国家区块链安全技术检测中心成立,做区块链行业的安全使者

近日,瑞士区块链公司Trade.io称,其冷钱包中的5000万TIO被盗,现价约值750万美元,黑客几小时前攻击时约值1100万美元。

区块链行业火爆繁荣的同时,安全问题引发众人瞩目,遭遇黑客疯狂狙击,给行业和用户造成巨大冲击和潜在的经济损失,安全问题迫在眉睫。

2018年10月24日,国家互联网应急中心(简称:CNCERT)与长沙经开区成立区块链安全技术检测中心,区块链安全检测技术中心将着力区块链安全领域,深入研究、开发相关技术,形成长足的先发优势,在防范新形势下的区块链安全事件,促进区块链行业健康发展等方面发挥重要作用。

揭底区块链频发的安全事故

区块链经济价值的与日渐增,争相入场的除了资本与心存信仰的区块链创业者之外,那些“作恶”的不法分子亦盯上这块儿“肥肉”。其利用各种攻击手段,已达成自身目的。

2014年,门头沟事件(Mt.Gox),85万个比特币凭空消失;

2017年7月,韩国最大的比特币交易所Bithumb遭黑客入侵,3万名客户的数据被泄露,黑客利用崭取来的数据进行“语音钓鱼”,造成大量客户的资金损失;

2016年6月17日,区块链业界最大的众筹项目The DAO遭到攻击,造成了总价值超过5000万美元的损失;

2017年7月和11月,以太坊Parity钱包先后两次出现重大bug,分别导致千万美金被盗和上亿美元被冻结;

上述安全事件,也只是区块链行业重重安全威胁的冰山一角。据《区块链产业安全分析报告》显示,2011年到2018年4月份,全球范围内因区块链安全事件造成的损失多达28.64亿美元。

安全业界有人提出:所有不顾安全大谈区块链的都是耍流氓

区块链安全事件为何层出不穷?

纵观上述的区块链安全事件,大部分都是不安全的代码规范带来的诸多漏洞造成的。

在代码层面,数字货币相关开源软件的高危漏洞和安全隐患非常多,这也给当前的数字货币和区块链技术带来了一些挑战。由于这些系统承载了虚拟数字资产,底层算法的潜在问题一旦暴露,会对资产安全构造严重威胁,甚至可能影响到数字货币的流通。

这就要求项目方设计智能合约时,应该有些安全的设计方案,使得安全漏洞发生时,对攻击之前的余额做快照,并能够马上保护相应资产转到新的智能合约去。另外,有些智能合约可以做可升级的智能合约 ,设计时确保升级逻辑不会引入新的安全漏洞。

不过就算技术本身已将安全风险降至最低,也有可能因为使用者的疏忽或不当使用,造成安全事故的发生。由于智能合约是一次性发布上链的,对于开发者而言,发现漏洞后只能发布新的智能合约然后做手动映射,当一个智能合约出现问题,所有copy这个智能合约的都会出现问题,以一传百,迅速扩散,一旦有心人找到漏洞并加以利用,个体问题便迅速扩散为群体灾难。项目方在时间、人力、财力上会付出很大的代价。

所以,项目方需要面对现实,做出几乎唯一可行的、切实有效的努力——在智能合约上线之前,对其进行全面深入的代码安全审计,尽可能的消除漏洞,降低安全风险。

安全“使者”——国内区块链安全技术检测中心成立

2018年10月19日,国家互联网信息办公室(以下简称“网信办”)出台《区块链信息服务管理规定(征求意见稿)》(以下简称《规定》)。《规定》第16条规定,区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

《征求意见稿》的出现,说明了国家对区块链领域监管日趋严格,可以预见《征求意见稿》通过后,区块链安全技术检测中心毫无疑问将成为区块链行业安全评估的重要平台,它不仅可以帮助企业和机构解决来自算法安全、协议安全、使用安全和系统安全等多方挑战,为区块链产业的合规性提供技术支撑;另一方面也能为区块链企业和项目方保驾护航。

天河国云作为区块链安全检测技术中心的技术提供方,其推出的代码审计平台,通过合约复杂性、合约风险性、合约代码安全性三方面综合评判智能合约代码质量,能够帮助区块链项目提前排查智能合约安全风险。让区块链项目方提前提高抵御与防备技术水平,提升加密货币安全系数。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181025A0O1L600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券