區塊鏈發展現狀及安全風險防范策略研究

劉志洋

（三亞學院 海南 三亞 572022）

1 引言

隨著信息技術和計算機軟硬件技術的不斷發展，區塊鏈技術近年來得到了飛速發展。從國家戰略層面，區塊鏈+“數字經濟”的發展方向已經基本確定。因此，區塊鏈技術引發了國內外學者的廣泛研究和關注。從本質上講，區塊鏈是一個共享的數據庫，能夠進行分布式管理的賬簿系統，在賬簿系統中存在眾多節點，每個節點均可以獨立地進行數據的修改和賬簿的檢查，基于區塊鏈的這個系統，可以使區塊鏈其中的參與者能夠共同對賬戶進行管理和更新，但是這樣的管理和更新是在一定的協議基礎上的，各個節點和用戶之間均達成了統一的規則[1]。隨著區塊鏈技術的不斷應用，盡管區塊鏈技術的發展突飛猛進，但在安全風險防范過程中仍然存在著很多漏洞。鑒于此，本文對區塊鏈發展現狀及安全風險防范策略進行研究，為我國區塊鏈技術的快速推進應用提供借鑒和參考。

2 區塊鏈技術的發展情況

2.1 技術特點

區塊鏈技術是基于區塊的信息管理，此技術和傳統的專用服務器管理相比較，主要存在以下特點[2]：不存在中央節點，屬于分布式的開放型系統，區塊鏈的訪問并不存在訪問邏輯的限制，甚至其內部代碼也是完全公開的；區塊鏈內部存在信任機制，各個節點之間無需進行信任機制的搭建。區塊鏈技術另一個重要特質是該技術的數據是完全可靠的，區塊鏈范圍內的整個數據庫被稱作是“數據管理器”，在此數據庫中的數據隨時均可以被用戶使用，并且均是匿名保護的，隱私性極強。只要加入區塊的互聯網機器均可以使用比特進行挖掘操作，并且能夠借助保護隱私功能實現自身隱私的保護[3]。

2.2 平臺現狀

目前世界上區塊鏈的平臺主要由三個組成，分別為比特幣、超級賬本和以太網。其中比特幣的應用最為廣泛，也是最早發布的區塊鏈平臺。

比特幣的發行并非依靠獨立的貨幣發行單位進行，而是有特定的算法進行控制的，因此可以借助任何計算機實現計算，是一種非物質化的支付手段，并且是借助加密等規則來保障貨幣在交易過程中的流通性和透明性。比特幣的應用是以數字貨幣作為支撐的，貨幣的支付形式不能借助第三方或者中介來實現。比特幣產生的初衷是嘗試建立不存在信任機制的可以進行點對點交易的信息系統。

在以太網技術中引入區塊鏈、智能合同的理念必不可少。以太網平臺是借助一系列腳本圖實現通用數字貨幣平臺，一旦用戶向此平臺發送交易信息時，收集方本身的地址會被自動激活，從而可以進行以太網內部各個區塊之間的交易。

超級賬本由Linux基金會建立，旨在發展集團和聯盟的商業模式。自超級賬本建立以后，吸引了一大批商務館的會員。其核心技術是集團連鎖和智能化應用技術，其目的是建立一個商務領域的會計交易的信息化平臺，并且在各類商業交易中探索公開化的信任機制，方便后續的審計工作。

3 區塊鏈技術的安全風險研究

3.1 安全現狀

隨著區塊鏈技術的不斷應用，由于其代碼的開源性以及自身的技術漏洞，區塊鏈屢次遭受惡意攻擊。自建立以來，各大平臺虛擬貨幣被盜、交易攻擊、智能合約的漏洞等問題頻發。隨著安全事件規模和涉及經濟數額的數量不斷擴大，區塊鏈平臺的安全問題備受用戶的質疑。相關數據顯示，近年來區塊鏈平臺的安全事件數量呈現指數增長模式，以2020年為例，其安全事件增長比例和2019年相比月增長近200%。安全事件最終導致了經濟上的損失，并且經濟損失也呈現逐年上漲的趨勢。在使用安全方面，比經濟損失稍有減少，但形勢仍然非常嚴峻。2019年上半年，隨著全球對區塊鏈核心技術的不斷升級，取得了一定的成果。但隨著一系列安全事件的頻發，再次引發了社會各界對區塊鏈安全問題的關注。

3.2 存在的問題

區塊鏈自身的技術特點方面不僅存在安全風險，在生態應用上也存在不斷被攻擊的現象，因此對區塊鏈安全問題的分析不應該僅僅停留在自身技術的升級和優化上，更應該注重區塊鏈的使用人員。

從技術安全角度分析，主要存在以下問題。

3.2.1 共識機制的安全性不足

共識機制是區塊鏈技術應用的核心問題之一，區塊鏈的共識機制比較多，但是自今還未發現一種能夠完美支撐區塊鏈安全運營的共識機制。常用的共識機制如PoW、PBFT、PoS和DpoS等，不同的機制均存在優劣之分。以PBFT為例，其安全性和穩定性比較好，共識的頻率比較高，能夠滿足高頻次的交易量的需求，其不足之處是當系統僅僅剩余33%節點時，系統便會停止運行。當達到1/3或者以上的人協同作惡時，并且其他所有的記賬人被恰好分割為兩個信息孤島時，惡意記賬人便能夠使系統出現分叉。PoS的優勢是對節點的性能要求比較低，并且達成共識的時間能夠達到毫秒級，但是和PoW相同，需要挖礦，最終的一致性比較低。

3.2.2 智能合約的安全性不足

整數溢出問題比較明顯。此種漏洞是由于開發人員在進行代碼編寫過程中不嚴格導致的，此種漏洞不但能夠使得合約中的某個功能部件失效，更為嚴重的是，會導致黑客的惡意造幣攻擊和用戶比特幣的丟失等問題。

權限控制問題。在常規智能合約系統中會設定超級用戶，超級用戶權限的安全隱患非常大，一旦超級用戶的秘鑰被盜用，經濟損失便會非常嚴重。另外，規范性問題也比較多，現如今對于智能合約的實現并不存在統一的標準規范，而是僅僅以交互的方式實現多人的協調工作，一旦出現合約的不規范問題，會使得不同人之間對合約的內容產生誤解，從而引發不必要的安全問題。

3.2.3 網絡傳輸的安全性不足

區塊鏈中信息的傳遞是采用P2P的方式實現的，在節點中會將包括自身IP的信息地址發送給存在交易的各個相鄰的節點。在信息發送過程中，僅僅是依靠自由加入的方式完成，并不存在安全性審查問題，對于安全級別較低的節點非常容易遭受攻擊，從而對整個系統的安全性造成危害?，F如今，能夠預料的攻擊方式有：竊聽攻擊、BGP攻擊、DdoS攻擊等。

除上述安全問題以外，還存在區塊鏈自身安全問題、生態安全問題和使用安全問題等。其中區塊鏈自身安全問題主要包括：用戶節點的保障增長和對區塊鏈節點的惡意篡改問題，生態安全分為礦池安全、錢包安全和交易所安全等；使用安全主要是指對密鑰的管理不完備、賬號被盜等問題。

4 區塊鏈安全防范策略

針對以上安全風險，本文研究了以下防范策略，策略主要從自身技術、生態和使用安全三個方面入手。

首先，加強自身技術安全級別的提升，為了規避因代碼的開源漏洞問題，導致備受攻擊的現象，應該提升代碼編寫的規范化程度，制定開發標準和原則，從而保障被開發代碼的質量和準確性。借助建立代碼形式化校驗機制，加強對智能合約的審計，對其中存在的風險和漏洞進行及時修復，從源頭上減少漏洞的發生，從而避免平臺和用戶的經濟損失。

其次，搭建安全健康的生態。對交易過程中涉及到的錢包、狂吃和交易所，進行設計方案的二次評估，對其存在的風險情況進行識別，并對交易的基本情況進行及時的檢測，一旦發現異常問題，第一時間告警，避免詐騙和傳銷等行為的發生。通過高級別的加密方式，增強對超級用戶密鑰的管理，提升系統的安全級別，為系統構建一個健康穩定的運行環境。

最后，要對區塊鏈平臺中存在的安全漏洞，建立日常防范機制，警惕釣魚的惡意陷阱，交易之前對區塊鏈的相關知識進行充分的研究和了解，避免自身不必要的損失。

5 結論

區塊鏈是一門新技術，其發展仍然處于初步階段，與之相對的自身技術、成長環境和配套機制仍然不夠完善，未來國家應該從以上三個方面不斷優化升級新技術，為區塊鏈的快速發展提供良好的發展環境，完善相關法律法規，建立相關管理條例，防范惡意違法行為。