圖片來源：視覺中國

2018年被公認(rèn)為區(qū)塊鏈大年。9月18日，上海市委網(wǎng)信辦、上海市經(jīng)濟(jì)和信息化委員會、上海市楊浦區(qū)人民政府舉辦“網(wǎng)絡(luò)安全分論壇——區(qū)塊鏈應(yīng)用發(fā)展與安全論壇”。界面新聞從論壇獲悉，區(qū)塊鏈安全事件激增，安全已經(jīng)成為區(qū)塊鏈技術(shù)難以回避的問題，目前上海市信息安全測評認(rèn)證中心正著手制定區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)。

區(qū)塊鏈（Blockchain）是去中心化（Decentralization）技術(shù)中的一個重要概念，其本質(zhì)是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊，每一個數(shù)據(jù)塊中包含了過去十分鐘內(nèi)所有比特幣網(wǎng)絡(luò)交易的信息，用于驗證其信息的有效性（防偽）和生成下一個區(qū)塊，其具有去中心化、開放性、不可篡改性和可追溯性等特點(diǎn)。該概念在中本聰（Satoshi Nakamoto，Bitcoin的創(chuàng)始人）的白皮書中最早提出。

區(qū)塊鏈科學(xué)研究所（Institute for Blockchain Studies）創(chuàng)始人梅蘭妮·斯萬在《區(qū)塊鏈：新經(jīng)濟(jì)藍(lán)圖及導(dǎo)讀》一書中，將區(qū)塊鏈技術(shù)的應(yīng)用分為三個階段：區(qū)塊鏈1.0應(yīng)用于虛擬貨幣，實(shí)現(xiàn)了去中心化的數(shù)字支付系統(tǒng)和無障礙的價值交換，代表場景是比特幣區(qū)塊鏈；區(qū)塊鏈2.0應(yīng)用于虛擬金融，包括股票、清算、私募股權(quán)等眾多領(lǐng)域，代表場景是以太坊區(qū)塊鏈；區(qū)塊鏈3.0將應(yīng)用于可編程社會，包括財稅、審計、物流、醫(yī)療、物聯(lián)網(wǎng)等領(lǐng)域。

區(qū)塊鏈技術(shù)迅速發(fā)展，但其安全性不可忽視。

據(jù)互聯(lián)網(wǎng)安全公司白帽匯安全研究院發(fā)布的《區(qū)塊鏈產(chǎn)業(yè)安全分析報告》顯示，2011年到2018年4月，全球范圍內(nèi)因區(qū)塊鏈因安全事件造成的損失多達(dá)28.64億美元。但值得注意的是，損失額度從2017年開始呈現(xiàn)出指數(shù)上升的趨勢，僅2018年以來，損失金額就高達(dá)19億美元。

玄貓安全實(shí)驗室聯(lián)合創(chuàng)始人陳亮講解智能合約常見安全漏洞。攝影：劉素楠

玄貓安全實(shí)驗室聯(lián)合創(chuàng)始人陳亮梳理了2014年以來發(fā)生的區(qū)塊鏈重大安全事件。

2014年8月，比特兒交易平臺被盜，黑客通過交易平臺留言進(jìn)行談判。同年12月，當(dāng)時世界最大的比特幣交易所Mt.Gox由于85萬個比特幣被盜，最終被迫宣布破產(chǎn)。

The DAO是一個去中心化的風(fēng)險投資基金，以智能合約的形式運(yùn)行在以太坊區(qū)塊鏈上。2016年，黑客通過The DAO利用智能合約腳本的漏洞，成功盜取360萬以太幣，導(dǎo)致以太坊硬分叉。同年8月，Bitfinex大約6500萬美元比特幣遭竊，全球比特幣價格應(yīng)聲下跌25%。同時，本次事件損失由平臺上所有用戶共同承擔(dān)，導(dǎo)致每位用戶的賬戶平均損失36%。

陳亮指出，2017年至2018年，區(qū)塊鏈出現(xiàn)了更多智能合約的安全問題。2018年4月，美圖科技發(fā)行的數(shù)字貨幣——美鏈(BEC)智能合約被曝出整數(shù)溢出漏洞，導(dǎo)致BEC價值急遽下跌，幾乎歸零。

區(qū)塊鏈技術(shù)的安全風(fēng)險源于何處？

今年8月，安全聯(lián)合實(shí)驗室與知名互聯(lián)網(wǎng)安全公司北京知道創(chuàng)宇信息技術(shù)有限公司共同發(fā)布《2018年上半年區(qū)塊鏈安全報告》。報告指出，基于區(qū)塊鏈加密數(shù)字貨幣引發(fā)的安全問題來源于區(qū)塊鏈自身機(jī)制安全、生態(tài)安全和使用者安全三個方面，上述三方面原因造成的經(jīng)濟(jì)損失分別是12.5億、14.2億和0.56億美元。

陳亮指出，較之往年發(fā)生的事件和造成的損失，2018年呈現(xiàn)暴漲趨勢。同時，2018年由區(qū)塊鏈自身機(jī)制引發(fā)的損失同樣呈現(xiàn)暴漲趨勢?！耙驗樵谠缙趨^(qū)塊鏈項目，很多開發(fā)者安全開發(fā)意識不足，所以遺留了很多問題，這種問題不斷被黑客發(fā)現(xiàn)和利用?！?/p>

據(jù)區(qū)塊鏈媒體Odaily星球日報發(fā)布的《2018年區(qū)塊鏈技術(shù)安全服務(wù)行業(yè)報告》顯示，區(qū)塊鏈面臨諸多方面安全挑戰(zhàn)，主要包含密碼算法安全性、協(xié)議安全性、使用安全性和系統(tǒng)安全性四大方面。

在上海，區(qū)塊鏈技術(shù)發(fā)展勢頭迅猛。

9月6日，上海市科委發(fā)布了上海首個《區(qū)塊鏈技術(shù)與應(yīng)用白皮書》，其中指出：工信部信息中心發(fā)布的2018中國區(qū)塊鏈產(chǎn)業(yè)白皮書顯示，截至2018年3月底，全國有區(qū)塊鏈企業(yè)456家，目前上海有區(qū)塊鏈企業(yè)95家，位列第二；從國內(nèi)區(qū)塊鏈融資事件地域分布來看，上海有73次，排名第二。從上海區(qū)塊鏈企業(yè)注冊地域來看，浦東新區(qū)數(shù)量最多，為27家，楊浦、松江、奉賢、寶山、虹口、黃埔等地區(qū)塊鏈企業(yè)也比較集中。

如何測量區(qū)塊鏈技術(shù)的安全性，已經(jīng)成為一個亟待解決的問題。

上海市信息安全測評認(rèn)證中心高級工程師徐御透露，該中心和上海區(qū)塊鏈技術(shù)研究中心合作，力求在今年制定一個區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)。

他透露，目前該標(biāo)準(zhǔn)的設(shè)計思路是：從已經(jīng)發(fā)生的安全事件中識別風(fēng)險，從而采取相應(yīng)措施對抗風(fēng)險，梳理風(fēng)險措施對應(yīng)表，與此同時，提出最佳實(shí)踐，形成安全要求。

徐御指出，區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)將采用開放架構(gòu)設(shè)計、按照適度保護(hù)原則進(jìn)行設(shè)計。目前，上海市信息安全測評認(rèn)證中心已梳理出區(qū)塊鏈風(fēng)險20類左右，其中6類為新風(fēng)險，其余為傳統(tǒng)風(fēng)險。這6類新風(fēng)險包括整數(shù)溢出、短地址攻擊、算力控制、雙重支付、代碼重入、惡意操縱節(jié)點(diǎn)。針對上述安全風(fēng)險，該中心已梳理了相應(yīng)安全措施。

他表示，區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)將包括三個方面：安全層面、安全項和安全要求。例如，在數(shù)據(jù)層層面，包含區(qū)塊數(shù)據(jù)、哈希算法、隨機(jī)數(shù)、非對稱加密等若干安全項，其中，針對區(qū)塊數(shù)據(jù)的安全要求包括：數(shù)據(jù)區(qū)塊格式符合《區(qū)塊鏈數(shù)據(jù)格式規(guī)范》；應(yīng)采用加密算法對敏感信息進(jìn)行保護(hù)……

徐御認(rèn)為，未來或可從區(qū)塊鏈產(chǎn)品信息安全認(rèn)證和區(qū)塊鏈項目安全評測兩方面結(jié)合來定義一款區(qū)塊鏈應(yīng)用是否安全。

玄貓安全實(shí)驗室則推出了針對智能合約、交易所、電子錢包的安全評估服務(wù)。“針對智能合約，我們主要針對智能合約代碼、邏輯、函數(shù)等十余項安全指標(biāo)進(jìn)行安全性檢測。交易所面臨的安全問題比較多，交易所內(nèi)部和外部都面臨安全風(fēng)險，我們針對交易所12個大類總計95個子項安全進(jìn)行檢測?！标惲帘硎?。

他指出，更重要的是建設(shè)區(qū)塊鏈安全生態(tài)，包括交易所、數(shù)字錢包、礦池、智能合約、公鏈等在內(nèi)的區(qū)塊鏈生態(tài)，如果其中一方出現(xiàn)安全問題，其他方均無法幸免于難。為此，玄貓安全實(shí)驗室正在與上海相關(guān)機(jī)構(gòu)籌建一個區(qū)塊鏈安全專委會，建設(shè)區(qū)塊鏈安全生態(tài)。（作者：劉素楠）