企業區塊鏈可能被黑的5個途徑_加密貨幣

網絡安全領域最熱門的話題之一就是企業區塊鏈。它采用了與比特幣一樣的加密貨幣技術。簡單地說，區塊鏈是對等各方共享的交易或者合同的列表，并被一些巧妙的密碼鎖定。不同于比特幣的是，區塊鏈能夠確保供應鏈的完整性，管理合同，甚至可以作為金融交易的平臺。

它在加密貨幣領域的普及，以及應用了密碼學及其分布式特性，向其支持者們表明，區塊鏈是我們當前很多網絡安全問題的解決方案。例如，Akamai目前正在構建一個用于在線支付的區塊鏈網絡。Akamai實驗室副總裁兼首席技術官AndyChampagne說：“區塊鏈本身就是一種安全技術。它確實是以安全原則為基礎的。”

Champagne說，關于比特幣交易遭黑客入侵的新聞一般與開放的、公共的網絡有關。在這些網絡中，任何人都可以建立一個節點，但企業區塊鏈項目與公共網絡的不同。他說：“企業區塊鏈通常是需要獲得許可的區塊鏈。有一組節點，但節點是私有的，并且通過一組安全周界來限制企業中各類人員對這些節點的訪問。”

Kudelski安全公司的首席技術官AndrewHoward證實說，這不僅僅是炒作。即使它不是靈丹妙藥，區塊鏈的好處也是實實在在的，這一技術還會繼續發展下去。他說：“理論上，基本概念是非常抗攻擊的。從學術角度來看，區塊鏈很有意義。如果實施得當，它們很難被攻擊。”

Hyperledger基金會執行董事：企業區塊鏈正在轉變業務運營并降低成本:金色財經報道，開源區塊鏈開發公司 Hyperledger Foundation 的執行董事 Daniela Barbosa指出，?區塊鏈技術已經在各種企業用例中展示了其價值，例如來源跟蹤、物流和跨境支付。通過提供效率和成本節約解決方案，同時節省時間和勞動力，企業區塊鏈技術提供可靠、安全的數據源，使企業能夠降低記錄保存成本、自動化業務流程并提高效率。高盛最近與其他兩家銀行一起為歐洲投資銀行安排了 1 億歐元的兩年期數字債券，所有債券均基于經許可的區塊鏈。這是金融市場和企業級區塊鏈技術的一個重要里程碑。

盡管企業區塊鏈技術正在改變企業和市場，但Barbosa強調了采用企業區塊鏈所涉及的各種風險和挑戰，并提出了緩解這些風險和挑戰的方法。這些挑戰包括缺乏對技術優勢、用例及其與業務模型和流程的適當集成的完整理解。此外，實施所需的費用和時間以及讓所有相關參與者入職的復雜性導致消費者、企業和媒體對區塊鏈在商業行業中的作用產生懷疑。[2023/2/23 12:25:05]

雖然區塊鏈可能是黑客難以攻擊的目標，但也并非無懈可擊。很多安全專家警告說，區塊鏈的實施使企業面臨需要盡快重視起來的各種各樣的風險。

劍橋大學報告：企業區塊鏈項目以金融服務為主且高度中心化:金色財經報道，劍橋大學的一項關于企業區塊鏈的研究報告發現，企業區塊鏈項目以金融服務為主，高度中心化且構建緩慢。通過分析67個正在運行的企業區塊鏈網絡，劍橋大學發現金融項目占43％。而且這些項目構建速度很慢，從概念驗證到部署平均需要25個月的時間，而建造更大型的網絡可能需要花費4年以上的時間。此外，研究還發現，企業區塊鏈比公共領域的區塊鏈更加中心化，這意味著它們僅需一個或幾個節點就能夠就新區塊和現有鏈的內容達成共識，而無需成千上萬的匿名節點和礦工來保護區塊鏈。[2020/10/5]

加密貨幣犯罪是大買賣

目前還沒有任何針對企業區塊鏈項目的網絡攻擊報道，但這主要是因為該技術仍處于開發或者試點階段。對公共區塊鏈項目的攻擊已經非常常見了。

據CarbonBlack公司稱，今年上半年，黑客們竊取了價值11億美元的加密貨幣。CarbonBlack的安全策略師RickMcElroy說：“隨著網絡犯罪的增長，編寫惡意代碼的個人也越來越多了，而暗網為他們提供了完美的市場銷售渠道。”犯罪分子從這些攻擊中獲得經驗，并利用在地下擴散的工具，這些都可以用在企業攻擊犯罪活動中。

動態 | 三星SDS采用零知識證明增強其企業區塊鏈隱私性:據coindesk消息，三星企業技術部門SDS (Samsung SDS)正在使用零知識證明(zero-knowledge proof, ZKPs)來增強其Nexledger區塊鏈的隱私保護。該公司周四表示，它已與總部位于以色列的QEDIT建立了合作關系，在不披露保密信息的情況下，在一個共享的賬簿上記錄和驗證資產轉移。此舉突顯出采用分布式賬本技術的公司面臨的挑戰之一，向網絡廣播交易，可能會暴露敏感的客戶數據，并向競爭對手泄露信息。[2019/11/14]

McElroy補充說，很多加密貨幣攻擊都不是針對核心區塊鏈技術的。相反，犯罪分子瞄準的是缺乏安全保障的交易以及個人和企業，他們沒有很好地保護好自己的錢包。他們還發起了中間人攻擊，將加密貨幣交易轉移到他們自己的錢包中。

在McAfee最近關于區塊鏈安全的報告中，很多這類問題都與最終用戶的安全或者實施問題有關，而與區塊鏈加密協議本身無關。企業項目也可能有實施問題，即使他們的被攻擊面范圍沒有公開暴露的那么大。McElroy說：“對于任何想采用區塊鏈的企業來說，他們首先應該權衡實施的好處和成本，以及應用新技術的風險。”

動態 | 2019年上半年中國企業區塊鏈專利占總體的67%，阿里巴巴以322件專利位列第一:近日，知識產權產業媒體IPRdaily與incoPat創新指數研究中心聯合發布了“2019上半年全球區塊鏈企業發明專利排行榜（TOP100）”。榜單對2019上半年公開的全球區塊鏈技術發明專利申請數量進行統計排名，與2018年相比，企業整體發明專利申請量增長明顯。數據提取時間范圍為2019年1月1日至2019年6月30日。入榜前100名企業主要來自11個國家和地區，中國占比67%，美國占比16%。其中阿里巴巴以322件專利位列第一，中國平安以274件專利排名第二，Nchain以241件專利排名第三。[2019/8/28]

考慮到這一點，以下列出了5個最大的區塊鏈安全風險：

1.進入區塊鏈交易時發生人為錯誤

在某些方面，企業區塊鏈可能比公共區塊鏈更脆弱。廣為宣傳的區塊鏈的一個好處是非常有彈性的大規模分布式對等網絡。如果一個節點宕機了，系統會繞過它，這樣就不會有故障點。如果有一個參與方想偷偷地把一筆不正當的交易記入到賬本中，但是在其他成員保持誠實的情形下，這是不可能發生的。但如果有人犯了“誠實的”錯誤呢?

聲音 | 亞馬遜區塊鏈經理：專注企業區塊鏈 尚未涉及加密貨幣:5月14日，亞馬遜網絡服務（Amazon Web Services，AWS）的區塊鏈經理Rahul Pathak在紐約共識大會上表示，亞馬遜網絡服務目前只“專注于企業區塊鏈，尚未涉及加密貨幣”。他稱亞馬遜網絡服務已和40多個合作伙伴在區塊鏈方面進行合作，且一直關注客戶并滿足他們的需求。[2019/5/15]

Sophos的首席研究科學家ChetWisniewski指出：“去中心化的好處是，如果沒有共識，就不能更改。因此，當加密貨幣交易出現了錯誤時，交易各方是無法撤銷它的，因為沒有中心的權威機構。如果你丟失了自己錢包的密碼，那它就永遠消失了。而在企業領域，這樣的情況極少會發生。”

當區塊鏈加密可以防止用戶改變歷史賬本時，系統通常被設置為參與方能夠添加新條目。對于企業項目，參與方通常是可信的伙伴，而不是隨機的公眾成員。High-TechBridgeSA公司的首席執行官IliaKolochenko說:“如果受信任方被攻破了，那么區塊鏈的安全性就不存在了。”

2.51%攻擊

更糟糕的是，如果網絡的大部分被攻破了，會怎樣呢？那么，攻擊者會造成很大的損失。這就是51%攻擊背后的理念。一名惡意的犯罪分子或者犯罪分子集團控制了系統中的大部分節點后，會強迫每個人都服從他們的意愿。

對于比特幣，這是很難做到的，因為網絡上有這么多的參與方。小規模的加密貨幣比較容易被攻擊，例如比特幣黃金。今年5月，攻擊者采用51%攻擊，獲得了價值1800萬美元的加密貨幣。企業區塊鏈項目的參與方通常比公共加密貨幣平臺的參與方少得多。ForeScout新興技術副總裁RobMcNutt說:“網絡規模越小，被攻破的節點數量就越少。如果一家銀行正在推出區塊鏈來處理交易，那么節點的數量將遠遠少于公共網絡，因此可能被攻破的設備數量要少得多。”

企業部署可能更為同質化，因此，如果在一個節點中發現漏洞，則可以利用這一漏洞來攻擊所有其他節點。McNutt說：“在公共領域，人們下載不同的挖礦軟件，配置也各不相同。”

3.區塊鏈實施錯誤

區塊鏈項目漏洞的另一個重要來源是，該技術是如此新穎以至于實施時容易出現錯誤。甚至核心區塊鏈加密技術也有問題。Wisniewski說，算法在數學上可能是正確的，但具體的軟件版本可能不是。

Wisniewski評論說：“如果你不能理解基礎數學，那你基本上就是下載了一個盒子，上面寫著‘魔術’，但不知道它能干什么用。我們在開源領域看到過很多次這種情況，人們依靠第三方的庫來處理這些事情，有人進入了Github并切換了代碼，六個月內都沒有人注意到。”

還有一個事實，即區塊鏈技術是如此新穎，Wisniewski說，“以至于根本不知道哪些錯誤不會發生。”他還補充說，“我們還需要正確地管理區塊鏈部署時的所有加密密鑰。很多企業甚至無法正確地管理他們的網站證書。”

企業區塊鏈也會像其他技術項目一樣，很容易受到很多相同攻擊載體的攻擊。CAVeracode的首席技術官兼聯合創始人ChrisWysopal介紹說，以網絡釣魚和欺詐為例。他說，他還沒有看到有針對企業區塊鏈的此類攻擊，這是因為在生產過程中很少有這樣的攻擊。這些攻擊在公共項目中是很常見的。他說：“我們看到了很多這類攻擊，有人假裝是收件人，攔截或者黑掉網頁，從而攔截交易。這不一定是加密貨幣，它可以是任何其他類型的交易。”

推出區塊鏈項目的企業應確定自己具備所有的基本知識，包括使用最新、最安全的軟件開發和審查過程，確保采用了多重身份驗證手段，并鎖定網站以防止網絡攻擊。弗吉尼亞州的網絡安全公司Merlin國際的工程副總裁TejLuthra介紹說：“如果他們對跨站點腳本很敏感，那么不管是私有還是公眾的都無所謂。所有那些在網絡安全領域普遍存在的攻擊，區塊鏈也容易受到這類攻擊。”

4.被攻破的智能合同

2016年，去中心化自治組織(DAO)使用以太坊平臺推出了基于區塊鏈的投資基金，這是一種區塊鏈版本，可以存儲智能合同而不僅僅是簡單的貨幣交易。據Gartner說，黑客們能夠使用智能合同，從系統中抽取出價值1.5億美元的以太幣。

Reason軟件的創始人兼首席執行官AndrewNewman說：“DAO案例已經成為一個典型的例子，讓我們記住，僅僅因為區塊鏈的某些原因而使用區塊鏈，并不意味著它本身就是安全的。”

現在，每個人都想使用區塊鏈。他說：“人們的想法是，利用對等分布式賬本模型，那么在其上實現的所有其他東西也將是安全的。顯然，這是一個錯誤的假設。實施起來未必能像它們所承諾的那樣安全和不出問題。”

智能合同對企業具有吸引力。它們在條件滿足時會自動執行，不能被拒絕。這也意味著要解決問題、糾正錯誤和反欺詐是極其困難的。例如，在編寫合同時很容易出現意外，所要求的條件會永遠不能滿足，也有可能交貨地址是錯誤的。

如果出現這類情況，錢就會被永遠鎖在區塊鏈里。同樣，這不是一個理論問題。去年秋天，有人不小心鎖定了多方以太坊合同，造成了3億多美元的損失。

5.利用未檢測到的區塊鏈漏洞

目前，公共加密貨幣交易在區塊鏈生態系統中是最容易實現的。錢很充足，很容易得到，被抓住的幾率也很低。英特爾安全副總裁兼首席技術官RajSamani表示：“犯罪團伙瞄準的是能夠獲得最大投資回報的領域。”

近期情況可能就是如此。McAfee公司高級威脅研究負責人StevePovolny說：“這一行業現在太新了，以至于我們甚至沒有一個平臺來發現并報告與非加密貨幣相關的區塊鏈漏洞。”他說，大約有50家大公司表示，他們正在投資、收購或者實施區塊鏈技術。“我認為，我們在一段時間內不會真的看到有產品推出。”

這將隨著企業項目的上線而改變，這些項目涉及大量的資金，需要關鍵的基礎設施或者業務流程，涉及和軍事敏感信息。拉斯維加斯一家專門從事智能合同審查的初創公司HoSoo的創始人兼首席執行官YoSubKwon說：“這對于每個人來說都將是漫長的學習過程。最先進入區塊鏈的大公司將首先有所體驗，并從中吸取教訓。”

沒有準備好迎接黃金時期

Verodin的行為研究部門負責人JamesLerud表示，目前，商業領域的區塊鏈是問題的解決方案。他說：“最大的風險來自于想用區塊鏈解決問題的心態——讓我們盡快地部署一些東西。但這不是什么高招。”

Lerud說，區塊鏈架構提供了不必依賴中間人而是通過共識達成信任的能力。它可以解決很多問題，但并不能解決所有問題。他說：“企業調查區塊鏈時可能在這方面出錯。人們認為這是一個很好的解決辦法，人為地給它找一些問題。從技術角度來看，這是一個危險的階段。”

來源：計算機世界

Tags：區塊鏈加密貨幣比特幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣比特幣中國官網聯系方式40億比特幣能提現嗎

NEAR