如何打造区块链安全生态圈？

今日，由亚洲区块链研究院发起的“世界数字科技大会2019全国行”在北京举办，来自知道创宇的区块链解决方案技术总监参加大会并发表名为《打造区块链安全生态圈》的演讲。下面就让我们一起来回顾演讲的精彩内容。

区块链经济已经处于爆发前夜，金融行业的探索领先一筹， 而其他行业的应用正在快速展开。

区块链行业应用显著优势在于优化业务流程、降低运营成本、提升协同效率，这个优势已经在金融服务、物联网、公共服务、社会公益和供应链管理等社会领域逐步体现出来。

 

区块链应用生态圈

作为新兴技术的中坚力量，区块链不只用于虚拟货币领域，也在其他诸如金融、医疗、知识产权认证等领域尝试落地，涌现出一大批优秀企业开拓或进入区块链产业。

在如此庞大的生态圈背后，如何打造安全的生态环境，是区块链技术能否快速并大规模应用的关键。

区块链发展历程

区块链1.0时代

以比特币为首的数字货币

在区块链1.0时代，区块链的技术应用主要集中在数字货币领域。除了比特币之外还有狗币、网络币等大量“山寨”数字货币。 

各种各样的山寨币

他们的技术架构与比特币非常相似，一般分为三层：区块链层、协议层和货币层。区块链层则是它们作为底层技术是最核心的部分，系统的共识过程、消息传递等核心功能都是通过区块链层达成的。

区块链2.0时代

智能合约以及数字资产

智能合约被称为“区块链2.0”的一个代表性产物。当人们发现传统的比特币形式数字货币的种种弊端时如：资源严重消耗，无法处理复杂逻辑等，业界开始将目光转移到比特币底层支持技术即区块链上。

在这个时代最出名的应用就是以太坊。与比特币相比，以太坊它不仅仅是一种加密数字货币。它是一个基于区块链的底层平台，它采用智能合约 - 以太坊虚拟机(EVM)的架构， 并使用其名为以太(ether)的货币用于智能合约。

演讲现场

以太坊的智能合约使用区块链存储的应用程序进行合同的协商和确认。这些智能合约的好处是以太坊提供了一种去中心化的方式来验证和执行它们。

去中心化使得欺诈或审查非常困难。智能合约旨在提供比传统合同更高的安全性，并降低相关成本。

区块链3.0时代

超越货币、经济和市场的信用社会

随着区块链技术的不断发展，区块链技术带来的种种优势如： 低成本信用、分布式结构和公开透明等特征 ，可以运用在各行各业。

例如公共记录可以记录公民的各种证件信息：驾驶证、身份证、房产、护照、结婚证、死亡证明、选民登记、表决情况、投票记录、商业执照等。金融交易方面可以运用在货币、反洗钱、基金、股票、交易记录、众筹、抵押等细分行业。

区块链应用安全风险

区块链于金融行业的发展领先一筹，在此背景下区块链市值不断飙升，恶意攻击事件越来越多。 黑客通过DDoS攻击、CC攻击、系统漏洞、代码漏洞、业务流程漏洞、API-Key漏洞等进行攻击和入侵 ，给区块链项目的管理运营团队及用户造成巨大的经济损失。 

区块链应用安全风险

通过我们的研究发现，现目前区块链应用面临的威胁主要有以下几点： 

安全威胁（可点击放大）

区块链1.0时代的安全威胁

虽然比特币等数字货币在底层技术上是十分安全的，但几点实际应用上的设计为比特币的安全带来了隐患。

由于比特币采用PoW共识机制和UTXO数据结构，新区块生成时间较长(10分钟)，主要的安全问题体现在对算力和时间的资源争夺上。

在算力方面，如 51%攻击 ；在时间方面，如 交易延展性攻击 、 双花攻击 、 扣块攻击 等；而 垃圾交易攻击 则等同于比特币的DDoS攻击，也是一种资源竞争型的攻击。

区块链2.0时代的安全威胁

这样一个用来让交易更便捷高效的智能合约，却引发了更多的安全问题。智能合约的安全问题已排在区块链自身机制安全问题的首位 。

以以太坊为例，以太坊由于 引入了去中心化虚拟机 的概念(Ethereum Virtual Machine)，使得人们可以通过生成智能合约来完成一些交易之外的应用活动。

然而，正因为智能合约所具有一定的开放性，导致智能合约成为了区块链新的安全问题。也直接导致不经过严格审核智能合约的逻辑性和合理性，而草率上线的区块链玩家们在智能合约上线后蒙受了巨大损失。

交易所安全风险

交易平台在不同阶段存在不同的安全风险。开发时期由于 代码本身缺陷 带来的系统框架漏洞、逻辑漏洞会对上线后的系统造成致命的安全隐患。 

知道创宇可提供 代码审计、渗透测试、风险评估、安全加固 等一系列安全服务，帮助客户尽早排除安全隐患，“SCANV漏洞管理系统”能够跟踪漏洞的全生命周期及修复状态，确保项目快速平稳上线。

运营阶段，黑客会通过DDoS攻击、漏洞入侵等方式降低交易平台的可用性，窃取账户，资产等等。

而若智能合约存在漏洞将严重影响整个项目，甚至导致项目失败。通过接入知道创宇云防御服务，加强互联网安全防护，针对DDoS攻击、CC攻击、病毒木马、SQL注入等恶意攻击行为进行防御，可确保项目业务连续无异常。

并且，国内顶级白帽团队可对智能合约源码中的隐私泄露风险、代币转入转出风险、合约故障处理风险等进行深度的安全审计。

在推广时期，除了上述网络攻击，平台还可能遭受薅羊毛等业务欺诈、山寨仿冒等钓鱼欺诈，让企业资产流失、声誉受损。

知道创宇浑天智鉴及品牌保护的相关产品和能力，打造用户放心的行业一流产品，拒绝钓鱼网站和欺诈行为对用户及平台造成利益损害。

矿机|矿池业务风险

由于矿机耗电量比较大，大多建在偏远地区，监管缺失容易造成黑客甚至是内部人员通过修改配置文件等手段窃取算力，给矿场带来严重损害。

知道创宇提供的矿机监控服务，通过探针周期性收集矿机状态数据，监控矿机的运行状态、业务情况，将信息在服务器端集中展现，当发现矿机运行异常、被入侵、被盗用等情况，及时告警，保障客户利益。 

而针对交易平台的一系列黑客入侵及网络攻击，在矿池场景下更是丝毫不减。知道创宇通过在全球部署多家海外节点，采用BGP+Anycast技术，可以快速阻断多种类型的DDoS攻击，总防御能力高达4T。

并且知道创宇拥有国内最大的黑客攻击样本库，可对黑客攻击实时记录拦截、联动动态分析，以保证客户业务系统可用性和安全性。

作为深耕区块链安全领域的公司，知道创宇已于行业领先快速布局区块链生态安全。

从2011年开始接触区块链技术，知道创宇通过帮助区块链多个行业用户提供安全防护，对区块链业务场景有着深刻的理解，并建立了全生态的安全解决方案。 比特大陆、火币网、FCOIN、ZB.COM、Waltonchain等 区块链行业标杆都是我们的客户。

知道创宇将给区块链行业持续输出全面的安全能力，努力推动区块链行业向更安全的方向发展，一起见证区块链在继工业革命和互联网之后成为引发颠覆式产业创新的技术。 

更多关于区块链安全或其他行业相关解决方案内容，欢迎点击阅读原文访问我们。

▼

往期好文回顾

知道创宇云安全大会 | 开辟安全净土