国家互金专委会发布《区块链技术安全概述》报告全文（附电子版文件下载链接地址）

下面由小编针对国家互金专委会发布《区块链技术安全概述》报告全文（附电子版文件下载链接地址）为您答疑解惑，希望能给您带来有一些有效参考。

导读：8月8日，国家互联网金融安全技术专家委员会（以下简称专委会）发布《区块链技术安全概述》报告，指出区块链技术的安全性问题并给出建议。

报告认为，大多的技术和应用处于试验阶段，目前发生的安全事件多集中出现于加密资产相关领域，给用户造成了较大的经济损失。

同时区块链智能合约一旦在分布式、去中心化网络中部署，就难以变更，这种难以变更性一方面防止了数据操纵，建立起基于加密算法的信任机制。

但另一方面，当区块链在面对安全攻击时，也就缺乏了有效的纠正机制，难以逆转。

报告提及，区块链合约层主要封装区块链的各类脚本、算法及智能合约。

最初区块链只能用于交易，合约层的出现使得很多领域可以使用区块链技术。

图灵完备的代表是以太坊，其合约层包括了以太坊虚拟机和智能合约两部分。

目前合约层可能出现以下攻击对区块链的安全造成威胁：Solidity漏洞、逃逸漏洞、短地址漏洞、堆栈溢出漏洞、可重入性攻击、交易顺序依赖攻击、时间戳依赖攻击、整数溢出攻击等。

以下是报告全文：一、 简述区块链技术目前的发展方兴未艾，大多的技术和应用处于试验阶段，目前发生的安全事件多集中出现于加密资产相关领域，给用户造成了较大的经济损失，其安全问题日益受到行业关注。

同时区块链智能合约一旦在分布式、去中心化网络中部署，就难以变更，这种难以变更性一方面防止了数据操纵，建立起基于加密算法的信任机制。

但另一方面，当区块链在面对安全攻击时，也就缺乏了有效的纠正机制，难以逆转。

本文主要讨论了区块链的安全性问题，以及相应的解决方案和建议。

本文中，区块链应用从架构上分为三层：基础网络、平台层和应用层。

三个层面相互影响，每一个环节出现的安全问题，都将给下个环节带来更多的安全问题。

因此，在进行区块链项目开发的过程中，从设计到实现，从验证到响应，不仅仅需要考虑到单个环节的安全性问题，也需要将其放入到整体的层面中去判断可能出现的风险点。

图1（区块链应用架构）二、基础网络安全风险基础网络由数据层及网络层组成，是区块链的基础部分，该部分封装了区块链的底层数据，对区块链的数据采用非对称性加密，利用P2P网络并设置了传播、验证机制等，目前主要面临以下几类安全问题。

2.1 数据层：信息攻击与加密算法攻击（1）数据区块信息攻击风险：一方面写入区块链后的信息很难删除，不法分子将某些有害信息、病毒特征码、淫秽信息等写入区块中，影响区块链生态环境。

另一方面，大量的垃圾交易数据攻击会堵塞区块链，使得有效交易和信息迟迟无法被处理。

（2）加密算法安全风险：早年普遍使用的SHA-1于2005年2月被王小云、殷益群及于红波等人证明安全性不足，只需少于2的69次方的计算复杂度就能找到一组碰撞。

此外SHA-2算法跟SHA-1基本相似，虽目前未出现有效攻击，但安全性已被严重质疑。

其余的SHA-224、SHA-256、SHA-384、SHA-512等加密算法目前没有公开证据表明存在漏洞，但在量子计算高速发展的情况下，并不是无懈可击。

目前针对加密算法进行攻击的方式主要有：穷举攻击、碰撞攻击、长度扩展攻击、后门攻击、量子攻击等。

2.2 网络层：节点传播与验证机制风险（1）P2P网络风险：区块链信息传播采用P2P的模式，节点之间的信息传播，会将包含自身IP地址的信息发送给相邻节点。

由于节点安全性参差不齐，较差的节点容易受到攻击，目前可进行攻击的方式有：日食攻击、窃听攻击、BGP劫持攻击、节点客户端漏洞、拒绝服务（DDoS）攻击等。

例如：2018年3月以太坊网络爆出的“日食攻击”。

（2）广播机制风险：节点与节点之间相互链接，某节点将信息广播给其他节点，这些节点确认信息后再向更多的节点进行广播。

在广播机制中常见的攻击方式有双花攻击及交易延展性攻击。

双花攻击即同一笔加密资产被多次花费，当商家接受0确认交易付款时或者通过51%算力攻击时这种情况较容易发生。

交易延展性攻击也被称为可锻性，即同一个东西，本质没有变化，形状发生了改变，攻击者利用交易签名算法特征修改原交易input签名，生成一样的input和output的新交易，导致原有交易一定概率不被确认形成双花。

（3）验证机制风险：验证机制更新过程易出现验证绕过，一旦出现问题将导致数据混乱，而且会涉及到分叉问题，需要确保机制的严谨性。

2.3 解决方案与建议基础网络作为区块链的底层，其安全性尤为重要。

（1）与时俱进，关注技术安全方面的最新进展。

在量子计算快速发展的情况下，加密系统只有不断研发更新才可防范黑客攻击。

（2）接受专业的代码审计，了解相关安全编码规范。

大多数区块链项目为了增加可信度和透明性，对其项目代码进行开源管理，然而这样也使得项目更易受到攻击，接受专业的代码审计及注重安全编码可以有效规避潜在的风险。

三、平台层安全风险平台层由共识层、激励层及合约层组成，是衔接基础网络与应用服务层的桥梁。

该部分封装了网络节点的共识算法、发行机制、分配机制、脚本及智能合约等。

3.1 共识层：常见共识机制安全性对比共识机制是对于一个时间窗口内的事务先后顺序达成共识的算法。

区块链可支持不同的共识机制，目前存有的共识机制有PoW、PoS、DPoS、Pool验证池机制、BFT等等。

本文将介绍以下三种常见的共识机制的安全性：3.2 激励层：发行与分配机制风险（1）发行机制风险：目前暂无安全风险事件曝光，但不排除激励层发行机制中存在安全隐患。

（2）分配机制风险：大量小算力节点易集中加入矿池，对于去中心化趋势造成威胁。

3.3 合约层相关安全风险合约层主要封装区块链的各类脚本、算法及智能合约。

最初区块链只能用于交易，合约层的出现使得很多领域可以使用区块链技术。

图灵完备的代表是以太坊，其合约层包括了以太坊虚拟机和智能合约两部分。