作者:邢萌
6月3日,國家信息安全漏洞共享平台(CNVD)正式上線區塊鏈漏洞子庫CNVD-BC。CNVD區塊鏈漏洞子庫由國家互聯網應急中心運營,技術支持單位為成都鏈安科技有限公司。
目前,區塊鏈技術已廣泛應用在數字金融、物聯網、智能製造、供應鏈管理、數字資產交易等多個領域,作為構成我國信息化基礎設施的一項重要技術,其安全能否得到保障影響到我國社會經濟活動。
記者觀察發現,當前收錄的區塊鏈相關漏洞基本上都是公鏈漏洞,以中危漏洞為主。據CNVD統計,當前已收錄區塊鏈相關漏洞247個,其中高危漏洞60個,中危漏洞173個,低危漏洞14個。其中,公鏈漏洞數量佔比為99.59%,外圍系統佔比為0.41%,聯盟鏈為0。以此計算,現有247個漏洞中有246個為公鏈漏洞,1個為外圍系統漏洞。
相較於聯盟鏈而言,公鏈確存較大的安全性問題。某區塊鏈技術專家對“金融1號院”分析道,“公鏈是匿名且無准入控制,作惡難以被發現,此外,公鏈應用發佈沒有審核,上鍊應用質量參差不齊,這或是公鏈漏洞較多的主要原因。對比而言,聯盟鏈採用實名制,有嚴格的准入控制。業務協作的組織在相互信任的基礎上才會組建聯盟鏈,不相關的組織或個人並無物理訪問的權限,因此相對安全,另外,組織內惡意作惡很容易通過審計發現,作惡會被懲罰。”
區塊鏈漏洞子庫的上線有利於提升區塊鏈技術安全水平。火幣研究院高級研究員趙文琦對“金融1號院”表示,此類漏洞庫在傳統的信息安全領域已長期存在,其中最著名的是CVE(Common Vulnerabilities and Exposures)平台,各大公司或組織如Apache、Linux等也維護了相應的漏洞平台。“在區塊鏈行業,面向細分領域,如區塊鏈底層系統、分佈式協議、智能合約、去中心化應用及周邊軟件等,建立相應的漏洞平台有助於提升各領域的安全性。此次區塊鏈漏洞子庫的上線補充了我國在這一領域的缺失。依據傳統安全領域的經驗,在未來,不同區塊鏈平台及服務提供機構可能會陸續推出面向各自應用生態的漏洞庫。”趙文琦進一步説道。
進一步而言,從長期來看,區塊鏈漏洞凸顯出的安全問題則需要社會各方力量攜手推進解決。據悉,CNVD區塊鏈漏洞子庫充分依託國家級網絡安全資源,通過號召和引導區塊鏈安全廠商、白帽子、區塊鏈企業等多方共同參與區塊鏈安全生態建設,提高我國區塊鏈漏洞和安全事件的發現、分析、預警,以及整體研究水平和應急處置能力,為我國區塊鏈行業安全保障工作提供重要技術支撐和數據支持。