區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)分類分級(jí)研究版權(quán)聲明識(shí)別和應(yīng)對(duì)區(qū)塊鏈技術(shù)在金融領(lǐng)域應(yīng)用中面臨的各類安全風(fēng)險(xiǎn)本報(bào)告針對(duì)區(qū)塊鏈金融應(yīng)用中的主要安全風(fēng)險(xiǎn)進(jìn)行了全面編制工作組編寫組成員：狄剛聶麗琴黃步添胡達(dá)川陳慶接杜金釗參編單位： 1區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)是指區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)234（二）對(duì)區(qū)塊鏈生態(tài)的影響區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)可能對(duì)區(qū)塊鏈生態(tài)產(chǎn)生多方面的56（三）風(fēng)險(xiǎn)防范的重要性及常見措施7三是建立緊急響應(yīng)機(jī)制。在發(fā)現(xiàn)節(jié)點(diǎn)被攻破或數(shù)據(jù)被篡改二是建立風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制。包括風(fēng)險(xiǎn)預(yù)警系統(tǒng)和應(yīng)急響應(yīng)機(jī)助公開透明的方式，讓用戶了解平臺(tái)的安全措施和風(fēng)險(xiǎn)管理策8定期檢查每個(gè)節(jié)點(diǎn)的安全狀態(tài)，發(fā)現(xiàn)并修復(fù)任何潛在的問(wèn)9二、區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)分類區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)分類分級(jí)的關(guān)鍵在于建立一套完（一）技術(shù)開發(fā)安全風(fēng)險(xiǎn)目前國(guó)內(nèi)采用區(qū)塊鏈技術(shù)的金融應(yīng)用中主要采用聯(lián)盟鏈技量子計(jì)算攻擊是指利用量子計(jì)算的強(qiáng)大計(jì)算能力對(duì)傳統(tǒng)密由于區(qū)塊鏈系統(tǒng)依賴密碼學(xué)來(lái)確保數(shù)據(jù)的完整性和交易的和完整性。除此之外，雖然目前量子計(jì)算對(duì)哈希函數(shù)（如以至于冒充用戶進(jìn)行惡意操作或簽署交易，導(dǎo)致用戶在簽訂合BGP劫持攻擊是一種網(wǎng)絡(luò)安全攻擊，涉及利用邊界網(wǎng)關(guān)協(xié)對(duì)區(qū)塊鏈中同一節(jié)點(diǎn)數(shù)據(jù)需要備份到其他不同分布式節(jié)點(diǎn)節(jié)點(diǎn)就能操控偽裝節(jié)點(diǎn)向可靠節(jié)點(diǎn)提供虛假信息甚至拒絕提供領(lǐng)先的投票優(yōu)勢(shì)擊退可靠節(jié)點(diǎn)，并拒絕新的節(jié)點(diǎn)加入?yún)^(qū)塊鏈網(wǎng)交易，以達(dá)到反復(fù)利用同一筆數(shù)字資產(chǎn)從而實(shí)現(xiàn)非法獲利的目的方式對(duì)第n個(gè)區(qū)塊的哈希值進(jìn)行控制，直到攻擊者計(jì)算出第智能合約中用戶可以自定義互不信任的參與方之間的交易語(yǔ)言編寫的智能合約中更是多次出現(xiàn)整數(shù)溢出問(wèn)題導(dǎo)致的重大針對(duì)智能合約的拒絕服務(wù)攻擊屬于利用協(xié)議漏洞進(jìn)行的攻Solidity語(yǔ)言缺少統(tǒng)一的方法來(lái)處理異常，會(huì)直接導(dǎo)致智能合約智能合約可以通過(guò)函數(shù)調(diào)用來(lái)執(zhí)行對(duì)其他外部合約代碼的利用EVM中對(duì)輸入字節(jié)自動(dòng)補(bǔ)全機(jī)制來(lái)實(shí)施攻擊的一種得合約出現(xiàn)異常。如果受害者的智能合約無(wú)法對(duì)該異常進(jìn)行處智能合約有時(shí)會(huì)通過(guò)當(dāng)前區(qū)塊的時(shí)間戳來(lái)作為執(zhí)行合約操在區(qū)塊鏈中，當(dāng)交易被傳播出去進(jìn)入尚未被確認(rèn)的交易池主要是針對(duì)在跨鏈中使用PoS共識(shí)機(jī)制區(qū)塊鏈網(wǎng)絡(luò)的一種觀性，即區(qū)塊鏈網(wǎng)絡(luò)中的新節(jié)點(diǎn)或長(zhǎng)期離線的節(jié)點(diǎn)加入網(wǎng)絡(luò)中主要是針對(duì)區(qū)塊鏈用戶賬戶有余額這一條件實(shí)施的攻擊方（二）金融業(yè)務(wù)安全風(fēng)險(xiǎn)應(yīng)用中，可通過(guò)可信權(quán)威機(jī)構(gòu)向借款人簽發(fā)信用憑證或資產(chǎn)證交易頻次和筆數(shù)會(huì)大大提升，將帶來(lái)更為明顯的市場(chǎng)波動(dòng)和風(fēng)了管理這種風(fēng)險(xiǎn)，可以使用物聯(lián)網(wǎng)技術(shù)（IoT）來(lái)實(shí)時(shí)追蹤商品大宗商品價(jià)格可能會(huì)受到各種因素的影響，如市場(chǎng)供求關(guān)區(qū)塊鏈技術(shù)在跨境金融業(yè)務(wù)中的應(yīng)用會(huì)涉及不同國(guó)家的法三、區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)分級(jí)過(guò)風(fēng)險(xiǎn)分級(jí)，有助于行業(yè)對(duì)不同風(fēng)險(xiǎn)進(jìn)行有針對(duì)性地管理和防（一）風(fēng)險(xiǎn)分級(jí)原則與標(biāo)準(zhǔn)極高風(fēng)險(xiǎn)，具有極高的嚴(yán)重性，可能導(dǎo)致整個(gè)系統(tǒng)崩潰或?qū)τ脩粼斐刹豢赏旎氐膿p失失現(xiàn)有技術(shù)手段和安全措施難以有效防范或高風(fēng)險(xiǎn)，對(duì)系統(tǒng)穩(wěn)定性和數(shù)據(jù)完整性有嚴(yán)重的負(fù)面影響，可能雖然存在一些防護(hù)措中等風(fēng)險(xiǎn)，對(duì)系統(tǒng)或用戶有一定的影響，但影響范圍和嚴(yán)重性數(shù)據(jù)錯(cuò)誤或用戶資產(chǎn)損可以控制風(fēng)險(xiǎn)的擴(kuò)散低風(fēng)險(xiǎn)，影響較小，可通過(guò)常規(guī)手段有效通過(guò)常規(guī)的安全措施和最佳實(shí)踐可以有效（4）綜合評(píng)定：基于威脅、影響和防護(hù)措施綜合評(píng)定風(fēng)險(xiǎn)（二）技術(shù)開發(fā)安全風(fēng)險(xiǎn)分級(jí)題量子計(jì)算攻擊哈希碰撞攻擊用戶密鑰泄露題擊在網(wǎng)絡(luò)層面，如果發(fā)生DDoS攻擊，那么攻擊者通過(guò)發(fā)送大題產(chǎn)增加確認(rèn)次數(shù)意味著一筆交易需要更多的后續(xù)區(qū)塊確認(rèn)它已被題常擊安全問(wèn)題，如不安全的隨機(jī)數(shù)生成、整數(shù)溢出、函數(shù)權(quán)限失配、題一的編號(hào)（通常稱為交易ID）防止交易重放攻擊。系統(tǒng)通過(guò)檢（三）金融業(yè)務(wù)安全風(fēng)險(xiǎn)分級(jí)借款人可能無(wú)法按時(shí)償還貸款，中等風(fēng)險(xiǎn)，對(duì)借貸方有直接影響，但可通過(guò)智能合約和信用評(píng)區(qū)塊鏈技術(shù)可能存在漏洞，如智能合約錯(cuò)誤，導(dǎo)致資金丟失或被高風(fēng)險(xiǎn)，可能對(duì)資金安全造成嚴(yán)重影響，需要嚴(yán)格的技術(shù)防護(hù)規(guī)，可能面臨合中等風(fēng)險(xiǎn)，法規(guī)變動(dòng)虛假交易或使用假冒身份進(jìn)行交中等風(fēng)險(xiǎn)，通過(guò)區(qū)塊鏈技術(shù)可有效檢測(cè)和險(xiǎn)黑客使用惡意軟中等風(fēng)險(xiǎn)，通過(guò)技術(shù)欺詐和洗錢活動(dòng)中等風(fēng)險(xiǎn)，需確保業(yè)險(xiǎn)商品在運(yùn)輸過(guò)程中等風(fēng)險(xiǎn)，可通過(guò)技大宗商品價(jià)格波動(dòng)中等風(fēng)險(xiǎn)，價(jià)格波動(dòng)中等風(fēng)險(xiǎn)，需確保業(yè)法規(guī)差異風(fēng)險(xiǎn)不同國(guó)家或地區(qū)法律不確定法律環(huán)境不斷發(fā)法律執(zhí)行風(fēng)險(xiǎn)法律執(zhí)行存在困難全的法律事務(wù)處理用戶隱私泄交易數(shù)據(jù)可能推敏感數(shù)據(jù)泄敏感數(shù)據(jù)被所有不符合隱私保護(hù)務(wù)操作和數(shù)據(jù)處理四、區(qū)塊鏈金融應(yīng)用安全風(fēng)險(xiǎn)管理與防范建議（一）加強(qiáng)區(qū)塊鏈技術(shù)研發(fā)與創(chuàng)新金融行業(yè)可以通過(guò)針對(duì)區(qū)塊鏈底層技術(shù)的持續(xù)優(yōu)化和創(chuàng)新共識(shí)機(jī)制等核心技術(shù)的研發(fā)投入，提升系統(tǒng)安全性和抗風(fēng)險(xiǎn)能（二）重視區(qū)塊鏈技術(shù)的安全審計(jì)恢復(fù)計(jì)劃，確保系統(tǒng)在遭受攻擊或故障時(shí)能保不同用戶的資產(chǎn)獨(dú)立存儲(chǔ)，避免單一用戶的風(fēng)險(xiǎn)波及整個(gè)系（三）提升運(yùn)營(yíng)安全保障能力（四）加強(qiáng)用戶身份認(rèn)證和交易監(jiān)控險(xiǎn)用戶實(shí)施更嚴(yán)格的交易監(jiān)控和限額管理。建立黑名