近年来,随着我国数字经济的快速发展,区块链技术开始得到广泛应用,并充分融入社会经济发展体系。另一个新技术领域是智能和云计算。区块链技术本身具有去中心化、分布式存储、不可篡改、可追溯等特点。其安全性远高于传统网络系统,具有广阔的应用场景和巨大的商业价值。同时,区块链也存在一些安全隐患。在推广应用的同时,也需要引起重视并及时处理。一、区块链技术现状概述1、区块链发展现状我国高度重视以区块链为代表的新型基础设施在新技术创新和产业变革中的重要作用。近年来,国家出台了多项政策文件,推动区块链技术快速发展、产业创新和经济社会融合。经过国家和行业的不懈努力,我国区块链技术在推动数字产业化、完善数字经济治理体系、强化数字经济安全体系等方面发挥了积极作用。主要成果如下:(一)产业链蓬勃发展,基础设施建设加快我国区块链产业初具规模,基本形成区块链产业链上中下游格局。同时,区块链在各行各业不断得到应用。在这样的利好政策推动下,北京、上海、广州、福建等地纷纷布局区块链产业。同时,各机构充分发挥自身优势,建设大规模区块链基础设施,积极探索基础设施建设方式。(2)区块链产业基金增速加快,政府参与力度加大。各地持续加大区块链产业基金投入力度,带动区块链产业布局。截至2021年底,共有20多个省市在工业制造、新型数字产业、信息产业等基金中覆盖区块链产业,专项发展资金已达500亿元以上。全国15个省、28个城市建立了48个区块链产业园,其中政府主导或参与建设的产业园最多。(三)发达地区辐射周边,加快产业布局。一线城市和新一线城市依托优势引领产业发展,辐射周边地区,带动当地区块链产业发展。报告显示,北京、上海、广州、深圳等集聚区核心城市依托经济、科技、教育、人才等优势,在区块链产业发展水平上名列前茅。(四)联盟组织数量快速增长,共同构建新的产业格局。一大批区块链产业联盟组织如雨后春笋般涌现。到2021年底,中国区块链研究联盟、中国分布式账本基础协议联盟、中国未来园区成立。区块链产业联盟等区块链产业联盟70多个,区块链组织成员超过2300家,其中企业单位2200多家,高校和科研机构近100家。由于区块链技术无国界、保密性强、不可篡改等特点,区块链生态领域的网络攻击层出不穷,区块链面临的安全挑战越来越严峻。据相关统计,2021年整个区块链生态的安全事件数量将超过332起,相比2020年增长超过22%;2021年整个区块链生态造成的经济损失将超过153亿美元,相比2020年增长超过26%。这些安全事件主要集中在交易所、DeFi、欺诈逃逸/加密诈骗、勒索/挖矿木马、暗网等。2、区块链面临的挑战目前,我国区块链发展面临一系列挑战行业,主要表现在以下四个方面:自主研发能力不足。目前我国大部分区块链应用项目主要基于国外开源平台,独立的底层平台使用不多。可信执行环境中的自主技术还不成熟,复杂环境中的核心技术需要加大研发投入。布局。团体标准质量参差不齐,存在定义不一致的情况。在我国的区块链标准体系中,团体标准最早也是发展最快的。目前,各领域团体标准已达70余项。但是,由于区块链行业的快速发展,目前不同标准中存在不一致的定义。情况下,这将无法对标准起到主导作用。科技安全问题不断凸显,金融监管风险需引起高度重视。技术安全挑战主要体现在区块链本身的技术漏洞和自主技术不足导致的对国外平台和技术的过度依赖。金融监管风险主要体现在跨境金融基础设施对我国外汇和反洗钱管理要求的影响。区块链应用深度不足,可持续性差。目前,在各行业中,区块链应用还存在深度不够、可持续性差等问题。一些企业已经工商登记,但尚未开展实际业务。同时,一些区块链项目只注重眼前利益,不考虑后续发展,导致可持续性较差。3.区块链安全机制区块链的核心技术主要包括:共识机制、数据存储、网络协议、加密算法、隐私保护、智能合约。1.共识机制:通过特殊节点的投票,在极短的时间内完成交易的验证和确认。共识机制,也称为共识算法,可以帮助验证信息是否已添加到分类账中,确保只有真实的交易记录在区块链上。常用的共识机制主要有PoW、PoS、DPoS、Paxos、PBFT等。2、数据存储:在区块链中,数据以块的形式存储,永久存储。每个区块记录其创建过程中发生的所有交易信息。区块的数据结构一般分为区块头和区块体。每个块相互链接以确保数据完整性和防篡改。3、网络协议:区块链网络协议普遍采用P2P协议。它可以保证同一网络中的每台计算机都是平等的,各个节点共同提供网络服务,不存在“特殊”的节点。不同的区块链系统会根据需要制定自己的P2P网络协议。例如,比特币有一个比特币网络协议。4、加密算法:主要包括哈希算法和非对称加密算法。散列(hash)算法的原理是将一段信息转化为固定长度的字符串,并提取数据特征。非对称加密算法是由一对对应的唯一密钥组成的加密方法,可以保证数据的机密性。5、隐私保护:区块链技术中的隐私主要指:身份隐私和交易隐私。目前区块链上传输和存储的数据都是公开的,只能通过“伪匿名”的方式来保护交易双方的隐私,所以隐私保护技术的使用主要是为了解决用户的匿名性传输内容的身份和保密性。6.智能合约:是一种旨在以信息化方式传播、验证或执行合约的计算机协议。它可以看作是一个部署在区块链上的可以自动运行的程序。有出错的可能。其涵盖范围包括:编程语言、编译器、虚拟机、容错机制、安全事件等。2.区块链金融应用场景金融是区块链应用场景中探索最多的领域。在供应链金融、贸易融资、跨境金融、资本监管、商业银行等细分金融场景都有具体的落地场景。.1、在供应链金融领域,目前供应链金融产品存在链条过长、关联度高、交易场景难以识别等诸多挑战。区块链作为数字化转型的新兴技术,包括:网络协议、共识算法、非对称加密、智能合约等,具有分布式点对点、链式数据块、可追溯、防伪造、不可篡改等特点值得信赖和高可靠性可以充分发挥其在供应链金融场景中的独特优势。银行主要包括:应收账款和生态合作,两种“区块链+供应链金融”应用模式,应用实例如下:文字来源:《区块链技术与金融应用安全白皮书》2。贸易融资是银行的主要业务之一。包括:福费廷、信用证、绿色债券等业务。在业务流转的全过程中,涉及银行、买卖双方、供应商、物流公司、监管机构等多方交易主体,难以取得互信,导致交易流程长,信任机制繁琐,延期交易周期。该链具有公开、透明、不可篡改、分布式账本等特点,便于贸易金融的线上化、智能化。可打造区块链贸易融资平台,在多方平台中提供信任机制,简化业务流程。提高业务流转效率,改善用户体验,降低市场风险和流动性风险,形成创新金融产品。应用举例如下:部分文字来源:《区块链技术与金融应用安全白皮书》3。随着跨境电商在跨境金融领域的兴起,区块链技术在跨境支付领域得到了很好的应用,解决了海外银行开户难、国内资金管理难等问题。多平台店铺,提现速度慢。越来越多的银行正在尝试建立区块链跨境支付系统。系统实现了跨境汇款秒级到账、交易信息实时共享、交易过程实时跟踪等功能,既方便了双方跨境交易,又提高了交易效率。优化金融机构成本结构,有效提升金融机构盈利能力。应用实例如下:文字来源:《区块链技术与金融应用安全白皮书》4。在资金监管领域,在传统的征收拆迁资金监管过程中,资金流转监管难、资金利用率低、项目复杂度高等问题一直困扰着监管机构。它具有多方共识、公开透明、不可篡改、可追溯等特点的区块链技术解决了这一问题。利用区块链技术可以实现资金流和信息流的统一、申请和拨款过程的可追溯、资金审批和使用的透明规范,保证链上信息的真实性和有效性,实现对资金的全方位监控.5、在商业银行业务领域,为实现数字化转型的目标,银行不断加大对区块链研究的投入,区块链技术与业务相互融合。本次我们将介绍票据业务、信用业务、信用卡业务和区块链技术。深度融合。1.票据业务主要包括:开票、贴现、转贴现、转贴现、托收、抵押贷款等,成本相对较低,可在短时间内实现融资,但纸质票据交易受损,人为篡改以及欺诈和其他风险。区块链技术可以解决上述风险。具体措施包括:一是结合票据业务应用形成区块流程。区块上所有节点记录交易信息,保证票据交易的可靠性;可追溯性,通过在存储的交易信息上打上“数据时间戳”,解决票据的归属问题,有效预防各种纠纷,节约资源。2、贷款业务作为商业银行最重要的资产业务,主要通过贷后收回本息获取收入,是银行的主要盈利方式之一。目前授信业务存在一些问题:一是传统授信业务审批机制复杂,成本难以控制;二是信息披露程度低,信息不对称增加违约风险;区块链技术可以与授信业务有机结合,有效提高授信效率和授信流程的科学性。3、信用卡是商业银行集支付、理财为一体,线上线下一体化的新型数字化工具。银行正在逐步将信用卡业务转向线上。与此同时,信用卡监管投诉和诉讼纠纷也在逐年增多。如何提供证据和保留证据是一个难点。目前业界提出了基于区块链的信用卡电子存证方案,可为解决信用卡投诉和诉讼问题提供参考。与传统电子存单相比,区块链电子存单的优势在于:可以通过区块链建立非利害关系第三方的见证身份;用户对存储在区块链上的电子合约执行的每项操作都有时间戳,确保每项操作都得到妥善记录;用户对存储在区块链上的电子合同进行的每一次操作都需要经过认证,电子合同最终审核时用户不能否认。三、区块链应用风险1、区块链技术风险缺乏可扩展性。限制区块链技术大规模应用的最重要因素是缺乏可扩展性。对于一些依赖高性能处理的场景,比如金融、存证、溯源等,区块链的处理能力明显不足。目前运行的公链中,最核心的是比特币、以太坊、EOS。比特币的系统吞吐量(TPS)不足。以太坊需要保证网络同步率,所以TPS也是不够的。EOSTPS高但节点少。并且存在安全隐患。无法保证智能合约的安全性。智能合约是区块链技术的核心,可以保障各种交易的稳定运行,但智能合约的安全性仍然得不到保障,智能合约的安全性受到诸多因素的影响。智能合约的编写和生成完全依赖于程序员。如果开发人员水平不高,合约的功能完整性和条款的严格性就容易出现问题。同时,在开发过程中,开发者可能不符合合规要求,在合约中加入主观意识,造成漏洞。共识机制漏洞。共识机制是区块链系统的核心,是区块链去中心化的关键。然而,其运作通常由简单的多数表决机制组成。这些机制容易受到部分用户对区块链的影响,不仅威胁到用户的利益,也破坏了节点的公平性。攻击者可以针对不同的机制漏洞设计相应的攻击方式,造成严重的后果。2.区块链应用风险数据真实性和隐私泄露风险。区块链数据具有不可篡改的特点。如果数据上链前的真实性、合法性出现问题,区块链将无法识别,数据只能记录在区块中。例如,比特币区块链上的交易携带的数据可能包含不适当的内容,无法验证真实性和合法性,给链上的参与者和所有用户带来风险。科技犯罪频发。如今,科技犯罪层出不穷,基于区块链技术的加密货币及衍生品是犯罪多发领域。例如,以比特币为代表的去中心化加密货币体系,已经成为全球性的货币体系。区块链技术的特性使得加密货币交易风险显现,不法分子钻空子作案并从中牟利。交易匿名化导致问责制。区块链具有匿名交易机制,交易者无法确认其他交易者身份的真实性,同时也会大大增加交易监管的难度。一旦发生数据泄露事件,数据安全保密责任无从追究。这也是区块链应用中如何控制数据安全事件和犯罪行为的难点。如果不建立健全责任落实制度,用户的权益就会受到损害。3.区块链合规风险虽然区块链广泛应用于各行各业,但仍存在意识形态合规风险。区块链自诞生之日起的最终目标就是实现完全去中心化,这也成为区块链技术思想的核心。然而,目前完全去中心化的系统无法在真实场景中实现。不管怎么发展,最终的结果不是由一个中心化的权威接管,就是因为缺乏强有力的协调机制而分裂或下线。即使是比特币和以太坊等长期活跃的项目也遇到了多次硬分叉。因此,旨在形成一个完全去中心化的系统成为当前区块链发展的一个思想陷阱。区块链的另一个合规风险主要体现在监管水平和法制保障上。区块链作为一项综合创新技术,不断影响着行业的发展、社会管理方式的变革、产业布局。但新技术必然存在技术标准缺失、监管体系不完善等不足。目前,国家标准正在稳步推进,行业企业也在不断探索和制定区块链行业标准。但从整体上看,区块链技术监管还跟不上其发展速度,迫切需要建立规范的国家标准和各行业的区块链监管规范,规范和引导区块链技术和产业的发展。四、区块链技术与安全框架1、区块链技术框架区块链技术体系结构是运行在区块链网络节点上并提供区块链系统功能的软件和存储实体的集合。区块链功能架构的用户层、接口层、核心层和基础层。参考《信息安全技术 区块链技术安全框架》(征求意见稿)和《区块链技术架构安全要求》(YD/T3747-2020),建立的区块链技术框架如下:2.区块链安全框架完善的区块链安全框架是推动区块链技术发展的基础应用场景创新发展,区块链作为新兴技术,必须警惕其潜在的安全风险。针对区块链技术面临的风险,参考《信息安全技术 区块链技术安全框架》(征求意见稿)和《区块链技术架构安全要求》(YD/T3747-2020),建立区块链技术安全框架如下:五、区块链风险评估方法1、风险控制框架目前,区块链技术已与实体经济深度融合,正在成为推动我国数字经济发展和数字化转型的新动能。然而,区块链技术本身和区块链技术应用还存在底层代码安全等问题,针对智能合约安全、数字孪生等风险,金融机构需要针对各种区块链风险构建完善的风险管控框架,引导应用在企业内部推广区块链技术,通过区块链技术的良好应用帮助企业发展。区块链风险管控框架如下:2.基本要求评估金融单位可参考《JRT 0193-2020区块链技术金融应用评估规则》,从应用层、接口层、平台层入手,对内外部接口、技术应用、技术应用等进行评估。区块链的场景功能。.区块链技术金融应用风险的基本要求评估框架如下。区块链技术及应用的基本评价指标如下:现场评价目标评价要素基本要求评价账本技术数据存储方式账本结构历史数据可追溯数据同步数据归档数据扩展数据跨链功能数据分片功能共识协议共识算法共识共识节点数容错阈值可靠性可扩展性智能合约智能合约虚拟机智能合约编程语言智能合约编译智能合约正确性智能合约一致性智能合约可靠性智能合约业务隔离智能合约生命周期管理智能合约版本控制节点通信组网方式消息转发节点加入节点退出事件分发事件分发密钥管理密钥生成密钥存储密钥更新密钥使用密钥撤销、销毁和归档状态管理查询区块高度查询区块详情查询交易信息、查询交易结果、查询账本状态、账本状态更新、会员管理、用户注册、用户身份识别、用户权限变更、用户角色授权、用户账户冻结与解冻、用户注销、用户信息查询、用户交易交易系统智能合约部署交易智能合约方法调用交易原生交易交易原子性接口管理外部接口用户接口管理接口系统间接口3.系统性能评估金融单位可参考《JRT 0193-2020区块链技术金融应用评估规则》从维度扩展交易吞吐率、查询吞吐率、交易同步性能、部署效率、账本数据增长率,来评估区块链系统的性能。区块链性能评价指标如下:领域评价目标评价要素系统性能评价交易吞吐量交易吞吐量查询吞吐量查询吞吐量交易同步性能交易同步性能部署效率部署效率账本数据增长率账本数据增长率4.安全评估过程中评估区块链技术的应用,安全评估也是一个重要环节。金融机构可以参考《JRT 0193-2020区块链技术金融应用评估规则》和《JRT0184-2020金融分布式账本技术安全规范》,从基础软硬件、智能合约、共识协议、隐私保护、运营维度要求等维度进行对区块链安全性的评估。区块链安全评价指标如下:现场评价目标评价要素安全保障评价基础硬件基础条件场地安全硬件设备节点部署安全硬件加密设备安全网络架构安全通信传输安全基础软件基本条件账本结构数据存储共识模块分布式组网智能合约接口设计数据传输时间同步操作系统密码算法对称加解密非对称加解密哈希算法随机数机密性完整性真实性节点通信节点身份验证通信完整性通信机密性账本数据账本数据完整性账本数据一致性账本数据机密性账本数据有效性账本数据冗余账本数据访问和使用账本数据安全审计共识协议合法性C正确性最终性不可伪造的鲁棒性低延迟激励兼容性监管智能合约访问控制原子安全审计攻击预防安全验证身份管理身份注册、验证、认证、更新、吊销、安全、审计账户管理凭证生命周期管理节点身份管理隐私保护隐私保护策略隐私保护技术隐私保护监控审计监管支持交易信息监管系统监管、突发事件报警、智能合约监管、安全运维权限管理、审计记录、漏洞修复、应急预案备份与恢复、安全管理系统、安全管理机制、节点管理干预机制5、安全技术检测技术检测是区块链安全风险管控的重要手段之一1.区块链技术测试主要包括信息收集与威胁建模、测试与发现、利用与升级三个阶段。具体过程和重点内容如下。区块链技术测试主要针对智能合约。智能合约是用Solidity等语言编写的。这些编程语言也存在安全隐患。下面让我们回顾几个典型的区块链案例。2016年6月17日,发生了历史上对区块链的重大攻击。由于以太坊智能合约存在重大缺陷,区块链行业最大的众筹项目TheDAO(被攻击前拥有约1亿美元资产)被攻击,导致超过300万以太坊资产从TheDAO资产中分离出来水池。2021年,DeFi借贷协议CreamFinance被攻击五次。2月13日,黑客首次利用AlphaHomoraV2技术漏洞向CreamFinance旗下零抵押跨协议借贷功能IronBank借出ETH、DAI、USDC等资产,损失约38万美元的项目;第二次,同月28日,DeFi聚合平台Furucombo被严重漏洞攻击,损失110万美元;第三次,3月15日,CreamFinance域名被黑,没有损失资金;第四次,8月30日,CreamFinance因可重入漏洞遭遇闪贷攻击。黑客获利4.2亿AMP、1308ETH以及少量USDC等稳定币资产。资产总值超过3400万美元;第五次,10月27日,DeFi借贷协会CreamFinance遭到攻击,损失约1.3亿美元。被盗资金主要为CreamLP代币和其他ERC-20代币。2022年3月29日,东南亚最受欢迎的区块链游戏AxieInfinity母公司SkyMavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超过DeFi协议PolyNetwork案件于去年8月遭到黑客入侵。6.11亿美元成为DeFi历史上最大的盗窃案。2022年5月18日,币安链上的女权元界智能合约遭到智能合约攻击。由于Fmtoken合约转账正确性验证机制不完善,损失的资金价值超过55万美元。上述事件收集自互联网公开信息,可见智能合约虽然为生活带来了一些便利,但仍存在不少漏洞和安全隐患。合约设计漏洞、合约协议漏洞、合约安全分析不充分等问题仍需引起开发者关注。注意。智能合约属于合约层的程序,一旦受到攻击,将直接影响应用层功能的正常交易,甚至造成资金损失。下图是区块链安全测试基础架构模型,虽然数据层和网络层都有层层安全防护手段,但是合约层还是很难抵御合约漏洞。为了更好地探究区块链的技术风险,笔者介绍了两种典型的安全测试工具,让我们更直观地了解它们的功能。1.Oyente符号执行工具Oyente是一款自动智能合约审计工具,可以分析智能合约并返回可能的漏洞攻击,包括著名的DAO攻击类型。本工具的分析对象是字节码,需要合约的编译版本。使用docker运行时,只能检测低于solc0.4.21的版本。这个工具是一个开源工具,可以检测多种漏洞,包括整数下溢、整数溢出、多重验证错误2、Callstack深度攻击漏洞、事务排序依赖(TOD)、时间戳依赖、Re-Entrancy漏洞,通过执行这个命令greeter.sol,可以对以上七大漏洞进行安全检测分析。此处代码检测覆盖率为99.5%,未发现漏洞风险。2.Mythril安全分析工具Mythril是以太坊EVM字节码的安全分析工具。它检测基于Ethereum、Hedera、Quorum、Vechain、Roostock、Tron和其他evm兼容区块链的智能合约中的安全漏洞。使用如下命令对智能合约源码进行安全检测:$dockerrun-v$(pwd):/var/tmp/solidity_examplesmythril/mythanalyze/var/tmp/solidity_examples/Roulette.sol通过检测,我们发现该构建的智能合约测试环境存在时间戳依赖漏洞。六、区块链安全未来发展趋势1、加强技术研发和应用场景完善区块链技术研发和场景应用是区块链行业的重要内容,未来可以从三个方面加强:一是加强智能合约设计的合理性审查,建立智能合约协议漏洞库,实现智能合约的代码安全分析和技术测试;二是完善区块链共识机制,提高交易数据的透明度和安全性;三是厘清区块链输出价值,细化区块链应用场景,建立不同场景下的区块链安全管控目标。2.推动区块链技术与新技术深度融合。区块链技术的发展日新月异。区块链与大数据、人工智能、隐私计算、量子计算等新技术相互融合。在融合过程中,要不断总结新兴风险,不断完善量子计算,克服跨链数据交互问题,与隐私计算紧密结合,防止交易和客户信息泄露,促进区块链的高度集成和垂直延伸技术与新技术,构建智能化、数字化、生态化的区块链产业新格局。3.完善区块链标准,推进法律法规建设。区块链国家标准和行业规范的推广对区块链行业至关重要。继续完善国家层面的区块链国家标准。从区块链基金会的角度,区块链在架构、区块链业务、区块链技术应用、区块链安全等方面持续推动国家标准和行业规范的制定,与国家标准组织、行业协会、技术厂商共同编写区块链、研究机构和咨询公司。区块链标准,组建区块链智库团队,立法者可以借助社会智库和专业公司的力量,全面推进区块链各行业立法体系建设。4.完善区块链技术合规监管。合规要求是推动新技术发展的有力保障。区块链技术作为新兴技术,也需要在合规监管的指引下不断发展创新。一是建立严、松、适的区块链技术监管合规体系,促进区块链技术的发展和应用;二是完善监管方式,实现科技监管的强力推进,发挥监管治理优势,注重监管三是加强国际合作,建立全球统一的区块链监管体系,促进区块链行业健康发展。七、结语区块链是一项革命性的新技术,被誉为第二个互联网,受到各国的高度重视。目前,虽然区块链技术还存在可扩展性、隐私安全、应用场景不成熟、监管政策不完善等问题,但十余年的发展和已有应用已经证明了区块链的价值,尤其是在区块链领域的应用价值。金融业突出。接下来,为继续推动和完善区块链生态建设,在区块链技术研发、场景应用、区块链技术与新技术的融合、区块链国家标准与行业规范、区块链技术合作这四个方面规范和监督仍需重视和加强。
