近年來，區(qū)塊鏈技術(shù)越來越成為吸引高度關(guān)注的顛覆性互聯(lián)網(wǎng)技術(shù)。雖然最早引入?yún)^(qū)塊鏈概念的虛擬貨幣應用在全球受到了可謂冰火兩重天般的待遇，但區(qū)塊鏈作為一項對未來數(shù)字經(jīng)濟和社會發(fā)展具有普遍意義的底層技術(shù)，正日益被政府、銀行、企事業(yè)部門所接受。

區(qū)塊鏈的概念日益受到市場的追捧，但其能否真正承擔起未來數(shù)字經(jīng)濟和社會發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施的重任，還必須經(jīng)過安全信任考驗這一關(guān)。近來，不斷曝光的區(qū)塊鏈安全問題以及其可能對國家安全帶來的挑戰(zhàn)，給火爆的區(qū)塊鏈大躍進帶來了些許涼意。

本文分析了區(qū)塊鏈目前在世界上的應用份額、技術(shù)特點；戰(zhàn)略性商業(yè)價值與軍事前景；區(qū)塊鏈的安全性，以及區(qū)塊鏈攻擊的案例與特點；最后為當今區(qū)塊鏈的發(fā)展提出發(fā)展建議。

10%的GDP將記錄在區(qū)塊鏈當中

根據(jù)世界經(jīng)濟論壇（WEF）的2015年的一項調(diào)查，到2025年，58%的受訪者認為將有高達10%的全球GDP將可能存儲在區(qū)塊鏈上。這包括從產(chǎn)品標識、醫(yī)療記錄到土地登記信息、學位信息和保險合同等多種類信息，區(qū)塊鏈和分布式記帳技術(shù)（DLT）已經(jīng)在許多領(lǐng)域發(fā)揮作用。上述調(diào)查顯示，73%的受訪者認為到2025年政府將首次通過區(qū)塊鏈征稅。

WEF網(wǎng)絡(luò)彈性項目負責人Adrien Ogée等稱，區(qū)塊鏈所承諾的遠大目標，不亞于為21世紀社會公地復興提供了技術(shù)支柱，更是將權(quán)力重新賦予人民。

區(qū)塊鏈本質(zhì)上是一種分布式記賬技術(shù)，具有四大特點：

一是去中心化。采取分布式計算和存儲，不依賴第三方管理機構(gòu)，不存在中心化管制，任何參與者都是一個節(jié)點，每個節(jié)點權(quán)限對等。

二是開放性。區(qū)塊鏈技術(shù)基礎(chǔ)是開源的，除各交易方私有信息被加密，區(qū)塊鏈的數(shù)據(jù)對所有人均公開，整個系統(tǒng)高度透明。

三是自動化?；趨f(xié)商一致的規(guī)范和協(xié)議，自動安全地驗證和交換數(shù)據(jù)。

四是匿名性。能夠在“去信任”環(huán)境下運行，各區(qū)塊節(jié)點身份信息無需公開或驗證，信息可以匿名傳遞。

區(qū)塊鏈是一種分布式記賬技術(shù)（來源：互聯(lián)網(wǎng)）

戰(zhàn)略性商業(yè)價值

和軍用前景

商業(yè)價值

區(qū)塊鏈技術(shù)提供了提高生產(chǎn)效率，確保透明性，減少時間和案頭勞作的能力，來自麥肯錫的研究分析了區(qū)塊鏈在不同行業(yè)超過90個應用案例中體現(xiàn)的商業(yè)價值，并用有限、低、中、高對關(guān)鍵指標進行了評價?？傮w而言，區(qū)塊鏈的價值體現(xiàn)在：

收入創(chuàng)造：區(qū)塊鏈為新的商業(yè)模型鋪平了道路，并采用新方式來創(chuàng)造收入。區(qū)塊鏈技術(shù)有助于構(gòu)建更可信任的數(shù)據(jù)生態(tài)系統(tǒng)，降低交易欺詐風險，從而為公司帶來更可預測和更容易創(chuàng)造新價值的商業(yè)循環(huán)。

成本降低：區(qū)塊鏈能夠簡化供應鏈，消除降低效率和侵蝕利潤的流程。例如，利用區(qū)塊鏈所帶來的智能合約，資產(chǎn)可以直接從一個所有者轉(zhuǎn)移到另一個所有者，消除了中間人及其帶來的交易成本。

消費影響：新的商業(yè)模型提供了滿足以往被忽視的消費需求的機會。例如，區(qū)塊鏈錢包可以為消費者提供集中管理其消費積分的方法，并提供在不同零售商間進行積分轉(zhuǎn)換的流動性機會。

區(qū)塊鏈對不同行業(yè)的影響如下表所示：

區(qū)塊鏈的戰(zhàn)略性商業(yè)價值（圖片來源：麥肯錫）

區(qū)塊鏈→軍事領(lǐng)域

區(qū)塊鏈的應用已經(jīng)開始向軍事領(lǐng)域滲透。

美國2018年《國防授權(quán)法案》要求國防部對區(qū)塊鏈進行全面研究，探討其如何應用于軍事領(lǐng)域。

美國國防部高級研究計劃局（DARPA）授予美國兩家計算機安全公司價值180萬美元的合同，研究區(qū)塊鏈應用于保護軍用衛(wèi)星、核武器等高度機密數(shù)據(jù)免遭黑客攻擊的潛力。

北約也對區(qū)塊鏈軍事化應用表現(xiàn)出濃厚的興趣。北約通信與信息處舉辦區(qū)塊鏈創(chuàng)新競賽，尋求發(fā)現(xiàn)提高軍事后勤、采購和財務(wù)效率軍事級區(qū)塊鏈項目。

愛沙尼亞和北約正嘗試使用區(qū)塊鏈技術(shù)開發(fā)下一代系統(tǒng)，以實現(xiàn)北約網(wǎng)絡(luò)靶場防御平臺的現(xiàn)代化。

區(qū)塊鏈安全

真實？還是幻想？

作為比特幣等虛擬貨幣底層關(guān)鍵技術(shù)的區(qū)塊鏈，其在設(shè)計之初是對安全性進行了充分考慮的，畢竟這是與個人錢包休戚相關(guān)的東西，不可有絲毫馬虎。

區(qū)塊鏈的原理和運行機制使安全性具有不可比擬優(yōu)勢。區(qū)塊鏈的多個節(jié)點網(wǎng)絡(luò)通過共識機制運作，單個節(jié)點均會儲存區(qū)塊鏈上所有數(shù)據(jù)。因此，即便是單一節(jié)點遭受黑客攻擊，也不會影響區(qū)塊鏈系統(tǒng)的整體運行。區(qū)塊鏈的分布式存儲有效降低了數(shù)據(jù)集中管理的風險。正因如此，給了很多人使用區(qū)塊鏈就像用上了安全保險箱的概念。

但事實果真如此嗎？未必！

（1）與任何技術(shù)一樣，安全問題出現(xiàn)在開發(fā)人員將需求轉(zhuǎn)化為產(chǎn)品和服務(wù)的過程當中。代碼行、共識機制、通信協(xié)議等都有可能帶來可被惡意利用的漏洞。區(qū)塊鏈目前仍然是一項充滿差異化的技術(shù)：多種協(xié)議和編程語言正在并行開發(fā)不同的區(qū)塊鏈。因此，開發(fā)人員很難獲得保護代碼所需的經(jīng)驗，而且大多數(shù)開發(fā)人員都面臨嚴格的交付時間壓力。

（2）區(qū)塊鏈在很大程度上依賴于密碼學，即安全通信的有效實踐，因此區(qū)塊鏈給人的印象似乎是一種自我保護的技術(shù)。然而這并不是事實，因為區(qū)塊鏈是建立在需要保護的通信網(wǎng)絡(luò)和設(shè)備之上。傳統(tǒng)的信息安全挑戰(zhàn)同樣影響到區(qū)塊鏈。此外，同任何其他安全學科一樣，密碼學也是一個不斷變化的技術(shù)領(lǐng)域，例如量子計算機的發(fā)展有期望突破許多種加密算法。

（3）區(qū)塊鏈不是在真空中運行，圍繞密鑰管理、錢包托管和節(jié)點補丁等與人有關(guān)的不完備的安全實踐都會帶來安全問題，從而使區(qū)塊鏈技術(shù)黯然失色。對系統(tǒng)管理員和用戶的有效培訓可以解決絕大多數(shù)的安全問題。

區(qū)塊鏈攻擊

反 復 上 演

2010年，代碼漏洞導致的“滅頂之災”

在2010年一次幾乎使比特幣系統(tǒng)遭遇滅的之災的史上最嚴重比特幣攻擊行動中，代碼中的一個漏洞允許有人在一次交易中憑空創(chuàng)造了1840多億比特幣，這大大超出了2100萬枚比特幣的上限。比特幣的創(chuàng)造者“中本聰”迅速動用區(qū)塊鏈清除了這1844.67億枚比特幣，這是比特幣免于在那一天夭折的唯一原因。

如果這次黑客攻擊沒有被發(fā)現(xiàn)，比特幣很可能會失掉所有的信任和聲譽，一旦用戶意識到比特幣可以隨意創(chuàng)造，比特幣的價格就會立即跌至零。值得注意的是，此次攻擊是由于代碼中的漏洞而不是區(qū)塊鏈的邏輯造成的。

2010年8月15日比特幣系統(tǒng)遭受史上最嚴重攻擊，幾乎遭到滅頂之災。黑客利用“賦值溢出漏洞”產(chǎn)生了1840多億枚比特幣。

2016年“去中心化自主組織”

2016年，有人暫時從“去中心化自主組織”（Decentralized Autonomous Organization，DAO）賬號中扣除了7500萬美元，這一次黑客再次利用智能合約代碼中的漏洞。同樣，基礎(chǔ)分布式賬本（DLT）區(qū)塊鏈邏輯完好無損。

2019年“監(jiān)守自盜”+“攻擊智能合約”

最近，就在2019年，一位加密資產(chǎn)管理基金的首席執(zhí)行官（CEO）去世后，利用其所掌控的憑證訪問其所管理的加密貨幣，竟然發(fā)現(xiàn)總值高達1.5億美元。這些加密貨幣的來源無法檢索。這是區(qū)塊鏈本身有問題嗎？答案是否定的。該基金公司未能實施恰當?shù)暮弦?guī)檢查和賬目平衡以防止這種情形的發(fā)生。事實證明，該CEO在去世之前偷竊了所管理的基金賬戶。

《麻省理工技術(shù)評論》網(wǎng)站2019年1月的文章指出，“攻擊智能合約”是2019年最值得擔憂的網(wǎng)絡(luò)威脅之一。智能合約是存儲在區(qū)塊鏈上的軟件程序，如果滿足其中編碼的條件，將自動執(zhí)行某種形式的數(shù)字資產(chǎn)交換，包括從貨幣交易到知識產(chǎn)權(quán)保護。越來越多的企業(yè)開始使用智能合約進行交易。但智能合約的發(fā)展還處于早期階段，研究人員正在發(fā)現(xiàn)其中的很多漏洞。黑客是快速發(fā)現(xiàn)了這一機會，他們利用智能合約中的漏洞竊取數(shù)百萬美元的加密貨幣。此外，區(qū)塊鏈本身的透明性也給智能合約相關(guān)的數(shù)據(jù)保密和隱私保護帶來挑戰(zhàn)，需要在智能合約平臺上建立隱私保護技術(shù)。加州大學伯克利分校正致力于使用特殊硬件實現(xiàn)這一目標。

智能合約應用日益廣泛，其安全性值得擔憂（圖片來源：互聯(lián)網(wǎng)）

區(qū)塊鏈技術(shù) vs 國家安全

區(qū)塊鏈技術(shù)的發(fā)展甚至引發(fā)了其對國家安全威脅的擔憂。當前最值得關(guān)注可能是恐怖分子或犯罪集團利用匿名化數(shù)字貨幣進行洗錢等活動。但專家們也在關(guān)注民族國家利用區(qū)塊鏈繞過國際經(jīng)濟制裁的方式。如果俄羅斯、委內(nèi)瑞拉等國家通過區(qū)塊鏈建立了取代美國銀行系統(tǒng)或全球系統(tǒng)的交易平臺，這將使其應對國際經(jīng)濟制裁的能力大大增強。美國應努力成為區(qū)塊鏈技術(shù)的中心，牢牢掌握其標準制定和平臺運行，這對美國的國家安全意義重大。

發(fā) 展 建 議

區(qū)塊鏈是一項新技術(shù)，但并不是最簡單的技術(shù)。區(qū)塊鏈技術(shù)組織可能需要數(shù)年時間才能使其充分整合現(xiàn)有的和未來的安全標準與實踐，以減少安全事故發(fā)生的頻率。隨著區(qū)塊鏈安全事件發(fā)生的步伐越來越快，人們可能沒有耐心等待區(qū)塊鏈安全性完整的解決方案。那么現(xiàn)在有什么可以馬上著手的嗎？

安 全 意 識 培 養(yǎng)

首先，需要培養(yǎng)具有安全意識的區(qū)塊鏈開發(fā)人員?！鞍踩獜耐尥拮テ稹?，這需要從中學的編程課程開始直到大學學位課程中都包括必要的區(qū)塊鏈安全編碼教程。

塞浦路斯尼科西亞大學（University of Nicosia）已成為世界上唯一的授予區(qū)塊鏈碩士學位的大學，特別是數(shù)字貨幣方面。增加區(qū)塊鏈安全有關(guān)的課程是當務(wù)之急。學位教育需要社會化的區(qū)塊鏈安全專業(yè)認證作為補充，建議將區(qū)塊鏈安全盡快納入CISSP等網(wǎng)絡(luò)安全認證的主題。

降 低 風 險

其次，提高區(qū)塊鏈用戶的安全風險意識并教會其如何以低成本有效地降低這些風險。這將引入提高安全意識的活動以及推動向區(qū)塊鏈過渡的公私合作。受監(jiān)管的區(qū)塊鏈，雖然與中本聰最早提出的去中心化遠景有些不同，卻很可能是平滑過渡的可行方法。區(qū)塊鏈需要證明其自身的價值，就像上世紀八十年代內(nèi)聯(lián)網(wǎng)（intranets）證明了互聯(lián)網(wǎng)（internet）對世界的價值。從這個意義上說，像臉書（Facebook）這樣的行業(yè)巨頭采用區(qū)塊鏈技術(shù)推出其加密貨幣天秤座（Libra），這提供了一個廣受歡迎的機會來向公眾展示如何使用區(qū)塊鏈，這樣做的前提是其中不包含違規(guī)行為。

受監(jiān)管的區(qū)塊鏈由于減少了公開曝光的可能，其安全似乎變得更加容易保障。但事實可能恰好相反，安全壓力的降低可能會導致在不經(jīng)意間遭受數(shù)字攻擊。

揭 開 面 紗

第三，政府監(jiān)管部門和公司的創(chuàng)始人、董事會、首席執(zhí)行官們要清楚地認識到區(qū)塊鏈不是安全的“銀彈”。換句話說，需要揭開有關(guān)區(qū)塊鏈安全性的神秘面紗，并明確指出，雖然該技術(shù)在可用性和完整性方面具有優(yōu)勢，但后者并未提高其所擁有信息的安全性。

安全部署區(qū)塊鏈解決方案需要時間并集成到更廣泛的安全生態(tài)系統(tǒng)中，該生態(tài)系統(tǒng)需要包括由傳統(tǒng)網(wǎng)絡(luò)設(shè)備組成的傳統(tǒng)信息安全平臺。對于老牌企業(yè)來說，首先是教育董事會和高級管理人員關(guān)于區(qū)塊鏈是什么和不是什么，以及其固有的安全風險。這要求首席信息安全官們（CISO）將區(qū)塊鏈集成到其事件管理預案和流程中去，并開始考慮去中心化的業(yè)務(wù)模型對安全域的影響。

對于初創(chuàng)企業(yè)而言，92%的區(qū)塊鏈項目仍然難逃失敗的命運，平均壽命只有約15個月。由于生命周期如此之短，上市時間幾乎總是優(yōu)先于安全：這需要改變，而實現(xiàn)這一點的最佳途徑是通過投資者對安全性的進一步重視。

標 準 化

最后，加快區(qū)塊鏈安全標準研究迫在眉睫。有關(guān)標準化工作仍在進行當中，這毫無疑問將促進區(qū)塊鏈技術(shù)的進一步融合，并有效降低其復雜性，復雜性常常是安全性的勁敵。

然而，僅僅依靠標準化的努力是不夠的。正如世界經(jīng)濟論壇專家們所建議的那樣，只有人類才是技術(shù)的最后的守護者。我們需要從現(xiàn)在開始就不斷培育我們的區(qū)塊鏈安全能力。如果我們做不到這一點，那么明天迎接我們的將不是文藝復興的盛景，而是社會公地的悲慘結(jié)局。

來源： 學術(shù)plus