迅雷链安全机制行业领先 防范能力获多方企业点赞

安全,无论在何时,都是众人关注的焦点。

互联网时代,安全问题可能会导致个人隐私的泄露、数据的丢失,造成资金损失或人身困扰。而在区块链行业安全问题也同样突出,据腾讯安全去年发布的《2018上半年区块链安全报告》显示,仅在报告期间,区块链自身机制安全、生态安全和使用者安全三个方面造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。

随着区块链应用范围愈加广泛,安全更是成为迫在眉睫、亟待解决的一个问题。区块律动发布的《2018区块链安全报告》显示,大量的安全问题在2017、2018年浮出水面,2018 年区块链安全事件发生 138 起,较2017年暴增 820%。因此,可靠的安全系统机制,对区块链应用开发极其重要。

区块链自身机制安全日益凸显

进入2019年之后,区块链安全问题的重心发生变化。其中最为明显的是,因为区块链生态和用户使用习惯造成的安全问题比例逐渐降低。由于用户也在不断成长,对区块链的使用方式已慢慢习惯,不会再简单套用互联网的使用习惯,由于缺少区块链知识而导致的安全事件越来越少。

但是,由于区块链自身机制导致的安全问题却日显严重。国内区块链行业头部企业迅雷链就曾发现,一款区块链应用因为其通证合约出现漏洞,导致无限制滥发,最终造成整个应用的崩溃。这种由于智能合约本身设计有问题而导致出现安全漏洞的案例,使得越来越多的企业和开发者在选择底层区块链技术平台时日益慎重。

迅雷链的技术负责人表示,区块链智能合约技术出现的时间太短,还处于初级阶段,容易出现漏洞。同时部分区块链智能合约由于公开了源代码、虚拟机以及编译器等核心部件,因此更容易招致攻击。

共识机制漏洞是安全问题的另外一大诱因。康奈尔大学的一份研究结果证明,如果是单纯的POW共识机制,那么其中“自私的矿工”可以通过欺骗其他节点把时间浪费在已经解决的哈希运算上,从而获得相对优势。另一种可能性是“日食攻击”。为了比较数据,区块链上的节点必须保持与其他节点的持续的通信。攻击者如果设法控制一个节点的通信,并欺骗它接受来自网络其他部分的虚假数据,就可以欺骗它浪费算力或者确认虚假交易。

逐步完善中的区块链安全机制

作为性能最强、落地应用最多的底层区块链技术平台,迅雷链非常重视区块链自身机制的安全架构,通过完善的安全机制更有力地推动区块链技术赋能实体经济。今年5月,国内正式发布《可信区块链:区块链安全评价指标》,迅雷链即是该标准的起草者之一。

在实践过程中迅雷链发现,拥有实际商业场景的应用,对区块链的安全有特定的要求。比如分叉和回滚是传统区块链的安全措施之一,但实体经济应用中,这两种措施就不被接受,因为实体经济一旦发生交易,双方就必须予以承认,无论是分叉和回滚,不但不切实际,且有悖于现行法律和行业惯例。

因此早在去年,迅雷链就采用了“DPoA+PBFT”的双重共识算法,来加强共识机制的安全性。利用PBFT算法的强一致性,确保一旦交易得到确认,就不肯能发生分叉和回滚,以此保证共识的安全性,杜绝因节点作恶而导致的安全隐患。

此外,迅雷链发现,很多传统企业应用的安全问题主要集中在智能合约上。一些传统开发者对智能合约的开源性认识不够,没有意识到代码开源后,安全风险会急剧提升,导致很多智能合约出现漏洞,安全性出现很大问题。

为此迅雷链对智能合约系统做了重大优化,对所有上链合约进行前置审核,一旦发现安全问题,就通知开发者予以修改。同时又要求所有合约的发布都必须进行实名登记,以震慑恶意合约、非法合约的发布。

另外,在实体经济中,使用的密码学技术主要是国密算法,特别是如政府、金融、社会公共服务和大型公共智能建筑等高安全领域,更是只能使用国密算法。而此前区块链大多使用的是国际通用密码学算法,这对很多传统企业形成了阻碍。

针对这一需求,迅雷链对密码算法模块进行了升级,除了支持国际通用的密码学算法外,还满足了对于国密算法的支持,包括非对称算法SM2、安全散列算法SM3和对称算法SM4,方便了国内企业和高安全领域机构的使用。

鉴于如此完善的完全体系,今年4月,迅雷链成功获得国家信息安全等级保护认证三级,这是国内对非银行机构的最高级别安全认证。

事实上,多家政府机构、大型国企及事业单位选择迅雷链进行区块链合作,原因之一就是看中其过硬的安全防范能力。中国版权保护中心的DCI标准联盟链就由迅雷链提供技术支持,此外,南方新媒体、壹基金、量子云码等近三十家企业机构也都选择迅雷链作为合作伙伴。

总而言之,不管区块链协议有多严格,技术有多复杂,它依然面临安全问题的威胁,如何设计并完善更为健全的区块链安全体系,是当前区块链系统核心竞争力的重要部分,谁能取得安全上的领先,谁就有可能赢得行业的未来。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190527A0I4K300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券