互联网应急中心吴震:加密货币交易所安全措施存忧
近年来,信息交互流动加速,数字资产的外延从数字货币的概念向外快速拓展,人们开始探索将数据作为资产的可能性,安全储存和管理数字资产的需求大大提升,如何保障数字资产的安全性也成为新的技术命题。
在数字化开始改变人们生活的大趋势下,2018数字资产安全高峰论坛上于11月13日在京举办,并将论坛主题确定为“极致安全 创新未来”。多位与会专家表示,利用区块链技术进行信息存储有望成为未来信息存储的主要发展方向,但由于缺乏安全基础设施建设和防护,以存储为目标的区块链更将成为黑客攻击的“重灾区”。因此不少专家呼吁,行业亟待建立严格的安全标准。
区块链将最大化数据价值
区块链是一种基础技术,它的作用是最大化数据价值。随着数据的不断增多,价值不断提升,有价值的数据封装后便可视为资产,这可以是原生态下的数字化资产,也可以是实物资产的变形。工信部中国电子技术标准化研究院区块链研究室主任李鸣对区块链上的数字资产作出这样的解释。
中国人民银行参事盛松成此前曾表示,区别于已有的电子形式的本位币,安全芯片、移动支付、可信可控云计算、区块链、密码算法等技术是将来数字资产可能涉及的领域。
随着区块链和价值互联网等概念的普及,数字资产价值渐被大众熟悉。11月2日,非洲数字资产框架(ADAF)启动,其任务是促进非洲大陆的加密货币贸易。联合创始人Felix Macharia表示,ADAF是一个开源软件平台,旨在为加密货币和区块链技术创建跨境标准。它还将补充非洲联盟的单一非洲数字市场倡议,该倡议利用技术促进数字化经济一体化。
数字钱包Cobo联合创始人CTO蒋长浩表示,数字资产快速扩张,未来数据将回归个人,每个人通过自己的数字资产钱包管理自己的一切,例如一枚独特的代币或将成为你个体的所有代表,通过这枚代币可以让对方进行认证,而不用让其知道你的具体个人信息。这就意味着,随着资产的流动性极大增强,交易效率极大提升,用户对于安全和便捷的数字资产储存管理产品和服务的需求会大大提升。
区块链存储安全性亟待加强,相关标准正在建立
区块链在数字资产、供应链管理、跨境支付等分布式信任管理方面的广泛应用已渐成共识,但其安全性仍需考量。北京邮电大学区块链及安全技术联合实验室马兆丰主任表示,目前区块链在安全性方面存在很大问题,区块链安全技术需要在算法安全性、共识机制安全性、数据安全性、网络安全性、合约安全性和应用安全性方面做好安全技术研究与加强。
目前的区块链技术却面临着极度的不安全。以目前区块链应用最多的数字货币为例,目前一些交易所,甚至部分智能合约漏洞百出。但由于区块链技术的特性不可追溯,交易所账户即使被盗也无法追回,给用户造成巨大损失。
国家互联网应急中心互联网金融监管技术支撑专项组组长吴震表示,目前数字货币风险集聚,除了数字货币交易经济损失等事件引起的群体性社会事件外,更重要的是,其技术风险更为明显,如51%攻击、区块截留、自私挖矿、代码漏洞、交易所被盗、密匙窃取等。
在区块链技术被吹捧的同时,区块链安全并未受到应有的重视。区块链项目评分网站ICO Rating此前对100家24小时交易额超过100万美元的加密货币交易所进行分析发现,超过 54%的加密货币交易所都没有执行标准的安全措施。例如,超过41%的加密货币交易所允许创建长度小于8个字符的密码,37%允许仅使用数字或字母创建密码,5%更是无需电子邮件验证创建。
去中心化漏洞平台DVP此前发现,有超过600家交易所使用存在漏洞的已被废弃的开源程序,该漏洞可使攻击者绕过交易所原本的限制,违规修改信息,或在未授权的情况下删除交易所的数据。
对此,吴震表示,从发展形势上看,区块链系统的安全受多个层面的影响,攻击手段日益升级,损失不断增加。这更应该让我们认识到,随着区块链应用的范围和深度逐渐扩大,安全是必须重视的课题。我们必须加强区块链安全威胁分析和检测手段建设,提高防护水平。
“区块链发展不能脱离以技术为核心。”李鸣说,区块链相关团体标准将逐步出台,其中,安全层面标准也将是重中之重。
吴震介绍,目前,《区块链平台安全技术要求》行业标准正立项并起草,将明确区块链平台面临的主要威胁和安全体系架构,针对各关键模块提出安全技术要求,为区块链平台的安全稳健运行提供基础和保障。