1. 主页 > 平台合作方案

吴震:加强区块链安全分析、检测手段势在必行

2018年11月13日,2018中国数字资产安全高峰论坛在京召开,会上,业内众多专家学者、企业、投资人各抒己见。国家互联网应急中心互联网金融监管技术支撑专项组组长、互联网筋肉安全技术工业和信息化部点实验室主任、国家互联网筋肉安全专家委员会秘书长吴震发表了以《区块链安全形势和技术趋势分析》为标题的主题演讲。以下为演讲内容,经金色财经整理。

互联网金融监测情况

非常容幸参加本次会议。我分享的主题是关于区块链技术安全的探讨。

我们做区块链这块的安全是从2016年开始的,2016年我们根据国家的要求成立了一个互联网金融的监测专项小组,从2016年开始对全国互联网金融情况进行监测,我们从网上监测结果大概分成20多类,像P2P、股权众筹等等,最早我们不是把它作为技术来看待,我们最早是作为虚拟货币看待的,虚拟货币是我们20多类业态中的一个。

我们发现虚拟货币这个业态跟其他互联网金融业态有很大的区别,其他的互联网金融业态,在金融行业有句话,互联网金融万变不离其中还是金融,这个像对P2P、股权众筹这些还是成立的,但是对于虚拟货币有一些不同的新特征,而且虚拟货币的人和互联网金融的人有很多不重叠。

我们最早做区块链安全是从区块链经济安全角度进行监测的,很长一段时间我们对比如国内交易所情况、传销币情况等等进行监测,那时候立项也是人民银行,把相关的情况提供给央行,去年9月份当时对于ICO的打击也是依靠我们的数据,我们报告也产生了比较大的影响。

截止到去年年底,我们主要的工作还是对虚拟货币整个市场的情况进行监测。到了今年,因为区块链应用也在扩大,特别是区块链有些也用于信息服务,最近大家可能都注意到,网信办发布了区块链服务信息管理规定,这也从信息安全的角度来看待区块链的安全。所以,区块链的安全是比较大的范畴,当然这里还有大家比较重视的区块链技术安全。今天我讲的重点是技术安全,说句实在话我们有一个专门的小组在做区块链技术安全。

从区块链定义理解安全问题

关于区块链的定义,大家可能也会有比较多的正义,包括什么是公链,什么连联盟链,等等。

区块链从我们看来应该是两代半,最早是虚拟数字货币,主要以比特币为代表,涉及货币的转移和支付系统等等。区块链2.0,主要是以以太坊为代表的智能合约,搭建去中心化应用。之后出现了金融、社会管理、产权、物联网等方面的应用,现在我们认为还是比较早期的阶段,可能也听到一些成绩,但是究竟运行怎么样还需要进一步观察,当然也有很多人声称搞成区块链3.0,但是我觉得还没有达成共识。

区块链在过去这些年也发生了很多的安全风险和事件,从比较大的来看,我们认为还是有政治安全、经济安全、社会安全、技术安全四个角度,政治安全不谈了,经济安全大家比较熟悉了,然后这些空气币、传销币,蹭链的新闻,还有货币交易本身的风险,包括操纵市场的风险、圈钱跑路、监守自盗的风险。

另外,也会存在一些社会风险,包括由于交易损失引发的群体性事件等等。此外,特别是去年年底虚拟数字货币的发展由于可以获取暴利引发了很大的投机氛围和暴富心态,我们认为这种心态和氛围对于区块链真正发展不利,因为不会给技术发展提供比较好的环境,大家躺着赚钱就没有人想着通过做事赚钱了。

此外,技术风险,最早我们大概分成三类,一类是逻辑风险,从区块链本身设计的逻辑上推导出来的风险,比如大家常说的51%攻击、区块截留、自私挖矿等等,为什么是逻辑风险呢?就是这些风险需要比较大的算力的支撑,逻辑上可能会发生风险,但是现实中发生的概率并不高,但是我们后来看到实际中也发生了。另外是实现风险,比如代码质量不高。还有外部风险,有的时候,比如交易所只认为是区块链的入口,但是交易所的代码是另外一套代码,但是对于外行的人来说可能区分不了,目前来看我们认为发生过的风险集中在代码实现和外部风险上。

这里举了一些例子,2013年MtGox事件,这是针对于区块链1.0,虚拟数字货币的。这是智能合约的漏洞,比较有名的是TheDAO事件,利用函数漏洞。另外包括以太坊的Parity钱包的漏洞,导致资金冻结,包括BEC。还有今年的EOS,360发布了EOS的高危安全漏洞。5月份比特币黄金BTG遭受51%的攻击,涉及38万个比特币黄金。

安全问题实际也和市场的热度有关,2013、2014年小高潮,发生了比较大的安全事件,随着2016年、2017年区块链产业的发展也产生了比较大的损失趋势。刚才说22亿美元,我这是19亿美元,大家统计不一样,但是大概应该差不多的。

同时对于整个安全事件做了分析,认为交易所的安全事件占到比较大的比重,能够接近50%,智能合约也比较多,还有普通用户的安全事件,还有矿工安全事件等等。我来参加这个会之前当时也说到数字资产和区块链的问题,我说直接叫区块链安全会议就行了,为什么叫数字资产呢?因为从我们监测来讲,数字资产是有特定含义的,蒋总对数字资产概念做了澄清,扩大到数据、版权这些领域,实际过去我们进行经济安全监测时把数字资产和数字货币联系在一起的。

另外我们也做了相关的工作,我们也是对整个区块链安全进行了分析,我们把整个区块链分成了技术层、核心层、服务层、用户层,技术层主要是由物理环境基础设施、P2P对等网络、数据存储这些组成,每一层都会造成攻击。核心层也是攻击的重灾区,包括密码学算法、共识机制、验证机制、智能合约都有比较大的威胁。从长远来看,密码学也会有一些风险。另外,服务方面就是密钥的管理,当然这里可能还有一些钓鱼网站或者是仿冒的APP。另外包括身份管理、权限管理、隐私保护等等。

同时我们也立项起草了《区块链平台安全技术要求》行业标准,我们正在编写过程中,我们也欢迎有兴趣的企业或者机构参与区块链安全行标的制定。

最近一个事情,我们和长沙经开区,设立了一个星沙产业园,吸引相关的区块链企业入驻,我们成立了区块链技术安全检测中心,目前这个中心刚刚成立,首先对区块链产业园内部企业进行相关的安全检测,检测内容包括智能合约的安全审计、公链安全审计、钱包的安全审计。还有可以进行渗透测试还有区块链信息系统安全审计等等。后面是详细的每个层面做的检测。

结语

最后做一个简单的总结,随着区块链应用的范围和深度逐渐扩大,安全是必须重视的课题。但是我们还是强调,安全既包括技术安全,我们认为和经济安全、信息安全、社会安全都是交织在一起的,也不能单独谈某一方面。

第二区块链系统的安全受多个层面的影响,我们注意到今年3月份,我印象里有利用抛售被盗货币,然后通过做空获利的,相当于把技术手段和金融手段结合在一起,这还是比较有影响力的。

加强区块链安全威胁分析和检测手段建设势在必行,需要提高防护水平。