國內第一部《區(qū)塊鏈安全生存指南》聯(lián)合發(fā)布

關于區(qū)塊鏈，你是否知道？

針對區(qū)塊鏈的攻擊，已經涉及應用層、合約層、底層、基礎設施層各方面

區(qū)塊鏈攻擊一旦成功，損失通常多達百萬、千萬、上億美金

比特幣的價格斷崖，背后有攻擊者的加持

成功的區(qū)塊鏈攻擊，常常是一些最簡單的手段

邏輯漏洞的利用頻率決定了區(qū)塊鏈安全防護更需要成熟的攻擊者視角

攻擊者為了避免硬分叉處理方式，分批轉移財產的耐心可以延長至2年

區(qū)塊鏈平臺連續(xù)1年內被多次攻擊，直接導致宣布破產

區(qū)塊鏈黑產規(guī)模初具，打牌者和偷牌者可能來自同一雙手

關于區(qū)塊鏈技術，你是否知道？

應用層是攻擊者的首選目標，交易所往往是靶心

智能合約層是安全防護的重中之重，“不可修改”成雙刃劍

底層結構和基礎設施層安全隱患突出

社會工程、內部攻擊、釣魚……一個都不少

聞名世界的索馬里海盜，執(zhí)行者一般幾個人、一艘船、并不強大的火力，搶船成功后動輒百萬、千萬美金的贖金要求，拼的不是火力，不是船的大小，更多是對海域的熟悉、地理位置的利用和敢想敢做的行為。

總結歷史發(fā)生的所有區(qū)塊鏈安全案例來看，這個新興乍起的行業(yè)所遭受的攻擊過程和惡劣結果，會讓人時不時恍惚覺得，這種攻擊力量對比、手法策略和獲利的豐厚程度非常相似，現(xiàn)階段針對區(qū)塊鏈的攻擊者可被形象歸納為“海盜”攻擊者。

結果利好的是：當美國海軍、中國海軍等多方力量定期駐扎、輪崗對過往商船護航開始，索馬里海盜因為正規(guī)軍的介入而逐漸銷聲匿跡。

當前的區(qū)塊鏈企業(yè)似乎也急需專業(yè)正規(guī)軍的介入，通過對攻擊者畫像、攻擊行為特點、攻擊邏輯鏈條、損失追回的有效方法等維度進行深入研究，提出切實可行的有效手段，對當前“無墻”的攻擊進行遏制。

隨著整個區(qū)塊鏈行業(yè)的興起，長亭科技服務了多個相關企業(yè)，囊括多種類型。在這個過程中，長亭安全服務團隊意識到區(qū)塊鏈企業(yè)從業(yè)者擁有很高的安全意識，但針對區(qū)塊鏈安全的了解卻是匱乏的；國內外研究區(qū)塊鏈安全技術的機構并非不存在，但信息渠道的不暢通導致了知識獲取的延遲，遂決定通過多年在安全行業(yè)的積累，聯(lián)合優(yōu)質且真正能解決問題的資源，將各自的研究成果集合，在當前階段，給區(qū)塊鏈從業(yè)者一個相對客觀的可參考、可查找資源。

由此產生了長亭科技、ConsenSys和比特大陸的此次聯(lián)手，發(fā)布全國首部《區(qū)塊鏈安全生存指南》。

長亭科技因擅長攻防技術的背景，是國內最早開始研究并服務區(qū)塊鏈企業(yè)的網絡安全公司之一，積攢了豐富的素材，并利用多年攻防研究和實戰(zhàn)經驗，梳理了相對成熟的方法論；ConsenSys由以太坊聯(lián)合創(chuàng)始人Joseph Lubin成立于2015年，總部位于紐約，全球團隊超過600人，旗下安全團隊ConsenSys Diligence為以太坊生態(tài)提供安全服務、工具和最佳實踐指南；比特大陸創(chuàng)始人吳忌寒，是第一個將比特幣創(chuàng)始人中本聰?shù)恼撐姆g成中文的人，2013年聯(lián)合詹克團創(chuàng)立比特大陸，這家成立不到五年的中國公司，被稱為比特幣產業(yè)鏈上的隱形帝國。

三家企業(yè)從更豐富的視角對報告內容進行了補充，盡量為區(qū)塊鏈從業(yè)者提供更多維度的參考信息。

區(qū)塊鏈，聲名鵲起于比特幣。幣也成為目前最廣為人知的區(qū)塊鏈應用案例。然而，從應用角度看，區(qū)塊鏈是融合了密碼學、數(shù)學、計算機科學、網絡科學、社會學等多門學科的產物。從創(chuàng)新角度看，區(qū)塊鏈巧妙融合升級了多種現(xiàn)有技術，如非對稱加密、點對點網絡技術、哈希算法和共識算法，它是一次工程學意義上而非科學理論上的創(chuàng)新。區(qū)塊鏈的興起始于幣，卻遠遠不限于幣，其應用的本質都可以被歸類為將資產數(shù)字化后，利用區(qū)塊鏈可信任與可溯源性進行管理。

從2008年概念提出到2013年業(yè)界認識到區(qū)塊鏈技術的重要潛在價值，并開始嘗試將其應用到數(shù)字貨幣以外的場景（如眾募、資產交易、權屬管理、身份認證等領域），短短幾年間區(qū)塊鏈迅速成為最熱的技術。

目前市場上多達幾百家的區(qū)塊鏈相關公司，根據(jù)業(yè)務類型和模式大致上可將其劃分為數(shù)字貨幣和技術應用兩大類。顧名思義，數(shù)字貨幣是與數(shù)字經濟時代相匹配的一種體現(xiàn)、傳遞和交換價值的中間件。而技術應用是在很多現(xiàn)實場景中利用區(qū)塊鏈技術降低成本，提升效率。兩者因業(yè)務形態(tài)、模式的區(qū)別，導致其安全訴求也不盡相同。

應用層通常成為攻擊者首選的目標，也就是最常見到的各種交易平臺。安全問題包括交易所服務器未授權訪問、交易所DDoS攻擊、員工主機安全問題、惡意程序感染等幾個方面。智能合約層則是整個安全防范的重點，智能合約一旦發(fā)布極難修改，合約的安全與否往往決定了一個項目的生死。世界知名的The DAO事件就是被重入攻擊導致數(shù)千萬美金的損失；涉及智能合約開發(fā)的代表性項目有區(qū)塊鏈錢包、眾籌基金、區(qū)塊鏈代幣發(fā)行、區(qū)塊鏈游戲等。未授權訪問攻擊，Solidity 編程隱患等都是合約層的常見問題。底層結構層和基礎設施層安全需要注意區(qū)塊鏈實現(xiàn)層安全隱患、針對社區(qū)的DoS 攻擊、EVM 安全隱患等等。此外，安全意識與管理，含如何識別防范社會工程學攻擊、內部攻擊、第三方風險控制失敗、釣魚攻擊也是一個都不能少。顯而易見，區(qū)塊鏈安全本身就是一個環(huán)環(huán)相扣的“鏈條”，安全防護需要系統(tǒng)化的生命周期體系及上帝視角思考。

數(shù)據(jù)顯示，區(qū)塊鏈專利申請的主要國家包括中國、美國、韓國、日本，中國的增長最為迅速，世界上超過一半的區(qū)塊鏈專利都在中國。目前中國區(qū)塊鏈創(chuàng)業(yè)公司的數(shù)量僅次于美國，全球市值前二十的數(shù)字資產中，不少都有中國血統(tǒng)。此外，通過披露各行年報可知，A股26家上市銀行中共有12家在年內已上線運行區(qū)塊鏈應用，其中包括三家國有大行、六家全國性股份制銀行，以及三家城商行。

圖：區(qū)塊鏈的Hyper Cycle周期圖

區(qū)塊鏈技術的應用在逐漸深入，為了更全面和系統(tǒng)化地應對區(qū)塊鏈所面臨的安全問題，不僅要考慮技術架構中的每個層面面臨的安全風險，也要將安全方案融入?yún)^(qū)塊鏈開發(fā)的每一個環(huán)節(jié)中去，最終實現(xiàn)區(qū)塊鏈安全開發(fā)生命周期的安全管理方案。

區(qū)塊鏈自誕生以來，各種攻擊事件層出不窮，安全形勢嚴峻，需要行之有效的方法來防御。————吳忌寒，比特大陸創(chuàng)始人

很榮幸與長亭科技和比特大陸共同撰寫發(fā)布區(qū)塊鏈安全深度報告，希望通過報告為提高全行業(yè)的安全意識和技術能力做出一些貢獻。安全一直是區(qū)塊鏈的核心課題之一，ConsenSys期待與行業(yè)伙伴們共建安全生態(tài)，推動區(qū)塊鏈技術在中國和世界的發(fā)展。————唐弈，ConsenSys中國區(qū)負責人

我們在擁抱區(qū)塊鏈技術帶來的革命時，也面臨著嚴峻的安全考驗——無論是系統(tǒng)的設計還是實現(xiàn)中出現(xiàn)的安全漏洞，都可能給整個應用帶來毀滅性的打擊。在此次發(fā)布的指南中，我們圍繞區(qū)塊鏈安全，對不同應用的安全需求、過去發(fā)生的攻擊事件和應對策略進行梳理，希望能夠為行業(yè)帶來啟發(fā)。