文章来源:第一财经网作者:杜川
区块链技术迅速发展,虚拟货币渐渐走入大众视线,虚拟币交易平台也如雨后春笋一般兴起。然而交易平台背后的经营者能力,以及平台的自身安全性并无法得到很好的保障。
2017年6月,韩国最大交易所Bithumb被盗数十亿韩元,三万用户信息被泄露;2017年12月,斯洛文尼亚加密挖矿网站Nicehash被盗约4700个比特币,价值约6200万美元。在区块链和虚拟货币领域,此类由于交易所安全性导致损失的案件频频发生。
8月8日,国家互联网金融安全技术专家委员会发布《区块链技术安全概述报告》指出,区块链技术目前的发展方兴未艾,大多的技术和应用处于试验阶段。目前,发生的安全事件多集中出现于加密资产相关领域,给用户造成了较大的经济损失,其安全问题日益受到行业关注。
动态 | 全国首次《区块链技术能力测试(初级)》推出:2019年12月21日,30名考生在上海师范大学徐汇校区参与了全国首次《区块链技术能力测试(初级)》。考生组成中有来自于同济大学、华东理工大学、上海师范大学等高校学生,也有一半是已就业人员,其中不乏有工作二十来年的金融业从业者等。参与考试通过后获得中国电子学会颁发的专业技术能力证书,以具备进入区块链领域的初级专业技术知识。《区块链技术能力测试(初级)》的前期准备中,包括高校教材《区块链技术原理与实践》(机械工业出版社,2020年1月)的统筹编写,相关培训教师的组织,《区块链技术能力测试(初级)》考试大纲的专家评审,一直到相关试题库的推出。考试知识模块由6个部分组成,分别是:区块链系统知识、区块链网络通信、区块链安全机制(含加密算法)、共识机制、智能合约、区块链应用操作。测试命题根据考试大纲各部分的认知程度“知道”,“理解”,“掌握”命题 ,最终呈现以是非题、选择题以及实验操作题设置。考试时间全场120分钟,全程为闭卷考试。(人民网)[2019/12/25]
区块链安全环环相扣
动态 | 人民网人民创投《区块链应用蓝皮书》出版发行:据人民网8月15日消息,人民网人民创投区块链研究院策划编撰的《区块链应用蓝皮书:中国区块链应用发展研究报告(2019)》(下称“蓝皮书”)一书,近日由社会科学文献出版社出版发行。蓝皮书由人民网党委书记、董事长、总裁叶蓁蓁和人民网总编辑罗华担任主编,人民网副总编辑潘健担任执行主编,并邀请了央行、工信部、中科院以及清华大学、中央财经大学、北京航空航天大学等国家部委、科研院所、知名高校的相关负责人和专家学者参与共同编写。[2019/8/15]
区块链应用从架构上分为三层,基础网络、平台层和应用层。三个层面相互影响,每一个环节出现的安全问题,都将给下个环节带来更多的安全问题。
互金专委会表示,在进行区块链项目开发的过程中,从设计到实现,从验证到响应,不仅仅需要考虑到单个环节的安全性问题,也需要将其放入到整体的层面中去判断可能出现的风险点。
动态 | 律师解读《区块链信息服务管理规定》:部分要求在现阶段实施条件尚不成熟:2月14日,微信公众号“京都律师”刊文指出,《区块链信息服务管理规定》的部分条款偏向于原则性规定,且部分要求在现阶段实施条件尚不成熟,可操作性值得商榷,有以下几点可供探讨和完善: 1.区块链信息服务提供者的概念并未完全明确; 2.区块链信息服务提供者的技术标准并不明晰; 3.区块链信息服务提供者的安全评估流程并未说明; 4.行业自律条件尚不成熟。[2019/2/15]
以基础网络层为例,基础网络由数据层及网络层组成,是区块链的基础部分,该部分封装了区块链的底层数据,对区块链的数据采用非对称性加密,利用P2P网络并设置了传播、验证机制等。目前,主要面临的安全问题为信息攻击与加密算法攻击、节点传播与验证机制风险。
动态 | 《区块链隐私保护规范》等三项团体标准征求意见会于北京召开:为推动我国区块链技术和产业发展,加快区块链标准化建设,中国电子技术标准化研究院联合中国区块链技术和产业发展论坛理事会成员单位编写了《区块链隐私保护规范》、《区块链 智能合约实施规范》、《区块链存证应用指南》三项团体标准。2018年12月3日下午,在北京召开了标准征求意见会,会上,专家组对标准进行了讨论和评审,认为标准符合我国区块链应用发展需求,对区块链标准体系建设具有重要意义。[2018/12/6]
《报告》指出,从数据区块信息攻击风险来看,一方面写入区块链后的信息很难删除,不法分子将某些有害信息、病特征码、秽信息等写入区块中,影响区块链生态环境。另一方面,大量的垃圾交易数据攻击会堵塞区块链,使得有效交易和信息迟迟无法被处理。
列支敦士登新法案确定被命名为《区块链法案》 :据coindesk报道,列支敦士登总理阿德里安·哈斯勒(Adrian Hasler)透露该国即将推出加密货币和区块链法案被命名为《区块链法案》(The Blockchain Act),旨在构建一个支持区块链发展的、谨慎的监控框架。该法案将不仅仅涵盖加密货币和公用事业代币的发行,还将为这些技术相关的各种新服务和商业模式提供必要的法律框架。哈斯勒表示:“制定过度且缺乏实际意义的法规是没有意义的,因为这样会导致区块链行业最终不得不游走在法规之外才能得到发展,这肯定不符合国家利益,因此我们希望通过这部法律提出明智的监管方法,在创造法律确定性和信息方面发挥作用。”[2018/4/4]
P2P网络风险方面,区块链信息传播采用P2P的模式,节点之间的信息传播,会将包含自身IP地址的信息发送给相邻节点。由于节点安全性参差不齐,较差的节点容易受到攻击,目前可进行攻击的方式包括:日食攻击、窃听攻击、BGP劫持攻击、节点客户端漏洞、拒绝服务攻击等。
据悉,2018年3月以太坊网络就爆出「日食攻击」。「日食攻击」是其他节点实施的网络层面攻击,其攻击手段是囤积和霸占受害者的点对点连接时隙,将该节点保留在一个隔离的网络中。这类攻击旨在阻止最新的区块链信息进入到日食节点,从而隔离节点。而比特币网络很容易受到日食攻击。
加密资产交易平台六类隐患
近几月,数起针对交易平台的攻击事件发生。2018年1月,日本的加密资产交易平台Coincheck被入侵,损失超过5亿美元;韩国交易平台Coinrail也证实在2018年6月被黑客攻击,入侵损失达3690万美元。
互金专委会表示,加密资产是数字经济中重要的组成部分,但针对加密资产交易平台展开的频繁网络攻击不断冲击着用户对于数字资产的信任。
目前看来,加密资产交易平台主要有六类常见隐患和漏洞,即拒绝服务攻击、网络钓鱼事件、热钱包防护问题、内部攻击、软件漏洞和交易可锻性。
拒绝服务攻击是目前最主要的针对交易平台的攻击方式。攻击者通过拒绝服务攻击使得交易平台无法正常访问,用户因为无法准确分辨攻击程度,往往会造成恐慌性的资产转移,从而给交易平台带来损失。
互金专委会表示,目前即使是最好的技术措施也无法保护加密资产交易平台免受网络钓鱼攻击。欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者,受害者如无法分辨交易平台的真实性便会遭受资产上的损失。
许多交易平台使用单个私钥来保护热钱包,如果犯罪分子可以访问单个私钥,他们将能够破解与私钥相关的热钱包。例如,2017年首尔交易所Yapizon的攻击,攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取,总共造成交易平台近50%的资产损失,并最终导致了交易平台破产。
另外,由于没有完善的风险隔离措施或对于员工权限监督不力,导致部分拥有平台操作权限的员工利用内部信任监守自盗。例如,2016年交易平台ShapeShift发生的员工盗取比特币事件,通过私下盗取和将敏感信息转卖给他人的方式给交易平台共造成23万美元损失。
软件漏洞则包括单点登陆漏洞、oAuth协议漏洞等。互金专委会表示,目前各国都有法律要求银行或其他金融机构实施信息安全措施,以保护客户的存款。但由于区块链领域还处于起步阶段,目前缺少适用于加密资产的此类规范。因此,许多交易平台在缺乏安全规范约束的条件下,存在大量漏洞并非偶然。
据悉,Mt.Gox是曾经占据世界交易总额80%的世界第一大比特币交易平台,然而,“Mt.Gox事件”成为加密资产历史上最大的攻击之一,共造成4.73亿美元的损失,这次攻击事件便是由黑客在初始交易发布之前向公共账本提交代码更改进行的。
互金专委会指出,区块链的技术支持者常常认为区块链交易是高度安全的,因为它们被记录在据称不可更改的记录上。但是每个交易都需要有相应签名,而在交易最终确认之前,记录是可以被暂时伪造的。
针对上述风险与隐患,互金专委会建议,平台应在技术开发方面持续投入,抵御日益增长的黑客攻击,切实的增强系统的安全性;同时,确保员工保护安装在专业工作计算机或个人计算机上软件应用程序相关的登录凭据,并完善安全培训,提高安全意识;另外,应定期进行安全测试,建立完善的应急响应机制;进行网络安全隔离,谨慎进行服务端口开放,并选择具备完善防护的能力的服务供应商。
互金专委会指出,行业需要统一的治理机制,引入第三方监管与合作,在出现问题时及时与外部协同工作。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻看天下
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626988.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
DEA:犯罪活动只占比特币交易的10%
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。