日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

雖然區(qū)塊鏈和智能合約都有其獨(dú)特的漏洞，但是在應(yīng)對(duì)糟糕的代碼測(cè)試、加密密鑰和網(wǎng)絡(luò)攻擊方面也會(huì)讓企業(yè)受益。

創(chuàng)新互聯(lián)于2013年成立，先為安新等服務(wù)建站，安新等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為安新企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

為什么企業(yè)區(qū)塊鏈現(xiàn)在這么火爆?主要?dú)w結(jié)為兩個(gè)原因：共享現(xiàn)有的多方數(shù)據(jù)以及大量數(shù)據(jù)的處理，而每個(gè)人都希望讓其他人使用自己的系統(tǒng)和數(shù)據(jù)格式。

企業(yè)區(qū)塊鏈以兩種方式解決這些問(wèn)題：首先，區(qū)塊鏈和智能合約迫使每個(gè)人就數(shù)據(jù)格式和處理規(guī)則達(dá)成一致，更重要的是，這些規(guī)則是由系統(tǒng)強(qiáng)制執(zhí)行的，并且沒(méi)有可用的人工覆蓋，除非每個(gè)人都同意進(jìn)行更改。其次，因?yàn)閰^(qū)塊鏈和智能合約本質(zhì)上是每個(gè)人的“綠地部署”，沒(méi)有人會(huì)擁有試圖強(qiáng)加給其他人的現(xiàn)有解決方案。

但是新技術(shù)帶來(lái)了新的風(fēng)險(xiǎn)，并且通常是人們不太了解的風(fēng)險(xiǎn)。目前，企業(yè)區(qū)塊鏈和智能合約部署存在三個(gè)新風(fēng)險(xiǎn)：老舊軟件、軟件缺陷、操作缺陷。

就像任何技術(shù)一樣，區(qū)塊鏈和智能合約也有一些創(chuàng)造性的方法帶來(lái)安全風(fēng)險(xiǎn)。

以下是企業(yè)在采用之前需要權(quán)衡的8個(gè)區(qū)塊鏈安全風(fēng)險(xiǎn)：

1.老舊軟件

雖然企業(yè)區(qū)塊鏈軟件很少過(guò)時(shí)，但就其變化速度和改進(jìn)而言，任何使用超過(guò)一兩年的軟件基本上都是“石器時(shí)代”的工具。

R3的開(kāi)源Corda區(qū)塊鏈平臺(tái)就是一個(gè)很好的例子：從2016年5月發(fā)布的首個(gè)版本到2021年5月(4.8版)，Corda已經(jīng)發(fā)布了182個(gè)版本，大約每10天發(fā)布一個(gè)，其中許多版本都進(jìn)行了重要修改，而添加主要功能和重構(gòu)或代碼刪除是司空見(jiàn)慣的現(xiàn)象。在大多數(shù)企業(yè)項(xiàng)目中，通常選擇安裝軟件最新版本卻從不升級(jí)，因?yàn)閾?dān)心升級(jí)可能會(huì)影響業(yè)務(wù)正常運(yùn)行。

經(jīng)驗(yàn)教訓(xùn)：確保軟件是最新的版本并且可以保持更新。

2.安全漏洞覆蓋率不足

企業(yè)區(qū)塊鏈軟件在安全漏洞數(shù)據(jù)庫(kù)中覆蓋率不足。這意味著大多數(shù)企業(yè)并沒(méi)有進(jìn)行安全更新，除非一直跟蹤供應(yīng)商軟件發(fā)布活動(dòng)。而安全漏洞覆蓋率不足是一個(gè)巨大的問(wèn)題，尤其是沒(méi)有進(jìn)入通用漏洞及風(fēng)險(xiǎn)庫(kù)(CVE)數(shù)據(jù)庫(kù)和美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)(NVD)的覆蓋范圍，因?yàn)槿绻恍┞┒礇](méi)有得到官方認(rèn)可，那么許多企業(yè)可能就會(huì)認(rèn)為不存在這些漏洞。雖然不確定區(qū)塊鏈的CVE和NVD覆蓋率如此之差的主要原因，但其中一個(gè)原因是缺乏特定區(qū)塊鏈漏洞的官方文檔。

經(jīng)驗(yàn)教訓(xùn)：確保企業(yè)具有資源來(lái)監(jiān)控正在使用的區(qū)塊鏈和智能合約軟件中的安全漏洞和更新。

3.缺乏安全漏洞知識(shí)

傳統(tǒng)軟件已經(jīng)很好地理解漏洞類型，其中許多漏洞都記錄在通用弱點(diǎn)枚舉(CWE)字典中——例如緩沖區(qū)溢出和整數(shù)溢出之間的差異就是網(wǎng)絡(luò)攻擊者利用的常見(jiàn)弱點(diǎn)。通用弱點(diǎn)枚舉(CWE)是一種關(guān)鍵資源。許多代碼掃描工具都將其作為檢測(cè)漏洞類型的基礎(chǔ)。

但是，截至2021年5月，通用弱點(diǎn)枚舉(CWE)并未具體涵蓋區(qū)塊鏈或智能合約。而好消息是已經(jīng)采取措施來(lái)記錄這些問(wèn)題，例如SWC注冊(cè)中心(以太坊和其他公司使用的堅(jiān)固智能合同語(yǔ)言上有30多個(gè)條目)以及云安全聯(lián)盟的區(qū)塊鏈DLT攻擊和弱點(diǎn)枚舉數(shù)據(jù)庫(kù)，擁有200多個(gè)條目，涵蓋了各種智能合同語(yǔ)言、區(qū)塊鏈技術(shù)和通用概念。

經(jīng)驗(yàn)教訓(xùn)：詢問(wèn)企業(yè)的代碼審計(jì)員或工具將尋找哪些漏洞，他們應(yīng)該能夠清楚地表達(dá)和解釋。

4.代碼掃描和安全測(cè)試不足

當(dāng)前的區(qū)塊鏈和智能合約代碼掃描工具并不是很成熟，其原因很簡(jiǎn)單，因?yàn)榧夹g(shù)太新。然而雪上加霜的是，許多智能合約是在沒(méi)有安全審計(jì)的情況下部署的。這種情況開(kāi)始發(fā)生變化，但已經(jīng)發(fā)生了許多安全事件，讓人們認(rèn)識(shí)到在部署之前審計(jì)代碼和生成新密鑰的重要性。

例如，Paid Network公司是一家金融交易區(qū)塊鏈去中心化應(yīng)用程序(dApps)提供商，該公司提供了一份支付給開(kāi)發(fā)人員創(chuàng)建的智能合約，但它從未刪除開(kāi)發(fā)人員的密鑰，因此遭到破壞。當(dāng)開(kāi)發(fā)人員的密鑰后來(lái)在Git提交(將程序代碼保存到存儲(chǔ)庫(kù)的過(guò)程)對(duì)外公開(kāi)時(shí)遭到網(wǎng)絡(luò)攻擊。

該合同已經(jīng)通過(guò)安全審計(jì)。但審計(jì)員無(wú)法審計(jì)生產(chǎn)密鑰，這會(huì)使其泄露，因此他們會(huì)認(rèn)為付費(fèi)網(wǎng)絡(luò)會(huì)采用安全生成的密鑰替換它，但事實(shí)并非如此。

經(jīng)驗(yàn)教訓(xùn)：確保掃描和審核所有智能合約代碼，安全生成并正確添加所有加密密鑰。

5.操作風(fēng)險(xiǎn)

假設(shè)企業(yè)有一個(gè)安全的區(qū)塊鏈和沒(méi)有任何安全漏洞的格式良好的智能合約，則仍然必須在某些東西上運(yùn)行區(qū)塊鏈和智能合約代碼，最好是連接良好且可靠的。如果企業(yè)選擇采用云計(jì)算服務(wù)或第三方托管，則需要確保它們也是安全的。

尋求超越SOC2合規(guī)性聲明的真實(shí)度和透明度。一種資源是云安全聯(lián)盟的安全、信任、保證和風(fēng)險(xiǎn)(STAR)注冊(cè)項(xiàng)目，它允許用戶直接比較提供商給出的答案。

經(jīng)驗(yàn)教訓(xùn)：提出問(wèn)題，而注重安全的供應(yīng)商和服務(wù)提供商將會(huì)回答這些問(wèn)題而不是回避。

6.加密密鑰和硬件安全模塊(HSM)

每個(gè)區(qū)塊鏈服務(wù)和客戶端的核心都是加密密鑰。即使在使用專用系統(tǒng)時(shí)，將重要的加密密鑰保存在計(jì)算機(jī)中的措施也不再足夠安全。

企業(yè)需要將加密密鑰保存在硬件安全模塊(HSM)。硬件安全模塊(HSM)基本上可以做到計(jì)算機(jī)無(wú)法做到的兩件事：首先，可以設(shè)置密鑰，使其無(wú)法從硬件安全模塊(HSM)導(dǎo)出或復(fù)制。其次，用戶可以通過(guò)硬件安全模塊(HSM)更可靠地記錄密鑰的使用情況。這很重要，因?yàn)槿绻髽I(yè)的網(wǎng)絡(luò)遭到入侵，將能夠確定網(wǎng)絡(luò)攻擊者使用其密鑰的目的，而不是推測(cè)他們可能進(jìn)行網(wǎng)絡(luò)攻擊。

經(jīng)驗(yàn)教訓(xùn)：敏感操作的加密材料必須存儲(chǔ)在硬件安全模塊(HSM)中并進(jìn)行備份。

7.網(wǎng)絡(luò)釣魚、SIM卡交換和其他攻擊

企業(yè)區(qū)塊鏈通常不會(huì)像使用釣魚或SIM交換這樣的技術(shù)受到廣泛的網(wǎng)絡(luò)攻擊，而這些技術(shù)通常用于攻擊采用加密貨幣的用戶。然而，勒索軟件和相關(guān)攻擊越來(lái)越多地轉(zhuǎn)向網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，這是因?yàn)槠涔羰钟行?。而?yīng)對(duì)這些攻擊的措施通常是使用強(qiáng)大的多因素認(rèn)證，理想的情況是基于硬件令牌，這樣可以防止用戶向網(wǎng)絡(luò)攻擊者提供信息，即使他們被愚弄。

經(jīng)驗(yàn)教訓(xùn)：人類會(huì)犯錯(cuò)誤，企業(yè)需要?jiǎng)?chuàng)建業(yè)務(wù)和技術(shù)流程來(lái)捕捉錯(cuò)誤和惡意行為。

8.51%攻擊

令人欣慰的是，在大多數(shù)企業(yè)區(qū)塊鏈部署中，使用的是共識(shí)機(jī)制而不是工作量證明(PoW)機(jī)制。更常見(jiàn)的是，使用權(quán)益證明或更傳統(tǒng)的投票機(jī)制，例如多數(shù)票。

51%攻擊是指單個(gè)實(shí)體接管大部分區(qū)塊鏈哈希率或計(jì)算資源以試圖破壞網(wǎng)絡(luò)，對(duì)于基于工作量證明(PoW)的系統(tǒng)最有效。而即使采用簡(jiǎn)單的共識(shí)機(jī)制(如多數(shù)票)，網(wǎng)絡(luò)攻擊者也需要劫持51%的企業(yè)——這比簡(jiǎn)單地組合計(jì)算資源要困難得多，雖然這些計(jì)算資源通?？梢宰庥?。

經(jīng)驗(yàn)教訓(xùn)：確保了解正在使用的區(qū)塊鏈共識(shí)機(jī)制以及網(wǎng)絡(luò)攻擊者在什么情況下能夠破壞它們。例如，構(gòu)建一個(gè)需要超過(guò)一半的企業(yè)被破壞的系統(tǒng)是一種可以接受的風(fēng)險(xiǎn)。

結(jié)論

關(guān)于區(qū)塊鏈安全方面有好消息也有壞消息。壞消息是區(qū)塊鏈和智能合約軟件幾乎比其他任何東西都更復(fù)雜、更難以保護(hù)。好消息是他們?cè)噲D解決的問(wèn)題確實(shí)很難。

企業(yè)希望構(gòu)建信息處理系統(tǒng)，并知道網(wǎng)絡(luò)攻擊者可能正在進(jìn)行攻擊，但不會(huì)讓他們破壞系統(tǒng)。而解決這個(gè)問(wèn)題將開(kāi)辟各種新的市場(chǎng)和機(jī)會(huì)。

基于比特幣自從2009年問(wèn)世以來(lái)的進(jìn)展，并且正在穩(wěn)步實(shí)現(xiàn)這一目標(biāo)，一些安全系統(tǒng)已經(jīng)投入生產(chǎn)，能夠抵御高水平的網(wǎng)絡(luò)攻擊和濫用。但和任何新技術(shù)一樣，它仍然需要大量的專業(yè)知識(shí)來(lái)安全地構(gòu)建和部署區(qū)塊鏈，并更加安全地進(jìn)行操作。

本文名稱：采用之前需要權(quán)衡的八個(gè)區(qū)塊鏈安全風(fēng)險(xiǎn)
文章分享：http://www.dlmjj.cn/article/dpscodh.html