區塊(kuai)鏈(lian)(lian)技術(shu)作(zuo)為一種新興(xing)技術(shu)，安全性威脅已是其面臨的最(zui)重(zhong)要的問題之一。5月(yue)8日，“安全贏未來——2018區塊(kuai)鏈(lian)(lian)安全高峰論壇”在北京召(zhao)開，會上白帽匯安全研究院發布《區塊(kuai)鏈(lian)(lian)產業(ye)安全分析報告》，并(bing)同(tong)時(shi)推出區塊(kuai)鏈(lian)(lian)安全網(wang)站(//bcsec.org)。

　　白帽(mao)匯安(an)(an)全研究院負責人鄧煥表示，隨著信息經濟價(jia)值不(bu)斷上升(sheng)，促使攻(gong)擊(ji)者利用各種攻(gong)擊(ji)手(shou)段(duan)獲(huo)取更多敏感數據。《區塊(kuai)鏈產業安(an)(an)全分析報告》顯示，2011年(nian)到(dao)2018年(nian)4月份(fen)，全球范圍內因區塊(kuai)鏈因安(an)(an)全事件造成的損失(shi)(shi)多達28.64億美元。值得注意的是，損失(shi)(shi)額(e)度(du)從2017年(nian)開(kai)始(shi)呈現出指數上升(sheng)的趨勢(shi)，僅2018年(nian)以(yi)來，損失(shi)(shi)金額(e)就(jiu)高達19億美元。

　　國家信息技術(shu)安全研究(jiu)中(zhong)心主任俞克群(qun)表示，區塊(kuai)鏈技術(shu)作為(wei)(wei)一種分布式數據存儲、點(dian)對(dui)點(dian)傳輸(shu)、共識機(ji)制(zhi)、加密(mi)算法等(deng)技術(shu)的(de)新型集成(cheng)應用，被認為(wei)(wei)是(shi)新一輪技術(shu)創(chuang)新和產(chan)業變革(ge)，其具有去中(zhong)心化、開放性(xing)、自治(zhi)性(xing)、防(fang)篡改(gai)、匿(ni)名性(xing)等(deng)特點(dian)。可以說(shuo)，區塊(kuai)鏈技術(shu)發(fa)展可能會成(cheng)為(wei)(wei)我國掌(zhang)握(wo)全球科技競爭先機(ji)的(de)重要一步。

　　美國(guo)科(ke)學(xue)院(yuan)(yuan)院(yuan)(yuan)士、中國(guo)科(ke)學(xue)院(yuan)(yuan)外籍(ji)院(yuan)(yuan)士張首晟(sheng)表示(shi)，互聯網第一(yi)(yi)階(jie)段(duan)的需求是(shi)交換信(xin)息(xi)，到了第二(er)階(jie)段(duan)，需求升級為交換價(jia)值(zhi)，而(er)價(jia)值(zhi)的核心則(ze)是(shi)大家(jia)的共識。一(yi)(yi)旦有了共識之后，就(jiu)(jiu)會(hui)產(chan)生一(yi)(yi)種信(xin)任，人和(he)人之間出現新的合作機會(hui)。而(er)在(zai)(zai)新的時代，信(xin)念是(shi)建筑在(zai)(zai)數學(xue)算法之上。這(zhe)樣我們就(jiu)(jiu)不再需要中心化平臺，而(er)是(shi)通過透(tou)明的算法來定義游戲規則(ze)，進而(er)導(dao)致一(yi)(yi)個新的互聯網革命(ming)。

　　中國(guo)云(yun)體系(xi)(xi)產業創新戰略聯盟秘(mi)書(shu)長、云(yun)安全聯盟(CSA)大中華(hua)區(qu)(qu)秘(mi)書(shu)長沈寓實表示，如果說代幣是區(qu)(qu)塊(kuai)鏈(lian)(lian)1.0版本(ben)，那么區(qu)(qu)塊(kuai)鏈(lian)(lian)在金(jin)融領(ling)域應用的拓(tuo)展(zhan)則是2.0版本(ben)，而延展(zhan)至實體經(jing)濟(ji)(ji)，則是區(qu)(qu)塊(kuai)鏈(lian)(lian)的3.0版本(ben)。他認為(wei)，隨著區(qu)(qu)塊(kuai)鏈(lian)(lian)技術廣泛(fan)應用于金(jin)融服務、供(gong)應鏈(lian)(lian)管(guan)理、文化娛樂(le)、智(zhi)能(neng)制(zhi)造、社會公(gong)益以及教育就業等經(jing)濟(ji)(ji)社會各領(ling)域，將降低運營成本(ben)、提(ti)(ti)升協同效率，進而為(wei)經(jing)濟(ji)(ji)社會轉型(xing)升級(ji)提(ti)(ti)供(gong)系(xi)(xi)統(tong)化的支撐(cheng)。

　　但需(xu)注意(yi)的是，區塊(kuai)鏈并非完(wan)美，安(an)全(quan)問(wen)題(ti)亦存(cun)在諸多(duo)挑戰。俞克群指出，區塊(kuai)鏈還處在初級(ji)階段，存(cun)在密碼算法安(an)全(quan)性、協議安(an)全(quan)性、使用安(an)全(quan)性、系(xi)統安(an)全(quan)性等諸多(duo)挑戰，風(feng)險(xian)不(bu)僅來自(zi)外部(bu)實體，也有可能(neng)來自(zi)內部(bu)參(can)與(yu)者的攻(gong)擊。如何(he)圍繞物理(li)、數據、應用系(xi)統、加密、風(feng)險(xian)控制(zhi)等構建安(an)全(quan)體系(xi)，是我們面(mian)臨的重要(yao)問(wen)題(ti)。

　　中國信息安全測評中心主任助理李(li)斌表示，以安全為核心的(de)區(qu)塊鏈(lian)技(ji)術的(de)安全問(wen)題不(bu)斷引人(ren)矚目。“一行代碼，打倒一種代幣”、“一個漏洞，摧毀(hui)一類智能合(he)約(yue)”，區(qu)塊鏈(lian)技(ji)術的(de)安全風(feng)險需要(yao)全社會的(de)力量共同面對。

　　“自2017年開(kai)始(shi)，安(an)(an)(an)全(quan)(quan)漏(lou)洞所(suo)造成的(de)(de)損(sun)失呈(cheng)現出(chu)指數(shu)上升的(de)(de)趨勢。”鄧煥表示(shi)，每年由區(qu)(qu)塊鏈(lian)(lian)安(an)(an)(an)全(quan)(quan)漏(lou)洞造成的(de)(de)損(sun)失高達(da)數(shu)十億美元(yuan)，攻擊者主(zhu)要選(xuan)擇(ze)保護相(xiang)(xiang)(xiang)對薄弱的(de)(de)合約層和(he)業(ye)(ye)務(wu)層進(jin)(jin)行(xing)(xing)(xing)攻擊，在該技術層本(ben)身也(ye)是目前攻擊者最佳變現的(de)(de)場(chang)景。從本(ben)次報(bao)告中也(ye)可以看(kan)到，目前攻擊者主(zhu)要采用拒絕服務(wu)攻擊、木馬劫持攻擊、支付(fu)漏(lou)洞等(deng)手段對業(ye)(ye)務(wu)層進(jin)(jin)行(xing)(xing)(xing)破壞(huai)。區(qu)(qu)塊鏈(lian)(lian)作為(wei)底層技術基(ji)礎，支撐著整個系統(tong)。如底層出(chu)現安(an)(an)(an)全(quan)(quan)問題，必將(jiang)(jiang)導致依托于此(ci)的(de)(de)上層均(jun)受到影響。因此(ci)，在系統(tong)設計(ji)之初(chu)就應(ying)加入安(an)(an)(an)全(quan)(quan)性(xing)設計(ji)。為(wei)了給相(xiang)(xiang)(xiang)關(guan)企(qi)業(ye)(ye)起到較好的(de)(de)參考作用，此(ci)次同時推出(chu)的(de)(de)區(qu)(qu)塊鏈(lian)(lian)產業(ye)(ye)安(an)(an)(an)全(quan)(quan)網(wang)站便會分(fen)為(wei)安(an)(an)(an)全(quan)(quan)事(shi)件收集、事(shi)件分(fen)析(xi)、以及區(qu)(qu)塊鏈(lian)(lian)生(sheng)態監控等(deng)欄目，其將(jiang)(jiang)對整個區(qu)(qu)塊鏈(lian)(lian)生(sheng)態安(an)(an)(an)全(quan)(quan)進(jin)(jin)行(xing)(xing)(xing)分(fen)析(xi)跟蹤(zong)，不定期的(de)(de)更新區(qu)(qu)塊鏈(lian)(lian)產業(ye)(ye)安(an)(an)(an)全(quan)(quan)分(fen)析(xi)報(bao)告。同時，對目前區(qu)(qu)塊鏈(lian)(lian)發(fa)生(sheng)的(de)(de)相(xiang)(xiang)(xiang)關(guan)的(de)(de)安(an)(an)(an)全(quan)(quan)事(shi)件進(jin)(jin)行(xing)(xing)(xing)收錄并進(jin)(jin)行(xing)(xing)(xing)分(fen)析(xi)。

　　據鄧煥介紹稱，華順信安區(qu)(qu)塊(kuai)(kuai)(kuai)鏈全新(xin)解決方案可以貫穿區(qu)(qu)塊(kuai)(kuai)(kuai)鏈生態產業，從(cong)區(qu)(qu)塊(kuai)(kuai)(kuai)鏈底(di)層(ceng)到業務層(ceng)，再到交易平臺，以及生態中(zhong)的各種(zhong)節(jie)點場景(jing)。除提(ti)前防御外，華順信安還將對利用(yong)網絡空(kong)間測繪技術，快(kuai)速(su)獲取區(qu)(qu)塊(kuai)(kuai)(kuai)鏈威(wei)脅(xie)情報，及時(shi)發現(xian)安全問(wen)題，以助區(qu)(qu)塊(kuai)(kuai)(kuai)鏈企業及時(shi)做出響應。

　　北京(jing)華順信安(an)科技有限(xian)公司CEO趙武表(biao)示，區塊(kuai)(kuai)鏈(lian)(lian)技術的(de)底層機制(zhi)、算法是(shi)區塊(kuai)(kuai)鏈(lian)(lian)最核心的(de)地方，是(shi)保障區塊(kuai)(kuai)鏈(lian)(lian)穩(wen)定運(yun)行(xing)的(de)根本(ben)。但通過近段時間的(de)安(an)全(quan)事件(jian)不(bu)難發現，區塊(kuai)(kuai)鏈(lian)(lian)的(de)安(an)全(quan)問題已經延伸到了傳統的(de)網絡安(an)全(quan)、基礎設施、移動信息(xi)安(an)全(quan)等問題。所以(yi)在談及區塊(kuai)(kuai)鏈(lian)(lian)安(an)全(quan)的(de)時候，不(bu)應(ying)該僅僅局限(xian)于區塊(kuai)(kuai)鏈(lian)(lian)本(ben)身，它的(de)使(shi)用者以(yi)及衍生(sheng)的(de)東西都是(shi)我們所需要重點關注的(de)。

　　李斌也指出，區塊鏈技術基于安(an)全(quan)特性所導致的漏洞需要得到高度重視(shi)。尤其是在底層(ceng)算法(fa)的穩定，系統漏洞的加固(gu)，基礎(chu)架構的保障，應用環(huan)境的安(an)全(quan)等(deng)方面，必(bi)須得到整個信息安(an)全(quan)行業的群策群力。

　　“建立良好的(de)(de)區(qu)(qu)塊鏈(lian)安全(quan)(quan)生態需要平衡好科技(ji)發展(zhan)和網絡安全(quan)(quan)的(de)(de)關(guan)系。”俞克群強調，自主可控(kong)的(de)(de)區(qu)(qu)塊鏈(lian)網絡，意在技(ji)術上不能受制(zhi)于(yu)人，同時(shi)(shi)也可以促進(jin)區(qu)(qu)塊鏈(lian)健康發展(zhan)。安全(quan)(quan)是區(qu)(qu)塊鏈(lian)未來(lai)的(de)(de)生命，只有(you)本身(shen)的(de)(de)安全(quan)(quan)才能使得(de)區(qu)(qu)塊鏈(lian)技(ji)術的(de)(de)落地。這就要求我(wo)們在區(qu)(qu)塊鏈(lian)技(ji)術發展(zhan)的(de)(de)同時(shi)(shi)，其的(de)(de)安全(quan)(quan)屬性必須同時(shi)(shi)并重發展(zhan)，甚至是超前發展(zhan)。