区块链并非绝对安全 数字货币平台成安全漏洞重灾区

近年来基于区块链技术的数字货币交易平台繁荣发展，各区块链平台都专注于核心业务，但在信息安全方面投入的精力十分有限导致安全事件才频繁出现。近日最受欢迎的以太坊钱包遭到DNS劫持攻击，许多安全意识较低的用户，在登录时无视“网站不安全”的提示强行访问，攻击者因此得到了受害者的在线钱包密码、私钥明文等，几秒钟之内就把他们钱包里的ETH全部转走。也有一些人看到安全提醒没有继续登录，从而避免了遭受损失。2014年日本比特币交易平台遭到黑客攻击，用户丢失约75万枚比特币，并最终导致该平台破产。虽然有前车之鉴，但各家数字货币交易平台在安全建设方面仍然力度不够，遭受黑客攻击的事件更是有增无减，给数字货币交易平台及其用户造成了极大损失。

从近期各家比特币交易所遭到攻击可以看出，私钥的安全性是不容忽视的。虽然目前攻击细节还不清楚，但可以肯定的是黑客是以某种方式成功获取了保护用户账户的私钥之后才盗走了比特币。私钥可以保证数字资产的所有权，跟密码类似。为金融服务企业研发私链的技术公司必须重新考量数字货币交易所采用的多重签名和冷存储方式是否真的有效。虽然这些解决方案的安全性是比较高，但却要付出低效率和高额管理费用的代价。确实是因为保护私钥走捷径才导致了资金被盗，责任并不在技术本身。

另一个值得考虑的问题就是遭受攻击之后应该怎么做？被盗的是数字资产，而这些资产是以计算机代码的形式存在的。因此我们是否能通过回滚区块链，将其代码修改为至攻击前的版本呢？如果这样做的话，从区块链本身来看，攻击事件就像没发生过一样。但比特币社区并没有采取这种方法挽救损失，反而是以太坊区块链在遭受攻击之后通过这种方式进行了交易回滚（即硬分叉）。硬分叉的顺利进行需要全网大量节点的共识，而此次以太坊的硬分叉始终备受争议。因为不可更改是区块链的重要属性，也就是说区块链中记录的每笔交易都不能更改或者取消。而现今的金融服务业是可以取消交易的：无论是证券交易所还是信用卡公司，或是任何涉及交易过程的软件，他们都留有取消或者修改错误交易的权利。鉴于金融服务业终将采用分布式账簿技术，那就躲不过区块链的这一特性。不可更改性对于他们来说究竟是不是一个bug？又或者该行业是否会创建特定的函数来记录抵消交易，在不破坏历史交易记录的完整性（尊重区块链的不可更改性）的前提下达到和撤销交易一样的目的？

DAO攻击事件的成功证明了智能合约存在安全漏洞。智能合约是一种电脑程序，可以自动执行合约条款，并在多方之间实现价值转移。而DAO就是基于以太坊区块链的智能合约投资项目。然而智能合约代码的不合理性给了黑客盗取资金的机会。智能合约是分布式账簿技术解决方案中的重要一环，可以用于抵押品管理、衍生品的场外交易（OTC）等。智能合约的漏洞不止能引致攻击，还能造成系统故障，发起错误交易。类似事件曾多次在金融市场上发生，参与方更是付出了惨痛的经济代价。因此我们整个行业应该共同努力研发最佳用例，为智能合约提供最好的保护及控制措施来防止上述事件再发。

一是通过钓鱼等手段进行身份冒用。例如DNS劫持攻击，在本质上就是钓鱼。另外黑客还经常用邮件钓鱼，或者电话、短信等方式的社工等方式。

二是利用区块链交易平台的网络漏洞。除了网络协议中的各种漏洞，也有账号密码中的弱口令、密码复用等导致的漏洞。

三是内部恶意人员。首先是公司管理员有可能利用自身权限监守自盗;其次是静态密码、传统令牌等方式“认令不认人”，存在内部恶意人员盗用相关同事身份的风险，而且事发后也无法追溯;因为缺乏统一的用户管理平台，随着员工角色的变动，有些账号不能及时增删，有时离职员工仍然拥有账号权限，导致信息泄漏。

千里之堤毁于蚁穴。由于区块链生态中虚拟货币的属性，哪怕出现一丝安全问题都有可能造成极大损失。分布式账簿应用于金融服务领域可以减少结算时间、消除摩擦、降低成本，还能合理化工作流程。在努力获得这些优势之前，整个行业都必须关注安全问题。数字资产和分布式账簿技术带来了全新的交易方式，但同时我们也需要探索新的方法来保护区块链的安全。保卫区块链生态安全任重道远，用户的身份安全更是重中之重。所以相关区块链平台需要从各个环节、由内而外地加强抵御能力。