區塊鏈可能是安全的，但與之交互的軟件未必，至少大多數情況下都不安全。區塊鏈軟件漏洞導致的網絡攻擊近年來逐漸增多，從加密貨幣錢包盜竊到智能合約攻擊再到加密貨幣交易所被黑，各種涉區塊鏈軟件的安全事件層出不窮。

保護區塊鏈生態系統是當前最具挑戰性的網絡安全問題。區塊鏈本身可能是安全的，但這并不意味著與之交互的所有部分都安全，比如加密貨幣錢包、加密貨幣交易所、挖礦軟件、智能合約。最近的一份調查研究表明，僅今年上半年，黑客便盜取了價值11億美元的加密貨幣。

區塊鏈安全公司 曲速未來 表示：區塊鏈成為黑客眼中誘人目標的部分原因，在于攻擊者利用區塊鏈變現更加便捷，他們不用轉手所盜數據即可收獲金錢，直接盜取(虛擬)貨幣本身即可。

區塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯網上，區塊鏈技術依靠密碼學和巧妙的分布式算法，無需借助任何第三方中心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性

黑客攻擊為什么能屢屢得手

基于區塊鏈的數字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生也引發了人們對數字貨幣安全的擔憂，人們不禁要問：區塊鏈技術安全嗎？

隨著人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大規模DDoS攻擊外，還將由于其特性而面臨獨有的安全挑戰。

1. 算法實現安全

由于區塊鏈大量應用了各種密碼學技術，屬于算法高度密集工程，在實現上比較容易出現問題。歷史上有過此類先例，比如NSA對RSA算法實現埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發這種級別的漏洞，可以說構成區塊鏈整個大廈的地基將不再安全，后果極其可怕。之前就發生過由于比特幣隨機數產生器出現問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數，就能推導出私鑰。

2. 共識機制安全

當前的區塊鏈技術中已經出現了多種共識算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現并保障真正的安全，需要更嚴格的證明和時間的考驗。

3. 區塊鏈使用安全

區塊鏈技術一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成并保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產做任何操作。一旦被黑客拿到，就能轉移數字貨幣。

4. 系統設計安全

像Mt.Gox平臺由于在業務設計上存在單點故障，所以其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區塊鏈面臨著算法實現、共識機制、使用及設計上挑戰，同時黑客通過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性造成越來越大的影響。

如何保證區塊鏈的安全

新技術意味著新威脅和新的學習曲線。任何新技術都一樣，風險浮現需要時間，發展出應對風險的方法也需要時間。我們已經在WiFi技術上走過了這條曲線，IoT技術領域的學習曲線則仍在描繪中。至于區塊鏈安全，我們才剛剛踏上學習曲線的起始階段。而我們必須盡快探索，因為區塊鏈的誘惑太大了，鏈上投注了如此之多的金錢，大量攻擊活動正蠢蠢欲動。

為了保證區塊鏈系統安全，建議參照NIST的網絡安全框架，從戰略層面、一個企業或者組織的網絡安全風險管理的整個生命周期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區塊鏈風險和威脅。

除此之外，根據區塊鏈技術自身特點重點關注算法、共識機制、使用及設計上的安全。

1.針對算法實現安全性：一方面選擇采用新的、本身經得起考驗的密碼技術，如國密公鑰算法SM2等。另一方面對核心算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。

2.針對共識算法安全性：PoW中使用防ASIC雜湊函數，使用更有效的共識算法和策略。

3.針對使用安全性：對私鑰的生成、存儲進行保護，敏感數據加密存儲。

4.針對設計安全性：一方面要保證設計的功能盡量完善，如采用私鑰白盒簽名技術，防止病毒、木馬在系統運行過程中提取私鑰；設計私鑰泄露追蹤功能，盡可能減少私鑰泄露后的損失。另一方面，應對某些關鍵業務設計去中心化，防止單點故障攻擊

區塊鏈用戶要保護自身，需從以下四個基本安全措施做起：

1. 別暴露你的私鑰

2. 采用雙因子身份驗證

3. 使用加密貨幣交易平臺時別公開任何電子郵箱地址或電話號碼

4. 別在網上吹噓你的加密貨幣財富

實現代碼級安全

創建與區塊鏈互動的軟件時應將安全內置到代碼中：

1. 要用良好的軟件開發生命周期將安全添加到開發過程中，并審查繼承過來的代碼

2. 使用雙因子身份驗證和硬件錢包

3. 遵從標準最佳實踐——使用SSL和證書以確保參與各方的身份真實

區塊鏈安全公司 曲速未來 歸納：區塊鏈好處多多，包括更好的法律合同、更強的供應鏈可見性，甚至可以減少欺詐。但任何技術都逃不過被惡意黑客探測一番，區塊鏈也不例外，黑客探出的漏洞就有可能引發懷疑情緒，減緩新技術的采納速度。

本文內容由 曲速未來安全咨詢公司整理編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。