选择区块链前需要了解八个安全风险
由世链财经小编分享(shilian.com),为什么公司的区块链现在这么受欢迎?毛球技术总结为两个主要原因:现有的信息共享和处理门槛太高,每个人都想强迫他人使用自己的系统和数据类型。以下内容将为您解答。
一、公司区块链有两种解决方案
公司区块链可以以两种形式解决这个问题。首先,区块链和智能合同可以使每个人都能够就数据类型和处理规则达成一致,更重要的是,这些规则是由系统强制执行的。除非每个人都统一更改,否则没有可用的手动覆盖。其次,由于区块链和智能合同是新兴技术,它们基本上是每个人的绿色部署。现在很有可能没有人有现成的解决方案,所以有些人会试图将区块链和智能合同强加给其他人。
然而,新技术也会带来新的风险,这通常是我们不太了解的风险。目前,公司区块链和智能合同部署在毛球技术看来存在三大新风险:旧软件、软件缺陷和使用缺陷。回顾过去的50年,这似乎是一直在处理的计算机风险。在元级,当你深入细节时,区块链和智能合同和其他技术一样,找到了创造安全风险的新创造性方法。
二、区块链8个安全隐患
1、老软件
虽然公司的区块链软件很少“老”,但对于软件来说,任何一两年以上的软件在变化速度和改进方面基本上都是石器时代的工具。R3的开源Corda区块链平台就是一个很好的例子。从2016年5月的初始版到2021年5月(4.8版),Corda有182个版本,大约每10天一个。其中许多不是小版本;主要的新功能和重建或删除代码很常见。在大多数企业项目中,选择软件版本的真正趋势是永远不要升级,因为升级可能会破坏一些东西。
2、缺乏安全漏洞覆盖
公司区块链软件基本上没有覆盖安全漏洞数据库。这意味着大多数客户不会意识到安全更新,除非他们清楚地跟踪供应商发布声明。这种缺乏覆盖范围,特别是公共漏洞和暴露(CVE)中国漏洞数据库和美国漏洞数据库(NVD)这是一个巨大的问题,因为如果漏洞没有得到官方认可,它们就不存在于许多大型组织中。不确定为什么区块链的CVE和NVD覆盖率如此之差,但一个可能的罪魁祸首是缺乏特定区块链漏洞的官方文档。
3、缺乏安全漏洞知识
传统软件有很好理解的漏洞类型,其中很多在网上列出了常见的弱点(CWE)词典中有记载,例如,缓冲区溢出和整数溢出的区别是黑客的流行弱点。CWE是一个重要的资源。许多代码扫描工具将其作为他们尝试检测漏洞类型的前提。
然而,截至2021年5月,CWE还没有区块链或智能合同的漏洞类型记录。好消息是有两项工作可以记录这些问题,一个是SWC注册中心(有30多个以太坊和其他企业使用智能合同语言),另一个是云安全联盟区块链DLT攻击和弱点列表数据库,有200多个内容,包括各种智能合同语言、区块链技术和一般概念。
4、缺乏代码扫描和安全测试
目前区块链和智能合同代码扫描工具不是很完善,原因很简单,因为这个领域太新了。更糟糕的是,许多智能合同的部署都没有得到安全审计。但这种情况正在发生变化,许多安全事故使人们意识到在部署前审计代码和生成新密钥的必要性。合同已经通过了安全审计。审计员不能审计生产密钥,因为它会暴露出来,所以他们认为Paidnetwork会更换安全密钥,但它没有这样做。
5、操作风险
假设有一个安全的区块链和一个良好的智能合同,没有任何安全缺陷。区块链和智能合同代码仍然需要在某些事情上运行,最好连接良好和可靠。如果选择云或第三方托管,则需要确保它们也是安全的。
6、加密密钥和HSM
每个区块链服务和客户端的核心都是加密密钥。即使使用特殊系统,在计算机上存储重要的加密密钥也不再足够。但使用硬件安全模块(HSM)。HSM基本上带来了普通计算机无法提供的两件事。首先,可以设置密钥,使其无法从HSM导出或复制。其次,密钥的使用可以通过HSM更可靠地记录下来。这至关重要,因为如果网络被入侵,它将能够确定攻击者使用密钥的目的,而不是推断他们可能做了坏事。
7、钓鱼攻击、SIM卡交换等恶作剧
公司区块链一般不使用钓鱼攻击或SIM卡交换等技术进行攻击,这些技术通常是为攻击数字货币的客户保留的。然而,勒索病毒和相关攻击正在越来越多地转变为钓鱼攻击和鱼叉网络钓鱼,原因非常简单:它非常有效。这些类型攻击的一般答案是使用强大的多因素认证,最好基于硬件令牌,以避免客户向坏人提供信息,即使他们被愚弄。
8、51%攻击
最后,在大多数企业的区块链布局中,使用的共识机制不是工作量证明(PoW)。更常见的是,使用权益证明或更传统的投票机制,如大多数投票。51%的攻击,即一个实体占据了区块链哈希率或计算资源的大部分,试图破坏网络,这对基于PoW的系统是最有用的。即使有一个简单的共识机制,比如大多数投票,攻击者也需要劫持51%的组织——这比简单地调度计算资源要困难得多,因为计算资源通常可以出租。
总结
综上所述,有好消息和坏消息。坏消息是区块链和智能合同软件比几乎任何其他东西都更复杂,更难保证。好消息是他们真的很难解决。我想建立一个信息处理系统,知道攻击者在恶意攻击,但他们不能破坏它。解决这个问题将开辟各种新的市场和机遇。
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。