了解八大区块链安全风险

为什么企业区块链现在这么火？毛球科技认为这是因为现有的多方数据共享和处理的门槛太高，每个人都想强迫其他人使用自己的系统和数据格式。而企业区块链可以以两种方式解决这些问题。首先，区块链和智能合约可以让每个人就数据格式和处理规则达成一致，更重要的是，这些规则是由系统强制执行的。其次，因为区块链和智能合约是新兴技术，对于每个人来说基本上都是一个绿地部署。很有可能现在没有一个人拥有现成的解决方案，所以有一些人会试图把区块链和智能合约强加给其他人。

不过新技术也会带来新的风险，这些风险通常是人们不太了解的风险。目前，企业区块链和智能合约部署在毛球科技看来存在三大新风险：旧软件、软件缺陷和操作缺陷。回顾过去50年，好像这些都是一直在处理的计算机风险。在元级别上，当你深入到细节时，像任何其他技术一样，区块链和智能合约已经找到了新的和创造性的方法来创造安全风险。

下面一起来看看毛球科技整理的8个区块链安全风险：

1.老软件

虽然企业区块链软件很少是“老的”，但对于软件来说，任何超过一两年的软件在变化速度和改进方面基本上都是石器时代的工具。R3的开源Corda区块链平台就是一个很好的例子。从2016年5月的初始版本到2021年5月（4.8版），Corda有182个版本，大约每10天一个。其中许多也不是小版本；主要的新功能和重构或删除代码是司空见惯的。在大多数企业项目中，有一种真正的趋势是选择一个软件版本，然后永远不升级，因为升级有可能会破坏一些东西。这里的教训是：确保软件是最新版本并且还可以持续保持更新，但如果不能，为什么不呢？

2.缺乏安全漏洞覆盖

企业区块链软件在安全漏洞数据库中几乎没有覆盖。这意味着大多数用户，除非他们明确跟踪供应商的发布说明，否则不会意识到安全更新。这种缺乏覆盖面，特别是公共漏洞和暴露（CVE）数据库和美国国家漏洞数据库（NVD）是一个巨大的问题，因为如果漏洞没有得到官方认可，那么对于许多大型组织来说，它们就不存在。不确定为什么区块链的CVE和NVD覆盖率如此之差，但一个可能的罪魁祸首是缺乏特定区块链漏洞的官方文档。

3.缺乏安全漏洞知识

传统软件有很好理解的漏洞类型，其中许多在网上的《常见弱点列举》（CWE）字典中都有记载，例如，缓冲区溢出和整数溢出的区别是黑客利用的流行弱点。CWE是一个重要的资源。许多代码扫描工具将它截至2021年5月，CWE并没有含有区块链或智能合约的漏洞类型记载。好消息是有两项工作可以记录这些问题，一是SWC注册中心（有30多个关于以太坊和其他公司使用的Solidity智能合约语言的条目），二是云安全联盟的区块链DLT攻击和弱点列举数据库，有200多个条目，涵盖各种智能合约语言、区块链技术和一般概念。

4.缺乏代码扫描和安全测试

目前的区块链和智能合约代码扫描工具还不是很成熟，原因很简单，因为这个领域太新了。雪上加霜的是，许多智能合约的部署没有经过安全审计。但是这种情况正在开始改变，已经有许多安全事件让人们认识到在部署之前审计代码和生成新的秘钥的重要性。

例如，PaidNetwork是一家为金融交易提供区块链去中心化应用（dApps）的供应商，当它部署了一个它付钱给开发人员创建的智能合约时，它被破坏了，但它从未删除开发人员的秘密密钥。当开发者的密钥后来在Git提交（一个将程序代码保存到存储库的过程）中被公开曝光时，一次攻击耗尽了付费网络合

热点：区块链