近年來，區(qū)塊鏈技術(shù)越來越成為吸引高度關(guān)注的顛覆性互聯(lián)網(wǎng)技術(shù)。雖然最早引入?yún)^(qū)塊鏈概念的虛擬貨幣應(yīng)用在全球受到了可謂冰火兩重天般的待遇，但區(qū)塊鏈作為一項(xiàng)對未來數(shù)字經(jīng)濟(jì)和社會發(fā)展具有普遍意義的底層技術(shù)，正日益被政府、銀行、企事業(yè)部門所接受。

區(qū)塊鏈的概念日益受到市場的追捧，但其能否真正承擔(dān)起未來數(shù)字經(jīng)濟(jì)和社會發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施的重任，還必須經(jīng)過安全信任考驗(yàn)這一關(guān)。近來，不斷曝光的區(qū)塊鏈安全問題以及其可能對國家安全帶來的挑戰(zhàn)，給火爆的區(qū)塊鏈大躍進(jìn)帶來了些許涼意。

本文分析了區(qū)塊鏈目前在世界上的應(yīng)用份額、技術(shù)特點(diǎn)；戰(zhàn)略性商業(yè)價值與軍事前景；區(qū)塊鏈的安全性，以及區(qū)塊鏈攻擊的案例與特點(diǎn)；最后為當(dāng)今區(qū)塊鏈的發(fā)展提出發(fā)展建議。

10%的GDP將記錄在區(qū)塊鏈當(dāng)中

根據(jù)世界經(jīng)濟(jì)論壇（WEF）的2015年的一項(xiàng)調(diào)查，到2025年，58%的受訪者認(rèn)為將有高達(dá)10%的全球GDP將可能存儲在區(qū)塊鏈上。這包括從產(chǎn)品標(biāo)識、醫(yī)療記錄到土地登記信息、學(xué)位信息和保險合同等多種類信息，區(qū)塊鏈和分布式記帳技術(shù)（DLT）已經(jīng)在許多領(lǐng)域發(fā)揮作用。上述調(diào)查顯示，73%的受訪者認(rèn)為到2025年政府將首次通過區(qū)塊鏈征稅。

WEF網(wǎng)絡(luò)彈性項(xiàng)目負(fù)責(zé)人Adrien Ogée等稱，區(qū)塊鏈所承諾的遠(yuǎn)大目標(biāo)，不亞于為21世紀(jì)社會公地復(fù)興提供了技術(shù)支柱，更是將權(quán)力重新賦予人民。

區(qū)塊鏈本質(zhì)上是一種分布式記賬技術(shù)，具有四大特點(diǎn)：

一是去中心化。采取分布式計算和存儲，不依賴第三方管理機(jī)構(gòu)，不存在中心化管制，任何參與者都是一個節(jié)點(diǎn)，每個節(jié)點(diǎn)權(quán)限對等。

二是開放性。區(qū)塊鏈技術(shù)基礎(chǔ)是開源的，除各交易方私有信息被加密，區(qū)塊鏈的數(shù)據(jù)對所有人均公開，整個系統(tǒng)高度透明。

三是自動化?；趨f(xié)商一致的規(guī)范和協(xié)議，自動安全地驗(yàn)證和交換數(shù)據(jù)。

四是匿名性。能夠在“去信任”環(huán)境下運(yùn)行，各區(qū)塊節(jié)點(diǎn)身份信息無需公開或驗(yàn)證，信息可以匿名傳遞。

區(qū)塊鏈?zhǔn)且环N分布式記賬技術(shù)（來源：互聯(lián)網(wǎng)）

戰(zhàn)略性商業(yè)價值

和軍用前景

商業(yè)價值

區(qū)塊鏈技術(shù)提供了提高生產(chǎn)效率，確保透明性，減少時間和案頭勞作的能力，來自麥肯錫的研究分析了區(qū)塊鏈在不同行業(yè)超過90個應(yīng)用案例中體現(xiàn)的商業(yè)價值，并用有限、低、中、高對關(guān)鍵指標(biāo)進(jìn)行了評價?？傮w而言，區(qū)塊鏈的價值體現(xiàn)在：

收入創(chuàng)造：區(qū)塊鏈為新的商業(yè)模型鋪平了道路，并采用新方式來創(chuàng)造收入。區(qū)塊鏈技術(shù)有助于構(gòu)建更可信任的數(shù)據(jù)生態(tài)系統(tǒng)，降低交易欺詐風(fēng)險，從而為公司帶來更可預(yù)測和更容易創(chuàng)造新價值的商業(yè)循環(huán)。

成本降低：區(qū)塊鏈能夠簡化供應(yīng)鏈，消除降低效率和侵蝕利潤的流程。例如，利用區(qū)塊鏈所帶來的智能合約，資產(chǎn)可以直接從一個所有者轉(zhuǎn)移到另一個所有者，消除了中間人及其帶來的交易成本。

消費(fèi)影響：新的商業(yè)模型提供了滿足以往被忽視的消費(fèi)需求的機(jī)會。例如，區(qū)塊鏈錢包可以為消費(fèi)者提供集中管理其消費(fèi)積分的方法，并提供在不同零售商間進(jìn)行積分轉(zhuǎn)換的流動性機(jī)會。

區(qū)塊鏈對不同行業(yè)的影響如下表所示：

區(qū)塊鏈的戰(zhàn)略性商業(yè)價值（圖片來源：麥肯錫）

區(qū)塊鏈→軍事領(lǐng)域

區(qū)塊鏈的應(yīng)用已經(jīng)開始向軍事領(lǐng)域滲透。

美國2018年《國防授權(quán)法案》要求國防部對區(qū)塊鏈進(jìn)行全面研究，探討其如何應(yīng)用于軍事領(lǐng)域。

美國國防部高級研究計劃局（DARPA）授予美國兩家計算機(jī)安全公司價值180萬美元的合同，研究區(qū)塊鏈應(yīng)用于保護(hù)軍用衛(wèi)星、核武器等高度機(jī)密數(shù)據(jù)免遭黑客攻擊的潛力。

北約也對區(qū)塊鏈軍事化應(yīng)用表現(xiàn)出濃厚的興趣。北約通信與信息處舉辦區(qū)塊鏈創(chuàng)新競賽，尋求發(fā)現(xiàn)提高軍事后勤、采購和財務(wù)效率軍事級區(qū)塊鏈項(xiàng)目。

愛沙尼亞和北約正嘗試使用區(qū)塊鏈技術(shù)開發(fā)下一代系統(tǒng)，以實(shí)現(xiàn)北約網(wǎng)絡(luò)靶場防御平臺的現(xiàn)代化。

區(qū)塊鏈安全

真實(shí)？還是幻想？

作為比特幣等虛擬貨幣底層關(guān)鍵技術(shù)的區(qū)塊鏈，其在設(shè)計之初是對安全性進(jìn)行了充分考慮的，畢竟這是與個人錢包休戚相關(guān)的東西，不可有絲毫馬虎。

區(qū)塊鏈的原理和運(yùn)行機(jī)制使安全性具有不可比擬優(yōu)勢。區(qū)塊鏈的多個節(jié)點(diǎn)網(wǎng)絡(luò)通過共識機(jī)制運(yùn)作，單個節(jié)點(diǎn)均會儲存區(qū)塊鏈上所有數(shù)據(jù)。因此，即便是單一節(jié)點(diǎn)遭受黑客攻擊，也不會影響區(qū)塊鏈系統(tǒng)的整體運(yùn)行。區(qū)塊鏈的分布式存儲有效降低了數(shù)據(jù)集中管理的風(fēng)險。正因如此，給了很多人使用區(qū)塊鏈就像用上了安全保險箱的概念。

但事實(shí)果真如此嗎？未必！

（1）與任何技術(shù)一樣，安全問題出現(xiàn)在開發(fā)人員將需求轉(zhuǎn)化為產(chǎn)品和服務(wù)的過程當(dāng)中。代碼行、共識機(jī)制、通信協(xié)議等都有可能帶來可被惡意利用的漏洞。區(qū)塊鏈目前仍然是一項(xiàng)充滿差異化的技術(shù)：多種協(xié)議和編程語言正在并行開發(fā)不同的區(qū)塊鏈。因此，開發(fā)人員很難獲得保護(hù)代碼所需的經(jīng)驗(yàn)，而且大多數(shù)開發(fā)人員都面臨嚴(yán)格的交付時間壓力。

（2）區(qū)塊鏈在很大程度上依賴于密碼學(xué)，即安全通信的有效實(shí)踐，因此區(qū)塊鏈給人的印象似乎是一種自我保護(hù)的技術(shù)。然而這并不是事實(shí)，因?yàn)閰^(qū)塊鏈?zhǔn)墙⒃谛枰Ｗo(hù)的通信網(wǎng)絡(luò)和設(shè)備之上。傳統(tǒng)的信息安全挑戰(zhàn)同樣影響到區(qū)塊鏈。此外，同任何其他安全學(xué)科一樣，密碼學(xué)也是一個不斷變化的技術(shù)領(lǐng)域，例如量子計算機(jī)的發(fā)展有期望突破許多種加密算法。

（3）區(qū)塊鏈不是在真空中運(yùn)行，圍繞密鑰管理、錢包托管和節(jié)點(diǎn)補(bǔ)丁等與人有關(guān)的不完備的安全實(shí)踐都會帶來安全問題，從而使區(qū)塊鏈技術(shù)黯然失色。對系統(tǒng)管理員和用戶的有效培訓(xùn)可以解決絕大多數(shù)的安全問題。

區(qū)塊鏈攻擊

反 復(fù) 上 演

2010年，代碼漏洞導(dǎo)致的“滅頂之災(zāi)”

在2010年一次幾乎使比特幣系統(tǒng)遭遇滅的之災(zāi)的史上最嚴(yán)重比特幣攻擊行動中，代碼中的一個漏洞允許有人在一次交易中憑空創(chuàng)造了1840多億比特幣，這大大超出了2100萬枚比特幣的上限。比特幣的創(chuàng)造者“中本聰”迅速動用區(qū)塊鏈清除了這1844.67億枚比特幣，這是比特幣免于在那一天夭折的唯一原因。

如果這次黑客攻擊沒有被發(fā)現(xiàn)，比特幣很可能會失掉所有的信任和聲譽(yù)，一旦用戶意識到比特幣可以隨意創(chuàng)造，比特幣的價格就會立即跌至零。值得注意的是，此次攻擊是由于代碼中的漏洞而不是區(qū)塊鏈的邏輯造成的。

2010年8月15日比特幣系統(tǒng)遭受史上最嚴(yán)重攻擊，幾乎遭到滅頂之災(zāi)。黑客利用“賦值溢出漏洞”產(chǎn)生了1840多億枚比特幣。

2016年“去中心化自主組織”

2016年，有人暫時從“去中心化自主組織”（Decentralized Autonomous Organization，DAO）賬號中扣除了7500萬美元，這一次黑客再次利用智能合約代碼中的漏洞。同樣，基礎(chǔ)分布式賬本（DLT）區(qū)塊鏈邏輯完好無損。

2019年“監(jiān)守自盜”+“攻擊智能合約”

最近，就在2019年，一位加密資產(chǎn)管理基金的首席執(zhí)行官（CEO）去世后，利用其所掌控的憑證訪問其所管理的加密貨幣，竟然發(fā)現(xiàn)總值高達(dá)1.5億美元。這些加密貨幣的來源無法檢索。這是區(qū)塊鏈本身有問題嗎？答案是否定的。該基金公司未能實(shí)施恰當(dāng)?shù)暮弦?guī)檢查和賬目平衡以防止這種情形的發(fā)生。事實(shí)證明，該CEO在去世之前偷竊了所管理的基金賬戶。

《麻省理工技術(shù)評論》網(wǎng)站2019年1月的文章指出，“攻擊智能合約”是2019年最值得擔(dān)憂的網(wǎng)絡(luò)威脅之一。智能合約是存儲在區(qū)塊鏈上的軟件程序，如果滿足其中編碼的條件，將自動執(zhí)行某種形式的數(shù)字資產(chǎn)交換，包括從貨幣交易到知識產(chǎn)權(quán)保護(hù)。越來越多的企業(yè)開始使用智能合約進(jìn)行交易。但智能合約的發(fā)展還處于早期階段，研究人員正在發(fā)現(xiàn)其中的很多漏洞。黑客是快速發(fā)現(xiàn)了這一機(jī)會，他們利用智能合約中的漏洞竊取數(shù)百萬美元的加密貨幣。此外，區(qū)塊鏈本身的透明性也給智能合約相關(guān)的數(shù)據(jù)保密和隱私保護(hù)帶來挑戰(zhàn)，需要在智能合約平臺上建立隱私保護(hù)技術(shù)。加州大學(xué)伯克利分校正致力于使用特殊硬件實(shí)現(xiàn)這一目標(biāo)。

智能合約應(yīng)用日益廣泛，其安全性值得擔(dān)憂（圖片來源：互聯(lián)網(wǎng)）

區(qū)塊鏈技術(shù) vs 國家安全

區(qū)塊鏈技術(shù)的發(fā)展甚至引發(fā)了其對國家安全威脅的擔(dān)憂。當(dāng)前最值得關(guān)注可能是恐怖分子或犯罪集團(tuán)利用匿名化數(shù)字貨幣進(jìn)行洗錢等活動。但專家們也在關(guān)注民族國家利用區(qū)塊鏈繞過國際經(jīng)濟(jì)制裁的方式。如果俄羅斯、委內(nèi)瑞拉等國家通過區(qū)塊鏈建立了取代美國銀行系統(tǒng)或全球系統(tǒng)的交易平臺，這將使其應(yīng)對國際經(jīng)濟(jì)制裁的能力大大增強(qiáng)。美國應(yīng)努力成為區(qū)塊鏈技術(shù)的中心，牢牢掌握其標(biāo)準(zhǔn)制定和平臺運(yùn)行，這對美國的國家安全意義重大。

發(fā) 展 建 議

區(qū)塊鏈?zhǔn)且豁?xiàng)新技術(shù)，但并不是最簡單的技術(shù)。區(qū)塊鏈技術(shù)組織可能需要數(shù)年時間才能使其充分整合現(xiàn)有的和未來的安全標(biāo)準(zhǔn)與實(shí)踐，以減少安全事故發(fā)生的頻率。隨著區(qū)塊鏈安全事件發(fā)生的步伐越來越快，人們可能沒有耐心等待區(qū)塊鏈安全性完整的解決方案。那么現(xiàn)在有什么可以馬上著手的嗎？

安 全 意 識 培 養(yǎng)

首先，需要培養(yǎng)具有安全意識的區(qū)塊鏈開發(fā)人員?！鞍踩獜耐尥拮テ稹?，這需要從中學(xué)的編程課程開始直到大學(xué)學(xué)位課程中都包括必要的區(qū)塊鏈安全編碼教程。

塞浦路斯尼科西亞大學(xué)（University of Nicosia）已成為世界上唯一的授予區(qū)塊鏈碩士學(xué)位的大學(xué)，特別是數(shù)字貨幣方面。增加區(qū)塊鏈安全有關(guān)的課程是當(dāng)務(wù)之急。學(xué)位教育需要社會化的區(qū)塊鏈安全專業(yè)認(rèn)證作為補(bǔ)充，建議將區(qū)塊鏈安全盡快納入CISSP等網(wǎng)絡(luò)安全認(rèn)證的主題。

降 低 風(fēng) 險

其次，提高區(qū)塊鏈用戶的安全風(fēng)險意識并教會其如何以低成本有效地降低這些風(fēng)險。這將引入提高安全意識的活動以及推動向區(qū)塊鏈過渡的公私合作。受監(jiān)管的區(qū)塊鏈，雖然與中本聰最早提出的去中心化遠(yuǎn)景有些不同，卻很可能是平滑過渡的可行方法。區(qū)塊鏈需要證明其自身的價值，就像上世紀(jì)八十年代內(nèi)聯(lián)網(wǎng)（intranets）證明了互聯(lián)網(wǎng)（internet）對世界的價值。從這個意義上說，像臉書（Facebook）這樣的行業(yè)巨頭采用區(qū)塊鏈技術(shù)推出其加密貨幣天秤座（Libra），這提供了一個廣受歡迎的機(jī)會來向公眾展示如何使用區(qū)塊鏈，這樣做的前提是其中不包含違規(guī)行為。

受監(jiān)管的區(qū)塊鏈由于減少了公開曝光的可能，其安全似乎變得更加容易保障。但事實(shí)可能恰好相反，安全壓力的降低可能會導(dǎo)致在不經(jīng)意間遭受數(shù)字攻擊。

揭 開 面 紗

第三，政府監(jiān)管部門和公司的創(chuàng)始人、董事會、首席執(zhí)行官們要清楚地認(rèn)識到區(qū)塊鏈不是安全的“銀彈”。換句話說，需要揭開有關(guān)區(qū)塊鏈安全性的神秘面紗，并明確指出，雖然該技術(shù)在可用性和完整性方面具有優(yōu)勢，但后者并未提高其所擁有信息的安全性。

安全部署區(qū)塊鏈解決方案需要時間并集成到更廣泛的安全生態(tài)系統(tǒng)中，該生態(tài)系統(tǒng)需要包括由傳統(tǒng)網(wǎng)絡(luò)設(shè)備組成的傳統(tǒng)信息安全平臺。對于老牌企業(yè)來說，首先是教育董事會和高級管理人員關(guān)于區(qū)塊鏈?zhǔn)鞘裁春筒皇鞘裁?，以及其固有的安全風(fēng)險。這要求首席信息安全官們（CISO）將區(qū)塊鏈集成到其事件管理預(yù)案和流程中去，并開始考慮去中心化的業(yè)務(wù)模型對安全域的影響。

對于初創(chuàng)企業(yè)而言，92%的區(qū)塊鏈項(xiàng)目仍然難逃失敗的命運(yùn)，平均壽命只有約15個月。由于生命周期如此之短，上市時間幾乎總是優(yōu)先于安全：這需要改變，而實(shí)現(xiàn)這一點(diǎn)的最佳途徑是通過投資者對安全性的進(jìn)一步重視。

標(biāo) 準(zhǔn) 化

最后，加快區(qū)塊鏈安全標(biāo)準(zhǔn)研究迫在眉睫。有關(guān)標(biāo)準(zhǔn)化工作仍在進(jìn)行當(dāng)中，這毫無疑問將促進(jìn)區(qū)塊鏈技術(shù)的進(jìn)一步融合，并有效降低其復(fù)雜性，復(fù)雜性常常是安全性的勁敵。

然而，僅僅依靠標(biāo)準(zhǔn)化的努力是不夠的。正如世界經(jīng)濟(jì)論壇專家們所建議的那樣，只有人類才是技術(shù)的最后的守護(hù)者。我們需要從現(xiàn)在開始就不斷培育我們的區(qū)塊鏈安全能力。如果我們做不到這一點(diǎn)，那么明天迎接我們的將不是文藝復(fù)興的盛景，而是社會公地的悲慘結(jié)局。

來源： 學(xué)術(shù)plus