關(guān)于區(qū)塊鏈，你是否知道？

針對(duì)區(qū)塊鏈的攻擊，已經(jīng)涉及應(yīng)用層、合約層、底層、基礎(chǔ)設(shè)施層各方面

區(qū)塊鏈攻擊一旦成功，損失通常多達(dá)百萬(wàn)、千萬(wàn)、上億美金

比特幣的價(jià)格斷崖，背后有攻擊者的加持

成功的區(qū)塊鏈攻擊，常常是一些最簡(jiǎn)單的手段

邏輯漏洞的利用頻率決定了區(qū)塊鏈安全防護(hù)更需要成熟的攻擊者視角

攻擊者為了避免硬分叉處理方式，分批轉(zhuǎn)移財(cái)產(chǎn)的耐心可以延長(zhǎng)至2年

區(qū)塊鏈平臺(tái)連續(xù)1年內(nèi)被多次攻擊，直接導(dǎo)致宣布破產(chǎn)

區(qū)塊鏈黑產(chǎn)規(guī)模初具，打牌者和偷牌者可能來(lái)自同一雙手

關(guān)于區(qū)塊鏈技術(shù)，你是否知道？

應(yīng)用層是攻擊者的首選目標(biāo)，交易所往往是靶心

智能合約層是安全防護(hù)的重中之重，“不可修改”成雙刃劍

底層結(jié)構(gòu)和基礎(chǔ)設(shè)施層安全隱患突出

社會(huì)工程、內(nèi)部攻擊、釣魚……一個(gè)都不少

聞名世界的索馬里海盜，執(zhí)行者一般幾個(gè)人、一艘船、并不強(qiáng)大的火力，搶船成功后動(dòng)輒百萬(wàn)、千萬(wàn)美金的贖金要求，拼的不是火力，不是船的大小，更多是對(duì)海域的熟悉、地理位置的利用和敢想敢做的行為。

總結(jié)歷史發(fā)生的所有區(qū)塊鏈安全案例來(lái)看，這個(gè)新興乍起的行業(yè)所遭受的攻擊過(guò)程和惡劣結(jié)果，會(huì)讓人時(shí)不時(shí)恍惚覺(jué)得，這種攻擊力量對(duì)比、手法策略和獲利的豐厚程度非常相似，現(xiàn)階段針對(duì)區(qū)塊鏈的攻擊者可被形象歸納為“海盜”攻擊者。

結(jié)果利好的是：當(dāng)美國(guó)海軍、中國(guó)海軍等多方力量定期駐扎、輪崗對(duì)過(guò)往商船護(hù)航開(kāi)始，索馬里海盜因?yàn)檎?guī)軍的介入而逐漸銷聲匿跡。

當(dāng)前的區(qū)塊鏈企業(yè)似乎也急需專業(yè)正規(guī)軍的介入，通過(guò)對(duì)攻擊者畫像、攻擊行為特點(diǎn)、攻擊邏輯鏈條、損失追回的有效方法等維度進(jìn)行深入研究，提出切實(shí)可行的有效手段，對(duì)當(dāng)前“無(wú)墻”的攻擊進(jìn)行遏制。

隨著整個(gè)區(qū)塊鏈行業(yè)的興起，長(zhǎng)亭科技服務(wù)了多個(gè)相關(guān)企業(yè)，囊括多種類型。在這個(gè)過(guò)程中，長(zhǎng)亭安全服務(wù)團(tuán)隊(duì)意識(shí)到區(qū)塊鏈企業(yè)從業(yè)者擁有很高的安全意識(shí)，但針對(duì)區(qū)塊鏈安全的了解卻是匱乏的；國(guó)內(nèi)外研究區(qū)塊鏈安全技術(shù)的機(jī)構(gòu)并非不存在，但信息渠道的不暢通導(dǎo)致了知識(shí)獲取的延遲，遂決定通過(guò)多年在安全行業(yè)的積累，聯(lián)合優(yōu)質(zhì)且真正能解決問(wèn)題的資源，將各自的研究成果集合，在當(dāng)前階段，給區(qū)塊鏈從業(yè)者一個(gè)相對(duì)客觀的可參考、可查找資源。

由此產(chǎn)生了長(zhǎng)亭科技、ConsenSys和比特大陸的此次聯(lián)手，發(fā)布全國(guó)首部《區(qū)塊鏈安全生存指南》。

長(zhǎng)亭科技因擅長(zhǎng)攻防技術(shù)的背景，是國(guó)內(nèi)最早開(kāi)始研究并服務(wù)區(qū)塊鏈企業(yè)的網(wǎng)絡(luò)安全公司之一，積攢了豐富的素材，并利用多年攻防研究和實(shí)戰(zhàn)經(jīng)驗(yàn)，梳理了相對(duì)成熟的方法論；ConsenSys由以太坊聯(lián)合創(chuàng)始人Joseph Lubin成立于2015年，總部位于紐約，全球團(tuán)隊(duì)超過(guò)600人，旗下安全團(tuán)隊(duì)ConsenSys Diligence為以太坊生態(tài)提供安全服務(wù)、工具和最佳實(shí)踐指南；比特大陸創(chuàng)始人吳忌寒，是第一個(gè)將比特幣創(chuàng)始人中本聰?shù)恼撐姆g成中文的人，2013年聯(lián)合詹克團(tuán)創(chuàng)立比特大陸，這家成立不到五年的中國(guó)公司，被稱為比特幣產(chǎn)業(yè)鏈上的隱形帝國(guó)。

三家企業(yè)從更豐富的視角對(duì)報(bào)告內(nèi)容進(jìn)行了補(bǔ)充，盡量為區(qū)塊鏈從業(yè)者提供更多維度的參考信息。

區(qū)塊鏈，聲名鵲起于比特幣。幣也成為目前最廣為人知的區(qū)塊鏈應(yīng)用案例。然而，從應(yīng)用角度看，區(qū)塊鏈?zhǔn)侨诤狭嗣艽a學(xué)、數(shù)學(xué)、計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)科學(xué)、社會(huì)學(xué)等多門學(xué)科的產(chǎn)物。從創(chuàng)新角度看，區(qū)塊鏈巧妙融合升級(jí)了多種現(xiàn)有技術(shù)，如非對(duì)稱加密、點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)技術(shù)、哈希算法和共識(shí)算法，它是一次工程學(xué)意義上而非科學(xué)理論上的創(chuàng)新。區(qū)塊鏈的興起始于幣，卻遠(yuǎn)遠(yuǎn)不限于幣，其應(yīng)用的本質(zhì)都可以被歸類為將資產(chǎn)數(shù)字化后，利用區(qū)塊鏈可信任與可溯源性進(jìn)行管理。

從2008年概念提出到2013年業(yè)界認(rèn)識(shí)到區(qū)塊鏈技術(shù)的重要潛在價(jià)值，并開(kāi)始嘗試將其應(yīng)用到數(shù)字貨幣以外的場(chǎng)景（如眾募、資產(chǎn)交易、權(quán)屬管理、身份認(rèn)證等領(lǐng)域），短短幾年間區(qū)塊鏈迅速成為最熱的技術(shù)。

目前市場(chǎng)上多達(dá)幾百家的區(qū)塊鏈相關(guān)公司，根據(jù)業(yè)務(wù)類型和模式大致上可將其劃分為數(shù)字貨幣和技術(shù)應(yīng)用兩大類。顧名思義，數(shù)字貨幣是與數(shù)字經(jīng)濟(jì)時(shí)代相匹配的一種體現(xiàn)、傳遞和交換價(jià)值的中間件。而技術(shù)應(yīng)用是在很多現(xiàn)實(shí)場(chǎng)景中利用區(qū)塊鏈技術(shù)降低成本，提升效率。兩者因業(yè)務(wù)形態(tài)、模式的區(qū)別，導(dǎo)致其安全訴求也不盡相同。

應(yīng)用層通常成為攻擊者首選的目標(biāo)，也就是最常見(jiàn)到的各種交易平臺(tái)。安全問(wèn)題包括交易所服務(wù)器未授權(quán)訪問(wèn)、交易所DDoS攻擊、員工主機(jī)安全問(wèn)題、惡意程序感染等幾個(gè)方面。智能合約層則是整個(gè)安全防范的重點(diǎn)，智能合約一旦發(fā)布極難修改，合約的安全與否往往決定了一個(gè)項(xiàng)目的生死。世界知名的The DAO事件就是被重入攻擊導(dǎo)致數(shù)千萬(wàn)美金的損失；涉及智能合約開(kāi)發(fā)的代表性項(xiàng)目有區(qū)塊鏈錢包、眾籌基金、區(qū)塊鏈代幣發(fā)行、區(qū)塊鏈游戲等。未授權(quán)訪問(wèn)攻擊，Solidity 編程隱患等都是合約層的常見(jiàn)問(wèn)題。底層結(jié)構(gòu)層和基礎(chǔ)設(shè)施層安全需要注意區(qū)塊鏈實(shí)現(xiàn)層安全隱患、針對(duì)社區(qū)的DoS 攻擊、EVM 安全隱患等等。此外，安全意識(shí)與管理，含如何識(shí)別防范社會(huì)工程學(xué)攻擊、內(nèi)部攻擊、第三方風(fēng)險(xiǎn)控制失敗、釣魚攻擊也是一個(gè)都不能少。顯而易見(jiàn)，區(qū)塊鏈安全本身就是一個(gè)環(huán)環(huán)相扣的“鏈條”，安全防護(hù)需要系統(tǒng)化的生命周期體系及上帝視角思考。

數(shù)據(jù)顯示，區(qū)塊鏈專利申請(qǐng)的主要國(guó)家包括中國(guó)、美國(guó)、韓國(guó)、日本，中國(guó)的增長(zhǎng)最為迅速，世界上超過(guò)一半的區(qū)塊鏈專利都在中國(guó)。目前中國(guó)區(qū)塊鏈創(chuàng)業(yè)公司的數(shù)量?jī)H次于美國(guó)，全球市值前二十的數(shù)字資產(chǎn)中，不少都有中國(guó)血統(tǒng)。此外，通過(guò)披露各行年報(bào)可知，A股26家上市銀行中共有12家在年內(nèi)已上線運(yùn)行區(qū)塊鏈應(yīng)用，其中包括三家國(guó)有大行、六家全國(guó)性股份制銀行，以及三家城商行。

圖：區(qū)塊鏈的Hyper Cycle周期圖

區(qū)塊鏈技術(shù)的應(yīng)用在逐漸深入，為了更全面和系統(tǒng)化地應(yīng)對(duì)區(qū)塊鏈所面臨的安全問(wèn)題，不僅要考慮技術(shù)架構(gòu)中的每個(gè)層面面臨的安全風(fēng)險(xiǎn)，也要將安全方案融入?yún)^(qū)塊鏈開(kāi)發(fā)的每一個(gè)環(huán)節(jié)中去，最終實(shí)現(xiàn)區(qū)塊鏈安全開(kāi)發(fā)生命周期的安全管理方案。

區(qū)塊鏈自誕生以來(lái)，各種攻擊事件層出不窮，安全形勢(shì)嚴(yán)峻，需要行之有效的方法來(lái)防御。————吳忌寒，比特大陸創(chuàng)始人

很榮幸與長(zhǎng)亭科技和比特大陸共同撰寫發(fā)布區(qū)塊鏈安全深度報(bào)告，希望通過(guò)報(bào)告為提高全行業(yè)的安全意識(shí)和技術(shù)能力做出一些貢獻(xiàn)。安全一直是區(qū)塊鏈的核心課題之一，ConsenSys期待與行業(yè)伙伴們共建安全生態(tài)，推動(dòng)區(qū)塊鏈技術(shù)在中國(guó)和世界的發(fā)展。————唐弈，ConsenSys中國(guó)區(qū)負(fù)責(zé)人

我們?cè)趽肀^(qū)塊鏈技術(shù)帶來(lái)的革命時(shí)，也面臨著嚴(yán)峻的安全考驗(yàn)——無(wú)論是系統(tǒng)的設(shè)計(jì)還是實(shí)現(xiàn)中出現(xiàn)的安全漏洞，都可能給整個(gè)應(yīng)用帶來(lái)毀滅性的打擊。在此次發(fā)布的指南中，我們圍繞區(qū)塊鏈安全，對(duì)不同應(yīng)用的安全需求、過(guò)去發(fā)生的攻擊事件和應(yīng)對(duì)策略進(jìn)行梳理，希望能夠?yàn)樾袠I(yè)帶來(lái)啟發(fā)。