网络安全领域最热门的话题之一就是企业区块链。它采用了与比特币一样的加密货币技术。简单地说,区块链是对等各方共享的交易或者合同的列表,并被一些巧妙的密码锁定。不同于比特币的是,区块链能够确保供应链的完整性,管理合同,甚至可以作为金融交易的平台。
它在加密货币领域的普及,以及应用了密码学及其分布式特性,向其支持者们表明,区块链是我们当前很多网络安全问题的解决方案。区块链本身就是一种安全技术。它确实是以安全原则为基础的。
关于比特币交易遭******的新闻一般与开放的、公共的网络有关。在这些网络中,任何人都可以建立一个节点,但企业区块链项目与公共网络的不同。企业区块链通常是需要获得许可的区块链。有一组节点,但节点是私有的,并且通过一组安全周界来限制企业中各类人员对这些节点的访问。
虽然区块链可能是***难以***的目标,但也并非无懈可击。很多安全专家警告说,区块链的实施使企业面临需要尽快重视起来的各种各样的风险。
很多加密货币***都不是针对核心区块链技术的。犯罪分子瞄准的是缺乏安全保障的交易以及个人和企业,他们没有很好地保护好自己的钱包。他们还发起了中间人***,将加密货币交易转移到他们自己的钱包中。
对于任何想采用区块链的企业来说,他们首先应该权衡实施的好处和成本,以及应用新技术的风险。
1、进入区块链交易时发生人为错误
在某些方面,企业区块链可能比公共区块链更脆弱。广为宣传的区块链的一个好处是非常有弹性的大规模分布式对等网络。如果一个节点宕机了,系统会绕过它,这样就不会有故障点。如果有一个参与方想偷偷地把一笔不正当的交易记入到账本中,但是在其他成员保持诚实的情形下,这是不可能发生的。但如果有人犯了“诚实的”错误呢?
去中心化的好处是,如果没有共识,就不能更改。因此,当加密货币交易出现了错误时,交易各方是无法撤销它的,因为没有中心的权威机构。如果你丢失了自己钱包的密码,那它就永远消失了。而在企业领域,这样的情况极少会发生。
当区块链加密可以防止用户改变历史账本时,系统通常被设置为参与方能够添加新条目。对于企业项目,参与方通常是可信的伙伴,而不是随机的公众成员。如果受信任方被攻破了,那么区块链的安全性就不存在了。
2、51%***
更糟糕的是,如果网络的大部分被攻破了,会怎样呢?那么,***者会造成很大的损失。这就是51%***背后的理念。一名恶意的犯罪分子或者犯罪分子集团控制了系统中的大部分节点后,会强迫每个人都服从他们的意愿。
对于比特币,这是很难做到的,因为网络上有这么多的参与方。小规模的加密货币比较容易被***,例如比特币黄金。今年5月,***者采用51%***,获得了价值1800万美元的加密货币。
企业区块链项目的参与方通常比公共加密货币平台的参与方少得多。网络规模越小,被攻破的节点数量就越少。如果一家银行正在推出区块链来处理交易,那么节点的数量将远远少于公共网络,因此可能被攻破的设备数量要少得多。
企业部署可能更为同质化,因此,如果在一个节点中发现漏洞,则可以利用这一漏洞来***所有其他节点。在公共领域,人们下载不同的挖矿软件,配置也各不相同。
3、区块链实施错误
区块链项目漏洞的另一个重要来源是,该技术是如此新颖以至于实施时容易出现错误。甚至核心区块链加密技术也有问题。算法在数学上可能是正确的,但具体的软件版本可能不是。
如果你不能理解基础数学,那你基本上就是下载了一个盒子,上面写着‘魔术’,但不知道它能干什么用。我们在开源领域看到过很多次这种情况,人们依靠第三方的库来处理这些事情,有人进入了Github并切换了代码,六个月内都没有人注意到。
还有一个事实,即区块链技术是如此新颖,以至于根本不知道哪些错误不会发生。我们还需要正确地管理区块链部署时的所有加密密钥。很多企业甚至无法正确地管理他们的网站证书。
企业区块链也会像其他技术项目一样,很容易受到很多相同***载体的***。以网络钓鱼和欺诈为例。还没有看到有针对企业区块链的此类***,这是因为在生产过程中很少有这样的***。
这些***在公共项目中是很常见的。我们看到了很多这类***,有人假装是收件人,拦截或者黑掉网页,从而拦截交易。这不一定是加密货币,它可以是任何其他类型的交易。
推出区块链项目的企业应确定自己具备所有的基本知识,包括使用最新、最安全的软件开发和审查过程,确保采用了多重身份验证手段,并锁定网站以防止网络***。如果他们对跨站点脚本很敏感,那么不管是私有还是公众的都无所谓。所有那些在网络安全领域普遍存在的***,区块链也容易受到这类***。
4、被攻破的智能合同
2016年,去中心化自治组织(DAO)使用以太坊平台推出了基于区块链的投资基金,这是一种区块链版本,可以存储智能合同而不仅仅是简单的货币交易。***们能够使用智能合同,从系统中抽取出价值1.5亿美元的以太币。
DAO案例已经成为一个典型的例子,让我们记住,仅仅因为区块链的某些原因而使用区块链,并不意味着它本身就是安全的。
现在,每个人都想使用区块链。人们的想法是,利用对等分布式账本模型,那么在其上实现的所有其他东西也将是安全的。显然,这是一个错误的假设。实施起来未必能像它们所承诺的那样安全和不出问题。
智能合同对企业具有吸引力。它们在条件满足时会自动执行,不能被拒绝。这也意味着要解决问题、纠正错误和反欺诈是极其困难的。例如,在编写合同时很容易出现意外,所要求的条件会永远不能满足,也有可能交货地址是错误的。
如果出现这类情况,钱就会被永远锁在区块链里。同样,这不是一个理论问题。去年秋天,有人不小心锁定了多方以太坊合同,造成了3亿多美元的损失。
5、利用未检测到的区块链漏洞
目前,公共加密货币交易在区块链生态系统中是最容易实现的。钱很充足,很容易得到,被抓住的几率也很低。犯罪团伙瞄准的是能够获得最大投资回报的领域。
近期情况可能就是如此。这一行业现在太新了,以至于我们甚至没有一个平台来发现并报告与非加密货币相关的区块链漏洞。大约有50家大公司表示,他们正在投资、收购或者实施区块链技术。我们在一段时间内不会真的看到有产品推出。
这将随着企业项目的上线而改变,这些项目涉及大量的资金,需要关键的基础设施或者业务流程,涉及政治和军事敏感信息。这对于每个人来说都将是漫长的学习过程。最先进入区块链的大公司将首先有所体验,并从中吸取教训。