区块链安全威胁及防护思路分析(区块链安全隐患)

区块链安全威胁分析和防护思路可能是相关行业人士需要关注的知识。在这里，详细介绍了区块链的安全隐患，并将一些相关知识与您分享，希望能给你带来帮助！

区块链有哪些安全弱点？

区块链是比特币中的核心技术。在无法建立信任关系的互联网上，区块链科技依靠密码学和巧妙的分布式算法，不需要任何第三方中心机构的介入，通过数学方法使参与者达成共识。确保交易记录的存在、合同的有效性和身份的不可否认性。

区块链技术的特点是分散化和共识机制。源自区块链的虚拟数字货币是世界上最热门的项目之一。，正在造就新一批亿万富翁。仅仅成立几个月后，Bi'某交易平台被国际知名机构评级为市值400亿美元，是数字货币领域最富有的创业先锋群体。但是自从数字货币证券交易所。对交易所的攻击和资金被盗事件层出不穷，一些数字货币交易所损失惨重，甚至倒闭。

一、令人震惊的数字货币证券交易所从最早的比特币到后来的莱特币、以太币，都受到了攻击

。目前有数百种数字货币。随着物价上涨，各种数字货币系统受到攻击，数字货币被盗事件不断增加，被盗金额也在猛增。让'；让我们回顾一下令人震惊的数字货币被攻击和窃取的事件。

2014年2月24日一时间，Mt.Gox，世界'；美国最大的比特币交易所运营商，宣布其交易平台上的85万个比特币被盗，负责80%以上比特币交易所的Mt.Gox因无法弥补客户的损失而申请破产保护。

经过分析，原因是Mt.Gox具有单点失效结构，被黑客用来发动DDoS攻击：

比特币提现链接的签名被黑客篡改，在正常请求前进入比特币网络。因此，可以成功撤回伪造的请求。而正常的提现请求在交易平台出现异常，显示为失败。此时黑客其实已经拿到了提现的比特币，但他继续在Mt.Gox平台上要求重复提现。Mt.Gox未检查交易一致性(对账)。重复支付相同金额的比特币，导致交易平台的比特币被盗。

2016年8月4日，全球最大的美元比特币交易平台Bitfinex宣布网站发现安全漏洞，导致近12万枚比特币被盗。总价值约为7500万美元。

2018年1月26日，日本某大型数字货币交易平台的Coincheck系统遭到黑客攻击，导致数字货币被盗'；s"新货币"现价580亿日元，约合5.3亿美元。这是史上最大的数字货币盗窃案。

2018年3月7日，币安消息，世界'；美国第二大数字货币交易所，被黑客攻击让币圈彻夜难眠。黑客们实际上是在玩经济游戏，购买短期资金来"炒币"还有割韭菜。。根据货币安全公告，黑客'；的攻击过程包括：

1)窃取用户'；长期使用第三方钓鱼网站获取用户的账户登录信息。。黑客利用Unicode字符冒充正规币安网站域名中的一些字母，对用户进行钓鱼攻击。

2)黑客获取账号后，自动创建交易API，然后悄悄潜伏。

3)3月7日，黑客利用盗取的API密钥买空卖空，直接将威盛的币值爆涨了100多倍，比特币暴跌10%。以全球1700万个比特币计算，比特币一夜之间损失了170亿美元。

二、为什么黑客攻击能屡屡得手

以区块链为基础的数字货币的火爆市场让黑客们垂涎三尺，被盗金额不断刷新纪录。盗窃事件的发生也引发了人们对数字货币安全性的担忧，人们可以'；我不禁要问：区块链技术安全吗？

随着区块链技术的研究和应用，区块链系统除了面临病毒、木马等恶意程序的威胁和大规模DDoS攻击外，由于其自身的特点，还将面临独特的安全挑战。

1。该算法实现了安全性。

区块链是一个算法高度密集的项目，在实现中容易出现问题。历史上也有过这样的先例，比如NSA在RSA算法中嵌入缺陷，很容易破解其他人'；加密信息。。一旦这种级别的脆弱性爆发，可以说构成区块链的整个建筑的地基都将不再安全，后果将极其可怕。之前因为比特币随机数生成器出现问题，比特币被盗过。理论上，同一个随机数在签名过程中使用了两次。您可以导出私钥。

2。共识机制安全性

目前的区块链技术中已经出现了很多共识算法机制，最常见的有PoW、PoS和DPos。但是这些共识机制能实现并保证真正的安全吗？，需要更严格的证明和时间的考验。

3。区块链使用安全

区块链技术是不可逆、不可伪造的，但前提是私钥安全。私钥由用户生成并保管，理论上不涉及第三方。一旦私钥丢失，你可以'；不要对账户的资产做任何事情。黑客一旦拿到，就可以移动数字货币。

4。系统设计安全

像Mt.Gox这样的平台，因为业务设计上的单点故障，很容易受到DoS攻击。。目前，区块链是分散的，而交易所是集中的。集中交易所既要防止技术盗窃，又要管好人，防止人为盗窃。

一般来说，从安全性分析的角度来看，区块链在算法实现、共识机制、使用和设计方面面临挑战。同时，黑客也可以利用系统安全漏洞和业务设计缺陷来达到攻击的目的。目前，黑客攻击对区块链系统的安全造成了越来越大的影响。

三、如何保证区块链的安全

为了保证区块链系统的安全，建议参考NIST'；的网络安全框架。从企业或组织网络安全风险管理的战略层面和全生命周期出发，构建识别、防护、检测、响应和恢复五大核心组件，感知和阻断区块链风险和威胁。除此之外，根据区块链技术的特点，重点讨论了算法、共识机制、使用和设计的安全性。

实现算法的安全性：一方面，我们选择采用经得起考验的新密码技术，如国家秘密公钥算法SM2。。另一方面，在源代码混乱的同时对核心算法的代码进行严格完整的测试，增加了黑客的难度和成本'；逆袭。

针对一致性算法的安全性，在PoW中使用了反ASIC哈希函数，使用了更有效的一致性算法和策略。

用于使用安全：保护私钥的生成和存储，加密和存储敏感数据。

鉴于设计安全性，一方面要保证设计功能尽可能完善，比如使用私钥白盒签名技术。防止病毒和特洛伊木马在系统运行期间提取私钥；设计私钥泄露的跟踪功能，尽可能减少私钥泄露后的损失。另一方面，一些关键的业务设计应该分散，以防止单点故障攻击。

虽然受到资本和人才涌入的推动，区块链行业迎来了快速发展，但作为一个新兴行业，其安全漏洞的频繁预警引起了人们对区块链风险的担忧。

国家信息技术安全研究中心主任余克群指出对于隐私暴露、数据泄露、信息篡改、网络欺诈等问题，区块链的出现给人们带来了很多期待。然而，区块链的安全仍然面临许多挑战。俞克群说，区块链还处于起步阶段。面临着密码算法、协议、使用和系统的安全性等诸多挑战。

国家互联网应急中心运营部主任严也指出，区块链要想在全球经济中占据重要地位，首先要解决面临的安全问题。

严指出的安全问题包括很多方面。比如传统的安全问题，包括私钥的保护，包括应用软件的传统漏洞。另外，新协议层面也存在一些漏洞。

分散漏洞平台(DVP)提供的数据也显示了区块链安全问题的严重性。DVP负责人吴佳芝透露，自7月24日以来的一周内，DVP已收到白帽提供的312个漏洞，涉及175个项目方。。其中包括智能合约、知名公链、交易所等一系列项目。高危漏洞122个，占全部漏洞的39.1%，中危漏洞53个，占全部漏洞的17%。

中国信息安全测评中心主任助理李斌说。目前，区块链分为三种类型：公有链、私有链和联盟链。无论是哪种类型，都面临着算法、协议、使用、时限、系统等多方面的安全挑战。关键的是，区块链仍然面临着51%的攻击。即节点通过掌握全网51%以上的实例，具有成功篡改和伪造区块链数据的能力。

值得注意的是，除了外部恶意攻击的风险，区块链还受到其内生风险的威胁。余克群提醒道如何围绕整个区块链的应用系统的设备、数据、应用、加密、认证、权限，构建一个完整的安全应用系统，是各方必须面对的重要问题。

吴佳芝还分析说，作为一个新兴行业，区块链行业从业人员缺乏安全意识，导致目前区块链相关软硬件安全系数低，存在大量安全漏洞。此外，在整个区块链还有许多生态联系。相比之下，相关安全从业人员分散，难以形成解决问题的合力。。应对上述挑战需要系统的解决方案。

内容来源中新。com

区块链的安全法则，即第一法则：

存储意味着所有

人的所有权和安全性'；的财产，这从根本上取决于财产的存储方式和定义权。在互联网世界里，海量的用户数据都存储在平台的服务器上，所以这些数据的归属仍然是个谜。就像你的社交ID属于谁，很难下定论，但是用户数据资产推高了平台的市值，作为用户并没有享受到市值红利。区块链世界改变了存储介质和方法，资产的所有权已经交付给个人。

扩展数据

区块链系统面临的风险不仅是来自外部实体的攻击，还有来自内部参与者的攻击，以及组件故障，如软件故障。因此，在实施之前，有必要做出风险模型，并认识到特殊的安全要求，以确保对风险和对策的准确把握。。

1。区块链科技独有的安全特性

(1)书面数据的安全性

在共识机制的作用下，只有当全网大部分节点(或多个关键节点)同时认为该记录正确时，记录的真实性可以得到全网的认可，记录的数据可以写入块。

(2)读取数据的安全性

区块链对信息读取没有内在的安全限制，但可以在一定程度上控制信息读取。例如，加密区块链上的一些元素，然后将密钥分发给相关参与者。同时，复杂的共识协议保证了系统内所有人看到的是同一个账本，这是防止重复支付的重要手段。

(3)分布式拒绝服务(DDOS)

抗攻击区块链的分布式架构赋予了它点对点、多冗余的特性，不存在单点失效的问题，因此它对拒绝服务攻击的响应比集中式系统灵活得多。即使一个节点出现故障，其他节点也不会受到影响。连接到故障节点的用户无法连接到系统，除非有一种机制支持他们连接到其他节点。

2。区块链技术面临的安全挑战及对策

(1)网络是开放的、不设防的

对于公链网络，所有数据都在公网上传输，所有加入网络的节点都可以无障碍地连接和接受来自其他节点的连接，并且没有网络层的认证等保护。对于这种风险的应对策略是要求更高的私密性，谨慎控制网络连接。。对于安全性较高的行业，如金融行业，建议使用专线接入区块链网络，对连接的连接进行认证，排除非授权节点接入，避免数据泄露，通过协议栈层面的防火墙安全保护，防止网络攻击。

(2)隐私

公链上的交易数据全网可见，公众可以追踪这些交易。任何人都可以通过观察区块链得出关于某件事情的结论，这不利于个人或机构的合法隐私保护。这种风险的应对策略是：

首先。，用户由认证机构在区块链上交易，用户数据和个人行为不进入区块链。

二、不采用全网广播方式，但交易数据的传输仅限于正在进行相关交易的节点。第三种对用户数据的访问由权限控制，拥有密钥的访问者可以解密和访问数据。

第四，隐私保护算法如"零知识证明"以避免隐私暴露。

(3)计算力

有工作负载证明的区块链解决方案都面临51%的计算能力攻击。随着计算能力的逐渐集中，客观上确实存在50%以上计算能力的组织出现的可能性。没有改善，不排除弱肉强食逐渐演变成弱肉强食。。对于这种风险的应对策略是将算法与现实约束相结合，比如通过资产抵押、法律、监管等手段进行联合管控。

区块链项目(尤其是公有链)的一个特点就是开源。通过开放源代码来提高项目的可信度。，还能让更多的人参与进来。然而，源代码的开放性也使得攻击者更容易攻击区块链系统。过去两年发生了多起黑客攻击事件。近日，匿名币缘(XVG)再次遭到攻击，攻击者锁定了XVG代码中的一个漏洞。这个漏洞允许恶意矿工给区块添加虚假时间戳，然后快速挖掘出新的区块，短短几个小时就获得了价值近175万美元的数字货币。虽然后来成功阻止了攻击，但是谁也不能保证攻击者以后还会不会再次攻击。

当然，区块链开发者也可以采取一些措施

一是使用专业的代码审计服务，

二是了解安全编码规范，防患于未然。加密算法的安全性

随着量子计算机的发展，会给目前使用的密码系统带来极大的安全威胁。区块链主要依靠椭圆曲线公钥加密算法生成数字签名进行安全交易。目前最常用的有ECDSA、RSA、DSA等。理论上无法承受量子攻击。会有很大的风险，越来越多的研究者开始关注能够抵抗量子攻击的密码算法。

当然，除了改变算法，还有一种方法可以提高一定的安全性：

参考比特币处理公钥地址的方式。以降低公钥泄露带来的潜在风险。作为用户，尤其是比特币用户，每次交易后的余额都存放在新的地址，以保证比特币资金存放地址的公钥不被泄露。

共识机制的安全性

当前的共识机制包括工作证明(PoW)、利益证明(PoS)和授权利益证明。、DPoS)、实用拜占庭容错(PBFT)等。PoW面临51%攻击问题。因为能力取决于计算能力当攻击者拥有计算能力优势时，发现新块的概率会大于其他节点，这时他就有能力取消已经发生的交易。应该注意的是，即使在这种情况下，攻击者只能修改他们自己的交易，而不能修改其他用户的交易(攻击者不能'；没有其他用户'；私钥)。

在PoS中，攻击者只有持有51%以上的令牌才能攻击成功，这是相对于PoW中51%的权力而言的。，比较难。

在PBFT，当恶意节点少于总节点数的1/3时，系统是安全的。一般来说，任何共识机制都有其条件。作为攻击者，还需要考虑一旦攻击成功，系统的价值将为零。此时，攻击者除了破坏，并没有获得其他有价值的回报。

对于区块链项目的设计者来说，要清楚的知道每种共识机制的优缺点，以便根据场景的需要选择合适的共识机制或者设计新的共识机制。

智能合约的安全性

智能合约具有运营成本低、人为干预风险小的优点，但如果智能合约的设计出现问题，可能会带来更大的损失。2016年6月，以太坊最受欢迎的筹款项目DAO遭到攻击。黑客拿到了350多万以太币，后来导致以太坊分叉为ETH和ETC。

提出的措施有两个方面：

一是对智能合约进行安全审计，二是遵循智能合约安全开发的原则。

智能合约的安全开发原则如下：为可能出现的错误做好准备，确保代码能够正确处理bug和漏洞；谨慎发布智能合约，做好功能测试和安全测试，充分考虑边界；保持智能合同简单；注意区块链威胁情报，并及时检查更新；了解区块链的特点，如谨慎调用外部合同。

数字钱包的安全性

数字钱包的安全隐患主要有三个：一是设计缺陷。在2014年底一个订户由于严重的随机数问题(重复的R值)丢失了数百个数字资产。第二，数字钱包包含恶意代码。三是电脑、手机丢失或损坏造成的资产损失。

主要有四种对策：

一是保证私钥的随机性；

二是在软件安装前检查哈希值，确保数字钱包软件没有被篡改；

三是用冷钱包；

第四是备份私钥。

区块链本身就解决了陌生人之间大规模合作的问题，即陌生人之间可以在互不信任的情况下进行合作。那么如何保证陌生人之间的信任达到相互一致的机制呢？集中式系统使用可信的第三方(如银行)的背书。银行在普通人眼里是可靠值得信赖的机构，可以信任他们解决现实中的纠纷。然而，分散的区块链如何保证信任呢？

实际上，区块链利用现代密码学的基本原理来保证其安全机制。密码学和安全领域涉及的知识体系非常复杂。这里我只介绍与区块链相关的密码学基础知识。，包括哈希算法、加密算法、信息摘要和数字签名、零知识证明、量子密码等。通过本课，您可以学习如何在密码学下确保区块链的机密性、完整性、认证性和不可否认性。

基础课第七课区块链安全基础

1。哈希算法

哈希函数(Hash)，也称哈希函数。哈希函数：哈希(原始信息)=汇总信息。哈希函数可以将任意长度的二进制明文字符串映射到更短(通常是固定长度)的二进制字符串(哈希值)。

一个好的哈希算法有以下四个特点：

1。一一对应：相同的明文输入和哈希算法。，总是得到相同的摘要信息输出。

2。输入敏感性：即使明文输入有丝毫变化，新生成的抽象信息也会有很大变化，与原来的输出有很大不同。

3。易于验证：明文输入和哈希算法都是公开的，任何人都可以计算出输出的哈希值是否正确。

4。不可逆：如果只有输出哈希值，绝对无法通过哈希算法推导出明文。

5。冲突避免：很难找到两个内容不同的明文，但是它们的哈希值相同(冲突)。

举例：

Hash(张三借给李四10万元6个月)=123456789012。

台账记录了123456789012。

可以看出哈希函数有四个作用：

简化信息

很容易理解，哈希后的信息变短。

识别信息

可以用123456789012来标识原始信息，汇总信息也叫原始信息的id。

隐藏信息

台账是123456789012的记录，原始信息隐藏。

验证信息

如果李四在还款中欺骗张三只借给李四5万，双方可以验证原始信息

哈希(张三借给李四5万)，借款期限为6个月)=987654321098

987654321098与123456789012完全不同，证明李四撒谎成功担保信息'；不可篡改。

常见的哈希算法有MD4、MD5、SHA系列算法，现在主流领域基本都在使用SHA系列算法。SHA(安全哈希算法)不是一个算法，而是一组哈希算法。。本来是SHA-1系列，现在主流应用是SHA-224，SHA-256，SHA-384，SHA-512(俗称SHA-2)，最近也提出了SHA-3相关算法。比如以太坊用的KECCAK-256就属于这种算法。

MD5是一种非常经典的哈希算法，但遗憾的是它和SHA-1算法都被破解过，被业界认为其安全性不足以应用于商业场景。通常建议至少使用SHA2-256或更安全的算法。

哈希算法在区块链应用广泛。例如，在一个块中，最后一个块将包含前一个块的哈希值。并且下一个块的哈希值和前一个块的哈希值一起计算，保证了链的连续性和防篡改性。

二。加解密算法

加解密算法是密码学的核心技术。从设计理念上可以分为对称加密算法和非对称加密算法两种基本类型。根据加密和解密过程中使用的密钥是否相同，两种模式适用于不同的需求，只是形成一种互补关系，有时也可以组合起来形成混合加密机制。

对称密码(也称公钥密码)具有相同的加密和解密密钥，其优点是计算效率高。，加密强度高；其缺点是需要提前共享密钥，容易泄露丢失的密钥。常见的算法有DES、3DES、AES等。

非对称加密(也称为公钥加密)公钥密码)不同于加密和解密密钥，它的优点是不需要预先共享密钥；其缺点是计算效率低，只能加密短内容。。常见的算法有RSA、SM2、ElGamal和椭圆曲线系列算法。对称加密算法，适用于大量数据的加密和解密过程；它不能用于签名场景：而且通常需要提前分发密钥。非对称加密算法一般适用于签名场景或密钥协商。但是它不适合大量数据的加密和解密。

三。信息摘要与数字签名

顾名思义，信息摘要是对信息内容进行哈希运算，以获得唯一的摘要值来代替原始完整的信息内容。。信息摘要是哈希算法最重要的用途之一。利用哈希函数的防碰撞特性，信息摘要可以解决内容未被篡改的问题。

数字签名类似于签署纸质合同，确认合同内容，证明身份。数字签名基于非对称加密，可用于证明数字内容的完整性，同时确认来源(或不可否认)。

我们对数字签名有两个要求，与对手一致'；对书写签名的期望。第一只有你可以自己签名，但任何人看到都可以验证其有效性；第二，我们希望签名只与特定文件相关，上述文章内容不被其他文件支持。所有这些都可以通过我们的非对称加密算法进行数字签名。

在实践中，我们通常对信息的哈希值进行签名，而不是对信息本身进行签名，这是由非对称加密算法的效率决定的。对应于区块链，散列指针被签名。如果用这个方法，整个结构在前面。而不仅仅是散列指针本身。

四。零知识证明[XY002][XY001]零知识证明是指证明者在不提供任何附加信息的情况下说服验证者某个断言是正确的。

零知识证明一般满足三个条件：

1。完备性：真实证明能使验证者成功验证；

2。合理性：虚假证明可以'；t使验证者通过验证；

3。零知识：如果被证明，你可以'；除了从证明过程中获得证明信息之外，我不能获得任何其他信息。

五、量子密码学

随着量子计算和量子通信的研究越来越受到重视，量子密码学将对未来密码信息的安全产生巨大影响。

量子计算的核心原理是量子比特可以同时处于多个相干叠加态。理论上可以用少量的量子比特表示大量的信息，同时进行处理，大大提高了计算速度。

在这种情况下，目前大量的加密算法理论上它们是不可靠的，是可以被破解的，所以加密算法得升级，否则会被量子计算破解。

众所周知，量子计算还处于理论阶段，离大规模商用还很远。。但是，新一代加密算法应该考虑到这种情况的可能性。

魏三云回复：区块链开发者可以采取一些措施

一是使用专业的代码审计服务，二是了解安全编码规范。，防患于未然。

密码算法的安全性

随着量子计算机的发展，将会给目前使用的密码系统带来极大的安全威胁。区块链主要依靠椭圆曲线公钥加密算法生成数字签名进行安全交易。目前最常用的有ECDSA、RSA、DSA等。理论上承受不了量子攻击，会有更大的风险。越来越多的研究者开始关注能够抵抗量子攻击的密码算法。

当然，除了改变算法，还有一种方法可以提高一定的安全性：

参考比特币处理公钥地址的方式，降低公钥泄露带来的潜在风险。作为用户，尤其是比特币用户，每次交易后的余额都存储在一个新的地址。以保证比特币资金存放地址的公钥不被泄露。

共识机制的安全性

目前的共识机制包括工作证明(PoW)和权益证明(利害关系证明)。,location)certificateofauthorizedrightsandinterests(certificateofentrustedequity,dpo),practicalByzantinefaulttolerance(practicalByzantinefaulttolerance,PBFT),etc.

只要您仔细阅读以上内容，您就已经了解了区块链安全风险的相关知识。如果您对分析屏幕前的区块链的安全威胁和防护思路有什么建议和想法，欢迎在下方评论区评论，我们会及时回复。

相关内容

标签： 区块链 安全 区块