區(qū)塊鏈?zhǔn)鞘澜缱畎踩�網(wǎng)絡(luò)？這9大理由讓你保持警惕

3月22日消息，據(jù)ZDNet報(bào)道，全球在線賬簿網(wǎng)絡(luò)——區(qū)塊鏈真的安全嗎？它的支持者認(rèn)為的確如此，因?yàn)樗鼘⒔灰谆蛑悄芎贤�分配給不可變的分類(lèi)帳，并可由多方驗(yàn)證。然而，最近發(fā)表的論文指出，有些漏洞可能會(huì)導(dǎo)致區(qū)塊鏈陷入低效、黑客攻擊以及其他犯罪活動(dòng)中。

這篇論文由香港理工大學(xué)的李曉淇（Xiaoqi Li）、姜鵬（Peng Jiang）和羅夏普(Xiapu Luo)、中國(guó)電子科技大學(xué)的陳婷(Ting Chen)以及北京大學(xué)的溫巧燕(Qiaoyan Wen)共同發(fā)表的，他們聲稱(chēng)，區(qū)塊鏈有幾個(gè)漏洞，用戶(hù)需要對(duì)它們保持警惕。

隨著區(qū)塊鏈逐漸成為業(yè)務(wù)運(yùn)營(yíng)的重要組成部分，需要對(duì)這種新興技術(shù)帶來(lái)的潛在安全責(zé)任進(jìn)行更仔細(xì)的審視。李曉淇等人表示：“隨著這種分布式應(yīng)用數(shù)量的增長(zhǎng)，區(qū)塊鏈的隱私泄露風(fēng)險(xiǎn)將會(huì)變得更加嚴(yán)重。分布式應(yīng)用本身，以及應(yīng)用程序和互聯(lián)網(wǎng)之間的通信過(guò)程，都面臨著隱私泄露的風(fēng)險(xiǎn)�！�

他們敦促采用更安全的技術(shù)來(lái)應(yīng)對(duì)挑戰(zhàn)，比如代碼混淆、應(yīng)用程序硬化以及執(zhí)行可信任的計(jì)算等。研究人員概述了區(qū)塊鏈已知的九大關(guān)鍵風(fēng)險(xiǎn)因素：

1.區(qū)塊鏈效率

對(duì)于新手來(lái)說(shuō)，區(qū)塊鏈本身的效率可能會(huì)因復(fù)雜的共識(shí)機(jī)制（consensus mechanism）和無(wú)效數(shù)據(jù)而超載。李曉琪和他的合著者指出，互聯(lián)網(wǎng)上使用的共識(shí)機(jī)制是計(jì)算資源的基礎(chǔ)。例如，區(qū)塊鏈中最流行的共識(shí)機(jī)制就是工作證明系統(tǒng)（Proof of Work），研究人員稱(chēng)之為“浪費(fèi)計(jì)算資源”。他們表示，目前正在努力開(kāi)發(fā)更高效和混合的共識(shí)機(jī)制，將工作證明系統(tǒng)和權(quán)益證明系統(tǒng)(Proof of Stake)結(jié)合起來(lái)。

此外，區(qū)塊鏈將產(chǎn)生大量數(shù)據(jù)，包括區(qū)塊信息、交易數(shù)據(jù)、契約字節(jié)碼等，它們?nèi)菀走^(guò)時(shí)且無(wú)用。研究人員認(rèn)為：“有很多智能合同不包含任何代碼，或者在以太坊中使用完全相同的代碼，而且許多智能合同在部署后永遠(yuǎn)不會(huì)被執(zhí)行。為了提高區(qū)塊鏈系統(tǒng)的執(zhí)行效率，需要高效的數(shù)據(jù)清理和檢測(cè)機(jī)制。”

2.51%的脆弱性

區(qū)塊鏈依賴(lài)于分布式的共識(shí)機(jī)制建立相互信任。然而，共識(shí)機(jī)制本身有51%的漏洞，即攻擊者可以利用它來(lái)控制整個(gè)區(qū)塊鏈。更準(zhǔn)確地說(shuō)，在以工作證明系統(tǒng)為基礎(chǔ)的區(qū)塊鏈中，如果單個(gè)礦商的散列功率占整個(gè)區(qū)塊鏈總散列功率的50%以上，那么51%的攻擊可能就會(huì)被啟動(dòng)。因此，集中在少數(shù)幾個(gè)礦池的采礦力量可能導(dǎo)致對(duì)疏忽情況的恐懼，例如單個(gè)礦池控制超過(guò)一半的計(jì)算能力。

3.私鑰安全

當(dāng)使用區(qū)塊鏈時(shí)，用戶(hù)的私鑰被視為身份和安全憑證，由用戶(hù)而不是第三方機(jī)構(gòu)生成和維護(hù)。舉例來(lái)說(shuō)，當(dāng)在比特幣區(qū)塊鏈中創(chuàng)建冷存儲(chǔ)錢(qián)包時(shí)，用戶(hù)必須輸入他/她的私鑰。攻擊者可以恢復(fù)用戶(hù)的私鑰，因?yàn)樵诤灻�過(guò)程中它并非完全依賴(lài)隨機(jī)性生成。一旦用戶(hù)的私鑰丟失，它將無(wú)法恢復(fù)。由于區(qū)塊鏈不依賴(lài)于任何集中的第三方可信機(jī)構(gòu)，如果用戶(hù)的私鑰被竊取，則很難跟蹤犯罪行為并恢復(fù)修改的區(qū)塊鏈信息。

4.犯罪活動(dòng)

通過(guò)支持比特幣的第三方交易平臺(tái)，用戶(hù)可以購(gòu)買(mǎi)或出售任何產(chǎn)品。由于這個(gè)過(guò)程是匿名的，所以很難追蹤用戶(hù)行為，更不用說(shuō)讓他們受到法律制裁了。與比特幣相關(guān)的犯罪活動(dòng)通常包括勒索贖金、地下市場(chǎng)和洗錢(qián)。

5.重復(fù)支出

雖然區(qū)塊鏈的共識(shí)機(jī)制可以驗(yàn)證交易，但仍然不可能避免重復(fù)支出，或者在交易中多次使用相同的加密貨幣。攻擊者可以利用兩次交易發(fā)起和確認(rèn)之間的中間時(shí)間來(lái)快速發(fā)起攻擊。

6.交易隱私泄漏

不幸的是，區(qū)塊鏈的隱私保護(hù)措施并不是很健全。犯罪智能合同可能導(dǎo)致機(jī)密信息的泄露、竊取密鑰，以及各種現(xiàn)實(shí)世界的罪行(如謀殺、縱火、恐怖主義等)。

7.智能合同中的漏洞

由于應(yīng)用程序在區(qū)塊鏈中運(yùn)行，智能合同可能有由程序缺陷引起的安全漏洞。舉例來(lái)說(shuō)，一項(xiàng)研究發(fā)現(xiàn)，在19366個(gè)以太坊智能合同中，有8833個(gè)容易受到錯(cuò)誤的影響，比如交易順序依賴(lài)、時(shí)間戳依賴(lài)、錯(cuò)誤異常處理以及重入性漏洞。

8.未充分優(yōu)化的智能合同

當(dāng)用戶(hù)與在以太坊中部署的智能合同進(jìn)行交互時(shí)，會(huì)收取一定數(shù)量的“氣體”。這種氣體可以用以太坊的加密貨幣——以太幣來(lái)兌換。這就導(dǎo)致了“無(wú)用代碼相關(guān)模式”和“循環(huán)相關(guān)模式”，其中包括“死代碼、不透明謂詞和循環(huán)中昂貴操作”。

9.定價(jià)偏低的操作

根據(jù)執(zhí)行時(shí)間、帶寬、內(nèi)存占用率和其他參數(shù)，以太坊設(shè)置“氣體”價(jià)值。一般來(lái)說(shuō)，氣體的價(jià)值與操作消耗的計(jì)算資源成正比。然而，要準(zhǔn)確測(cè)量單個(gè)操作的計(jì)算資源消耗量非常困難，因此有些氣體的價(jià)值是不準(zhǔn)確的。例如，有些氣體值設(shè)置得太低，因此這些操作可以在某個(gè)交易中大量執(zhí)行。通過(guò)這種方式，攻擊者可以發(fā)起對(duì)以太坊的拒絕服務(wù)攻擊。