采用區塊鏈之前，需要了解八大區塊鏈安全風險_COI

為什么企業區塊鏈現在這么火？毛球科技歸結為兩個主要原因：現有的多方數據共享和處理的門檻太高，每個人都想強迫其他人使用自己的系統和數據格式。

而企業區塊鏈可以以兩種方式解決這些問題。首先，區塊鏈和智能合約可以讓每個人就數據格式和處理規則達成一致，更重要的是，這些規則是由系統強制執行的。沒有可用的手動覆蓋，除非每個人都統一進行更改。

其次，因為區塊鏈和智能合約是新興技術，對于每個人來說基本上都是一個綠地部署。很有可能現在沒有一個人擁有現成的解決方案，所以有一些人會試圖把區塊鏈和智能合約強加給其他人。

不過新技術也會帶來新的風險，這些風險通常是人們不太了解的風險。目前，企業區塊鏈和智能合約部署在毛球科技看來存在三大新風險：舊軟件、軟件缺陷和操作缺陷。

回顧過去50年，好像這些都是一直在處理的計算機風險。在元級別上，當你深入到細節時，像任何其他技術一樣，區塊鏈和智能合約已經找到了新的和創造性的方法來創造安全風險。

Voyager今日已將3088萬美元加密資產轉入Coinbase，并提現5000萬枚USDC:金色財經報道，推特用戶余燼發推表示，今日Voyager繼續將資產轉入Coinbase并提現穩定幣，其中總計已轉入3088萬美元加密資產，包括8000枚ETH、600萬枚MATIC、3000億枚SHIB、500萬枚VGX、30萬枚APE、9500枚AAVE、82枚YFI、5000枚QNT、90萬枚FET、7600枚COMP、110萬枚BAT，提現5000萬枚USDC。[2023/2/28 12:33:26]

下面一起來看看毛球科技整理的8個區塊鏈安全風險：

1.老軟件

雖然企業區塊鏈軟件很少是“老的”，但對于軟件來說，任何超過一兩年的軟件在變化速度和改進方面基本上都是石器時代的工具。

數據：zkSync橋接存儲總價值突破20萬枚ETH:金色財經報道，據 Dune Analytics 數據顯示，以太坊 Layer2 擴容解決方案 zkSync 跨鏈橋接存儲總價值已突破 20 萬枚 ETH，截至目前達到 200,003 ETH（按照當前 ETH 價格計算超過 3.3 億美元），參與橋接交易的用戶量為 530,753 個。其他 L2 存儲總價值方面，當前 Arbitrum 跨鏈橋存儲總價值約為 211.23 萬枚 ETH，Optimism 約為 46.65 萬枚 ETH，StarkNet 約為 1.04 萬枚 ETH。金色財經此前報道，zkSync 開發公司 Matter Labs 于去年 11 月中旬完成 2 億美元 C 輪融資，Blockchain Capital 和 Dragonfly 共同領投。[2023/1/21 11:24:26]

R3的開源Corda區塊鏈平臺就是一個很好的例子。從2016年5月的初始版本到2021年5月，Corda有182個版本，大約每10天一個。其中許多也不是小版本；主要的新功能和重構或刪除代碼是司空見慣的。在大多數企業項目中，有一種真正的趨勢是選擇一個軟件版本，然后永遠不升級，因為升級有可能會破壞一些東西。

對比特幣友好的Pierre Poilievre當選為加拿大保守黨領袖:9月11日消息，對比特幣友好的Pierre Poilievre當選為加拿大保守黨領袖。此前Pierre Poilievre曾承諾，如果他成為加拿大總理，他將“釋放”加密貨幣的潛力，并使加拿大成為“世界區塊鏈之都”。他還曾公開支持允許加拿大人在該國使用比特幣作為合法貨幣。（bitcoinmagazine）[2022/9/11 13:22:51]

這里的教訓是：確保軟件是最新版本并且還可以持續保持更新，但如果不能，為什么不呢？

2.缺乏安全漏洞覆蓋

企業區塊鏈軟件在安全漏洞數據庫中幾乎沒有覆蓋。這意味著大多數用戶，除非他們明確跟蹤供應商的發布說明，否則不會意識到安全更新。

這種缺乏覆蓋面，特別是公共漏洞和暴露數據庫和美國國家漏洞數據庫是一個巨大的問題，因為如果漏洞沒有得到官方認可，那么對于許多大型組織來說，它們就不存在。

調查：85%的受訪商家將加密支付視為獲取新客戶的一種方式:7月6日消息，數據平臺PYMNTS與BitPay合作進行的一份調查報告顯示，在年收入10億美元的企業中，85%的企業正在采用加密貨幣支付來尋找和獲得新客戶。另一方面，82%的受訪商家表示，他們接受加密貨幣作為支付方式的原因是消除了中間商。

除此之外，調查結果還顯示，77%的受訪商戶也因為交易費用較低而愿意接受加密貨幣。根據該報告，處理加密交易的費用約為1%。這比信用卡等其他支付方式收取的1.5%至3.5%的費用要低得多。（Cointelegraph）[2022/7/6 1:55:11]

不確定為什么區塊鏈的CVE和NVD覆蓋率如此之差，但一個可能的罪魁禍首是缺乏特定區塊鏈漏洞的官方文檔。

3.缺乏安全漏洞知識

傳統軟件有很好理解的漏洞類型，其中許多在網上的《常見弱點列舉》字典中都有記載，例如，緩沖區溢出和整數溢出的區別是黑客利用的流行弱點。CWE是一個重要的資源。許多代碼掃描工具將它作為它們試圖檢測的漏洞類型的基礎。

然而，截至2021年5月，CWE并沒有含有區塊鏈或智能合約的漏洞類型記載。好消息是有兩項工作可以記錄這些問題，一是SWC注冊中心，二是云安全聯盟的區塊鏈DLT攻擊和弱點列舉數據庫，有200多個條目，涵蓋各種智能合約語言、區塊鏈技術和一般概念。

4.缺乏代碼掃描和安全測試

目前的區塊鏈和智能合約代碼掃描工具還不是很成熟，原因很簡單，因為這個領域太新了。雪上加霜的是，許多智能合約的部署沒有經過安全審計。但是這種情況正在開始改變，已經有許多安全事件讓人們認識到在部署之前審計代碼和生成新的秘鑰的重要性。

例如，PaidNetwork是一家為金融交易提供區塊鏈去中心化應用的供應商，當它部署了一個它付錢給開發人員創建的智能合約時，它被破壞了，但它從未刪除開發人員的秘密密鑰。當開發者的密鑰后來在Git提交中被公開曝光時，一次攻擊耗盡了付費網絡合同。

該合同已經通過了安全審計。審計員不能審計生產秘鑰，因為這會暴露它，所以他們會認為PaidNetwork會用一個安全生成的密鑰來替換，但它沒有這樣做。

5.操作風險

假設有一個安全的區塊鏈和形式良好的智能合約，不存在任何安全缺陷。仍然要在某些東西上運行區塊鏈和智能合約代碼，最好是連接良好和可靠的。如果選擇云或第三方托管，將需要確保它們也是安全的。

6.加密密鑰和HSM

每個區塊鏈服務和客戶端的核心都是加密密鑰。即使使用專用系統，將重要的加密密鑰保存在計算機上也不再足夠。

而是使用硬件安全模塊(HSM)。HSM基本上提供了普通計算機無法提供的兩件事。首先，可以設置密鑰，使其無法從HSM導出或復制。其次，可以通過HSM更可靠地記錄密鑰的使用情況。

這很關鍵，因為如果網絡遭到入侵，將能夠確定攻擊者使用密鑰的目的，而不是推測他們可能做了壞事。

7.網絡釣魚、SIM卡交換和其他惡作劇

企業區塊鏈一般不會使用網絡釣魚或SIM卡交換等技術進行攻擊，這些技術通常是為攻擊加密貨幣的客戶保留的。

然而，勒索軟件和相關攻擊正越來越多地轉向網絡釣魚和魚叉式網絡釣魚，原因很簡單：它很有效。對這些類型的攻擊的一般答案是使用強大的多因素認證，最好是基于硬件令牌，以防止用戶向壞人提供信息，即使他們被愚弄。

8.51%攻擊

最后，在大多數企業區塊鏈部署中，使用的共識機制不是工作量證明(PoW)。更常見的是，使用權益證明或更傳統的投票機制，例如多數票。

51%的攻擊，即一個實體占據了大部分的區塊鏈哈希率或計算資源，試圖破壞網絡，對基于PoW的系統最有用。即使有一個簡單的共識機制，如多數票，攻擊者也需要劫持51%的組織——這比簡單地調集計算資源要難得多，因為計算資源往往可以租借。

結論

有一個好消息和壞消息。壞消息是區塊鏈和智能合約軟件比幾乎任何其他東西都要復雜和難以保障。好消息是他們試圖解決的問題確實很難。

想建立信息處理系統，知道攻擊者正在惡意攻擊，但不允許他們破壞系統。解決這個問題將開辟各種新的市場和機會。

Tags：區塊鏈ETH加密貨幣COI區塊鏈域名QETH加密貨幣詐騙手法Bitcoin and Ethereum Standard Token

芝麻開門交易所下載