引言:面对区块链这一新事物,需要观察跟踪其发展,建立规则体系、推动行业自律。
***总书记在中央政治局第十八次集体学习时强调,“要加强对区块链技术的引导和规范”“要把依法治网落实到区块链管理中,推动区块链安全有序发展”。当前,区块链技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域,我们既要高度重视其发展,也要高度重视其管理。
面对区块链这一新事物,需要观察跟踪其发展,建立规则体系、推动行业自律,依法治网、有序发展。确保区块链技术造福全社会,前提就是要管好用好区块链。
现在区块链行业没有一个统一的监管标准,既然我们已经认清了管好区块链是有必要的,那么政府监管我认为也是有必要的。
区块链给世界各国经济社会发展带来巨大机遇,全球主要国家都在积极加快布局区块链技术发展。尽管“自治”“自律”理念是区块链的显著特征,但其技术发展处于早期阶段,应用现状仍不成熟,安全性面临挑战。比如:区块链可能会成为存储、传播违法违规信息,实施网络违法犯罪活动的工具;非官方数字货币打造的商业体系,可能影响国家经济金融安全,等等。由此可见,为了兴利除弊、扬长避短,实现区块链安全有序发展,政府监管是必要的,否则就可能乱象丛生、走上歧路。
从世界数字资产市场的发展状况来看,世界上已拥有1500多种数字货币,但目前数字货币仍存在法律地位不明确,监管力度不够的问题。致使不法分子利用数字货币的匿名性特征逃避监管,进行投机炒作、非法集资等活动,严重威胁了数字货币的价值储存功能。
2020年数字货币发展过程中面临的问题越来越多,数字货币交易平台安全性差,数据结构与算法复杂致使工作效率低等,尤其是各种不规范的操作行为,使数字货币的发展受到了阻碍。
2020年,基于区块链数字资产引发的区块链安全问题总体呈上升趋势,各种原因导致的安全事件也显著增加,数字货币犯罪五花八门,洗钱、诈骗、盗窃、贩毒、挖矿犯罪等案件频发。
目前,全球数字资产犯罪案件手法主要包括黑客攻击盗取数字资产、利用数字资产进行暗网非法交易、利用数字资产洗钱、网络犯罪、资金盘、传销盘、庞氏骗局及项目方跑路、恶意挖矿、信息泄露等。
据成都链安区块链安全态势感知平台“Beosin-Eagle Eye”数据监测显示,2020年,区块链领域所发生的安全事件涉及犯罪手法持续扩大,其中包括持续升温,但问题也日渐显现的Defi项目;仍趋于活跃的暗网市场、洗钱问题、加密骗局、合约漏洞,是当前形势下难以忽视的安全问题,同样也是现阶段各个交易所趋于合规化首要面临的关键性问题。
数字资产犯罪案件的危害将会是巨大的,案件往往传播范围极广,案件一旦发生,即可迅速蔓延至世界各国,影响极其恶劣,不仅给全球消费者带来惨重损失,还将严重破坏、扰乱金融市场,并且不法分子借助数字货币进行如上文所述的洗钱、非法集资、恐怖融资等活动也会危害社会稳定,扰乱社会秩序,对世界的和平与稳定会造成恶劣影响。
2020年,是区块链落地应用非常关键的一年,在我们看不到的背后,区块链的世界无时无刻不在上演着一场场触目惊心的安全攻防战。如何在当前区块链新时代风口下,切实保障区块链全生态的安全,一直以来都是成都链安所思考和努力的方向,下面是我们作为安全公司提出的建议:
1、重视区块链安全问题
在中央政治局第十八次集体学习上,习总书记特别强调了要“推动区块链安全的有序发展”,国家层面上越发重视区块链的安全问题,也必将激励社会大众越发关注到区块链的安全问题。
2、要搭建起我国“自主创新的区块链安全技术和保障体系”
为进一步贯彻中央政治局的重要指示,成都链安将作为区块链安全领域的中坚力量,搭建起我国“自主创新、自主可控”的区块链安全技术和保障体系,以增强区块链自身安全能力,防止被攻击而造成重大损失。
3、当前区块链行业面临的安全风险需提防
当前区块链行业面临多方面的安全风险,比如因企业自身忽视建设安全防线,以及数字资产的安全漏洞所引发的如洗钱、敲诈、暗网交易等社会安全问题。加强安全监管,建立起牢固的安全防线,是当前区块链发展的重要任务。
4、整个行业需要正向引导
要想区块链技术更好地服务于我们的实体经济,就必须将其用到“正处”。要善用区块链技术、活用区块链技术,而不是一味地滥用。这就需要区块链从业者从自身养成积极正向的行业态度,共同推动区块链行业健康发展。
5、区块链安全公司的作用
面对当前时有发生的因区块链系统安全漏洞引起的资产被盗事件,以及利用数字资产进行犯罪、传销、跑路等不法行为,作为中国最大的区块链安全公司,成都链安科技将全力以赴,承担起责任,为行业健康发展多做贡献。
一方面,我们将利用一站式区块链安全平台和服务,协助相关企业做好安全防护工作,提升安全防护能力,减少安全损失;另一方面,我们将继续大力协助政府监管机构做好调查取证等工作,以切实加强安全监管;多为行业发展发出正能量的声音,带头建立起有序的行业规范,并促进安全标准建设。
在这里,我个人认为,发展自主可控的区块链技术,离不开以下几点:
1、学术界、产业界要对发展自主可控的区块链技术形成高度共识,积极向政府建言
2、国家层面要对区块链技术和产业发展统筹布局,出台扶持政策,对研发自主可控的区块链技术和产品团队进行重点支持
3、学术界和产业界必须大力加强自主创新区块链理论、技术和应用的研究,为发展自主可控区块链技术和产品提供支撑
4、必须加强区块链产品的评测和认证,确保党政机关、关键行业的区块链系统的安全
5、高度重视区块链产业的生态体系建设,加强政产学研用合作,确保行业话语权,通过若干年的努力,真正建议自主可控的区块链生态体系
联盟链是一种将区块链技术应用于企业的相对较新的方式。公有链向所有人都开放,而私有链通常只为一个企业提供服务,联盟链相对公链来说有更多限制,通常为多个企业之间的共同协作提供服务。
联盟链与公有链的不同之处在于,它是需要获得事先许可的。因此并不是所有拥有互联网连接的任何人都可以访问联盟区块链的。联盟链也可以描述为半去中心化的,对联盟链的控制权不授予单个实体,而是多个组织或个人。
对于联盟链,共识过程可能与公有链不同。联盟链的共识参与者可能是网络上的一组预先批准的节点,而不是任何人都可以参与该过程。联盟链允许对网络进行更大程度的控制。
目前,我个人认为联盟链的优点有三大点:
首先,联盟链受一个特定群体的完全控制,但并不是垄断。当每个成员都同意时,这种控制可以建立自己的规则。
其次,具有更大的隐私性,因为来验证区块的信息不会向公众公开,只有联盟成员可以进行处理这些信息。它为平台客户创造了更大的信任度和信心。
最后,与公共区块链相比,联盟链没有交易费用,更灵活一些。公共区块链中大量的验证器导致同步和相互协议的麻烦。通常这种分歧会导致分叉,但联盟链不会出现这种状况。
联盟链合约相较于常规公链在规范性和安全性都有一定的提升,但在以下几个方面的安全性问题,仍可能存在安全风险:
(1)、代码语言安全特性
一种是继续沿用主流公链编程语言,并在其基础上改进(如:BCOS使用的solidity),另一种则是以通用编程语言为基础,指定对应的智能合约模块(如:fabric的Go/Java/Node.js),不管使用什么语言对智能合约进行编程,都存在其对应的语言以及相关合约标准的安全性问题。
(2)、合约执行所带来的安全性问题
整型溢出:不管使用何种虚拟机执行合约,各类整数类型都存在对应的存储宽度,当试图保存超过该范围的数据时,有符号数就会发生整数溢出。
堆栈溢出:当定义方法参数和局部变量过多,字节过大,可能使程序出现错误。
拒绝服务攻击:主要涉及到的是执行合约需要消耗资源的联盟链,因资源耗尽而无法完成对应的交易。
(3)、系统机制导致的合约安全问题
这里主要是指多链架构的联盟链:
合约变量的生成如果依赖于不确定因素(如:本节点时间戳)或者某个未在账本中持久化的变量,那么可能会因为各节点该变量的读写集不一样,导致交易验证不通过。
全局变量不会保存在数据库中,而是存储于单个节点。因此,如果此类节点发生故障或重启时,可能会导致该全局变量值不再与其他节点保持一致,影响节点交易。因此,从数据库读取、写入或从合约返回的数据不应依赖于全局状态变量。
在多链结构下进行外部链的合约调用时,可能仅会得到被调用链码函数的返回结果,而不会在外部通道进行任何形式的交易提交。
合约访问外部资源时,可能会暴露合约未预期的安全隐患,影响链码业务逻辑。
(4)、业务安全问题
联盟链的智能合约是为了完成某项业务需求执行某项业务,因此在业务逻辑和业务实现上仍是可能存在安全风险的,如:函数权限失配、输入参数不合理、异常处理不到位。
成都链安已经推出了联盟链安全解决方案。随着联盟链生态的发展,2020年成都链安已配合多省网信办对当地政企事业单位的联盟链系统进行了从链底层到应用层多级安全审计,发现多场景多应用多形态的联盟链系统及其配套系统的漏洞和脆弱点。
并且,成都链安已与蚂蚁区块链开展了合作,作为蚂蚁区块链优选的首批节点加入开放联盟链,我们将发挥安全技术、服务、市场优势,与开放联盟链共拓市场、共建生态、并为生态做好安全保驾护航。
一方面,我们的智能合约形式化验证产品VaaS将持续为开放联盟链应用提供“军事级”的安全检测服务,为应用上线前做好安全检测,预防其发生安全和逻辑错误;我们的”鹰眼”安全态势感知系统采用AI+大数据技术,为开放联盟链及其应用提供全面及时的”安全+运营”态势感知、链上合约风险监测、安全预警、报警、防火墙阻断及实时响应处理能力。
另一方面,我们的安全产品已经积累了数十万的客户群体,我们将发挥我们的全球****和市场优势,与开放联盟链共拓市场。
最后,成都链安以网络安全、形式化验证、人工智能和大数据分析四大技术为核心,打造了面向区块链全生态安全的”Beosin一站式区块链安全服务平台”。
“Beosin一站式区块链安全服务平台”包含四大核心安全产品和八大明星安全服务,为区块链企业提供安全审计、虚拟资产追溯与AML反洗钱、安全防护、威胁情报、安全咨询和应急等全方位的安全服务与支持,实现区块链系统”研发→运行→监管”全生命周期的安全解决方案。
来源:freebuf.com 2020-05-18 15:57:05 by: 成都链安科技
请登录后发表评论
注册