【深度】区块链技术安全威胁分析(附下载)
【解码区块链】专题文章一
区块链技术安全威胁分析
2020年4月20日,国家发改委明确“新基建”定义和范围,表态“区块链”被纳入其中。为深入探索区块链技术的发展应用,挖掘对零售行业产生的影响和机遇,苏宁零售技术研究院联合业内资深学者和企业技术专家,推出《解码区块链》内容专题,全方位揭开区块链技术的神秘面纱。
本文来源于《南京邮电大学学报(自然科学版)》2019年第5期《区块链技术安全威胁分析》,作者为南京邮电大学计算机学院孙国梓、王纪涛、谷宇。苏宁零售技术研究院获得该期刊授权刊登。
【完整文章下载】
回复公众号“区块链安全”
获取链接和提取码下载全文
本文共3949字
阅读约9分钟
近年来,全球区块链技术发展迅猛,新技术概念开始耳熟能详,大量资金涌入的同时,也吸引地下黑客不断关注。2020年5月,PeckShield态势感知平台数据显示,整个区块链生态共发生了23起突出的安全事件,涉及DeFi的2起、交易所6起、公链1起、勒索相关3起,诈骗8起。
另据慢雾区块链被黑档案库(hacked.slowish.io)数据统计,2019年区块链行业发生的安全事件超130起,累计损失超50亿美金,交易所、钱包、DApp成为黑客攻击的重灾区。为避免安全威胁和经济损失,研究专家认为,在未来,区块链底层技术架构研究过程中,必须将安全问题放在重要位置。
南京邮电大学计算机学院孙国梓、王纪涛、谷宇发表的《区块链技术安全威胁分析》一文,针对近年来不断发生的区块链安全问题,从区块链的基础概念,到安全威胁的成因及分类、安全应用、安全对策等进行了鞭辟入里的深入研究。
以下内容摘自该文的部分章节,并附有全文目录,回复公众号“区块链安全”,即可获取全文下载方式。
区块链概念的出现主要源于2008 年中本聪发表了一篇《比特币: 一种点对点的电子现金系统》, 他在论文中提出了区块链( Blockchain) 这种数据结构。作为计算机时代的先进技术,区块链应用了分布式数据存储、加密算法、共识机制、点对点传输等计算机技术,本质上是一种去中心化基础架构与分布式计算范式。
就目前而言,由于区块链技术的快速发展和进步,在不同行业和不同场景之下,结合区块链技术的相当一部分应用已经实现落地,而还有一部分在持续发展中。区块链技术的发展可以分为3个阶段,由 Melanie Swan编写的《Blockchain: Buleprint for a New Economy》一书中就将区块链划分成了3 种级别。
区块链技术发展的三个阶段
区块链1.0是基于比特币的诞生而出现,此时的区块链主要用于加密货币。该层次的区块链应用增强了数字货币的具象化形式,形成了一种新型价值的数据表现形式。其通过电子数据的传输与交易完成交易介质、记账单位以及价值存储的功能。比特币就是第一个加密货币的具体实现。
区块链2.0主要用于金融服务,这一时代最大的特点就是引入了智能合约的概念,以其最简单的形式来说,是由其创建者编写以执行特定任务的程序。虽然智能合约可以在任何区块链版本上进行编码,但是以太坊是最受欢迎的选项,因为其提供了可扩展的高效处理能力。智能合约的引入使得区块链能做更多复杂的逻辑,而不是简单的点对点转账。
区块链3.0指的是其不再只为金融服务,除此之外,更多的场景也用上了区块链技术,包括政府、食品安全、媒体、司法取证等等。这个时代对区块链的认识有了更深的理解,更加认可区块链对于社会发展的价值。超级账本( Hyperledger) 项目作为实现了完整权限控制及安全防护的区块链架构,是该阶段的代表技术。
区块链十大安全事件
当区块链技术在各行各业兴起之后,专家学者们便开始了持续探索区块链技术如何更好地融入到日常生活中。随着区块链加密货币、交易所、区块链应用等慢慢普及,也让很多黑客攻击者开始对区块链技术进行深入研究,从区块链中找到技术漏洞作为攻击入口,从中获利。
近两年来,区块链在安全方面遇到了很多问题。2019年1月25日,全球区块链数据与安全服务商派盾( PeckShield) 联合多家媒体共同发布《2018 年度区块链十大安全事件》,其中有2018年3月7日币安交易所遭黑客攻击,通过程序化交易拉升代币从而获利;2018年3月20日以太坊节点持续两年偷渡漏洞,攻击者利用以太坊RPC API 缺陷盗取节点资产;2018年4月至5月BEN/SMT/EDU智能合约安全漏洞;2018年5月29日EOS节点远程代码执行;2018年7月至8月ERC20等一系列代币假充值漏洞;2018年7月至11月EOS帐户彩虹攻击;2018年8月23日FOMO 3D游戏阻塞攻击决出大奖,破坏游戏平衡;2018年9月BTC超发漏洞;2018年8月至11月EOS DApp等系列漏洞;2018年11月16日BCH共识破裂硬分叉。这十大安全事件只是区块链中的冰山一角,因此目前区块链的安全问题需要重视起来,减少损失。
2011-2019年区块链安全漏洞造成84亿美元损失
区块链定义、特征和体系结构
最早关于区块链的介绍是在中本聪发表的文章《Bitcoin: A Peerto-Peer Electronic Cash System》中,在这篇文章中没有具体提出区块链的定义,但是指出区块链是用来记录交易的一种分布式账本。从此,作为比特币的重要底层技术的区块链,逐渐开始被人们重视。
从数据的角度来看,区块链是一种几乎不可能被更改的分布式数据库。这里的“分布式”不仅体现为数据的分布式存储,也体现为数据的分布式记录,并且由系统参与者共同维护。
从技术的角度看,区块链并不是一种单一的技术,而是多种技术整合的结果。这些技术以新的结构组合在一起,形成了一种新的数据记录、存储和表达的方式。
区块链技术发展至今已经形成了一个较完整的技术栈。区块链被广泛地关注和研究主要是因为其本身的特性:去中心、透明性和可溯源性、开放性、不可篡改性、匿名性。其体系结构基本也已经定型,大多数的区块链底层架构由6 部分组成,其中有数据层、网络层、共识层、激励层、合约层和应用层。
区块链底层架构
区块链的主要安全威胁
近年来,区块链以价值安全转移、数据安全存储为用户广泛使用。区块链底层从技术上来说有一系列加密算法和数字签名方式确保交易安全,又依赖于共识机制来产生区块,以组成一种随时间戳排序的链式结构来保证数据的不可篡改。
尽管如此,目前区块链依然面临着巨大的安全威胁,基本可分为算法安全威胁、协议安全威胁、智能合约安全威胁、用户使用安全威胁和网络安全威胁5 种。
量子计算技术对密码体制的威胁
区块链跨链安全
区块链技术不断发展,各种企业级区块链平台也应运而生,导致区块链底层架构也变得类型不一,区块链跨链的需求也在持续上涨。
为了实现不同的区块链之间进行跨链数据交互,各区块链专家和高级区块链技术人员们一直在研究如何能更好地进行跨链操作,目前主流的跨链技术有公证人机制、哈希时间锁定和侧链/中继链3种,但这3种跨链技术都存在自身的缺陷,同时也无法避免在跨链交互过程中具有共性的问题。《区块链技术安全威胁分析》文中罗列了10 种跨链安全问题,其中前3种是基于3种主流跨链技术的安全问题,后7种是跨链过程普遍存在的共性问题。
回复公众号“区块链安全”,下载《区块链技术安全威胁分析》全文,了解详细内容。
区块链安全领域应用
由于以太坊创始人 Vitalik Buterin 将智能合约应用到了区块链上,让区块链领域发生了巨大变革。通过智能合约,区块链能实现更多的复杂逻辑操作,而不仅仅是货币交易。
区块链的不可篡改性、可溯源性、永久存储性等特性适用于各行各业,所以很多领域都与区块链技术相融合。可结合的最主要价值就是能依靠区块链来保证各领域某些环节的安全性,区块链应用可分为区块链应用于数据管理、区块链应用于物联网以及区块链应用于域名系统。
区块链隐私保护威胁
尽管区块链网络中每个用户都是匿名的,但由于区块链本身的交易透明性,区块链依然存在隐私保护的威胁。尤其是在大数据技术已经相当成熟的当下,匿名也许并不能真正的隐藏用户身份。目前,区块链隐私保护威胁主要有大数据推测用户身份和暴露用户交易金额。
区块链安全研究方向及对策建议
区块链技术从各个角度暴露了不同的安全威胁类型,但针对这些安全威胁依然能够通过相应的方法进行预防和解决,因此该文提出了目前区块链安全研究方向以及相应的对策建议。
回复公众号“区块链安全”,下载《区块链技术安全威胁分析》全文,了解详细内容。目录:
1 区块链概述
1.1 区块链定义
1.2 区块链特性
(1)去中心化
(2)透明性和可塑性
(3)不可篡改性
1.3 区块链体系结构
(1)数据层
(2)网络层
(3)共识层
(4)激励层
(5)合约层
(6)应用层
2 区块链主要安全威胁
2.1 算法安全威胁
(1)哈希函数
(2)量子计算技术
2.2 共识协议安全威胁
(1)双花攻击
(2)自私挖矿
(3)短程攻击
(4)长程攻击
(5)币龄堆积
(6)预计算攻击
(7)女巫攻击
2.3 智能合约安全威胁
(1)重入漏洞
(2)整数溢出漏洞
(3)tx.origin和msg.sender混淆漏洞
(4)拒绝服务漏洞
(5)关键字过时
(6)未检查返回值漏洞
(7)短地址/参数漏洞
(8)交易顺序依赖
(9)合约构造函数与合约名不一致
(10)时间操作/伪随机
2.4 用户使用安全威胁
(1)节点暴露API接口
(2)钱包私钥窃取
2.5 网络安全威胁
(1)BGP路由广播劫持
(2)伪造数字签名
(3)勒索病毒
3 区块链跨链安全
3.1 公证人机制安全问题
3.2 哈希时间锁定安全问题
(1)恶意节点建立多笔超时交易
(2)资金锁定需维持“热钱包”状态
3.3 侧链/中继链安全问题
3.4 孤块问题
3.5 长程攻击问题
3.6 多链数据同步超时问题
3.7 区块膨胀问题
3.8 故障扩散问题
3.9 跨链重放攻击问题
3.10升级兼容性问题
4 区块链安全领域应用
4.1 区块链应用于数据管理
(1)基于区块链的电子存证系统
(2)基于区块链与智能合约的医疗信息管理体系MedRce
(3)基于区块链的无密钥签名架构
4.2 区块链应用于物联网
(1)基于区块链的物联网可伸缩管理
(2)基于区块链的边缘计算IIOT 架构
(3)物联网+区块链助力食品质量安全保障
4.3 区块链应用于域名系统
5 区块链隐私保护威胁
5.1 大数据推测用户身份
(1)账户地址为出发点
(2) 交易为出发点
5.2 暴露用户交易金额
6 区块链安全研究方向及对策建议
6.1算法安全策略
6.2共识机制安全策略
6.3智能合约安全策略
6.4用户使用安全策略
6.5网络安全策略
6.6跨链安全策略
6.7应用安全策略
6.8区块链取证策略
7 结束语
文中简述区块链的产生发展,分析区块链技术在算法、共识协议、智能合约、用户使用和网络安全等方面面临的安全威胁。阐述公证人机制、哈希时间锁定和侧链、中继链3种跨联技术存在的安全问题。以及区块链本身特性对跨链的安全威胁。文章进一步探讨了区块链在安全领域的应用及隐私保护中的两种隐私威胁,并对各类安全威胁,提出应对策略及研究方向。
原创文章,未经允许禁止转载
投稿请联系 [email protected]
苏宁零售技术研究院,立足零售本质,以“重塑零售生态,共创品质生活”为理念,以“汇聚全球智慧,探索未来零售”为愿景,开展零售前沿技术与商业模式的研究。
研究院从用户视角出发,围绕智慧零售所进行的业态、服务及技术创新研究,将与智慧零售产业的创新实践相结合,促进行业转型和变革。同时,聚焦用户需求的深层次满足,全场景运营能力落地以及企业效率提升。
1、苏宁“创新基础设施”型零售实践大解析
2、苏宁“融合基础设施”型零售实践大解析
3、苏宁“信息基础设施”型零售实践大解析
4、“新基建”对下沉市场意味着什么?
5、新基建风口下零售科技企业如何借势发展?
6、首份零售科技“新基建”报告出炉(附下载)
7、深度调研 | 20家科技企业真实现状
8、访谈13位CEO:疫情对科技企业的影响
扫描右侧二维码
获得更多精彩文章
点击在看,好报告要分享哦~