企业区块链可能被黑的5个途径

网络安全领域最热门的话题之一就是企业区块链。它采用了与比特币一样的加密货币技术。简单地说，区块链是对等各方共享的交易或者合同的列表，并被一些巧妙的密码锁定。不同于比特币的是，区块链能够确保供应链的完整性，管理合同，甚至可以作为金融交易的平台。

它在加密货币领域的普及，以及应用了密码学及其分布式特性，向其支持者们表明，区块链是我们当前很多网络安全问题的解决方案。例如，Akamai目前正在构建一个用于在线支付的区块链网络。Akamai实验室副总裁兼首席技术官Andy Champagne说：“区块链本身就是一种安全技术。它确实是以安全原则为基础的。”

Champagne说，关于比特币交易遭黑客入侵的新闻一般与开放的、公共的网络有关。在这些网络中，任何人都可以建立一个节点，但企业区块链项目与公共网络的不同。他说：“企业区块链通常是需要获得许可的区块链。有一组节点，但节点是私有的，并且通过一组安全周界来限制企业中各类人员对这些节点的访问。”

Kudelski安全公司的首席技术官AndrewHoward证实说，这不仅仅是炒作。即使它不是灵丹妙药，区块链的好处也是实实在在的，这一技术还会继续发展下去。他说：“理论上，基本概念是非常抗攻击的。从学术角度来看，区块链很有意义。如果实施得当，它们很难被攻击。”

虽然区块链可能是黑客难以攻击的目标，但也并非无懈可击。很多安全专家警告说，区块链的实施使企业面临需要尽快重视起来的各种各样的风险。

加密货币犯罪是大买卖

目前还没有任何针对企业区块链项目的网络攻击报道，但这主要是因为该技术仍处于开发或者试点阶段。对公共区块链项目的攻击已经非常常见了。

据Carbon Black公司称，今年上半年，，黑客们窃取了价值11 亿美元的加密货币。Carbon Black的安全策略师Rick McElroy说：“随着网络犯罪的增长，编写恶意代码的个人也越来越多了，而暗网为他们提供了完美的市场销售渠道。”犯罪分子从这些攻击中获得经验，并利用在地下扩散的工具，这些都可以用在企业攻击犯罪活动中。

McElroy补充说，很多加密货币攻击都不是针对核心区块链技术的。相反，犯罪分子瞄准的是缺乏安全保障的交易以及个人和企业，他们没有很好地保护好自己的钱包。他们还发起了中间人攻击，将加密货币交易转移到他们自己的钱包中。

在McAfee最近关于区块链安全的报告中，很多这类问题都与最终用户的安全或者实施问题有关，而与区块链加密协议本身无关。企业项目也可能有实施问题，即使他们的被攻击面范围没有公开暴露的那么大。McElroy说：“对于任何想采用区块链的企业来说，他们首先应该权衡实施的好处和成本，以及应用新技术的风险。”

考虑到这一点，以下列出了 5 个最大的区块链安全风险：

1. 进入区块链交易时发生人为错误

在某些方面，企业区块链可能比公共区块链更脆弱。广为宣传的区块链的一个好处是非常有弹性的大规模分布式对等网络。如果一个节点宕机了，系统会绕过它，这样就不会有故障点。如果有一个参与方想偷偷地把一笔不正当的交易记入到账本中，但是在其他成员保持诚实的情形下，这是不可能发生的。但如果有人犯了“诚实的”错误呢?

Sophos的首席研究科学家ChetWisniewski指出：“去中心化的好处是，如果没有共识，就不能更改。因此，当加密货币交易出现了错误时，交易各方是无法撤销它的，因为没有中心的权威机构。如果你丢失了自己钱包的密码，那它就永远消失了。而在企业领域，这样的情况极少会发生。”

当区块链加密可以防止用户改变历史账本时，系统通常被设置为参与方能够添加新条目。对于企业项目，参与方通常是可信的伙伴，而不是随机的公众成员。High-Tech Bridge SA公司的首席执行官Ilia Kolochenko说:“如果受信任方被攻破了，那么区块链的安全性就不存在了。”

2. 51%攻击

更糟糕的是，如果网络的大部分被攻破了，会怎样呢?那么，攻击者会造成很大的损失。这就是51%攻击背后的理念。一名恶意的犯罪分子或者犯罪分子集团控制了系统中的大部分节点后，会强迫每个人都服从他们的意愿。

对于比特币，这是很难做到的，因为网络上有这么多的参与方。小规模的加密货币比较容易被攻击，例如比特币黄金。今年5月，攻击者采用51%攻击，获得了价值1800万美元的加密货币。企业区块链项目的参与方通常比公共加密货币平台的参与方少得多。ForeScout新兴技术副总裁Rob McNutt说:“网络规模越小，被攻破的节点数量就越少。如果一家银行正在推出区块链来处理交易，那么节点的数量将远远少于公共网络，因此可能被攻破的设备数量要少得多。”

企业部署可能更为同质化，因此，如果在一个节点中发现漏洞，则可以利用这一漏洞来攻击所有其他节点。McNutt说：“在公共领域，人们下载不同的挖矿软件，配置也各不相同。”

3. 区块链实施错误

区块链项目漏洞的另一个重要来源是，该技术是如此新颖以至于实施时容易出现错误。甚至核心区块链加密技术也有问题。Wisniewski说，算法在数学上可能是正确的，但具体的软件版本可能不是。

Wisniewski评论说：“如果你不能理解基础数学，那你基本上就是下载了一个盒子，上面写着‘魔术’，但不知道它能干什么用。我们在开源领域看到过很多次这种情况，人们依靠第三方的库来处理这些事情，有人进入了Github并切换了代码，六个月内都没有人注意到。”

还有一个事实，即区块链技术是如此新颖，Wisniewski说，“以至于根本不知道哪些错误不会发生。”他还补充说，“我们还需要正确地管理区块链部署时的所有加密密钥。很多企业甚至无法正确地管理他们的网站证书。”

企业区块链也会像其他技术项目一样，很容易受到很多相同攻击载体的攻击。CA Veracode的首席技术官兼联合创始人Chris Wysopal介绍说，以网络钓鱼和欺诈为例。他说，他还没有看到有针对企业区块链的此类攻击，这是因为在生产过程中很少有这样的攻击。这些攻击在公共项目中是很常见的。他说：“我们看到了很多这类攻击，有人假装是收件人，拦截或者黑掉网页，从而拦截交易。这不一定是加密货币，它可以是任何其他类型的交易。”

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!