当前位置:首页 > 资讯 >

在使用区块链之前,有必要了解八个区块链的安全风险

为什么企业区块链现在如此受欢迎?有两个主要原因:现有的多数据共享和处理门槛太高,每个人都想强迫他人使用自己的系统和数据格式。
而企业区块链可以以两种方式解决这些问题。首先,区块链和智能合约可以让每个人就数据格式和处理规则达成一致,更重要的是,这些规则是由系统强制执行的。没有可用的手动覆盖,除非每个人都统一进行更改。
其次,由于区块链和智能合约是一项新兴技术,它们基本上是每个人的绿地部署。现在很可能没有人有现成的解决方案,所以有些人会试图把区块链和智能合约强加给别人。
然而,新技术也会带来新的风险,这通常是人们不太了解的风险。目前,企业区块链和智能合署存在三大新风险:旧软件、软件缺陷和操作缺陷。
回顾过去50年,似乎所有这些都是计算机风险。在元级,当你深入细节时,区块链和智能合约已经找到了创造安全风险的新方法。
让我们来看看整理的8个区块链安全风险:
1. 老软件
虽然企业区块链软件很少老,但对于软件来说,任何一两年以上的软件基本上都是石器时代的工具。
R3的开源Corda区块链平台就是一个很好的例子。从2016年5月的初始版本到2021年5月(4).8版),Corda每10天大约有182个版本。其中许多不是小版本;主要的新功能和重构或删除代码是很常见的。在大多数企业项目中,选择软件版本,然后永远不会升级的真正趋势是,因为升级可能会。
这里的教训是:确保软件是最新版本并且还可以持续保持更新,但如果不能,为什么不呢?
2. 缺乏安全漏洞覆盖
企业区块链软件几乎没有覆盖安全漏洞数据库。这意味着大多数用户不会意识到安全更新,除非他们清楚地跟踪供应商的说明。
这种缺乏覆盖,特别是公共漏洞和暴露(CVE)美国国家漏洞数据库(NVD)这是一个巨大的问题,因为如果漏洞没有得到官方的认可,它们就不存在于许多大型组织中。
不确定为什么区块链 CVE 和 NVD 覆盖率如此之差,但一个可能的罪魁祸首是缺乏特定区块链漏洞的官方文件。
3. 缺乏安全漏洞知识
传统软件有很好理解的漏洞类型,其中很多都是网上常见的弱点列举。(CWE)字典中都有记载,例如,缓冲区溢出和整数溢出的区别是黑客利用的流行弱点。CWE它是一种重要的资源。许多代码扫描工具将其作为试图检测的漏洞类型的基础。
但截至2021年5月,CWE没有区块链或智能合同的漏洞类型记录。好消息是,有两项工作可以记录这些问题。SWC注册中心(以太坊和其他公司使用的30多个Solidity智能合同语言条目),云安全联盟区块链DLT数据库中有200多个项目,涵盖了各种智能合同语言、区块链技术和一般概念。

在使用区块链之前,有必要了解八个区块链的安全风险4. 缺乏代码扫描和安全测试
目前区块链和智能合同代码扫描工具还不是很成熟,原因很简单,因为这个领域太新了。更糟糕的是,许多智能合同的部署还没有得到安全审计。但这种情况正在发生变化,许多安全事件让人们意识到审计代码和在部署之前生成新密钥的重要性。
例如,Paid Network为金融交易提供区块链去中心化应用(dApps)供应商,当它部署了支付给开发人员的智能合同时,它被破坏了,但它从未删除过开发人员的秘密钥匙。当开发人员的钥匙后来出现时Git在公开曝光提交(程序代码保存到存储库的过程中)时,一次攻击耗尽了付费网络合同。
本合同已通过安全审计。审计人员不能审计生产密钥,因为它会暴露出来,所以他们会认为Paid Network用安全生成的密钥代替,但它没有。
5. 操作风险
假设有一个安全的区块链和一个良好的智能合同,没有任何安全缺陷。区块链和智能合同代码仍然需要在某些东西上运行,最好连接良好和可靠。如果您选择云或第三方托管,您将需要确保它们也是安全的。
6. 加密密钥和HSM
加密钥是每个区块链服务和客户端的核心。即使使用专用系统,在计算机上保存重要的加密钥也不够。
而是使用硬件安全模块(HSM)。HSM它基本上提供了普通计算机无法提供的两件事。首先,可以设置密钥,使其无法工作HSM导出或复制。其次,可以通过HSM更可靠地记录密钥的使用情况。
这是关键,因为如果网络被入侵,它将能够确定攻击者使用密钥的目的,而不是推测他们可能做坏事。
7. 网络钓鱼,SIM卡片交换等恶作剧
企业区块链一般不使用网络钓鱼或网络钓鱼SIM攻击卡交换等技术,通常是为攻击加密货币的客户保留的。
然而,勒索软件和相关攻击越来越多地转向在线钓鱼和鱼叉在线钓鱼,原因非常简单:它非常有效。这些类型攻击的一般答案是使用强大的多因素认证,最好是基于硬件令牌,以防止用户向坏人提供信息,即使他们被愚弄。
8. 51%攻击
最后,在大多数企业区块链部署中,使用的共识机制不是工作量的证明(PoW)。更常见的是,使用权益证明或更传统的投票机制,如大多数投票。
51%的攻击,即一个实体占据了大部分区块链哈希率或计算资源,试图破坏网络PoW系统是最有用的。即使有一个简单的共识机制,比如大多数票,攻击者也需要劫持51%的组织——这比简单地调整计算资源要困难得多,因为计算资源通常可以出租。
有好消息和坏消息。坏消息是区块链和智能合同软件比几乎其他任何东西都复杂且难以保证。好消息是他们试图解决的问题。
建立信息处理系统,知道攻击者是恶意攻击,但不允许他们破坏系统。解决这个问题将开辟各种新的市场和机遇。

猜你喜欢

关注我们

微信二维码

微信