资源描述:
Blockchain Security Guide长亭科技 ConsenSys 比特大陆联合发布区块链安全生存指南CONTENT目录前言 3|01| 区块链概况 41/1 始于比特币 51/2 不只是比特币 5|02| 区块链原理及特征 62/1 技术原理 72/2 区块链特征 7|03| 行业划分与安全诉求 83/1 数字货币 93/1/1 矿力 93/1/2 钱包 103/1/3 交易 113/2 技术应用 113/2/1 金融 123/2/2 数据存证 123/2/3 底层服务 13|04| 区块链安全攻击实例及分析 154/1 应用层 164/1/1 交易所服务器未授权访问 164/1/2 交易所DDoS攻击 184/1/3 员工主机安全问题 184/1/4 恶意程序感染 194/2 智能合约层 224/2/1 重入攻击 224/2/2 未授权访问攻击 244/2/3 Solidity开发安全 294/3 底层结构层 374/3/1 区块链实现层安全隐患 374/3/2 DApp社区DoS攻击问题 374/3/3 EVM安全隐患 384/4 基础设施层 404/4/1 云服务商安全问题 404/5 安全意识与管理 414/5/1 社会工程学攻击 414/5/2 内部攻击 424/5/3 第三方风险控制失败 424/5/4 钓鱼攻击 43|05| 应对策略-区块链安全开发生命周期 455/1 培训 465/2 需求 475/3 设计 475/4 实现 485/5 验证 495/6 发布与响应 50Blockchain Security Guide区块链安全生存指南前言 3|01| 区块链概况 41/1 始于比特币 51/2 不只是比特币 5|02| 区块链原理及特征 62/1 技术原理 72/2 区块链特征 7|03| 行业划分与安全诉求 83/1 数字货币 93/1/1 矿力 93/1/2 钱包 103/1/3 交易 113/2 技术应用 113/2/1 金融 123/2/2 数据存证 123/2/3 底层服务 13|04| 区块链安全攻击实例及分析 154/1 应用层 164/1/1 交易所服务器未授权访问 164/1/2 交易所DDoS攻击 184/1/3 员工主机安全问题 184/1/4 恶意程序感染 194/2 智能合约层 224/2/1 重入攻击 224/2/2 未授权访问攻击 244/2/3 Solidity开发安全 294/3 底层结构层 374/3/1 区块链实现层安全隐患 374/3/2 DApp社区DoS攻击问题 374/3/3 EVM安全隐患 384/4 基础设施层 404/4/1 云服务商安全问题 404/5 安全意识与管理 414/5/1 社会工程学攻击 414/5/2 内部攻击 424/5/3 第三方风险控制失败 424/5/4 钓鱼攻击 43|05| 应对策略-区块链安全开发生命周期 455/1 培训 465/2 需求 475/3 设计 475/4 实现 485/5 验证 495/6 发布与响应 50Blockchain Security Guide区块链安全生存指南前言FOREWORDBlockchain Security Guide区块链安全生存指南闻名世界的索马里海盗,执行者一般几个人、一艘船、并不强大的火力,抢船成功后动辄百万、千万美金的赎金要求,拼的不是火力,不是船的大小,更多是对海域的熟悉、地理位置的利用和敢想敢做的行为。总结历史发生的所有区块链安全案例来看,这个新兴乍起的行业所遭受的攻击过程和恶劣结果,会让人时不时恍惚觉得,这种攻击力量对比、手法策略和获利的丰厚程度非常相似,现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始,索马里海盗因为正规军的介入而逐渐销声匿迹。当前的区块链企业似乎也急需专业正规军的介入,通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维度进行深入研究,提出切实可行的有效手段,对当前“无墙”的攻击进行遏制。由此产生了长亭科技、ConsenSys和比特大陆的此次联手。随着整个区块链行业的兴起,长亭科技服务了多个相关企业,囊括多种类型。在这个过程中,长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识,但针对区块链安全的了解却是匮乏的;国内外研究区块链安全技术的机构并非不存在,但信息渠道的不畅通导致了知识获取的延迟,遂决定通过多年在安全行业的积累,联合优质且真正能解决问题的资源,将各自的研究成果集合,在当前阶段,给区块链从业者一个相对客观的可参考、可查找资源。长亭科技因擅长攻防技术的背景,是国内最早开始研究并服务区块链企业的网络安全公司之一,积攒了丰富的素材,并利用多年攻防研究和实战经验,梳理了相对成熟的方法论;ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年,总部位于纽约,全球团队超过600人,旗下安全团队ConsenSys Diligence为以太坊生态提供安全服务、工具和最佳实践指南;比特大陆创始人吴忌寒,是第一个将比特币创始人中本聪的论文翻译成中文的人,2013年联合詹克团创立比特大陆,这家成立不到五年的中国公司,被称为比特币产业链上的隐形帝国。三家企业从更丰富的视角对报告内容进行了补充,尽量为区块链从业者提供更多维度的参考信息。Blockchain Security Guide区块链安全生存指南Overview of Blockchain区块链概况|01|1/1 始于比特币区块链(Blockchain)最早由“中本聪”(Satoshi Nakamoto)于2008年在其论文比特币一种点对点电子现金系统中提出,比特币也成为了目前最广为人知的区块链应用案例。广义上讲,区块链技术是利用将打包的数据区块串接成链进行验证与存储数据、利用点对点网络技术和共识算法来生成和更新数据、利用密码学方式保证数据传输的安全、利用自动化脚本代码(也就是智能合约)来操作数据的一种全新的分布式架构与计算范式 。整体来看,区块链是融汇了密码学、数学、计算机科学、网络科学、社会学等多门学科的产物。从创新角度看,区块链巧妙融合升级了多种现有技术,如非对称加密、点对点网络技术、哈希算法和共识算法,它是一次工程学意义上而非科学理论上的创新 。1/2 不只是比特币随着比特币社区的壮大和多种数字货币的发行,同期诞生大批与数字货币挂钩的产品及服务,如矿机、数字钱包、数字货币交易所等。区块链概念在2013年左右开始走进大众视野,随之而来的则是共识机制的多样化和升级,以及智能合约的大范围开发应用。2014年前后,业界开始认识到区块链技术本身的重要潜在价值,并开始尝试将其应用到数字货币以外的场景,如众募、资产交易、权属管理、身份认证等领域,这些应用则被称作去中心化应用(DApp)。伴随着一项新技术的发展和版图扩张,尤其如区块链技术般爆炸式发展,其各层面、各方向上的安全问题也呈现爆炸趋势。虽然区块链还在发展初期,众多技术应用项目仍处于试验阶段,截至目前的攻击事件也多集中在数字货币相关领域,但安全隐患已然暴露出来。本次报告会通过深入剖析区块链技术的原理及特点,梳理具体行业的安全诉求,分析已知的安全事件进行详细解读,并给出在区块链行业中如何安全生产的指导意见。Blockchain Security Guide区块链安全生存指南0512�����ý�����Ï�S uvý�/ ���¨��Z�â à ���Ï�S uvý�/ ��Á�����Û ì ����£ uvý�¥��¨�� ì�a�Ù�5�G��Ð�S�5���¦���Á µ�S�5�ù�î���������� M�»�� ù�����I�U�U�Q�������X�X�X���D�C�S�D���H�P�W���D�O���D�I�J�O�F�T�F���G�J�M�F�T������������������������������������������������������������������������Q�E�GHistorical Theory of Blockchain区块链原理及特征|02|Blockchain Security Guide区块链安全生存指南2/1 技术原理2/2 区块链特征经过近十年发展,区块链行业早已不仅仅是比特币区块链加上社区用户的个人电脑那么简单。基础设施中出现了专业矿机及集群算力;根据链的架构,则有公有链、私有链、联盟链等种类;而其中又衍生出多种针对不同场景、需求的共识机制;智能合约的灵活应用则让各型应用的繁荣成为了可能。具体的说,区块链的基本工作原理是通过标准算法、加密技术将一个文件或数据转换为一个哈希值,该哈希值与文件或数据一一对应。这个文件或数据可以是记录着一种事实、一笔交易、一笔资产或者一项权益等等,形成数据代码与现实世界的关联。这个哈希值被写入一个区块链交易中,并被打上时间戳 。一定数量的哈希值形成一个区块,经过节点的核查最终按时间顺序被加入区块链中。因此区块链中的数据总是前后相继、有据可循。在此之上的智能合约是程序语言编写的合约条款,在满足预设条件时,合约条款将被强制执行。而且智能合约运行在全网所有节点,个体无法将其强行停止。自动执行的智能合约极大的扩展了区块链的功能,丰富了上层应用。一、同步性。去中心的结构省去了传统模式下的中转中心,可极大提升信息、价值的传递效率,来自于区块链的分布式存储模式及其点对点网络系统。区块链上的加密数据分散保存在接入区块链的终端节点中,任何区块更新后,链上的所有节点都能够获知并进行同步。二、可信任性。独特运行机制省去了第三方认证机构,使节点间可以依靠区块链直接达成信任,来自于非对称加密、哈希算法、共识机制等技术。区块链上的数据与事实一一对应,并被链上节点共同验证真伪。即使区块链上个别节点不正确运行,只要其数量不达到一定的阈值,整个区块链账本的真实准确性就不会受到影响。三、可溯源性。来自于时间戳和链式数据结构,依照其链式结构可以对任一个状态进行溯源。区块链中的每个区块都记录着前一区块的哈希值,以此形成单向链结构。而区块中存储的交易或状态转换(transactions)总是前后相连形成事实唯一的链条。应用层 钱包 交易所 实时跨境支付 资产交易合约层 程序语言编写的智能合约核心层 区块 链 P2P网络 共识机制服务层 节点 BaaS 矿机Blockchain Security Guide区块链安全生存指南图2-1 区块链的层级结构073���� ����Û ì ����£ uvý�¥��¨�� ì�a�Ù�5�G��Ð�S�5���¦���Á µ�S�5�ù�î���������� M�»�� ù�����I�U�U�Q�������X�X�X���D�C�S�D���H�P�W���D�O���D�I�J�O�F�T�F���G�J�M�F�T������������������������������������������������������������������������Q�E�GRoadmap and Ecosystem of Security Challenges行业划分与安全诉求|03|Blockchain Security Guide区块链安全生存指南3/1 数字货币目前市场上多达几百家的区块链相关公司,可将其大致划分为数字货币和技术应用两大类,根据不同应用场景和具体行业分析可归类对应的应用特性及安全诉求。区块链作为发迹于比特币的技术,其初衷是以数字货币的形式方便价值的传递与交换。在多年的发展中,针对或基于数字货币的服务与应用也自然成为了区块链行业内的主要分支之一。如同传统交易所一样,资金随着时间在不停流转,所有数字货币类的运用都首先要保证网络的安全,或者说平稳运行、高可用,同时保障系统权限和个体账号权限的安全。3/1/1 矿力区块链社区的健康运行需要节点对信息进行确认、打包并做哈希运算才能生成新的区块加入区块链中,这一过程常被称作挖矿。3/1/1/1 矿机公有链中的节点能在处理交易和生成区块后获得相应数量的数字货币作为奖励,针对区块链运算特点设计的矿机也就应运而生。在利益奖励的驱使下,矿机渐渐占Blockchain Security Guide区块链安全生存指南09据了区块链算力的主流。代表生产厂商有销量最大的比特大陆,以及嘉楠耘智、亿邦通信、Butterfly Labs等。安全诉求网络接口、矿机权限的安全,不会被黑客攻破而为他人挖矿。*节点的安全诉求与此类似。3/1/1/2 矿池随着参与挖矿的算力增大以及每秒交易数的增多,为了避免数字货币的通货膨胀,挖矿的难度自然随之加大,在这样的环境下也就有了矿池。矿池可以是大量矿机的硬件集群,也可以是个体矿机接入网络平台形成集体算力共享收益。代表生产厂商有蚂蚁矿池、BTC.com。安全诉求网络的安全平稳运行、平台权限安全。3/1/1/3 云算力随着数字货币价值的升高,越来越多的普通人希望参与到挖矿中。他们并不打算购买专业矿机,而是希望利用自己的个人电脑或手机参与其中,云算力市场也就来了。用户可以租赁云算力平台上的算力作为自己的算力以此获得相应的挖矿收益。代表生产厂商有算力宝、CEX。安全诉求网络的安全平稳运行,平台权限安全。3/1/2 钱包为了安全进行数字货币的交易,区块链中的签名私钥是经过复杂密码学运算出的一串编码,不方便使用者记忆。因此持有数字货币的人需要一个载体来帮助记录其地址和私钥,以及进行数字货币交易,这种载体也就是常说的钱包。根据钱包使用时的联网状态可以分为热钱包和冷钱包。3/1/2/1 热钱包联网状态下使用的在线钱包被称为热钱包。根据区块链数据的维护方式,我们可以将热钱包分为全节点钱包和轻钱包等。全节点钱包维护着全部的区块链数据,完全去中心化,同步所有数据,典型代表有Bitcoin Core、Parity钱包。轻钱包只维护与自己有关的区块链数据,依赖于区块链网络上的其他全节点实现一定的去中心化,仅同步自己相关的数据,比如Electrum、imToken。安全诉求用户私钥的安全、钱包运行的智能合约零漏洞。3/1/2/2 冷钱包没有联网状态下使用的离线钱包被称为冷钱包,比如将私钥记录在纸上或一台不联网的设备,或者专业的硬件钱包,如Ledger Nano S、Keepkey、Trezor等。硬件钱包是目前最安全的钱包。安全诉求冷钱包本身的硬件安全。3/1/2/3 中心化钱包 中心化钱包内部实现可以有热钱包也可以有冷钱包。它不依赖区块链网络,而是依赖一个中心服务;客户端不同步数据,而是从中心服务器获取。典型的有Coin-base、BitPay。3/1/3 交易作为一种货币,意味着其自身具有了价值,可以用来投资、交易或者支付,于是便有了数字货币交易所和基于数字货币的国际支付。3/1/3/1 数字货币交易随着比特币价值攀升,越来越多的个体以及资本加入到投资数字货币的大军中,数字货币交易平台层出不穷。类似于股票交易所,用户在数字货币交易平台可以自由进行不同货币的交易和提现。由于大量的价值转换在交易所发生,交易所聚集了大量资金的同时也吸引了最集中的攻击者注意力。广为人知的火币、币安、Mt. Gox、Bitcoinica、Bitfinex等都曾遭遇过攻击事件,攻击甚至分布在各层面,从底层运行设施、智能合约到应用层无不涉及。安全诉求保护平台权限和个体账户的安全,防御来自Web端的攻击以及内部人员的泄漏。3/1/3/2 实时跨境支付大众熟悉的微信支付、支付宝是基于实体货币的网络应用,数字货币作为一种网络应用同样具有支付的能力,且具有低成本、近实时和无国界限制的优势。例如可以转账任意一种货币并在秒级确认的Ripple,其已被多家银行和支付网络用作快速支付的底层架构;基于点对点支付技术的公司Circle,其第一个获得了纽约州金融服务部门颁发的虚拟货币营业执照。安全诉求软件端无漏洞、保证用户的账号安全。矿力矿机 比特大陆 Butterfly Labs矿池 蚂蚁矿池 BTC.com云算力 算力宝 CEX区块链钱包数字货币热钱包 Bitcoin Core Parity冷钱包 Ledger Nano S技术应用金融融资 The DAO Telegram资产交易 BitShare OpenBazaar共享经济 玩客云 赚钱宝 Golem交易数字货币交易 币安 火币 Mt.Gox实时跨境支付 Ripple Circle底层服务解决方案 ConsenSys R3 CordaBaaS IBM Bluemix MS Azure开发基础 以太坊 Hyperledger数据存证资产管理 Factom 纸贵个体信息 征信 公证 医疗图3-1 区块链相关行业划分区块链作为发迹于比特币的技术,其初衷是以数字货币的形式方便价值的传递与交换。在多年的发展中,针对或基于数字货币的服务与应用也自然成为了区块链行业内的主要分支之一。如同传统交易所一样,资金随着时间在不停流转,所有数字货币类的运用都首先要保证网络的安全,或者说平稳运行、高可用,同时保障系统权限和个体账号权限的安全。3/1/1 矿力区块链社区的健康运行需要节点对信息进行确认、打包并做哈希运算才能生成新的区块加入区块链中,这一过程常被称作挖矿。3/1/1/1 矿机公有链中的节点能在处理交易和生成区块后获得相应数量的数字货币作为奖励,针对区块链运算特点设计的矿机也就应运而生。在利益奖励的驱使下,矿机渐渐占Blockchain Security Guide区块链安全生存指南10据了区块链算力的主流。代表生产厂商有销量最大的比特大陆,以及嘉楠耘智、亿邦通信、Butterfly Labs等。安全诉求网络接口、矿机权限的安全,不会被黑客攻破而为他人挖矿。*节点的安全诉求与此类似。3/1/1/2 矿池随着参与挖矿的算力增大以及每秒交易数的增多,为了避免数字货币的通货膨胀,挖矿的难度自然随之加大,在这样的环境下也就有了矿池。矿池可以是大量矿机的硬件集群,也可以是个体矿机接入网络平台形成集体算力共享收益。代表生产厂商有蚂蚁矿池、BTC.com。安全诉求网络的安全平稳运行、平台权限安全。3/1/1/3 云算力随着数字货币价值的升高,越来越多的普通人希望参与到挖矿中。他们并不打算购买专业矿机,而是希望利用自己的个人电脑或手机参与其中,云算力市场也就来了。用户可以租赁云算力平台上的算力作为自己的算力以此获得相应的挖矿收益。代表生产厂商有算力宝、CEX。安全诉求网络的安全平稳运行,平台权限安全。3/1/2 钱包为了安全进行数字货币的交易,区块链中的签名私钥是经过复杂密码学运算出的一串编码,不方便使用者记忆。因此持有数字货币的人需要一个载体来帮助记录其地址和私钥,以及进行数字货币交易,这种载体也就是常说的钱包。根据钱包使用时的联网状态可以分为热钱包和冷钱包。3/1/2/1 热钱包联网状态下使用的在线钱包被称为热钱包。根据区块链数据的维护方式,我们可以将热钱包分为全节点钱包和轻钱包等。全节点钱包维护着全部的区块链数据,完全去中心化,同步所有数据,典型代表有Bitcoin Core、Parity钱包。轻钱包只维护与自己有关的区块链数据,依赖于区块链网络上的其他全节点实现一定的去中心化,仅同步自己相关的数据,比如Electrum、imToken。安全诉求用户私钥的安全、钱包运行的智能合约零漏洞。3/1/2/2 冷钱包没有联网状态下使用的离线钱包被称为冷钱包,比如将私钥记录在纸上或一台不联网的设备,或者专业的硬件钱包,如Ledger Nano S、Keepkey、Trezor等。硬件钱包是目前最安全的钱包。安全诉求冷钱包本身的硬件安全。3/1/2/3 中心化钱包 中心化钱包内部实现可以有热钱包也可以有冷钱包。它不依赖区块链网络,而是依赖一个中心服务;客户端不同步数据,而是从中心服务器获取。典型的有Coin-base、BitPay。3/1/3 交易作为一种货币,意味着其自身具有了价值,可以用来投资、交易或者支付,于是便有了数字货币交易所和基于数字货币的国际支付。3/1/3/1 数字货币交易随着比特币价值攀升,越来越多的个体以及资本加入到投资数字货币的大军中,数字货币交易平台层出不穷。类似于股票交易所,用户在数字货币交易平台可以自由进行不同货币的交易和提现。由于大量的价值转换在交易所发生,交易所聚集了大量资金的同时也吸引了最集中的攻击者注意力。广为人知的火币、币安、Mt. Gox、Bitcoinica、Bitfinex等都曾遭遇过攻击事件,攻击甚至分布在各层面,从底层运行设施、智能合约到应用层无不涉及。安全诉求保护平台权限和个体账户的安全,防御来自Web端的攻击以及内部人员的泄漏。3/1/3/2 实时跨境支付大众熟悉的微信支付、支付宝是基于实体货币的网络应用,数字货币作为一种网络应用同样具有支付的能力,且具有低成本、近实时和无国界限制的优势。例如可以转账任意一种货币并在秒级确认的Ripple,其已被多家银行和支付网络用作快速支付的底层架构;基于点对点支付技术的公司Circle,其第一个获得了纽约州金融服务部门颁发的虚拟货币营业执照。安全诉求软件端无漏洞、保证用户的账号安全。3/2 技术应用区块链作为发迹于比特币的技术,其初衷是以数字货币的形式方便价值的传递与交换。在多年的发展中,针对或基于数字货币的服务与应用也自然成为了区块链行业内的主要分支之一。如同传统交易所一样,资金随着时间在不停流转,所有数字货币类的运用都首先要保证网络的安全,或者说平稳运行、高可用,同时保障系统权限和个体账号权限的安全。3/1/1 矿力区块链社区的健康运行需要节点对信息进行确认、打包并做哈希运算才能生成新的区块加入区块链中,这一过程常被称作挖矿。3/1/1/1 矿机公有链中的节点能在处理交易和生成区块后获得相应数量的数字货币作为奖励,针对区块链运算特点设计的矿机也就应运而生。在利益奖励的驱使下,矿机渐渐占据了区块链算力的主流。代表生产厂商有销量最大的比特大陆,以及嘉楠耘智、亿邦通信、Butterfly Labs等。安全诉求网络接口、矿机权限的安全,不会被黑客攻破而为他人挖矿。*节点的安全诉求与此类似。3/1/1/2 矿池随着参与挖矿的算力增大以及每秒交易数的增多,为了避免数字货币的通货膨胀,挖矿的难度自然随之加大,在这样的环境下也就有了矿池。矿池可以是大量矿机的硬件集群,也可以是个体矿机接入网络平台形成集体算力共享收益。代表生产厂商有蚂蚁矿池、BTC.com。安全诉求网络的安全平稳运行、平台权限安全。3/1/1/3 云算力随着数字货币价值的升高,越来越多的普通人希望参与到挖矿中。他们并不打算购买专业矿机,而是希望利用自己的个人电脑或手机参与其中,云算力市场也就来了。用户可以租赁云算力平台上的算力作为自己的算力以此获得相应的挖矿收益。代表生产厂商有算力宝、CEX。安全诉求网络的安全平稳运行,平台权限安全。3/1/2 钱包为了安全进行数字货币的交易,区块链中的签名私钥是经过复杂密码学运算出的一串编码,不方便使用者记忆。因此持有数字货币的人需要一个载体来帮助记录其地址和私钥,以及进行数字货币交易,这种载体也就是常说的钱包。根据钱包使用时的联网状态可以分为热钱包和冷钱包。3/1/2/1 热钱包联网状态下使用的在线钱包被称为热钱包。根据区块链数据的维护方式,我们可以将热钱包分为全节点钱包和轻钱包等。全节点钱包维护着全部的区块链数据,完全去中心化,同步所有数据,典型代表有Bitcoin Core、Parity钱包。轻钱包只维护与自己有关的区块链数据,依赖于区块链网络上的其他全节点实现一定的去中心化,仅同步自己相关的数据,比如Electrum、imToken。安全诉求用户私钥的安全、钱包运行的智能合约零漏洞。3/1/2/2 冷钱包没有联网状态下使用的离线钱包被称为冷钱包,比如将私钥记录在纸上或一台不联网的设备,或者专业的硬件钱包,如Ledger Nano S、Keepkey、Trezor等。硬Blockchain Security Guide区块链安全生存指南11件钱包是目前最安全的钱包。安全诉求冷钱包本身的硬件安全。3/1/2/3 中心化钱包 中心化钱包内部实现可以有热钱包也可以有冷钱包。它不依赖区块链网络,而是依赖一个中心服务;客户端不同步数据,而是从中心服务器获取。典型的有Coin-base、BitPay。3/1/3 交易作为一种货币,意味着其自身具有了价值,可以用来投资、交易或者支付,于是便有了数字货币交易所和基于数字货币的国际支付。3/1/3/1 数字货币交易随着比特币价值攀升,越来越多的个体以及资本加入到投资数字货币的大军中,数字货币交易平台层出不穷。类似于股票交易所,用户在数字货币交易平台可以自由进行不同货币的交易和提现。由于大量的价值转换在交易所发生,交易所聚集了大量资金的同时也吸引了最集中的攻击者注意力。广为人知的火币、币安、Mt. Gox、Bitcoinica、Bitfinex等都曾遭遇过攻击事件,攻击甚至分布在各层面,从底层运行设施、智能合约到应用层无不涉及。安全诉求保护平台权限和个体账户的安全,防御来自Web端的攻击以及内部人员的泄漏。3/1/3/2 实时跨境支付大众熟悉的微信支付、支付宝是基于实体货币的网络应用,数字货币作为一种网络应用同样具有支付的能力,且具有低成本、近实时和无国界限制的优势。例如可以转账任意一种货币并在秒级确认的Ripple,其已被多家银行和支付网络用作快速支付的底层架构;基于点对点支付技术的公司Circle,其第一个获得了纽约州金融服务部门颁发的虚拟货币营业执照。安全诉求软件端无漏洞、保证用户的账号安全。区块链虽然名扬于比特币,但其应用前景却绝不仅仅局限于数字货币。由于区块链的同步性、信任性、可溯源性,很多现实场景中都可以利用区块链技术降低成本、提升效率。这里的安全诉求则包括了底层节点运行的安全,区块链架构与程序编写的安全,智能合约的逻辑与编写以及上层面向外部的应用层安全,以下罗列了部分应用场景。3/2/1 金融由于区块链天然具有同步性、可信任性和智能合约的可编程、可拓展性,其在金融领域可有效的减少流程,提升金融智能化、自动化,应用方向大致分为共享经济、资产交易和融资三类。3/2/1/1 共享经济带有同步性和可信任性的点对点网络,贴合了共享经济的根本需求。甲乙双方可在区块链上直接达成信任,并近乎实时的同步共享物资的状态及交易情况,一个无需中心化第三方的可信任网络将成为共享经济新的助力,已知的应用有迅雷的玩客云、赚钱宝,用户分享闲置的网络带宽、存储空间及计算资源。另一方面,住房共享和出行共享方向的区块链应用也备受关注,有报道称Airbnb已经招募了一批区块链开发者。安全诉求个体账户和数据的安全。3/2/1/2 资产交易区块链上不仅可以进行数字货币的交易,也可做实物资产的交易。其形式可以是资产交易所,亦或多方的大宗商品贸易平台。发展可观的Bitshare是一个资产交易所和去中心化的银行,数字货币价值与美元、黄金等资产挂钩,用户可以在上面交易区块链资产,也可以交易美元、黄金等任何资产。另一方面,由荷兰国际集团ING主导的Easy Trading Connect平台,致力于优化大宗商品贸易流程,提高交易效率,节省成本。安全诉求权限管理、合约安全。3/2/1/3 融资(ICO)Initial Coin Offering 简化了传统IPO的繁琐过程,企业融资可省去认证过程和第三方平台,同时降低了融资的成本与门槛,让任何一家企业或产品都可以直接从各等级资本市场进行融资,这也是当前市场上各类代币的主要来源。值得一提的是80的ICO是基于以太坊平台编写的智能合约,其中代表有因为安全问题而被广为人知的风险投资基金The DAO(问题来源及攻击事件会在报告中详细分析);进行了ICO的项目包括预测市场平台Gnosis和Augur,旨在改变网页广告模式的Brave浏览器的BAT token,以及通讯工具Telegram等。安全诉求合约安全,也即逻辑及代码实现。3/2/2 数据存证区块链的可溯源性以及可信任性,或者具体表述为不可篡改性,让其在数据存证行业拥有广泛的应用场景。这一类的应用目前大多还处于构建阶段,总体可以分为资产管理和个体信息两个方向。3/2/2/1 资产管理大多讨论集中在区块链在房地产、版权、物流、供应链等行业的应用,看起来种类庞杂且处于完全不同的行业,其实区块链应用的本质都可以被归类为将资产数字化后,利用区块链可信任与可溯源性进行管理。已经落地的典型代表有从事版权数据库和版权交易平台的纸贵,以及可用于保护与认证资产的合作式平台Factom。安全诉求防篡改、保护隐私、保障节点安全。3/2/2/2 个体信息与资产管理类似,许多将区块链与征信、公证、医疗相结合的想法或尝试已经开始,报告将其归类为利用区块链的可信任性进行个体信息存储。比如宜信的私有链系统BlockWorm上第一个征信应用CreditStorage,以及自主身份验证平台uPort等。安全诉求隐私、个体信息安全。3/2/3 底层服务除了许多做具体场景应用的项目外,不少为上层应用提供或完善底层平台的项目业已开展,报告将其分类为解决方案、BaaS和开发基础。安全诉求底层架构合理、开发语言安全、平台运行安全。3/2/3/1 解决方案区块链的结构和特性可以运用在许多不同的场景,因此也就有了开发团队或联盟基于一套底层结构为客户提供特定场景下的解决方案,让用户可以拿到一个即插即用的区块链。典型代表有为以太坊生态圈开发Decentralized Applications(DApp),并为开发者及终端用户提供相应工具的ConsenSys;以及有几十家大型银行参与的R3联盟,开发出了在开放网络上遵循严格保密规范的商业级分布式账本平台Corda。安全诉求应用场景中的接口安全。3/2/3/2 BaaS并不是所有搭建区块链的个体或团队都希望从基础设施开始构建整个系统,由此产生了基于云服务的BaaS服务。BaaS为用户提供了在云上灵活管理区块链网络的能力,让开发者专注于快速创建、操作和监控区块链网络,而无需过多考虑底层硬件资源,典型代表有IBM 的Bluemix、微软的Azure、腾讯的TBaaS。安全诉求云平台的运行稳定和安全。3/2/3/3 开发基础解决方案和BaaS都需要底层的区块链架构作为开发基础来提供服务。其中,比特币网络和以太坊是公链中应用范围最广的两类开发基础,有众多应用都基于此两类区块链开发。区块链应用的开发语言(例如目前最主流的以太坊的Solidity语言)的安全性还有待完善。在联盟链与私有链领域,则有企业以太坊联盟(EEA)牵头的Enterprise Ethereum、Linux Foundation牵头的Hyperledger和R3牵头的Corda。安全诉求底层架构和编程语言的安全。综上,报告对大部分应用市场上的区块链应用进行了划分,一些小众的应用并没有在此列出,主要因为它们或是对同一类产品换了层包装描述,或是将上述某几类行业融合在一起,不再一一赘述。各运用到区块链的领域均使用到去中心化的可信任性,也就是底层共识机制的运行;而智能合约的安全性则决定了项目能否按预期执行;最上层的应用则面临着来自外部网络攻击或内部泄露的风险。由此可见,区块链安全也是环环相扣的“链条”结构节点的稳定运行、底层架构的扎实根基、智能合约的按预期执行、上层应用的全方位防护缺一不可。区块链虽然名扬于比特币,但其应用前景却绝不仅仅局限于数字货币。由于区块链的同步性、信任性、可溯源性,很多现实场景中都可以利用区块链技术降低成本、提升效率。这里的安全诉求则包括了底层节点运行的安全,区块链架构与程序编写的安全,智能合约的逻辑与编写以及上层面向外部的应用层安全,以下罗列了部分应用场景。Blockchain Security Guide区块链安全生存指南123/2/1 金融由于区块链天然具有同步性、可信任性和智能合约的可编程、可拓展性,其在金融领域可有效的减少流程,提升金融智能化、自动化,应用方向大致分为共享经济、资产交易和融资三类。3/2/1/1 共享经济带有同步性和可信任性的点对点网络,贴合了共享经济的根本需求。甲乙双方可在区块链上直接达成信任,并近乎实时的同步共享物资的状态及交易情况,一个无需中心化第三方的可信任网络将成为共享经济新的助力,已知的应用有迅雷的玩客云、赚钱宝,用户分享闲置的网络带宽、存储空间及计算资源。另一方面,住房共享和出行共享方向的区块链应用也备受关注,有报道称Airbnb已经招募了一批区块链开发者。安全诉求个体账户和数据的安全。3/2/1/2 资产交易区块链上不仅可以进行数字货币的交易,也可做实物资产的交易。其形式可以是资产交易所,亦或多方的大宗商品贸易平台。发展可观的Bitshare是一个资产交易所和去中心化的银行,数字货币价值与美元、黄金等资产挂钩,用户可以在上面交易区块链资产,也可以交易美元、黄金等任何资产。另一方面,由荷兰国际集团ING主导的Easy Trading Connect平台,致力于优化大宗商品贸易流程,提高交易效率,节省成本。安全诉求权限管理、合约安全。3/2/1/3 融资(ICO)Initial Coin Offering 简化了传统IPO的繁琐过程,企业融资可省去认证过程和第三方平台,同时降低了融资的成本与门槛,让任何一家企业或产品都可以直接从各等级资本市场进行融资,这也是当前市场上各类代币的主要来源。值得一提的是80的ICO是基于以太坊平台编写的智能合约,其中代表有因为安全问题而被广为人知的风险投资基金The DAO(问题来源及攻击事件会在报告中详细分析);进行了ICO的项目包括预测市场平台Gnosis和Augur,旨在改变网页广告模式的Brave浏览器的BAT token,以及通讯工具Telegram等。安全诉求合约安全,也即逻辑及代码实现。3/2/2 数据存证区块链的可溯源性以及可信任性,或者具体表述为不可篡改性,让其在数据存证行业拥有广泛的应用场景。这一类的应用目前大多还处于构建阶段,总体可以分为资产管理和个体信息两个方向。3/2/2/1 资产管理大多讨论集中在区块链在房地产、版权、物流、供应链等行业的应用,看起来种类庞杂且处于完全不同的行业,其实区块链应用的本质都可以被归类为将资产数字化后,利用区块链可信任与可溯源性进行管理。已经落地的典型代表有从事版权数据库和版权交易平台的纸贵,以及可用于保护与认证资产的合作式平台Factom。安全诉求防篡改、保护隐私、保障节点安全。3/2/2/2 个体信息与资产管理类似,许多将区块链与征信、公证、医疗相结合的想法或尝试已经开始,报告将其归类为利用区块链的可信任性进行个体信息存储。比如宜信的私有链系统BlockWorm上第一个征信应用CreditStorage,以及自主身份验证平台uPort等。安全诉求隐私、个体信息安全。3/2/3 底层服务除了许多做具体场景应用的项目外,不少为上层应用
展开阅读全文