什么是區(qū)塊鏈安全？

區(qū)塊鏈安全是區(qū)塊鏈網絡的綜合風險管理系統(tǒng)，使用網絡安全框架、保證服務和最佳實踐來降低攻擊和欺詐風險。

基本的區(qū)塊鏈安全

區(qū)塊鏈技術產生了一種具有內在安全特性的數(shù)據結構。它基于密碼學、去中心化和共識原則，確保交易的可信度。在大多數(shù)區(qū)塊鏈或分布式賬本技術 (DLT) 中，數(shù)據被構造成塊，每個塊包含一個事務或一組事務。每個新塊都以幾乎不可能篡改的方式連接到密碼鏈中它之前的所有塊。區(qū)塊內的所有交易都通過共識機制進行驗證和同意，確保每筆交易都是真實和正確的。

區(qū)塊鏈技術通過分布式網絡中成員的參與實現(xiàn)去中心化。沒有單點故障，單個用戶無法更改交易記錄。然而，區(qū)塊鏈技術在一些關鍵的安全方面有所不同。

區(qū)塊鏈類型的安全性有何不同

區(qū)塊鏈網絡在誰可以參與以及誰可以訪問數(shù)據方面可能有所不同。網絡通常被標記為公共或私有（描述允許誰參與）和許可或非許可（描述參與者如何訪問網絡）。

公共和私有區(qū)塊鏈
公共區(qū)塊鏈網絡通常允許任何人加入并讓參與者保持匿名。公共區(qū)塊鏈使用聯(lián)網計算機來驗證交易并達成共識。比特幣可能是公鏈最著名的例子，它通過“比特幣挖礦”達成共識。比特幣網絡上的計算機或“礦工”試圖解決復雜的密碼問題以創(chuàng)建工作證明，從而驗證交易。除了公鑰之外，這種類型的網絡幾乎沒有身份和訪問控制。

私有區(qū)塊鏈使用身份來確認成員資格和訪問權限，并且通常只允許已知組織加入。這些組織一起形成了一個私人的、僅限會員的“商業(yè)網絡”。許可網絡中的私有區(qū)塊鏈通過稱為“選擇性背書”的過程達成共識，已知用戶在該過程中驗證交易。只有具有特殊訪問權限的成員才能維護交易分類帳。這種網絡類型需要更多的身份和訪問控制。

在構建區(qū)塊鏈應用程序時，評估哪種類型的網絡最適合您的業(yè)務目標至關重要。出于合規(guī)性和監(jiān)管原因，可以嚴格控制和優(yōu)先使用私有和許可網絡。然而，公共和無需許可的網絡可以實現(xiàn)更大的去中心化和分布。

公共區(qū)塊鏈是公開的，任何人都可以加入它們并驗證交易。

私有區(qū)塊鏈受到限制，通常僅限于商業(yè)網絡。單個實體或財團控制成員資格。

無許可區(qū)塊鏈對處理器沒有限制。

許可的區(qū)塊鏈僅限于使用證書授予身份的一組選定用戶。

網絡攻擊和欺詐

雖然區(qū)塊鏈技術產生了防篡改的交易分類賬，但區(qū)塊鏈網絡也不能免受網絡攻擊和欺詐。那些懷有惡意的人可以操縱區(qū)塊鏈基礎設施中的已知漏洞，多年來已經成功進行了各種黑客攻擊和欺詐。這里有一些例子：

代碼利用

去中心化自治組織 (DAO) 是一家受比特幣啟發(fā)、通過去中心化區(qū)塊鏈運營的風險投資基金，通過代碼利用被盜取了價值超過 6000 萬美元的以太數(shù)字貨幣——約占其價值的三分之一。

秘鑰失竊

全球最大的加密貨幣交易所之一、總部位于香港的 Bitfinex 價值近 7300 萬美元的客戶比特幣被盜，表明該貨幣仍然存在很大風險。可能的原因是私鑰被盜，這是個人數(shù)字簽名。

電腦被黑

當最大的以太坊和比特幣加密貨幣交易所之一 Bithumb 最近遭到黑客攻擊時，黑客泄露了 30,000 名用戶的數(shù)據并竊取了價值 870,000 美元的比特幣。盡管被黑客入侵的是員工的計算機——而不是核心服務器——但這一事件引發(fā)了對整體安全性的質疑。

欺詐者如何攻擊區(qū)塊鏈技術

黑客和欺詐者主要通過四種方式威脅區(qū)塊鏈：網絡釣魚、路由、Sybil 和 51% 攻擊。

網絡釣魚攻擊

網絡釣魚是一種試圖獲取用戶憑據的詐騙行為。欺詐者向錢包密鑰所有者發(fā)送電子郵件，這些電子郵件看起來好像來自合法來源。這些電子郵件使用偽造的超鏈接要求用戶提供憑據。訪問用戶的憑據和其他敏感信息可能會給用戶和區(qū)塊鏈網絡造成損失。

路由攻擊

區(qū)塊鏈依賴于實時的大數(shù)據傳輸。黑客可以在數(shù)據傳輸?shù)交ヂ?lián)網服務提供商時攔截數(shù)據。在路由攻擊中，區(qū)塊鏈參與者通常看不到威脅，因此一切看起來都很正常。然而，在幕后，欺詐者已經提取了機密數(shù)據或貨幣。

Sybil攻擊

在 Sybil 攻擊中，黑客創(chuàng)建并使用許多虛假的網絡身份來充斥網絡并使系統(tǒng)崩潰。Sybil 指的是被診斷出患有多重身份障礙的著名書中人物。

51% 攻擊

挖礦需要海量的算力，尤其是對于大規(guī)模的公有鏈。但是，如果一個礦工或一組礦工能夠聚集足夠的資源，他們可以獲得超過 50% 的區(qū)塊鏈網絡挖礦算力。擁有超過 50% 的權力意味著擁有對賬本的控制權和操縱權。

注意：私有區(qū)塊鏈不容易受到 51% 攻擊。

在當今的數(shù)字世界中，必須采取措施確保區(qū)塊鏈設計和環(huán)境的安全。

企業(yè)的區(qū)塊鏈安全

在構建企業(yè)區(qū)塊鏈應用程序時，重要的是要考慮技術堆棧所有層的安全性，以及如何管理網絡的治理和權限。企業(yè)區(qū)塊鏈解決方案的綜合安全策略包括使用傳統(tǒng)安全控制和技術獨特的控制。一些特定于企業(yè)區(qū)塊鏈解決方案的安全控制措施包括：

• 身份和訪問管理
• 密鑰管理  
• 數(shù)據隱私 
• 安全通信
• 智能合約安全
• 交易背書

聘請專家?guī)椭O計合規(guī)且安全的解決方案，并幫助您實現(xiàn)業(yè)務目標。尋找一個生產級平臺來構建可以部署在您選擇的技術環(huán)境中的區(qū)塊鏈解決方案，無論是本地還是首選的云供應商。

區(qū)塊鏈安全提示和最佳實踐

在設計區(qū)塊鏈解決方案時，請考慮以下關鍵問題：

• 參與組織或成員的治理模式是什么？
• 每個塊中將捕獲哪些數(shù)據？
• 相關監(jiān)管要求是什么，如何滿足？
• 如何管理身份的詳細信息？塊有效載荷是否加密？如何管理和撤銷密鑰？
• 區(qū)塊鏈參與者的災難恢復計劃是什么？
• 區(qū)塊鏈客戶參與的最低安全狀況是什么？
• 解決區(qū)塊鏈區(qū)塊碰撞的邏輯是什么？

建立私有區(qū)塊鏈時，確保將其部署在安全、有彈性的基礎設施中。針對業(yè)務需求和流程的底層技術選擇不當可能會通過其漏洞導致數(shù)據安全風險。

考慮業(yè)務和治理風險。商業(yè)風險包括財務影響、聲譽因素和合規(guī)風險。治理風險主要來自區(qū)塊鏈解決方案的去中心化性質，它們需要對決策標準、治理策略、身份和訪問管理進行強有力的控制。

區(qū)塊鏈安全是關于了解區(qū)塊鏈網絡風險并對其進行管理。對這些控制實施安全的計劃構成了區(qū)塊鏈安全模型。創(chuàng)建區(qū)塊鏈安全模型以確保所有措施都到位以充分保護您的區(qū)塊鏈解決方案。

要實施區(qū)塊鏈解決方案安全模型，管理員必須開發(fā)一個可以解決所有業(yè)務、治理、技術和流程風險的風險模型。接下來，他們必須評估對區(qū)塊鏈解決方案的威脅并創(chuàng)建威脅模型。然后，管理員必須根據以下三個類別定義減輕風險和威脅的安全控制：

• 實施區(qū)塊鏈獨有的安全控制
• 應用常規(guī)安全控制
• 對區(qū)塊鏈實施業(yè)務控制