區塊鏈技術近年來快速發展,技術應用已延伸到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等多個領域。
作為核心技術自主創新的重要突破口,安全問題被視為當前制約行業健康發展的一大短板,區塊鏈安全事件屢屢發生,甚至成為黑客攻擊的“重災區”。公鏈的安全問題對于公鏈發展的影響已經不言而喻,而聯盟鏈的安全問題也不容忽視,今天我們主要來跟大家探討下聯盟鏈的安全問題。
什么是聯盟鏈?
聯盟鏈是由多個機構共同參與管理的區塊鏈,每個組織或機構管理一個或多個節點,其數據只允許系統內不同的機構進行讀寫和發送。?聯盟鏈的各個節點通常有與之對應的實體機構組織,通過授權后才能加入與退出網絡。各機構組織組成利益相關的聯盟,共同維護區塊鏈的健康運轉。
國內常見的聯盟鏈有:螞蟻鏈、BSN聯盟鏈、騰訊至信鏈、百度超級鏈、京東智臻鏈、新版鏈、天河鏈、趣鏈、網易星球區塊鏈、長安鏈等。
聯盟鏈優缺點??
優勢
1)更高的處理效率
聯盟鏈的信任環境允許少數節點參與生態的治理,商業決策的處理能力較高。
火幣中國聯合廣西民族大學推動中國-東盟數字經濟發展:近日,火幣中國與廣西民族大學中國-東盟金融創新發展研究院、國內領先的區塊鏈底層技術和應用服務提供商無錫井通、明清科技聯合宣布共建中國-東盟金融區塊鏈工程技術研究中心,以促進區塊鏈技術在中國-東盟金融創新領域的科學研究與應用推廣,從而賦能實體經濟推動中國-東盟數字經濟的發展。
火幣中國產業賦能中心項目總監李驊熹博士認為,區塊鏈作為數字經濟時代基礎設施,有望推動數字經濟向更加互信、共享、均衡的方向發展,區塊鏈技術的應用將會加快東盟國家數字經濟發展進程。
廣西民族大學中國-東盟金融創新發展研究院院長黃剛表示,中國與東盟國家在數字經濟領域有著較好的合作基礎、合作理念以及合作環境,強化數字基礎設施建設,支持5G、人工智能、區塊鏈等新興技術創新應用,打造重點應用示范項目正當其時。[2020/5/14]
2)可擴展性更高
聯盟鏈可以根據復雜的商業環境進行技術迭代。聯盟鏈在落地時,考慮更多的是如何將過去的數據孤島打通,同時讓聯盟中流通的數據是可信的,不用像過去一樣做頻繁的校驗。
3)智能合約應用場景更多
基本上可以實現中心化機構所有的業務邏輯,且具交易最終性。
江西省出臺數字經濟發展計劃 鞏固提升區塊鏈等前沿新興產業:4月16日記者從發改委獲悉,江西省出臺《數字經濟發展三年行動計劃(2020-2022年)》,把數字經濟發展作為加快我省新動能培育的“一號工程”,加快構建全省數字經濟生態體系,促進經濟、政府、社會各領域數字化轉型。培育壯大VR、移動物聯網和大數據及云計算等先發優勢產業,鞏固提升人工智能、5G、北斗和區塊鏈等前沿新興產業,做強做優電子信息基礎產業。(江西日報)[2020/4/17]
4)可控性較強
公有鏈是一旦區塊鏈形成,就不可篡改,而聯盟鏈,只要所有機構中的大部分達成共識,即可將區塊數據進行更改。
5)具有更大的隱私性
不同于公有鏈,聯盟鏈的數據不會默認公開,只限于聯盟里的機構及其用戶才有權限進行訪問,隱私性更強。
缺點
1)容易被惡意用戶攻擊
由于聯盟鏈半中心化結構的原因,它很容易被惡意玩家所攻擊。在有限的節點內,可以假定多個參與者會出現合謀的可能性。
2)缺少行業統一標準
因為缺少行業統一標準,在解決方案上免不了會有各種障礙,但是目前整個生態距離聯盟鏈的統一框架還是很遙遠。
動態 | 永福股份:跟進區塊鏈等新技術,積極發展新興業態:永福股份(300712.SZ)在互動平臺回復投資者時表示,公司依托豐富的電力行業專業技術積累,積極跟進電力能源領域信息化、物聯網、人工智能、互聯網、區塊鏈的新技術,組建了科技創新、數字化技術、信息化等研發中心,創新商業模式,積極發展新興業態。[2020/1/15]
聯盟鏈的典型應用場景??
聯盟鏈技術可以用來優化大多數傳統信息化系統的業務流程,特別適用于沒有強力中心、多方協作、風險可控的業務場景。聯盟鏈的共享賬本機制可以極大降低該類場景下的對賬成本、提高數據獲取效率、增加容錯能力、鞏固信任基礎、以及避免惡意造假。
隨著區塊鏈技術的不斷發展,越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言,聯盟鏈具有更好的落地性,受到了許多企業與政府的支持。
目前,聯盟鏈的典型應用場景有:商品溯源、公益慈善、供應鏈金融、電子政務、互助保險、物聯網等,另外在數字版權、數字身份、教育、醫療、能源、文化娛樂及民生等垂直產業和領域也都有聯盟鏈的身影。
聯盟鏈有哪些安全問題?
聲音 | 賽迪區塊鏈研究院院長劉權:人工智能是支持數字經濟發展不可或缺的動力:近日,BTV《解碼區塊鏈》第24期邀請了賽迪區塊鏈研究院院長劉權,劉權表示:區塊鏈是數字經濟一個必要的基礎設施,而且是不可或缺的。數字經濟有三大要素,生產資料、生產力和生產關系。人工智能的著力點是提升我們的算力,也就是提升整個數字經濟下的生產力的一個重要的技術。所以說人工智能應該是支持數字經濟更快、更健康發展的一個自身的、內在的、不可或缺的一個動力。[2019/4/24]
聯盟鏈中存在的安全問題主要包括網絡安全、主機安全、鏈平臺安全和智能合約安全。
網絡安全:聯盟鏈也易遭受到傳統的網絡安全威脅,包括網絡釣魚攻擊、DNS劫持攻擊、DDos攻擊、IP欺騙、會話劫持、域名劫持等。
主機安全:主機安全主要包括服務器基礎策略配置、防火墻配置策略、權限管控、第三方模塊安全、應用服務安全、端口安全、數據庫服務安全等。
下面重點給大家介紹下鏈平臺安全和智能合約安全問題。
?聯盟鏈鏈平臺安全問題??
聯盟鏈鏈平臺安全問題包括:交易安全、共識安全、賬戶安全、合規性、RPC安全、端點安全、P2P安全等。
聲音 | 黃震:區塊鏈是互聯網+的發展 不是對傳統金融的模仿:中國互聯網金融創新研究院院長黃震在新金融新趨勢暨2018年金融科技峰會上表示,未來區塊鏈是互聯網+的發展,區塊鏈不是顛覆互聯網,而是在互聯網發展到新階段的整合工具。創新必須在互聯網+的基礎上進行新的整合,而不是對傳統金融的模仿,進入網絡空間的復制,必須在網絡空間將原有的金融碎片化、結構之后進行重構和創新。[2018/6/29]
聯盟鏈的安全事故大多發生在其算法和底層設計本身,但依然有黑客出于商業目的進行攻擊。黑客攻擊聯盟鏈的手法包括:內部威脅、DNS攻擊、MSP攻擊、51%的攻擊等。
以MSP攻擊為例:MSP是Fabric聯盟鏈中的成員服務提供商的簡稱,是一個提供抽象化成員操作框架的組件,MSP將頒發與校驗證書,以及用戶認證背后的所有密碼學機制與協議都抽象了出來。一個MSP可以自己定義身份,以及身份的管理與認證規則。
針對MSP的攻擊,一般來說,可能存在如下幾個方面:
內部威脅
a)如果某個內部人員持有了可以管理MSP的證書,他將可以對Fabric網絡進行配置,比如添加或撤銷訪問權限,向CRL添加身份;
?b)如果有傳感器等物聯網設備接入聯盟鏈,其可能傳播虛假信息到鏈上,并且因為傳感器自身可能不支持完善的安全防護,可能導致進一步的攻擊。
私鑰泄露
節點或者傳感器的證書文件一般存儲在本地,可能導致私鑰泄漏,進而導致女巫攻擊、云中間人攻擊等。
DNS攻擊
當創建新參與者的身份并將其添加到MSP時,在任何情況下都可能發生DNS攻擊。向區塊鏈成員創建證書的過程在許多地方都可能發生攻擊,例如中間人攻擊,緩存中,DDOS。
CA攻擊
數字證書和身份對于MSP的運行至關重要。HyperledgerFabric允許用戶選擇如何運行證書頒發機構并生成加密材料。選項包括FabricCA,由HyperledgerFabric,Cryptogen的貢獻者構建的過程,以及自己的/第三方CA。
這些CA本身的實現都有其自身的缺陷。Cryptogen在一個集中的位置生成所有私鑰,然后由用戶將其充分安全地復制到適當的主機和容器中。通過在一個地方提供所有私鑰,這有助于私鑰泄露攻擊。除了實現方面的弱點之外,MSP的整體以及因此區塊鏈的成員資格都在CA上運行,并且具有信任證書有效的能力,并且證書所有者就是他們所說的身份。
對知名第三方CA的攻擊如果成功執行,則可能會損害MSP的安全性,從而導致偽造的身份。
?聯盟鏈智能合約安全問題??
為了提升效率,支持更加友好的設計,各聯盟鏈在智能合約上出現了不同的發展方向。聯盟鏈智能合約相較于常規公鏈在規范性、和安全性都有一定的提升,但在以下幾個方面仍可能存在安全風險:
?代碼語言安全性問題?
一種是繼續沿用主流公鏈編程語言,并在其基礎上改進(如:BCOS使用的solidity),另一種則是以通用編程語言為基礎,指定對應的智能合約模塊,不管使用什么語言對智能合約進行編程,都存在其對應的語言以及相關合約標準的安全性問題。
合約執行帶來的安全問題??
整型溢出:不管使用的何種虛擬機執行合約,各類整數類型都存在對應的存儲寬度,當試圖保存超過該范圍的數據時,有符號數就會發生整數溢出。
堆棧溢出:當定義方法參數和局部變量過多,字節過大,可能使程序出現錯誤。
拒絕服務攻擊:主要涉及到的是執行合約需要消耗資源的聯盟鏈,因資源耗盡而無法完成對應的交易。
系統機制導致的合約安全問題??
這里主要是指多鏈架構的聯盟鏈:
合約變量的生成如果依賴于不確定因素或者某個未在賬本中持久化的變量,那么可能會因為各節點該變量的讀寫集不一樣,導致交易驗證不通過。
全局變量不會保存在數據庫中,而是存儲于單個節點。因此,如果此類節點發生故障或重啟時,可能會導致該全局變量值不再與其他節點保持一致,影響節點交易。因此,從數據庫讀取、寫入或從合約返回的數據不應依賴于全局狀態變量。
在多鏈結構下進行外部鏈的合約調用時,可能僅會得到被調用鏈碼函數的返回結果,而不會在外部通道進行任何形式的交易提交。
合約訪問外部資源時,可能會暴露合約未預期的安全隱患,影響鏈碼業務邏輯。
業務安全問題??
聯盟鏈的智能合約是為了完成某項業務需求執行某項業務,因此在業務邏輯和業務實現上仍是可能存在安全風險的,如:函數權限失配、輸入參數不合理、異常處理不到位。
成都鏈安賦能聯盟鏈生態安全發展
隨著聯盟鏈生態的快速發展,基于成都鏈安“鏈必安—一站式區塊鏈安全服務平臺”,我們可以為聯盟鏈平臺提供全生命周期的整體安全解決方案,為聯盟鏈生態的安全發展保駕護航。
一方面,我們可以為聯盟鏈鏈平臺提供安全監測、聯盟鏈智能合約安全審計等服務;另一方面,還可為聯盟鏈的落地應用,諸如:區塊鏈政務、區塊鏈供應鏈金融、區塊鏈物流等用提供“區塊鏈+應用+安全”的綜合安全解決方案。
發展在左,安全在右,重視安全發展應該也必須是聯盟鏈生態發展的重中之重。成都鏈安將繼續積極發揮區塊鏈安全頭部企業優勢,依托我們的聯盟鏈安全整體解決方案,助力聯盟鏈安全健康發展。
摘要 受經濟政策和地緣影響,全球主要加密貨幣在觸底后開始反彈。美聯儲及各國央行自2021年末開始加息與調整資產負債表,以及俄烏沖突加大了全球經濟市場的不確定性,加密貨幣領域第一季度出現較大波.
1900/1/1 0:00:00基本面分析是區塊鏈/加密貨幣領域不可或缺的投資和交易策略之一。因此,DAOrayaki社區編譯《衡量加密項目時的17個重要因素》一文.
1900/1/1 0:00:00生存還是毀滅 大家好!我叫竹內遼(音),來自日本。現在我在“山古志”為一位村代表工作。也許你從未聽說過“山古志”,它是日本新潟縣重山之間一個小村落的名字。村子不大但已存續千年.
1900/1/1 0:00:00近日,一篇《web3.0與中國無關》在網上瘋傳,這里面的對錯爭議暫且不論,其中提到,唯一個發展得相對較好的Web3.0產品“數字藏品”.
1900/1/1 0:00:00加密產業的核心就是“去中心化”和“所有權”的確權,使得其可以重塑生產關系,更大程度賦能不同的產業。當NFT成為主流時,萬物即可NFT化.
1900/1/1 0:00:00這篇文章是基于我在Crypto,Culture,&Society的演講上撰寫的。Crypto,Culture,&Society是一個學習型DAO,它正在為加密貨幣建立一個人文學科.
1900/1/1 0:00:00