安信证券报告：“区块链+”行业快速发展下的安全问题

区块链各个层面的安全需求

区块链系统一般由数据层、网络层、共识层、激励层、合约层和应用层组成。 目前，针对区块链的安全攻击已经覆盖了应用层、智能合约层、底层结构层和基础设施层。 在各个方面btc客户端重扫描，它贯穿于区块链的整个产业链。 目前，攻击者通常从交易平台、在线钱包、智能合约、共识机制等方面进行攻击。

数据层安全

区块链的数据层主要包括底层数据区块区和相关的数据加密等技术。 其中，底层数据块是指分布在多个节点上的链式结构数据。 每个节点之间的交互都会同步记录在区块中。 每个节点都有自己的块，单个或小块，如果部分节点的块数据被篡改，不会影响整个区块链的正常运行。 因此，这种数据块结构可以有效防止数据被恶意篡改。 但是，利用区块链数据不可删除、不可篡改的特性，也会暴露出部分数据源的安全性，如攻击者会进行恶意信息攻击、资源滥用攻击等。

恶意信息攻击：借助区块链数据不可删除的特性，信息写入区块链后很难删除。 攻击者在区块链中写入恶意信息会受到杀毒软件攻击、政治敏感性等问题。

资源滥用攻击：随着时间的推移，区块数据可能发生爆炸，可能导致节点无法容纳更多的数据，减慢区块链系统的运行速度，引发区块链危机。 攻击者可以通过发送大量垃圾信息来阻塞整个区块链操作系统，使区块链中的真实信息得不到及时处理，或者使区块链中的存储节点过载。

数据加密技术为区块链的信息完整性、认证性和不可抵赖性提供了关键保障。 许多哈希函数被设计出来并被广泛使用。 然而，哈希函数通常具有较短的生命周期。 Hash 函数的安全性在很大程度上取决于抗强碰撞的能力。 评价一个Hash函数的安全性，就是看攻击或者在现有条件下，是否能找到这个函数的一对碰撞。 目前，比特币采用的是SHA256算法，即SHA安全加密标准，是世界上使用最广泛、最安全的压缩算法之一。 随着密码学研究的深入和计算机技术的飞速发展，SHA-256算法得到了全面的应用推广。 现有的攻击哈希函数的方法有生日攻击、差分攻击等。

生日攻击：生日攻击是一种可用于攻击任何类型的函数式哈希函数的攻击方法。 从攻击原理上看，没有利用Hash函数的结构和任何代数弱性质，只依赖Hash值的长度。 因此，抵御生日攻击最有效的方法就是Hash值要有足够的长度。

差分攻击：差分攻击是目前破解迭代哈希函数最有效的方法之一。 其基本方法是利用明文的输入差异对输出差异的影响，利用差异的高概率继承或消除来产生最终相同的输出。 .

攻击案例：

2017年2月，以太坊Ropsten测试链遭到攻击者数千万次垃圾交易信息攻击，导致网络阻塞，导致网络无法正常运行。

网络层安全

区块链网络层主要包括分布式组网机制、数据传播机制和数据验证机制。 分布式组网机制是指区块链技术采用P2P网络架构进行点对点传输。 当一个或多个连接建立时，一个节点向它的相邻节点发送一个包含自己IP地址的消息，相邻节点发送这个消息依次转发给各自的相邻节点，从而保证节点信息被多个节点接收到节点。 P2P网络的缺点是依赖于附近的节点进行信息传输，必须暴露彼此的IP。 如果网络中存在攻击者，很容易给其他节点带来安全威胁。

广播机制是指在区块链中，当一个节点连接到区块链网络后，会与其他节点建立连接并将信息传播给其他节点，其他节点会验证信息是否有效并确认无误后，继续广播给其他节点。

验证机制是指为了维护其数据的有效性和真实性，区块链的运行必须有相应的验证机制来限制节点将真实信息写入区块。

对于网络层的安全攻击，有日食攻击、拒绝服务攻击等：

Eclipse 攻击：囤积和占用受害者的点对点连接间隙，使节点处于隔离网络中，阻止最新的区块信息进入eclipse 节点，从而隔离节点。

拒绝服务攻击：通过大流量或漏洞攻击P2P网络中的节点，使网络中部分节点瘫痪，即对总算力造成损害，使其更容易受到51%攻击。

共识层安全

目前区块链中常用的共识机制有PoW（Proof of Work）、PoS（Proof of Stake）、DPoS（Authorized Proof of Stake）、PBFT（Practical Byzantine Fault Tolerance）等，各种共识机制各有优缺点。 其中，PoW算法简单易行，节点间无需交换额外信息即可达成共识，但PoW依赖算力，会造成算力的消耗和浪费。 此外，新区区块链必须寻找不同的哈希算法，否则将面临比特币的算力攻击； PoS对节点性能要求低，共识时间短，但PoS仍然需要像PoW一样进行挖矿，PoS会让“富者愈富”；DPoS不需要挖矿出块，可以大大减少出块的数量参与验证和记账节点，弱中心化，但其整个共识机制依赖代币，很多商业应用不需要代币，弱中心化属性不适合公链；在PBFT中，系统运行可以分离从币的存在来看，安全性和稳定性由业务利益相关者保证，共识延迟约2-5秒，共识效率高，可满足高但1/3或以上记账人共同进行恶意行为时，以及所有其他的簿记员被分成两个网络孤岛，恶意的簿记员可以导致系统分叉。

攻击案例：

2016 年 8 月，基于以太坊的数字货币氪星两次被名为“51% Crew”的团队攻击。 该团队利用致命的区块链漏洞进行了两步攻击。 %的网络算力获得压倒性的力量，从而回滚交易，然后再次消耗相同的货币； 第二步是使用 DDoS 节点来增加网络的计算能力。 最终，区块链平台损失了约 21465 KR 代币。

激励层安全

区块链激励层主要包括经济激励的发行机制和分配机制。 目的是提供一定的激励，鼓励节点参与区块链的安全验证。 区块链系统的安全和运行依赖于众多节点的参与，节点的运行也消耗一定的计算资源和电能。 因此，为了鼓励节点的参与，以虚拟货币的形式对参与者进行奖励。 以比特币为例，奖励机制包括两种。 一是新区块产生后系统产生的比特币，二是每笔交易都会扣除一个比特币的万分之一作为手续费。

在区块链的奖励机制中，奖励必须符合市场行情和旷工预期。 区块链项目需要适应奖励的自动适度调整，避免中心化问题。

合约层安全

合约层主要封装了各种脚本、算法和智能合约，是区块链可编程特性的基础。 智能合约是一种旨在以信息化方式传播、验证或执行合约的计算机协议。 它具有运行成本低、人为干预风险低等优点。 由于区块链不可篡改的特性，智能合约一旦发布，就极难修改。 开发者在设计之初就必须充分注意合约的安全性。 如果智能合约的设计出现问题，可能会造成更大的损失。 .

目前，区块链智能合约可能出现的漏洞至少有20种，其中比较常见的有整数溢出、未授权访问、信息泄露、逻辑错误、拒绝服务、函数滥用等漏洞。

整数溢出：智能合约中的危险数值运算可能导致合约失效、无限发币等风险；

非授权访问：智能合约中访问控制处理不当，可能导致非授权发币风险；

信息泄露：硬编码地址等，可能导致重要信息泄露；

逻辑错误：代理转账功能缺乏必要的验证，可能导致基于重入漏洞的恶意转账等风险；

拒绝服务：循环语句、递归函数、外部合约调用等处理不当，可能导致死循环、递归栈耗尽等拒绝服务风险；

函数误用：伪随机函数调用和接口函数实现问题可能导致可预测随机数和接口函数返回异常等风险。

攻击案例：

2016年6月，发生一起重大智能合约安全事件。 由于The DAO编写的智能合约存在重大缺陷，众筹项目The DAO（攻击前资产约1亿美元）被攻击，价值6000万美元的以太币被盗btc客户端重扫描，迫使以太坊硬分叉变成 ETH 和 ETC。

2018年4月，攻击者利用数据溢出漏洞攻击BeautyChain（BEC）智能合约，成功将巨额BEC代币转入两个地址，导致市场大量抛售BEC，损失约 10 亿美元。

应用层安全

区块链应用层包括区块链的各种应用场景，涉及数字货币交易，以及管理大量资金的交易所等中心化节点的安全问题。 目前针对区块链安全的攻击，主要来自应用层，对攻击者来说是价值所在，攻击收益高，成本低。

应用层的攻击主要体现在交易所/交易平台和钱包。 首先，交易所往往存放着大量资金，很容易成为攻击目标。 一旦攻击者获得交易所服务器的权限或访问权限，修改密钥信息，攻击者就可以窃取资金密钥、篡改交易金额或泄露敏感信息等，对交易所造成毁灭性的经济和声誉打击。 交易平台还包括账户系统、支付系统、业务系统等环节的建立，每个环节都可能成为攻击的目标。

DDoS攻击：如果交易平台受到DDoS攻击，不仅交易平台会蒙受损失，区块链货币的交易量也会大幅减少，从而间接影响区块链货币的涨跌。

支付漏洞：支付漏洞直接关系到资金和财产安全，对平台和用户都是高风险。

恶意程序感染：交易所系统一旦被植入恶意程序，极有可能造成大量敏感信息泄露，包括密钥和钱包文件。 关键就是一切，敏感信息的泄露往往意味着失去对所有资产的控制。

区块链钱包是指存储区块链资产地址和私钥的文件。 目前主流的钱包分为冷钱包和热钱包。 通俗地说，钱包就是一种存储和使用虚拟货币的工具或软件，而冷钱包就是不联网的钱包，也叫离线钱包。 一般是未联网的电脑、手机、硬盘或写有私钥的纸。 热钱包是一种保持在线的钱包，也称为在线钱包。 目前普遍的看法是冷钱包比热钱包更安全，因为黑客无法通过在线渠道进行攻击，因为它们没有连接到互联网。 但是，冷钱包也存在因硬件损坏导致数据丢失的情况。

钓鱼攻击：指攻击者伪造钱包客户端，在界面和操作上与真实钱包无法区分。 攻击者在用户转账时窃取私钥信息或操纵转账地址，进而窃取用户的财产。

私钥盗窃：由于区块链不依赖于任何中心化的第三方受信机构，如果用户的私钥被盗，很难追踪到不当行为并恢复被修改的区块链信息。 一些攻击者已经开始扫描关键文件并开发相关的木马程序进行窃取。

攻击案例：

2017年5月，Poloniex交易平台遭到DDoS严重攻击。 BTC/USDT交易价格一度在1761美元徘徊，BTC/ETH（以太坊）交易价格长期停滞在同一水平，成交量为零。

2017年5月，数字货币交易所Gatecoin热钱包（比特币和以太坊）被黑，共损失18.5万个ETH和250个BTC，约1200万人民币，约占总资产的15%。该平台。

2018年1月，日本最大的加密货币交易所之一Coincheck发布一则广告称，由于公司持有的NEW（新经济货币）被非法汇往海外，公司虚拟货币兑换服务的部分功能紧急中断暂停。 随后，该交易所半夜在东京证券交易所召开新闻发布会，承认因黑客攻击，现值580亿日元（约合5.33亿美元）的虚拟货币“XEcoin”被被盗。

区块链安全问题的解决方案 互联网安全问题由来已久

互联网安全问题永远存在。 在互联网行业发展的各个阶段，安全问题一直伴随着我们。 之前在传统互联网领域遇到的安全问题，在区块链行业仍然会遇到。 随着区块链技术的快速发展，高危事件也呈现出高发趋势，尤其是在涉及大量资产交易时，往往会出现“一行代码，毁掉一个资产”、“一个漏洞，销毁一种智能合约”等。仅2018年初，高风险事件就造成了超过10亿美元的资产损失。 区块链是一个复杂的系统。 安全问题涵盖了区块链系统架构的方方面面。 区块链的整体安全，离不开系统架构中各个环节的安全。 区块链是一个长期运行的分布式软件系统。 任何一个软件系统都会经历一个从需求到设计，再到实施发布，最后到不断更新迭代的过程。 软件开发过程中各个环节出现的安全问题都会将更多的安全问题引入到下一个环节。

未来，区块链技术及其安全问题将长期持续，主要由于：1）新的解决方案将进一步加速区块链的安全重构，创新技术和服务的认可将进一步增强行业活力，提升技术价值； 1）未来，随着企业的生产和人们的生活逐渐向数字化、网络化、智能化转变，许多新的变革性技术（如区块链、人工智能等）所创造的安全生态和技术将成为大势所趋; 3）新技术衍生出的产品安全技术服务范围将更加广泛，将不断创造更加繁荣的安全服务市场。

区块链安全服务企业/产品

针对目前区块链各个层面存在的安全问题，区块链安全领域也涌现了一些提供安全服务的公司或产品，如智创宇、厦门慢雾科技、SecurityChain等，主要通过技术手段来为客户解决各种区块链安全问题。

（一）认识创宇

据了解，创宇是国内最早提出云监控、云防御概念的网络安全公司。 经过多年积累，凭借行业领先的云计算和大数据处理能力，可为客户提供具有世界级安全技术标准的可视化解决方案。 计划提高网络安全监测、预警和防御能力。 知乎创宇从2011年开始接触区块链，2012年开始为交易所、智能合约、矿池、矿机、钱包等行业用户提供安全保障，对区块链业务场景有深刻的理解和理解。利用Seebug漏洞社区、Zoomeye安全搜索引擎，以及对全球领先数字资产的持续检测分析，为整个区块链生态体系建立了完整的安全防御措施。

（二）厦门慢雾科技有限公司

慢雾科技专注于区块链生态安全。 由拥有十余年一线网络安全攻防实战经验的团队创立。 团队先后为谷歌、微软、W3C、公安部、腾讯、阿里、百度等输出安全能力，团队多项成果也进入Black Hat等全球黑客大会。 慢雾科技核心能力包括：安全审计、防御部署、地下黑客风向标追踪，并提供Python、NodeJS、Go、Java等主流语言SDK，可灵活对接产品风控系统。 慢雾科技已经为全球多家交易所、钱包、智能合约进行了安全审计和防御部署，并通过其独有的地下黑客风向标追踪引擎持续为合作公司和国家相​​关部门提供威胁情报。 慢雾区块链安全社区累计人数超过10万人。

（3）SecurityChain安全链（SECC）

SECC是一个基于区块链安全生态建设的项目。 团队成员具有丰富的区块链安全底层技术研究经验和全球独家核心芯片级安全加固方案。 SecurityChain生态链是基于区块链思维和技术的新型安全生态系统。 生态链包括操作系统底层、区块链物联网、云计算设备等安全攻防。 区块链反病毒、区块链反欺诈、移动设备安全防护等。因此，全球安全人员可以基于这个生态系统开发针对区块链安全问题的各种应用服务，为行业用户提供一站式安全保障。 SecurityChain的核心技术包括更安全的UEFI启动操作系统、基于PaX/Grsecurity特性的加固内核、大量的安全基线检查、完善的加密算法、可定制的网络防火墙、密钥的硬件加密存储。

“区块链+”产业商业价值巨大，区块链安全问题亟待关注

在互联网时代蓬勃发展的今天，在2017年全球爆发式增长的市场环境下，互联网安全行业有着巨大的市场需求。 网络安全不仅仅是防病毒，还包括数据安全、隐私安全、账号安全、下载安全等。 和计算机健康。 当整个社会从互联网经济时代进入新的区块链时代，大多数区块链企业和金融机构都面临着巨大的安全风险。

“区块链+”与实体产业的结合，将带动区块链安防行业需求的相应增长。 近年来，区块链与大数据、云计算、物联网、人工智能一起，为互联网行业带来了新的发展空间。 “实体+互联网”转型成为实体经济发展的主流。 现有的互联网技术已经实现了信息传播和共享的解放，而区块链的出现可以进一步解决资金、合约和数字资产在互联网上的交换、交易和转移所带来的问题。 随着区块链技术在供应链、医疗、能源等实体经济领域的落地应用，“区块链+”产业将具有巨大的发展潜力。 区块链安全服务可以为线上和线下经济提供保障，相应的区块链安全领域的需求也会增加。