为什么企业区块链现在这么火?毛球科技归结为两个主要原因:现有的多方数据共享和处理的门槛太高,每个人都想强迫其他人使用自己的系统和数据格式。
而企业区块链可以以两种方式解决这些问题。首先,区块链和智能合约可以让每个人就数据格式和处理规则达成一致,更重要的是,这些规则是由系统强制执行的。没有可用的手动覆盖,除非每个人都统一进行更改。
其次,因为区块链和智能合约是新兴技术,对于每个人来说基本上都是一个绿地部署。很有可能现在没有一个人拥有现成的解决方案,所以有一些人会试图把区块链和智能合约强加给其他人。
不过新技术也会带来新的风险,这些风险通常是人们不太了解的风险。目前,企业区块链和智能合约部署在毛球科技看来存在三大新风险:旧软件、软件缺陷和操作缺陷。
回顾过去50年,好像这些都是一直在处理的计算机风险。在元级别上,当你深入到细节时,像任何其他技术一样,区块链和智能合约已经找到了新的和创造性的方法来创造安全风险。
动态 | “我的宁夏”政务移动端APP上线 采用区块链等多项技术:中国工商银行与宁夏回族自治区政府合作建设的“我的宁夏”政务移动端APP日前正式上线。该平台采用了最新的区块链、人工智能、生物识别和移动OCR等技术,全面提升了政务办事效率和用户体验。(中国金融新闻网)[2019/11/27]
下面一起来看看毛球科技整理的8个区块链安全风险:
1.老软件
虽然企业区块链软件很少是“老的”,但对于软件来说,任何超过一两年的软件在变化速度和改进方面基本上都是石器时代的工具。
R3的开源Corda区块链平台就是一个很好的例子。从2016年5月的初始版本到2021年5月,Corda有182个版本,大约每10天一个。其中许多也不是小版本;主要的新功能和重构或删除代码是司空见惯的。在大多数企业项目中,有一种真正的趋势是选择一个软件版本,然后永远不升级,因为升级有可能会破坏一些东西。
动态 | 江西省农产品标准化及可追溯管理信息平台已正式上线运行 采用区块链等技术:据中国江西网消息,江西省农产品标准化及可追溯管理信息平台已正式上线运行。据介绍,为降低了平台数据作弊的可能性,平台采用了GS1、云计算、大数据、区块链等技术。区块链技术的不可篡改性,使每一个追溯数据在上传时间点上都带有时间戳。这样的追溯数据,对于消费者而言,更加具有公信力;同时,如果数据出现问题,反向追溯问责也就变得十分快捷,谁在什么时间、什么地点上传的数据一目了然。[2019/8/21]
这里的教训是:确保软件是最新版本并且还可以持续保持更新,但如果不能,为什么不呢?
2.缺乏安全漏洞覆盖
企业区块链软件在安全漏洞数据库中几乎没有覆盖。这意味着大多数用户,除非他们明确跟踪供应商的发布说明,否则不会意识到安全更新。
动态 | 专家:财务公司需要取代IT基础设施以采用区块链和加密:爱尔兰加密货币软件公司Libra表示,有些公司认为他们目前的基础设施将接受加密和区块链,但这些公司的数据太不相同,因此他们的系统无法使用区块链和加密货币。智能合约提供商Monax首席执行官Casey Kuhlman说:“这是一个不成熟的软件,由于每种加密货币解决方案所涉及的技术不同,价值主张并不明确。”招聘公司MBN Solutions首席执行官Michael Young表示,毫无例外,成功案例似乎有一个共同点:他们需要适当的基础设施来确保区块链上数据的快速,无缝和安全传输和处理。虽然这对区块链领域的许多创业企业来说不是一个问题,但这可能意味着对那些希望跟上这一基础技术的大型企业来说,这要进行重新思考[2018/11/10]
这种缺乏覆盖面,特别是公共漏洞和暴露数据库和美国国家漏洞数据库是一个巨大的问题,因为如果漏洞没有得到官方认可,那么对于许多大型组织来说,它们就不存在。
高盛:共享经济、社交媒体会更早采用区块链技术:近日,高盛发布了一篇名为《区块链——从理论到实践》的研究报告。从理论到实践,探索了区块链在一系列特定的真实世界的应用场景,涵盖了各类市场和产业,包括休旅业、能源、房地产和金融。报告对区块链的未来做了预估:预计在接下来的2年中见到早期技术原型,2-5年后见到有限度的市场应用,而5-10年内会有更大范围的市场接受度。相信聚焦客户的共享经济和社交媒体企业会在更短的时间内开始实施基于区块链的身份与声誉管理系统。在资本市场上,预计在接下来2年内见到早期的原型产品,但范围有限、参与者数量也有限,更广泛的市场接受度可能需要10年时间。[2018/2/1]
不确定为什么区块链的CVE和NVD覆盖率如此之差,但一个可能的罪魁祸首是缺乏特定区块链漏洞的官方文档。
3.缺乏安全漏洞知识
传统软件有很好理解的漏洞类型,其中许多在网上的《常见弱点列举》字典中都有记载,例如,缓冲区溢出和整数溢出的区别是黑客利用的流行弱点。CWE是一个重要的资源。许多代码扫描工具将它作为它们试图检测的漏洞类型的基础。
然而,截至2021年5月,CWE并没有含有区块链或智能合约的漏洞类型记载。好消息是有两项工作可以记录这些问题,一是SWC注册中心,二是云安全联盟的区块链DLT攻击和弱点列举数据库,有200多个条目,涵盖各种智能合约语言、区块链技术和一般概念。
4.缺乏代码扫描和安全测试
目前的区块链和智能合约代码扫描工具还不是很成熟,原因很简单,因为这个领域太新了。雪上加霜的是,许多智能合约的部署没有经过安全审计。但是这种情况正在开始改变,已经有许多安全事件让人们认识到在部署之前审计代码和生成新的秘钥的重要性。
例如,PaidNetwork是一家为金融交易提供区块链去中心化应用的供应商,当它部署了一个它付钱给开发人员创建的智能合约时,它被破坏了,但它从未删除开发人员的秘密密钥。当开发者的密钥后来在Git提交中被公开曝光时,一次攻击耗尽了付费网络合同。
该合同已经通过了安全审计。审计员不能审计生产秘钥,因为这会暴露它,所以他们会认为PaidNetwork会用一个安全生成的密钥来替换,但它没有这样做。
5.操作风险
假设有一个安全的区块链和形式良好的智能合约,不存在任何安全缺陷。仍然要在某些东西上运行区块链和智能合约代码,最好是连接良好和可靠的。如果选择云或第三方托管,将需要确保它们也是安全的。
6.加密密钥和HSM
每个区块链服务和客户端的核心都是加密密钥。即使使用专用系统,将重要的加密密钥保存在计算机上也不再足够。
而是使用硬件安全模块(HSM)。HSM基本上提供了普通计算机无法提供的两件事。首先,可以设置密钥,使其无法从HSM导出或复制。其次,可以通过HSM更可靠地记录密钥的使用情况。
这很关键,因为如果网络遭到入侵,将能够确定攻击者使用密钥的目的,而不是推测他们可能做了坏事。
7.网络钓鱼、SIM卡交换和其他恶作剧
企业区块链一般不会使用网络钓鱼或SIM卡交换等技术进行攻击,这些技术通常是为攻击加密货币的客户保留的。
然而,勒索软件和相关攻击正越来越多地转向网络钓鱼和鱼叉式网络钓鱼,原因很简单:它很有效。对这些类型的攻击的一般答案是使用强大的多因素认证,最好是基于硬件令牌,以防止用户向坏人提供信息,即使他们被愚弄。
8.51%攻击
最后,在大多数企业区块链部署中,使用的共识机制不是工作量证明(PoW)。更常见的是,使用权益证明或更传统的投票机制,例如多数票。
51%的攻击,即一个实体占据了大部分的区块链哈希率或计算资源,试图破坏网络,对基于PoW的系统最有用。即使有一个简单的共识机制,如多数票,攻击者也需要劫持51%的组织——这比简单地调集计算资源要难得多,因为计算资源往往可以租借。
结论
有一个好消息和坏消息。坏消息是区块链和智能合约软件比几乎任何其他东西都要复杂和难以保障。好消息是他们试图解决的问题确实很难。
想建立信息处理系统,知道攻击者正在恶意攻击,但不允许他们破坏系统。解决这个问题将开辟各种新的市场和机会。
1.金色观察|简述zkSync的运行原理zkSync是一种无需信任的协议,用于在以太坊上进行可扩展的低成本支付,由zkRollup技术提供支持.
昨天和朋友聊天的时候,他谈及上周加杠杆做多了一些UNI的代币,结果没想到在124大跌中,UNI竟然最多跌去了46%,弄得措手不及的他很快就爆仓了.
据最新消息,AOFEX被抓,创始人雷东跑路,此次波及数十万人受害人,受害人损失资金保守估计有几十亿.
元宇宙是未来人类生活的,能够与现实并行存在的第二世界。在理想的状态中,元宇宙能打破物理空间的界限,不仅仅是娱乐、社交,还可以让我们的生活和数字世界进行全面的无缝连接,它是人以独立的数字身份自由参.
韩国知名网游IP灵魂行者SoulWalker,将在Polygon上发行元宇宙游戏SoulReborn韩国国民网游《灵魂行者》制作团队决定.
Coinlist近日发文预测2022年值得关注的五个加密趋势,全文如下。2021年是加密市场具有里程碑意义的一年。加密货币不仅是金融界的热门话题,现在也是流行文化的支柱.