保護(hù)區(qū)塊鏈生態(tài)系統(tǒng)是目前最具挑戰(zhàn)性的網(wǎng)絡(luò)安全問題之一。區(qū)塊鏈本身可能是安全的，但這并不意味著所有與它交互的部分——包括錢包、交易所、礦商、智能合約——都是安全的。根據(jù) Carbon Black 研究顯示，黑客在今年上半年竊取了價(jià)值11億美元的加密貨幣。

雖然目前的威脅主要限于公共區(qū)塊鏈，但企業(yè)空間將是下一個(gè)威脅對象。黑客的注意力和努力更多地集中在公共區(qū)塊鏈上，而不是企業(yè)區(qū)塊鏈，這在很大程度上取決于公共區(qū)塊鏈的資金。更重要的是，由于已經(jīng)成功利用了公共區(qū)塊鏈，企業(yè)區(qū)塊鏈中的弱點(diǎn)將被發(fā)現(xiàn)。

安全學(xué)習(xí)曲線

新技術(shù)意味著新的挑戰(zhàn)，因此創(chuàng)造了新的安全學(xué)習(xí)曲線。對于任何新技術(shù)來說，風(fēng)險(xiǎn)的出現(xiàn)都需要一段時(shí)間，然后才能理解如何應(yīng)對風(fēng)險(xiǎn)的發(fā)展。我們在Wi-Fi上也經(jīng)歷了同樣的曲線，同樣在物聯(lián)網(wǎng)上依然如此。對于區(qū)塊鏈的安全性，我們目前處于早期學(xué)習(xí)階段，企業(yè)需要快速學(xué)習(xí)。因?yàn)檫@涉及到大量的金錢，相應(yīng)地，大量的攻擊者活動(dòng)將會(huì)出現(xiàn)。

它之所以成為一個(gè)如此有吸引力的目標(biāo)，部分原因在于，在這種新形勢下，網(wǎng)絡(luò)攻擊者可以省去獲取發(fā)薪日的步驟：他們不必?fù)?dān)心如何從竊取的數(shù)據(jù)中賺錢，他們只需竊?。ㄌ摂M的）錢本身。

最薄弱的環(huán)節(jié)

除非整個(gè)區(qū)塊鏈系統(tǒng)是端到端安全的，否則攻擊者可能會(huì)滲透到某些地方。與區(qū)塊鏈交互的組件是用代碼編寫的，大多數(shù)軟件代碼都有缺陷和漏洞。我們在Veracode上掃描了數(shù)十億行代碼，發(fā)現(xiàn)有大量的漏洞，事實(shí)上，我們最近的數(shù)據(jù)集發(fā)現(xiàn)85%的應(yīng)用程序在最初的掃描中至少有一個(gè)漏洞。這讓企業(yè)如何信任與區(qū)塊鏈交互的所有軟件是安全的？由于漏洞如此普遍，錢包、智能合約和交易所都很容易受到黑客的攻擊。

例如，交易所和智能合約最近就顯示出了重大的漏洞。加密貨幣交易所是用戶可以將一種加密貨幣換成另一種加密貨幣（或法定貨幣）的在線平臺。換句話說，根據(jù)交易所的不同，它的功能類似于股票交易所或貨幣交易所（在機(jī)場或銀行）。

歷史上的區(qū)塊鏈攻擊

據(jù)路透社（Reuters）報(bào)道，2018年2月28日，Mt. Gox交易所申請破產(chǎn)保護(hù)，聲稱遭到黑客攻擊，并“損失了75萬比特幣和”。當(dāng)時(shí)，BTC的市值約為565美元，這意味著該交易所損失了約4.8億美元。Coincheck也遭受了攻擊，因?yàn)樗鼘⑺袃?nèi)容存儲(chǔ)在一個(gè)熱錢包中，并使用單身份驗(yàn)證。這就好比銀行把所有的錢都放在一個(gè)出納員的抽屜里。

智能合約也不能幸免，雖然它通過數(shù)字技術(shù)促進(jìn)、驗(yàn)證或強(qiáng)制執(zhí)行合同的談判或履行。但我們還是看到了，智能合約中的簡單編程錯(cuò)誤會(huì)導(dǎo)致一些重大的破壞，比如DAO，它的智能合約中有一個(gè)可重用的bug，允許攻擊者消耗價(jià)值5000萬美元的以太幣。如果僅僅因?yàn)槟谔幚韰^(qū)塊鏈，就認(rèn)為您的事務(wù)是安全的，那就太天真了。

基本安全措施

區(qū)塊鏈用戶應(yīng)該如何保護(hù)自己？讓我們從一些基本的安全措施開始探討：用戶不應(yīng)該公開他們唯一的私鑰，應(yīng)該啟用雙因素身份驗(yàn)證來提供額外的安全層。

其他一些常識性的措施包括，在使用交易所時(shí)，不要在網(wǎng)上公布任何電子郵件地址或電話號碼，加密貨幣交易員也不要在互聯(lián)網(wǎng)上炫耀自己的加密貨幣投資組合。

在代碼級別中實(shí)現(xiàn)安全性

安全需要從代碼開始實(shí)現(xiàn)，創(chuàng)建與區(qū)塊鏈交互的軟件將安全構(gòu)建到其流程中是非常重要的。首先，軟件必須有一個(gè)安全的開發(fā)生命周期和生態(tài)系統(tǒng)，這可以通過在開發(fā)過程中引入安全性和審查繼承的代碼來實(shí)現(xiàn)，從而達(dá)到無懈可擊的目的。

可以使用SSL和證書，以確保各方是他們所說的那種人

區(qū)塊鏈有許多有用的好處，包括更好的法律合同、供應(yīng)鏈的更大可見性、甚至減少投票中的欺詐。然而，就像任何新技術(shù)一樣，威脅行為者正在探索緩慢采用的弱點(diǎn)。