區(qū)塊鏈安全白皮書（1.0版）可信區(qū)塊鏈推進計劃2018年12月版權聲明本白皮書版權屬于可信區(qū)塊鏈推進計劃，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本白皮書文字或者觀點的，應注明“來源：可信區(qū)塊鏈推進計劃”。違反上述聲明者，編者將追究其相關法律責任。牽頭單位：中國信息通信研究院支持單位（排名不分先后）：中國電子科技網(wǎng)絡信息安全有限公司、成都鏈安科技有限公司、安比實驗室、奇虎360、中國移動、北京丁牛科技有限公司、西安好碼安全信息科技有限公司、慢霧科技。編寫組成員（排名不分先后）：魏凱、卿蘇德、張啟、楊白雪、張奕卉、閆樹、白健、楊霞、郭宇、蔣劭捷、鮑帥、王珂。前言進入2018年，區(qū)塊鏈產(chǎn)業(yè)應用走向細分，從數(shù)字資產(chǎn)到稅務存證、從供應鏈管理到公證確權，區(qū)塊鏈技術與實體經(jīng)濟正在加速融合，各類資本和企業(yè)機構也在積極擁抱區(qū)塊鏈技術。在區(qū)塊鏈技術與應用快速發(fā)展的同時，我們也看到多數(shù)行業(yè)應用仍處于探索階段，區(qū)塊鏈技術成熟度不高，特別是在安全方面仍面臨諸多挑戰(zhàn)，由此引發(fā)的一系列區(qū)塊鏈安全問題也愈發(fā)值得關注。盡管區(qū)塊鏈在底層技術上提供了可靠的安全保障，但攻擊者仍能從區(qū)塊鏈系統(tǒng)中找到漏洞并進行攻擊。每年造成的損失十分嚴重，其損失額度從2017年開始呈現(xiàn)指數(shù)上升的趨勢，截止2018年第四季度，已暴露的重大安全事件已造成34.1億美元數(shù)據(jù)來源數(shù)據(jù)來源BCSEC該報告第一章首先介紹了區(qū)塊鏈的技術特征，從技術架構的角度分析區(qū)塊鏈的安全性。第二章著重分析當前的安全現(xiàn)狀、和區(qū)塊鏈相關的安全服務業(yè)務以及安全領域的發(fā)展趨勢。第三章至第八章圍繞網(wǎng)絡安全、密碼安全、賬本數(shù)據(jù)、共識機制、智能合約及應用生態(tài)六大部分，詳細介紹了當前已知的攻擊手段，并對其面臨的安全風險進行了深入的剖析，最后提出相應的應對措施。第九章給出了相應的對策和建議。本白皮書是可信區(qū)塊鏈推進計劃在區(qū)塊鏈安全領域的第一個白皮書，由于編寫時間倉促，文中存在一些不足的地方，歡迎業(yè)界專家多提寶貴意見。目錄前言 3第一章區(qū)塊鏈概述 71.1區(qū)塊鏈技術特征 71.2區(qū)塊鏈技術架構 81.3區(qū)塊鏈安全性分析 9第二章區(qū)塊鏈安全態(tài)勢 112.1區(qū)塊鏈安全現(xiàn)狀分析 112.2區(qū)塊鏈安全服務業(yè)務分析 132.3區(qū)塊鏈安全領域發(fā)展趨勢 15第三章網(wǎng)絡安全 173.1網(wǎng)絡模型及攻擊方式分析 173.2網(wǎng)絡安全風險分析 193.3應對策略 20第四章密碼安全 224.1攻擊方式分析 224.2密碼安全風險分析 234.3應對策略 24第五章賬本數(shù)據(jù)安全 265.1安全風險分析 265.2針對有害信息上鏈的應對策略建議 275.3針對隱私保護的應對策略建議 27第六章共識機制安全 296.1攻擊方式分析 306.2安全風險分析 326.3應對策略 33第七章智能合約安全 357.1安全風險分析 357.2針對智能合約的應對策略建議 367.3針對虛擬機的應對策略建議 38第八章應用生態(tài)安全 408.1安全風險分析 408.2應對策略 41第九章區(qū)塊鏈安全對策與建議 439.1加快制定區(qū)塊鏈安全標準與規(guī)范 439.2鼓勵區(qū)塊鏈安全服務行業(yè)的發(fā)展 439.3推動技術研究和難點攻關 449.4強化區(qū)塊鏈安全監(jiān)管 44第一章區(qū)塊鏈概述1.1區(qū)塊鏈技術特征區(qū)塊鏈被廣泛認為是一種參與方共同維護的分布式賬本。該賬本使用密碼學保證傳輸和訪問安全，并能實現(xiàn)數(shù)據(jù)一致，難以篡改，以及數(shù)據(jù)可溯源等目的。在典型的區(qū)塊鏈系統(tǒng)中，信息會按照各參與方的約定規(guī)則進行存儲。為了防止信息被篡改，系統(tǒng)將以區(qū)塊為單位，區(qū)塊之間按時間順序，并以加密的方式構成了鏈式結(jié)構。該鏈式結(jié)構中的任一個區(qū)塊被篡改，則會影響到鏈上其他區(qū)塊的正確性。當新的區(qū)塊產(chǎn)生后，通過共識機制選出記錄節(jié)點，由該節(jié)點決定最新區(qū)塊的數(shù)據(jù)，其他節(jié)點共同參與最新區(qū)塊數(shù)據(jù)的驗證、存儲和維護，數(shù)據(jù)一經(jīng)確認，就難以刪除和更改，只能進行授權查詢操作。區(qū)塊鏈相較于傳統(tǒng)數(shù)據(jù)庫，體現(xiàn)了幾個對比特征：從復式記賬演進到分布式記賬、從“增刪改查”變?yōu)閮H“增查”兩個操作、從單方維護變成多方維護以及從外掛合約發(fā)展為內(nèi)置合約等（詳見中國信息通信研究院和可信區(qū)塊鏈推進計劃《區(qū)塊鏈白皮書（2018）》）。1.2區(qū)塊鏈技術架構各類區(qū)塊鏈雖然在具體實現(xiàn)上各有不同，其整體架構卻存在共性，本白皮書中對于安全風險分類的分析，基于圖1的一種架構組織方案。圖1區(qū)塊鏈系統(tǒng)架構，來源：中國信息通信研究院等《區(qū)塊鏈白皮書（2018）》該架構包含了9大模塊，分別為：基礎設施、基礎組件、賬本、共識、智能合約、接口、應用、操作運維以及系統(tǒng)管理。從整體架構來看，區(qū)塊鏈的運行機制為：應用層生成交易記錄，并對交易記錄進行簽名，通過SDK或RPC接口發(fā)送到區(qū)塊鏈系統(tǒng)的節(jié)點并驗簽，在一定的時間周期，將交易進行打包成區(qū)塊。打包后的區(qū)塊通過共識機制，交給某一個節(jié)點加入到鏈上，并進行全網(wǎng)同步。下文的安全性分析也將圍繞該架構分層的幾個模塊展開。1.3區(qū)塊鏈安全性分析由上文的整體架構的角度來看，我們將區(qū)塊鏈安全分為三個維度：應用服務的安全性、系統(tǒng)設計的安全性（包含智能合約和共識機制）、基礎組件的安全性（包含網(wǎng)絡通信、數(shù)據(jù)安全和密碼學）。下面將從這三個維度對區(qū)塊鏈的安全性進行簡要的闡釋。（1）應用服務的安全性區(qū)塊鏈的應用層為用戶提供各類應用服務，其中包含了各種復雜的業(yè)務場景和業(yè)務邏輯，容易成為被攻擊對象。突出的安全問題包括了：數(shù)字錢包安全、應用軟件漏洞、被植入病毒程序風險、使用安全等；（2）區(qū)塊鏈系統(tǒng)設計的安全性區(qū)塊鏈系統(tǒng)本身已經(jīng)提供了諸多安全機制，但設計方式的不合理仍會被人為利用并進行攻擊。例如共識機制的設計不當，會造成分叉、雙花攻擊等問題；智能合約的實現(xiàn)邏輯出現(xiàn)漏洞，則會導致非法交易被合法化。（3）基礎組件的安全性區(qū)塊鏈系統(tǒng)提供了各種基礎組件，以保證其安全性，如：芯片增強安全、硬件錢包、非對稱加密算法、分布式賬本等。最近一些公司也在積極提供可信的執(zhí)行環(huán)境的解決方案，如Intel公司的SGX方案。針對基礎組件的安全風險也分為：網(wǎng)絡安全（信息傳播）、密碼學安全（驗證加密）、數(shù)據(jù)存儲安全（記錄）。

第二章區(qū)塊鏈安全態(tài)勢2.1區(qū)塊鏈安全現(xiàn)狀分析（1）重大安全事件在全球范圍內(nèi)造成損失金額超過30億美元 從2011年至2018年12月的重大安全事件特指在業(yè)界造成重大影響或金額損失的安全事件的統(tǒng)計來看，在2011年至2016間，區(qū)塊鏈安全事件數(shù)量較少，從2017年以來，安全事件數(shù)量猛增，尤其是在2018特指在業(yè)界造成重大影響或金額損失的安全事件圖2重大安全事件統(tǒng)計，數(shù)據(jù)來源：BCSEC，截止2018年12月從圖3的統(tǒng)計可以看出，從2011年至2018年，歷次的安全事件所造成的損失金額，和安全事件的數(shù)量一致，安全事件造成的損失也是逐年增多。區(qū)塊鏈的主要價值體現(xiàn)在提供信任機制，如果安全風險得不到有效控制，那么區(qū)塊鏈技術在垂直行業(yè)的廣泛應用將無從談起。圖3損失金額（萬美元）統(tǒng)計數(shù)據(jù)來源：BCSEC，截止2018年12月（2）重大安全事件集中在合約層和應用層2011年至2018年12月，重大安全事件在系統(tǒng)的各個層級都有出現(xiàn)，但超過90%的安全事件集中在智能合約和業(yè)務應用，且造成了超過98%的損失。由于區(qū)塊鏈技術獨特的鏈式結(jié)構和共識機制，直接篡改鏈上數(shù)據(jù)幾乎不可能，且區(qū)塊鏈的P2P網(wǎng)絡模式也增強了系統(tǒng)整體的容錯性，同時有效避免了單點故障。對數(shù)據(jù)層、網(wǎng)絡層和共識層的直接攻擊成本過高。由于智能合約缺乏統(tǒng)一規(guī)范，且編寫者的能力參差不齊，導致智能合約在實際應用中存在諸多漏洞。同時，使用者、第三方數(shù)字錢包或交易平臺等業(yè)務應用由于采用了不安全的私鑰管理方式，容易導致用戶私鑰泄漏，而造成重大金額損失。所以攻擊者往往選擇從成本相對較低的智能合約層和應用層作為攻擊區(qū)塊鏈系統(tǒng)的切入點。圖42011~2018年安全事件分類，數(shù)據(jù)來源：BCSEC，截止2018年12月2.2區(qū)塊鏈安全服務業(yè)務分析（1）區(qū)塊鏈產(chǎn)業(yè)發(fā)展迅速，商業(yè)價值攀升區(qū)塊鏈產(chǎn)業(yè)近兩年迅速發(fā)展，區(qū)塊鏈技術已從最初的加密貨幣領域，逐步向著和各垂直行業(yè)融合的方向發(fā)展，根據(jù)中國信息通信研究院ICT產(chǎn)業(yè)數(shù)據(jù)統(tǒng)計，截止2018年6月份，區(qū)塊鏈技術已廣泛應于金融、貿(mào)易物流、電子商務、產(chǎn)權等領域。圖5區(qū)塊鏈企業(yè)分布領域（2）行業(yè)安全問題頻發(fā)，催生安全服務需求隨著區(qū)塊鏈帶來的商業(yè)價值的增多，面臨的安全問題也越來越嚴峻。由此催生了大量的區(qū)塊鏈安全服務，諸多傳統(tǒng)網(wǎng)絡信息安全企業(yè)和區(qū)塊鏈安全領域的創(chuàng)業(yè)公司，進入?yún)^(qū)塊鏈安全領域，提供專業(yè)化的安全服務業(yè)務。綜合對比各大安全服務機構所提供的業(yè)務板塊，主要集中在以下幾部分：（1）錢包安全審計業(yè)務，錢包通常用于用戶的私鑰或地址，私鑰決定了數(shù)字資產(chǎn)的歸屬權，錢包安全審計尤為重要。錢包存在諸多安全風險，如：錢包客戶端RPCAPI風險，私鑰竊取，錢包軟硬件漏洞攻擊，在線錢包賬號竊取等。（2）智能合約安全審計業(yè)務，目前各個區(qū)塊鏈安全機構通過形式化驗證或漏洞檢測等方式提供智能合約安全審計服務，如：假充值漏洞審計，設計邏輯審計，條件競爭審計，權限控制審計。（3）安全評測服務，很多區(qū)塊鏈初創(chuàng)公司缺少專門的安全部門，需要專業(yè)的安全團隊對整個產(chǎn)品做安全評測，并給出相應的安全加固建議。（4）威脅情報服務，同傳統(tǒng)互聯(lián)網(wǎng)的安全技術發(fā)展路線類似，區(qū)塊鏈安全行業(yè)也引入了態(tài)勢感知/威脅情報服務。通過對鏈上數(shù)據(jù)的監(jiān)控和智能分析，在真正的安全事件出現(xiàn)之前，發(fā)出報警提醒對其進行防范。2.3區(qū)塊鏈安全領域發(fā)展趨勢（1）隱私信息上鏈，催生多種隱私保護方案區(qū)塊鏈系統(tǒng)尤其是非許可類區(qū)塊鏈，交易內(nèi)容公開透明，2018年以來，出現(xiàn)了很多隱私保護的訴求，需要隱私保護機制來保證參與方的隱私權。目前主流的隱私保護策略有三種：1）基于事務隔離的策略，主要面向分片、多鏈、多通道等模式；2）基于隱私保護算法的策略，多種開源非許可鏈采用的模式；3）基于應用層權限控制的策略，許可類區(qū)塊鏈采用的模式。（2）智能合約成為安全風險“重災區(qū)”，第三方安全審計服務興起從歷次的安全事件中，可以看得出來，智能合約的漏洞不僅廣泛存在，且造成的損失也十分巨大。當前區(qū)塊鏈的智能合約的應用還處在初級階段，合約編寫的規(guī)范性和嚴謹性難以保證。近年來出現(xiàn)了以形式化驗證為代表的安全審計策略，可以通過嚴格的數(shù)學證明的方式來確保合約代碼所表達的邏輯符合意圖。委托第三方專業(yè)機構進行安全審計將成為保證智能合約安全的發(fā)展趨勢。（3）單一的共識算法無法滿足復雜業(yè)務場景的安全要求，共識機制向多種結(jié)合的方向發(fā)展常見的共識機制包括PoW、PoS、DPoS、拜占庭容錯等，根據(jù)適用場景的不同，也呈現(xiàn)出不同的優(yōu)勢和劣勢。單一共識機制，各自有其缺陷，無法滿足復雜業(yè)務場景的安全性，例如PoS依賴代幣且安全性脆弱，PoW非終局且能耗較高。為提升效率，只能在安全性、可靠性、開放性等方面進行取舍。區(qū)塊鏈正呈現(xiàn)出根據(jù)場景切換共識機制的趨勢，并且將從單一的共識機制向多類混合的共識機制演進，運行過程中支持共識機制動態(tài)可配置，或系統(tǒng)根據(jù)當前需要自動選擇相符的共識機制。第三章網(wǎng)絡安全3.1網(wǎng)絡模型及攻擊方式分析本部分將以比特幣、以太坊、fabric三個的典型的區(qū)塊鏈P2P網(wǎng)絡架構入手，針對以上三種典型的P2P網(wǎng)絡現(xiàn)存安全問題進行分析，包括設計層的女巫攻擊、日食攻擊等以及應用層的DDoS攻擊（拒絕服務攻擊）等。下面將重點講解上述三種攻擊方式的原理，以供相關機構參考，并在開發(fā)基于區(qū)塊鏈網(wǎng)絡的應用系統(tǒng)時采取措施加強防范。表1典型的區(qū)塊鏈網(wǎng)絡比較網(wǎng)絡模型典型應用是否有結(jié)構是否有中心節(jié)點網(wǎng)絡攻擊方式全分布式非結(jié)構化比特幣無無DDoS攻擊、女巫攻擊、日食攻擊全分布式結(jié)構化以太坊有無DDoS攻擊、女巫攻擊、日食攻擊半分布式網(wǎng)絡Fabric有有DDoS攻擊（1）DDoS攻擊傳統(tǒng)的DDoS攻擊分為兩步：第一步利用病毒、木馬、緩沖區(qū)溢出等攻擊手段入侵大量主機，形成僵尸網(wǎng)絡；第二步通過僵尸網(wǎng)絡發(fā)起DDoS攻擊。不同于傳統(tǒng)的中心化系統(tǒng)，針對區(qū)塊鏈系統(tǒng)的DDoS攻擊可以分為主動攻擊和被動攻擊。主動攻擊：通過主動向網(wǎng)絡中發(fā)送大量的虛假消息，通過區(qū)塊鏈的交易同步機制使反射節(jié)點瞬間收到大量的通知消息。攻擊方可以通過假冒源地址避過IP檢查，使得追蹤定位攻擊源更加困難。并且大量的流量流經(jīng)網(wǎng)絡，會導致網(wǎng)絡的路由功能的下降。被動攻擊：被動攻擊不同于主動，攻擊節(jié)點等待來自其它節(jié)點的查詢請求，再通過返回虛假響應來進行攻擊。在真實環(huán)境中，攻擊者常常部署多個攻擊節(jié)點、在一個響應消息中多次包含目標主機、結(jié)合其它協(xié)實現(xiàn)漏洞。（2）日食攻擊日食攻擊是通過其他節(jié)點實施的網(wǎng)絡層面攻擊，這種攻擊目的是阻止最新的區(qū)塊信息進入到被攻擊的節(jié)點，從而隔離節(jié)點。其攻擊手段為：囤積和占用受害者的點對點連接時隙，將該節(jié)點保留在一個隔離的網(wǎng)絡中，達到隔離節(jié)點的目的。目前的比特幣網(wǎng)絡和以太坊網(wǎng)絡已經(jīng)被證實均受日食攻擊影響。1）針對比特幣網(wǎng)絡的日食攻擊，攻擊者可以控制足夠數(shù)量的IP地址來壟斷所有受害節(jié)點之間的有效連接。然后攻擊者可以征用受害者的挖掘能力，并用它來攻擊區(qū)塊鏈的一致性算法或用于“重復支付和私自挖礦”。2）針對以太坊的日食攻擊，攻擊者可以壟斷受害節(jié)點所有的輸入和輸出連接，從而將受害節(jié)點與網(wǎng)絡中其他正常節(jié)點隔離開來。然后攻擊者日食攻擊可以誘騙受害者查看不正確的以太網(wǎng)交易細節(jié)，使賣家在交易還沒有完成的情況下將物品交給給攻擊者。（3）女巫攻擊在P2P網(wǎng)絡中，特別是公鏈網(wǎng)絡，由于節(jié)點隨時加入退出等原因，為了維持網(wǎng)絡穩(wěn)定，同一份數(shù)據(jù)通常需要備份到多個分布式節(jié)點上，被稱為數(shù)據(jù)冗余機制。女巫攻擊是攻擊數(shù)據(jù)冗余機制的一種有效手段。在區(qū)塊鏈網(wǎng)絡中，攻擊者可以偽造自己的身份加入網(wǎng)絡，在掌握了若干節(jié)點或節(jié)點身份之后，便會威脅到區(qū)塊鏈網(wǎng)絡，例如降低區(qū)塊鏈網(wǎng)絡節(jié)點的查找效率，在網(wǎng)絡中傳輸非授權文件，破壞網(wǎng)絡中文件共享安全，消耗節(jié)點間的連接資源等。3.2網(wǎng)絡安全風險分析（1）網(wǎng)絡攻擊手段簡單化成本降低DDoS攻擊伴隨著互聯(lián)網(wǎng)的誕生，已發(fā)展了幾十年。在這十幾年的發(fā)展過程中，DDoS攻擊越來越智能化和簡單化，甚至在境外一些網(wǎng)站的網(wǎng)頁上，使用者只需輸入目標節(jié)點的ip地址，選擇攻擊時間，就可以發(fā)起一次DDoS攻擊。隨著近些年網(wǎng)絡帶寬費用的降低，攻擊成本也更加低廉。（2）網(wǎng)絡攻擊方式隱蔽不易被察覺網(wǎng)絡攻擊者所用的計算機是攻擊主機，可以是網(wǎng)絡上的任何一臺主機，甚至可以是一個活動的便攜機。這些主機還分別控制大量的代理主機，代理端主機是攻擊的執(zhí)行者，負責向受害者主機發(fā)送攻擊。由于攻擊者在幕后操縱，在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。新型的DDoS攻擊不需要建立僵尸網(wǎng)絡即可發(fā)動大規(guī)模攻擊，不僅成本低、威力巨大，而且還能確保攻擊者的更加隱秘性。（3）節(jié)點加入退出缺乏驗證及監(jiān)控網(wǎng)絡攻擊的手段之一就是向區(qū)塊鏈網(wǎng)絡增加大量惡意節(jié)點，從而破壞分布式賬本的真實性。在許可鏈中有嚴格的節(jié)點加入的準入機制和對節(jié)點的監(jiān)控手段，可以有效避免惡意節(jié)點的出現(xiàn)。但在非許可鏈（公鏈）當中，節(jié)點的進出機制缺乏有效的驗證，更容易受到因惡意節(jié)點的加入而帶來的危害。3.3應對策略（1）加強DDoS防御能力應對DDoS攻擊是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDoS是不現(xiàn)實的，目前完全杜絕DDoS攻擊的難度較大，但通過適當?shù)拇胧?，比如安裝專業(yè)抗DDoS防火墻，部署CDN等方式抵御90%的DDoS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDoS的能力，也就意味著加大了攻擊者的攻擊成本，可做到有效的防御。（2）加強節(jié)點準入機制區(qū)塊鏈網(wǎng)絡用戶應能通過標識建立唯一的、可驗證的數(shù)字身份；合理設置對等網(wǎng)絡節(jié)點的連接數(shù)目、連接時長、地址列表大小、更新頻率、更新機制、連接選擇機制、異常檢測機制等。提供區(qū)塊鏈服務的平臺應具備基本的網(wǎng)絡邊界防護、網(wǎng)絡入侵檢測與病毒防御機制。（3）加強轉(zhuǎn)發(fā)驗證機制區(qū)塊鏈網(wǎng)絡應具備針對惡意節(jié)點檢測和防御機制，能夠及時檢測出網(wǎng)絡中的惡意節(jié)點（如，發(fā)起拒絕服務攻擊的節(jié)點，不做轉(zhuǎn)發(fā)驗證的節(jié)點，轉(zhuǎn)發(fā)錯誤路由信息的節(jié)點等），并進行針對性處理。例如針對這些節(jié)點可以采用限制接入、限制轉(zhuǎn)發(fā)等策略，設置時間限制禁止建立持續(xù)通信連接等。針對惡意交易/區(qū)塊：各節(jié)點應有合理的交易/區(qū)塊轉(zhuǎn)發(fā)驗證機制，對不良的交易/區(qū)塊不做轉(zhuǎn)發(fā)。第四章密碼安全密碼學是保證區(qū)塊鏈上交易數(shù)據(jù)安全的關鍵屏障，密碼學實現(xiàn)的安全往往是通過算法所依賴的數(shù)學問題來提供，而并非通過對算法的實現(xiàn)過程進行保密。一般分為對稱加密和非對稱加密。由于對稱加密速度快，但相對容易破解，而非對稱加密算法則相反。所以實際用中一般會將對稱加密和非對稱加密算法結(jié)合使用。表2是各類加密算法的對比。表2加密算法類型加密類型名稱計算方式復雜度速度強度非對稱RSA基于可逆模冪運算亞指數(shù)級中取決于因式分解難度ECC/SM2基于橢圓曲線算法指數(shù)級快ECDLP數(shù)學問題對稱AESRIJNDAEL算法快較高SM4迭代和線性變換32快較高DES邏輯算法48慢（可硬件加速）較高4.1攻擊方式分析（1）窮舉攻擊此類攻擊方式主要作用于散列函數(shù)中，且?guī)缀跛猩⒘泻瘮?shù)或多或少都受此攻擊方式影響，而且其影響程度與函數(shù)本身無關，而是與生成的hash長度有關，主要是一個概率論的問題，其中最典型的方式是基于生日悖論的“生日攻擊”。（2）碰撞攻擊此種攻擊方式主要作用于散列函數(shù)中，比較典型的案例是“md5摘要算法”和“sha1摘要算法”。它的攻擊原理是通過尋找算法的弱點，瓦解它的強抗碰撞性這一特性，使得散列函數(shù)原本要在相當長一段時間才能尋找到兩個值不同hash相同的值的特性被弱化，攻擊者能在較短的時間能尋找到值不同但hash相同的兩個值。（3）量子計算攻擊量子計算對于密碼算法存在潛在威脅。Shor量子算法對于RSA的破解所需量子比特數(shù)約為2n，目前使用的RSA算法一般達到2048位（相當于256位的ECC算法），也就是需要4096個量子比特的量子計算機，而目前量子計算機還未突破100位。因此量子計算機破解現(xiàn)有密碼算法還需要很長的一段路需要走，而美國已經(jīng)從2016年開始征集后量子密碼算法標準，估計很快便會有新的抗量子計算的密碼算法標準推出。4.2密碼安全風險分析（1）私鑰管理方式存在安全風險私鑰管理的安全是區(qū)塊鏈密碼安全的前提，目前主流的方式是通過軟硬件錢包的方式進行管理，或者由用戶自行保管。一旦私鑰丟失，用戶不僅無法對數(shù)據(jù)進行任何操作，也無法使用和找回其所擁有的數(shù)字資產(chǎn)，造成無法挽回的損失。（2）加密算法的工程實踐中存在后門及漏洞密碼學發(fā)展到現(xiàn)在已經(jīng)具有相當?shù)某墒煨粤?，ECC、RSA等加密算法本身已經(jīng)被數(shù)學證明具有很高的安全性，但是由于其算法的復雜性，在工程實踐中存在后門及漏洞。攻擊者往往會利用這些漏洞，實現(xiàn)對私鑰的竊取。4.3應對策略（1）使用多種方式存儲保障私鑰安全針對私鑰安全的存儲方式一般分為三種：硬件存儲、軟件存儲和分割存儲。選擇合適的存儲方式可以有效的加強私鑰安全。1、硬件存儲，將私鑰存儲在硬件加密卡或者USBKey中，使用過程一般包括兩種：a)將私鑰存儲在卡中，使用時將私鑰導出在區(qū)塊鏈客戶端軟件錢包中使用，使用完后在將外部私鑰刪除；b)私鑰在硬件卡中直接進行簽名運算，將打包好的交易輸出，私鑰在整個使用過程中不出硬件設備。兩種方式相比，a)的使用成本較低，一般用U盤即可完成相應功能，b)的安全性較高，使用成本較高，私鑰執(zhí)行環(huán)境在硬件中確保了整個運行環(huán)境的安全，私鑰也不會被木馬、病毒竊取。2、軟件存儲，這是目前區(qū)塊鏈系統(tǒng)中使用最多的一種方式，即通過設置口令，使用口令再將私鑰加密存儲在軟件客戶端中，使用方式非常簡單，而且成本低廉，但安全性相對于硬件是非常低的。3、分割存儲，這種方法是將原始私鑰分成2到n份，將各個私鑰部分分開存儲在不同的區(qū)域或者用戶身上，而在需要使用時，則通過一定的數(shù)學方法進行合成簽名，從而避免整個私鑰的泄露，而部分私鑰的泄露也不會影響整個資產(chǎn)的安全性。這種方法安全性較高，但使用起來比較麻煩，最典型的方案便是門限簽名方案，目前在區(qū)塊鏈系統(tǒng)中一般應用到保護巨額資產(chǎn)交易。（2）使用PKI數(shù)字證書管理及CA認證PKI（PublicKeyInfrastructure）是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。通過第三方的可信任機構--認證中心CA(CertificateAuthority)，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份。眼下，通用的辦法是采用基于PKI結(jié)構結(jié)合數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密，保證信息傳輸?shù)谋Ｃ苄浴⑼暾裕灻ＷC身份的真實性和抗抵賴。第五章賬本數(shù)據(jù)安全區(qū)塊鏈的數(shù)據(jù)結(jié)構可以分為三層來描述：首先是鏈、然后是區(qū)塊，最后是交易。即在同一時間周期（如比特幣的周期為10分鐘）內(nèi)的交易打包組成區(qū)塊，按時間順序?qū)^(qū)塊接起來組成了區(qū)塊鏈。由于區(qū)塊之間用hash簽名的方式相互關聯(lián)，假設區(qū)塊中的某一個交易發(fā)生了改變，則其hash值也會發(fā)生改變，最終使得該區(qū)塊的ID發(fā)生改變，從而導致區(qū)塊從區(qū)塊鏈中斷開，一個從區(qū)塊鏈中斷開的區(qū)塊是不能獲得區(qū)塊鏈網(wǎng)絡承認的，除非篡改該區(qū)塊往后的所有區(qū)塊的ID。因此，這種數(shù)據(jù)存儲結(jié)構構成了區(qū)塊鏈難以篡改的特性，同時也從客觀上增加了有害信息上鏈的風險，以及對敏感數(shù)據(jù)上鏈后的隱私保護問題。5.1安全風險分析（1）有害信息上鏈給信息管理提出挑戰(zhàn)區(qū)塊鏈數(shù)據(jù)的難以篡改的特性使得區(qū)塊鏈上的數(shù)據(jù)難以通過傳統(tǒng)的方式進行修改和刪除，增加了有害信息上鏈的監(jiān)管難度，為信息管理提出新的挑戰(zhàn)。（2）隱私數(shù)據(jù)缺乏有效的保護措施區(qū)塊鏈的賬本是具有分布式的特點，需要多個節(jié)點參與賬本的存儲與驗證，而這容易導致人們對賬本隱私的擔憂。例如區(qū)塊鏈的典型應用之一比特幣，其每一筆交易都會公開記錄在區(qū)塊鏈賬本上，任何人都可以查閱。只要通過分析每個地址發(fā)生過的交易，就可以發(fā)現(xiàn)很多的賬號之間的關系。區(qū)塊鏈的應用尤其是金融行業(yè)對隱私保護會更加注重。隱私問題成為區(qū)塊鏈應用落地的主要障礙之一。5.2針對有害信息上鏈的應對策略建議（1）探索上鏈信息審核機制，明確區(qū)塊鏈服務主體國內(nèi)目前各行業(yè)都在積極探索區(qū)塊鏈技術的應用落地，在應用落地的最初階段積極探索上鏈信息的審核機制，并尋求與隱私保護之間的平衡，同時需要加強區(qū)塊鏈主體服務節(jié)點的監(jiān)控，以便明確責任主體。5.3針對隱私保護的應對策略建議（1）隱私數(shù)據(jù)鏈外存儲鏈外存儲是將要保護的隱私數(shù)據(jù)存到鏈外，可以公開的部分數(shù)據(jù)放在分布式賬本上，具體方式可以是將原文存到鏈外，對應的摘要信息存到分布式賬本上。（2）根據(jù)隱私要求的不同進行賬本隔離賬本隔離是將具有不同隱私需求的賬本，分別存放到不同的分布式賬本上。一種是使用多通道（子鏈模式），隔離賬本，例如fabric利用多通道(Channel)的機制，實現(xiàn)賬本隔離保護隱私性。另一種是將業(yè)務數(shù)據(jù)僅傳給參與人，非全網(wǎng)傳播，業(yè)務數(shù)據(jù)只落在參與人的賬本中。（3）隱私數(shù)據(jù)需加密保護加密保護是利用密碼學算法，對賬本數(shù)據(jù)進行加密，做到只有相關方才能夠解密查看。（4）對賬本數(shù)據(jù)脫敏處理部分明文是將分布式賬本數(shù)據(jù)分為敏感部分與非敏感部分，對敏感部分進行隱私保護。（5）使用群簽名對身份匿名身份混淆是將在區(qū)塊鏈上交易用戶的身份隱匿起來。fabric使用交易證書（TCerts）即每個交易的短期證書，滿足一次一密、不可偽造、無關聯(lián)性和可跟蹤性。使得用戶不僅以匿名方式參與到系統(tǒng)中，而且阻止了交易之間的關聯(lián)性。還有使用群簽名進行身份匿名。群簽名是指一個群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。與其他數(shù)字簽名一樣，群簽名是可以公開驗證的，而且可以只用單個群公鑰來驗證。第六章共識機制安全區(qū)塊鏈作為一種去中心化的分布式系統(tǒng)，需要通過節(jié)點之間的底層共識協(xié)議來保證其賬本的數(shù)據(jù)一致性。一般來講，我們將區(qū)塊鏈分為非許可鏈（公有鏈）和許可鏈，由于實際應用場景和系統(tǒng)架構的不同，不同種類的鏈所使用的共識算法也不同，所涉及到的安全性也有所區(qū)別。對分布式系統(tǒng)來講，不同的共識模型在不同的環(huán)境下能夠容忍的錯誤類型與節(jié)點錯誤數(shù)量不一樣，由此我們可以由分布式系統(tǒng)共識的評判標準引申出對區(qū)塊鏈的共識安全性界定。表3共識算法安全性比較PoWPoSDPoSPBFT類BFTSCP能耗資源消耗巨大資源消耗低資源消耗低能耗較低能耗較低能耗較低出塊時間出塊時間長，不能滿足實際應用場景中的業(yè)務需求出塊時間較短可以達到秒級的共識驗證出塊速度較慢，不適用于大規(guī)模的節(jié)點共識出塊速度快，可以適應高頻交易出塊速度快，可以適應高頻交易安全性面臨51%算力攻擊解決了51%算力攻擊;中間步驟較多，易產(chǎn)生安全漏洞解決了51%算力攻擊;中間步驟較多，易產(chǎn)生安全漏洞安全性較低，只能容忍少于1/3的作惡節(jié)點安全性較低，只能容忍少于1/3的作惡節(jié)點漸進式安全，參數(shù)可根據(jù)實際情況調(diào)整以抵御擁有強大算力的對手一致性易分叉，沒有最終性易分叉，沒有最終性沒有最終性具有最終性，不會分叉具有最終性，不會分叉具有最終性，不會分叉下面我們將從幾個典型的共識層安全事件入手，分析主流的共識算法存在的安全風險，以及這些共識算法適合的業(yè)務場景。6.1攻擊方式分析（1）雙花攻擊簡單來說，雙花攻擊就是指同一個貨幣被花費了多次。在區(qū)塊鏈網(wǎng)絡中，每個用戶的每一次交易都可以對應一個網(wǎng)絡請求。而區(qū)塊鏈整個系統(tǒng)會進行對此請求的驗證。其中包括檢查其資產(chǎn)的有效性、是否已經(jīng)使用已花費的資產(chǎn)來進行交易。經(jīng)過全網(wǎng)節(jié)點的檢驗后，廣播這個成功驗證的賬本。由于區(qū)塊鏈分布式系統(tǒng)的特性，其在交易的時候存在延時是不可避免的，所以交易并不是立刻執(zhí)行。所以交易確認的時間要長很多，使得這種詐騙有可能實現(xiàn)，這就是比特幣的doublespending雙重花費問題，簡稱“雙花”。（2）51%攻擊在PoW工作量證明算法共識算法中，系統(tǒng)同時允許存在多條分叉鏈，在PoW的設計理念中有一個最長有效原理：“不論在什么時候，最長的鏈會被認為是擁有最多工作的主鏈?！?1%工作量證明算法攻擊者實施51%算力攻擊的動機一是可以完成對自己交易的雙花，騙取交易接收方的利益；二是可以控制最長鏈的生成過程，從而獲得區(qū)塊獎勵。（3）自私挖礦誠實挖礦的策略如下：其挖到區(qū)塊鏈后就對其進行全網(wǎng)廣播。而在自私挖礦的策略中，礦工挖到區(qū)塊之后不發(fā)布，直到挖出第二塊，從而控制最長鏈的產(chǎn)生。當攻擊者的長鏈分叉信息率先傳遞到某個誠實礦工那里，這個誠實礦工會根據(jù)比特幣的共識機制，認可該分叉內(nèi)區(qū)塊的合法性，并且選擇在該長鏈尾部繼續(xù)挖礦。這令攻擊者處在更為有利的位置上。事實上，出現(xiàn)這種情況，恰恰是由于比特幣網(wǎng)絡信息傳播存在時延所致。對于網(wǎng)絡上的其他節(jié)點來說，這兩個區(qū)塊的高度是相同的，所以被其他節(jié)點承認的概率還有1/2，這樣自私礦工就有了相對于其他人的優(yōu)勢。自私挖礦理論上支持33%和25%的算力發(fā)起攻擊。（4）確定性算法重放攻擊重放攻擊(ReplayAttacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個目的主機已接收過的數(shù)據(jù)包，來達到欺騙系統(tǒng)的目的。在區(qū)塊鏈技術中，重放攻擊是指“一條鏈上的交易在另一條鏈上也往往是合法的”。而這種攻擊一旦發(fā)生，就會產(chǎn)生類似于雙花攻擊那樣的效果：同一筆錢轉(zhuǎn)給了同一個人兩次，就會導致在不需要付款人參與的情況下多一次支付。（5）權利壓迫攻擊這種攻擊方法簡單來說，就是攻擊者在獲得記賬權的時候利用手中的部分權利實施一些操作讓系統(tǒng)的隨機數(shù)產(chǎn)生偏移用以增加自己下一次獲得記賬權力的可能性。（6）區(qū)塊鏈賄賂攻擊惡意節(jié)點沒有必要在Pow機制下為了使自己能做惡而惡意提升算力。反而，可以通過區(qū)塊鏈協(xié)議之外的賄賂來收購數(shù)字貨幣或者挖礦算力，從而達到攻擊原有區(qū)塊鏈的目的。6.2安全風險分析（1）單一的共識機制難以滿足復雜業(yè)務的安全要求發(fā)生在交易/區(qū)塊上鏈前后的共識階段。要求在共識過程中，保證交易數(shù)據(jù)不可篡改、真實有效。從共識攻擊的角度，共識機制的設計應滿足的安全要求有：防拜占庭攻擊拜占庭攻擊是指超過一定比例的節(jié)點合謀，針對共識算法漏洞的攻擊，以達成非法共識的目的。、防雙花、防女巫攻擊、防預測預測是指由于共識算法的漏洞而導致打包節(jié)點被預測到，進而被針對性的惡意攻擊、防占用占用是指共識過程中被某些利益方持續(xù)占用，而影響共識的公正性。、防欺詐/防賄賂等。拜占庭攻擊是指超過一定比例的節(jié)點合謀，針對共識算法漏洞的攻擊，以達成非法共識的目的。預測是指由于共識算法的漏洞而導致打包節(jié)點被預測到，進而被針對性的惡意攻擊占用是指共識過程中被某些利益方持續(xù)占用，而影響共識的公正性。6.3應對策略（1）合理界定共識算法的安全范圍共識算法的安全更多的是在確保安全和攻破安全防御所付出的代價之間找一個平衡點，判斷共識算法是否安全應該立足于具體的應用場景以及該鏈所處的狀態(tài)。比如，采用PoW共識算法的比特幣系統(tǒng)，其有遭受51%算力攻擊的可能。但是要構建一次超過全網(wǎng)一半算力的攻擊需要付出很大的代價，該代價會遠遠大于收益，因此我們可以認為采用PoW共識算法的比特幣系統(tǒng)是安全的。（2）根據(jù)業(yè)務場景選擇多種或可切換的共識算法不同的共識算法有不同的側(cè)重和工作效率，我們評價一個共識算法的整體性能一般采用四個維度：安全性、擴展性、性能效率、資源消耗。因此，面對不同的應用場景須選用不同的共識算法。為了保證安全性，也可以在全網(wǎng)采用多種共識算法，通過多級共識來確認交易。參考下表，可根據(jù)業(yè)務場景選擇合適的共識算法。表4共識算法適用場景比較PoWPoSDPoSPBFT/類BFTRaft場景無信任環(huán)境無信任環(huán)境無信任環(huán)境可信任環(huán)境完全信任環(huán)境應用公有鏈公有鏈公有鏈聯(lián)盟鏈、私有鏈私有鏈去中心化完全完全部分低低吞吐量低低高高高出塊時間慢慢一般高高節(jié)點規(guī)模大大小小小容錯率51%51%51%以上33%51%

第七章智能合約安全智能合約負責將業(yè)務邏輯以代碼的形式實現(xiàn)、編譯并部署，并按照既定的規(guī)則或者觸發(fā)條件，自動執(zhí)行。智能合約的操作對象大多為數(shù)字資產(chǎn)，這也決定了智能合約在具有高價值和高風險。本章將從智能合約程序漏洞、合約虛擬機漏洞兩個方面分析漏洞的種類，并提出針對性的優(yōu)化方案和解決措施。7.1安全風險分析（1）智能合約設計與實現(xiàn)存在大量漏洞由于智能合約本質(zhì)上是部署和運行在區(qū)塊鏈上的程序，在沒有標準的合約模板或編寫規(guī)范的情況下，我們很難要求程序員都能寫出最佳實踐的代碼，一些邏輯不嚴謹?shù)拇a會造成智能合約的業(yè)務邏輯存在安全隱患。事實上，在歷次的安全事件中，智能合約的漏洞引發(fā)的安全問題占了較多的比重。根據(jù)“區(qū)塊鏈安全研究中心”2018年的智能合約檢測結(jié)果，我們總結(jié)了主要的智能合約的安全漏洞類型統(tǒng)計如下：表5智能合約安全漏洞類型分布圖來源：區(qū)塊鏈安全研究中心類型數(shù)量占比Call函數(shù)安全4126810.83%條件競爭136023.57%重入攻擊檢測27430.72%權限控制17892546.97%數(shù)值溢出00.00%事務順序依賴94882.49%凍結(jié)賬戶繞過15930.42%邏輯設計缺陷6179816.22%錯誤使用隨機數(shù)3380910.38%（2）虛擬機的安全漏洞少但影響范圍大目前大多數(shù)智能合約語言屬于虛擬機語言，由其實現(xiàn)的智能合約需要運行在特定的語言虛擬機，例如以太坊上的由Solidity語言編寫的智能合約需要運行在EVM以太坊智能合約虛擬機上。虛擬機本身的安全性一方面可以保證智能合約運行結(jié)果的正確性，另一方面也可以防止運行其上的智能合約免受其他惡意合約的攻擊以太坊智能合約虛擬機7.2針對智能合約的應對策略建議（1）智能合約的安全審計智能合約往往被用來管理大量的用戶資產(chǎn)和有價憑證，然而大多數(shù)區(qū)塊鏈項目為了增加可信度和透明性，對其項目代碼進行開源管理，這樣使得項目更容易受到攻擊。智能合約開發(fā)者在實現(xiàn)業(yè)務功能之外，額外學習大量的安全編碼規(guī)范、已有漏洞問題、虛擬機安全版本等的成本過高。因此行業(yè)中細分出第三方智能合約審計機構，專門對智能合約安全進行深度的審計。接受專業(yè)審計機構的合約代碼驗證，也可以有效規(guī)避合約代碼的潛在安全風險。（2）智能合約的加密智能合約不能被第三方明文讀取，以此減少智能合約因邏輯上的安全漏洞而被攻擊。此方法成本較低，但無法用于開源應用。（3）智能合約的規(guī)范設計根據(jù)應用的實際業(yè)務邏輯總結(jié)智能合約優(yōu)秀模式，開發(fā)標準智能合約模板，以一定標準規(guī)范智能合約的編寫可以提高智能合約質(zhì)量和安全性。智能合約往往涉及各種的密碼協(xié)議和算法實現(xiàn)。在實際應用中需要注意隨機數(shù)來源是否可靠以及私鑰存儲安全。（4）智能合約的升級和恢復在盡量避免在智能合約實現(xiàn)漏洞的同時，我們也有必要在智能合約中引入發(fā)現(xiàn)漏洞時的應急方案。合約暫?；謴秃秃霞s升級是兩種常見的應急方案。合約的恢復暫停使得合約的管理者可以在發(fā)現(xiàn)漏洞的情況下暫停合約的主要功能，并在合適的時間重新恢復合約的功能。合約升級使得合約的管理者可以將當前合約的使用者遷移到已修改漏洞的新合約上。無論采用什么樣的應急機制，都需要保證該機制的實現(xiàn)本身沒有漏洞，并且只能在受限的情況下被使用。（5）智能合約的形式化驗證形式化驗證的含義是根據(jù)某個或某些形式規(guī)范或?qū)傩?，使用?shù)學的方法證明其正確性或非正確性。形式化驗證是一個系統(tǒng)性的過程，將使用數(shù)學推理來驗證設計意圖（用戶功能需求）在實現(xiàn)(智能合約)中是否得以正確貫徹。7.3針對虛擬機的應對策略建議在設計和實現(xiàn)智能合約語言虛擬機時，可以從以下五個方面考慮。（1）目標語言和源語言的語義的一致性開發(fā)者通常使用源語言(例如以太坊上的Solidity語言)開發(fā)智能合約，然后通過相應的編譯器(例如以太坊上的Solidity編譯器)將源語言程序編譯成可以在虛擬機上運行的目標語言程序(例如以太坊上的EVM字節(jié)碼)。目標語言和源語言語義的一致性保證了開發(fā)者的希望通過智能合約實現(xiàn)的意圖，在虛擬機上能夠得到正確完整的實現(xiàn)。（2）防范拒絕服務攻擊由于區(qū)塊鏈的去中心化特性，一個智能合約可能需要在多個節(jié)點上獨立運行，以達成對該智能合約運行結(jié)果的共識。如果虛擬機中存在可以被智能合約觸發(fā)的拒絕服務漏洞，攻擊者就可以通過部署惡意合約癱瘓部分甚至整個區(qū)塊鏈系統(tǒng)。因此，虛擬機的設計和實現(xiàn)中需要防范此類拒絕服務漏洞。同時，也需要結(jié)合區(qū)塊鏈的機制設計防范拒絕服務攻擊。（3）防范虛擬機逃逸虛擬機逃逸是指惡意智能合約可以利用虛擬機逃逸漏洞脫離虛擬機的控制，訪問甚至控制虛擬機本身所處的運行環(huán)境，進而可以訪問和控制其它合約在該虛擬機上的運行。攻擊者如果通過虛擬機逃逸漏洞進一步控制區(qū)塊鏈網(wǎng)絡中的大多數(shù)節(jié)點，甚至可以發(fā)起51%攻擊。因此，虛擬機設計和開發(fā)中需要尤其關注此類逃逸漏洞。（4）多個智能合約運行環(huán)境的強隔離 無論采用什么樣的虛擬機實現(xiàn)模型，虛擬機，特別是強調(diào)隱私保護的區(qū)塊鏈系統(tǒng)上的虛擬機，需要保證在同時運行多個智能合約時，各個