ORI:采用區塊鏈之前需要了解八大區塊鏈安全風險_區塊鏈

為什么企業區塊鏈現在這么火？毛球科技歸結為兩個主要原因：現有的多方數據共享和處理的門檻太高，每個人都想強迫其他人使用自己的系統和數據格式。

而企業區塊鏈可以以兩種方式解決這些問題。首先，區塊鏈和智能合約可以讓每個人就數據格式和處理規則達成一致，更重要的是，這些規則是由系統強制執行的。沒有可用的手動覆蓋，除非每個人都統一進行更改。

其次，因為區塊鏈和智能合約是新興技術，對于每個人來說基本上都是一個綠地部署。很有可能現在沒有一個人擁有現成的解決方案，所以有一些人會試圖把區塊鏈和智能合約強加給其他人。

不過新技術也會帶來新的風險，這些風險通常是人們不太了解的風險。目前，企業區塊鏈和智能合約部署在毛球科技看來存在三大新風險：舊軟件、軟件缺陷和操作缺陷。

回顧過去50年，好像這些都是一直在處理的計算機風險。在元級別上，當你深入到細節時，像任何其他技術一樣，區塊鏈和智能合約已經找到了新的和創造性的方法來創造安全風險。

Origin Protocol考慮在NFT市場加入OGN補貼:金色財經報道，根據一項治理提案，Origin Protocol準備用ETH和OGN補貼來支持其OGN訂金計劃的方向發展。該行動旨在應對通常支持Origin流行的收益率項目的費用收入的短期短缺，該項目目前持有所有OGN代幣的11%。本月早些時候，Origin的鏈上治理參與者批準了為期三個月的凍結，對通過Origin Story進行的NFT銷售征收1.25%的稅，該協議是以品牌為中心的NFT市場服務。[2023/3/21 13:15:32]

下面一起來看看毛球科技整理的8個區塊鏈安全風險：

1.老軟件

雖然企業區塊鏈軟件很少是“老的”，但對于軟件來說，任何超過一兩年的軟件在變化速度和改進方面基本上都是石器時代的工具。

面向穩定幣和CBDC的通用數字支付網絡在世界經濟論壇上推出:1月20日消息，面向穩定幣和CBDC的通用數字支付網絡（UDPN）已在世界經濟論壇（WEF）上啟動。該網絡旨在提供這些數字貨幣之間的互操作性。

USPN在過去的兩年里一直在開發中，由GFT、Red Date Technology、TOKO和DLA Piper提供支持。2022年7月推出了一個沙盒，多家銀行正在積極測試穩定幣轉賬和外匯交易。該網絡在達沃斯論壇上推出。UDPN報告稱，幾家一級銀行將在本月剩余時間內參與一系列概念驗證用例，以演示UDPN如何被用于解決當前和未來將數字貨幣融入日常業務、銀行和支付場景的挑戰。其中前兩個概念驗證將涉及兩家全球銀行測試UDPN的數字貨幣跨境轉移和兌換交易能力，以及如何在兩家金融機構之間輕松地在UDPN上實施關鍵的“旅行規則”，以進行匿名穩定幣轉賬。[2023/1/20 11:23:20]

R3的開源Corda區塊鏈平臺就是一個很好的例子。從2016年5月的初始版本到2021年5月，Corda有182個版本，大約每10天一個。其中許多也不是小版本；主要的新功能和重構或刪除代碼是司空見慣的。在大多數企業項目中，有一種真正的趨勢是選擇一個軟件版本，然后永遠不升級，因為升級有可能會破壞一些東西。

尼日利亞和幣安商談共建數字經濟區:9月4日消息，尼日利亞當局與幣安正在談判建立一個數字經濟區，該經濟區將幫助該國企業家快速追蹤區塊鏈技術。根據尼日利亞出口加工區管理局的聲明，該伙伴關系旨在建立一個“類似于迪拜虛擬自由區”的數字中心。

尼日利亞是非洲人口最多的國家，正將數字技術作為一種手段，促進經濟多元化，擺脫對原油的依賴，發揮人口聯系日益密切以及年輕化的優勢。像Interswitch和Flutterwave這樣的金融科技初創公司已經在該領域嶄露頭角，并實現了數十億美元以上的估值。CoinGecko一項研究顯示，自4月份數字資產開始走低以來，尼日利亞公民對加密貨幣的興趣超過了其他任何國家。

此前消息，尼日利亞加密持有者人數超過2200萬人，是非洲最大的加密市場。[2022/9/4 13:08:01]

這里的教訓是：確保軟件是最新版本并且還可以持續保持更新，但如果不能，為什么不呢？

吉爾吉斯斯坦央行就加密貨幣、加密支付發出警告:金色財經報道，吉爾吉斯斯坦央行最近指出，加密貨幣和其他虛擬資產在吉爾吉斯斯坦的普及率越來越高。監管機構提醒說，使用它們買賣商品和服務仍然是違法的，吉爾吉斯斯坦索姆仍然是該國唯一的法定貨幣。

當地媒體援引貨幣當局的話說，貨幣當局還就與去中心化數字貨幣相關的風險發出警告：通常，沒有人對加密貨幣負責。它沒有財政支持。它沒有實際價值，因為它不與任何貨幣或其他資產掛鉤。

吉爾吉斯斯坦國家銀行（NBK）表示，這會造成匯率波動和價值損失的高風險。它還指出了加密貨幣結算的風險，源于其特征和缺乏“控制中央機構。因此，我們建議公民謹慎行事，避免使用加密貨幣進行支付和結算。用戶在使用加密貨幣和虛擬資產進行結算時承擔所有可能的風險和負面后果。（news.bitcoin）[2022/6/16 4:32:11]

2.缺乏安全漏洞覆蓋

企業區塊鏈軟件在安全漏洞數據庫中幾乎沒有覆蓋。這意味著大多數用戶，除非他們明確跟蹤供應商的發布說明，否則不會意識到安全更新。

這種缺乏覆蓋面，特別是公共漏洞和暴露數據庫和美國國家漏洞數據庫是一個巨大的問題，因為如果漏洞沒有得到官方認可，那么對于許多大型組織來說，它們就不存在。

不確定為什么區塊鏈的CVE和NVD覆蓋率如此之差，但一個可能的罪魁禍首是缺乏特定區塊鏈漏洞的官方文檔。

3.缺乏安全漏洞知識

傳統軟件有很好理解的漏洞類型，其中許多在網上的《常見弱點列舉》字典中都有記載，例如，緩沖區溢出和整數溢出的區別是黑客利用的流行弱點。CWE是一個重要的資源。許多代碼掃描工具將它作為它們試圖檢測的漏洞類型的基礎。

然而，截至2021年5月，CWE并沒有含有區塊鏈或智能合約的漏洞類型記載。好消息是有兩項工作可以記錄這些問題，一是SWC注冊中心，二是云安全聯盟的區塊鏈DLT攻擊和弱點列舉數據庫，有200多個條目，涵蓋各種智能合約語言、區塊鏈技術和一般概念。

4.缺乏代碼掃描和安全測試

目前的區塊鏈和智能合約代碼掃描工具還不是很成熟，原因很簡單，因為這個領域太新了。雪上加霜的是，許多智能合約的部署沒有經過安全審計。但是這種情況正在開始改變，已經有許多安全事件讓人們認識到在部署之前審計代碼和生成新的秘鑰的重要性。

例如，PaidNetwork是一家為金融交易提供區塊鏈去中心化應用的供應商，當它部署了一個它付錢給開發人員創建的智能合約時，它被破壞了，但它從未刪除開發人員的秘密密鑰。當開發者的密鑰后來在Git提交中被公開曝光時，一次攻擊耗盡了付費網絡合同。

該合同已經通過了安全審計。審計員不能審計生產秘鑰，因為這會暴露它，所以他們會認為PaidNetwork會用一個安全生成的密鑰來替換，但它沒有這樣做。

5.操作風險

假設有一個安全的區塊鏈和形式良好的智能合約，不存在任何安全缺陷。仍然要在某些東西上運行區塊鏈和智能合約代碼，最好是連接良好和可靠的。如果選擇云或第三方托管，將需要確保它們也是安全的。

6.加密密鑰和HSM

每個區塊鏈服務和客戶端的核心都是加密密鑰。即使使用專用系統，將重要的加密密鑰保存在計算機上也不再足夠。

而是使用硬件安全模塊(HSM)。HSM基本上提供了普通計算機無法提供的兩件事。首先，可以設置密鑰，使其無法從HSM導出或復制。其次，可以通過HSM更可靠地記錄密鑰的使用情況。

這很關鍵，因為如果網絡遭到入侵，將能夠確定攻擊者使用密鑰的目的，而不是推測他們可能做了壞事。

7.網絡釣魚、SIM卡交換和其他惡作劇

企業區塊鏈一般不會使用網絡釣魚或SIM卡交換等技術進行攻擊，這些技術通常是為攻擊加密貨幣的客戶保留的。

然而，勒索軟件和相關攻擊正越來越多地轉向網絡釣魚和魚叉式網絡釣魚，原因很簡單：它很有效。對這些類型的攻擊的一般答案是使用強大的多因素認證，最好是基于硬件令牌，以防止用戶向壞人提供信息，即使他們被愚弄。

8.51%攻擊

最后，在大多數企業區塊鏈部署中，使用的共識機制不是工作量證明(PoW)。更常見的是，使用權益證明或更傳統的投票機制，例如多數票。

51%的攻擊，即一個實體占據了大部分的區塊鏈哈希率或計算資源，試圖破壞網絡，對基于PoW的系統最有用。即使有一個簡單的共識機制，如多數票，攻擊者也需要劫持51%的組織——這比簡單地調集計算資源要難得多，因為計算資源往往可以租借。

結論

有一個好消息和壞消息。壞消息是區塊鏈和智能合約軟件比幾乎任何其他東西都要復雜和難以保障。好消息是他們試圖解決的問題確實很難。

想建立信息處理系統，知道攻擊者正在惡意攻擊，但不允許他們破壞系統。解決這個問題將開辟各種新的市場和機會。

來源：金色財經

Tags：區塊鏈加密貨幣ORIDPN區塊鏈專業學什么課程加密貨幣行情哪里看CORIS價格海豚幣dpn

Coinw