SSL和证书来确保当事人是他们所说的那种人
区块链有许多有益的好处,包括更好的法律合同、在供应链中的更大的可见度,以及更少的投票欺诈。但是,与任何新技术一样,威胁行为者正在探索可能增加怀疑和缓慢采用的弱点。
本文来源:区块网 
