全球区块链安全发展跟踪与思考
2023-07-14 11:23:07   来源： 裴迎栋 田盼 天翼智库   评论：0 点击：

　　本文作者： 裴迎栋 田盼
本文来源：天翼智库
原文链接：https://mp.weixin.qq.com/s/LOCQvSOvu1Xw04mJNQx98Q

近年来，区块链技术应用越来越广泛，从加密货币逐步渗透到产品溯源、版权保护、数字身份等诸多领域，在2023年各省政府工作报告中，涉及区块链规划的数量仅次于人工智能，区块链已经成为我国数字技术的重要组成部分。但是区块链安全一直困扰着其应用发展，合约漏洞、网络钓鱼、黑客入侵等安全事故在区块链平台上频发，本文基于全球区块链安全发展的跟踪，探讨区块链安全的发展方向。

01

　　安全风险依旧严峻

　　区块链技术应用还处于起步阶段，根据SlowMist Hacked区块链被黑事件档案库，自2018年以来，全球区块链安全事件数量逐年上升，累计损失265亿美元。2022年安全事件造成损失43.9亿美元，下降55%，但安全事件发生数量仍然增长30%，其中NFT、ETH生态、BSC生态安全事件186起，占比60%。2023年Q1安全事件发生76起，与去年同期相当，全球区块链安全风险依旧严峻。（图1）　
 

　　区块链安全事件常常由项目自身设计缺陷和智能合约漏洞引发，包含数据泄露、钓鱼攻击、加密骗局等攻击方式，2022年约92起相关安全攻击，造成损失 10.6亿美元。随着区块链技术和产业深入融合，区块链应用安全问题难以避免，急需重视并解决区块链安全风险问题。

02

　　安全监管密集落地

　　面对区块链的安全风险问题，各国也加快制定监管框架。根据Huobi Research对全球区块链政策统计显示，2022年以来，除中国大陆外全球有超 42 个国家和地区对区块链加密行业采取了100多项监管措施和指导，其中美国、欧盟和韩国采取的监管措施最为密集。（图2）　

　　美国：作为最早发展区块链、交易自由度最高的国家之一，2022年3月，政府第一次颁布对区块链加密市场进行监管的行政命令《关于确保数字资产责任创新》，9月政府发布首个加密货币行业监管框架草案，包括采取消费者保护措施、维持货币金融稳定等，2023年3月，美国证券交易委员会表示区块链权益证明代币属于证券，受美国证券法管辖。

　　欧盟：在2022年以前，欧盟整体上没有一个明确的安全监管框架，主要是各成员国依据国情颁布本国监管政策。2022年10月，欧盟通过了《加密资产市场监管（MiCA）》法案，未来欧盟内部将建立统一的监管框架。2023年2月，欧盟委员会宣布《区块链监管沙盒》正式实施，这项监管措施旨在创建一个泛欧洲监管框架，提升区块链项目的法律确定性。

　　韩国：作为目前第三大比特币交易国，2022年12月，韩国金融服务委员会制定以投资者保护为中心的加密监管体系，寻求能够平衡创新、消费者保护和通过区块链等新技术实现金融稳定。2023年2月，韩国金融当局调查Crypto区块链交易所的质押服务，将其纳入监管范畴。

　　中国：我国区块链国家监管已经基本成型，相关监管试点工作在有条不紊地进行之中。自2019年2月《区块链信息服务管理规定》实施以来，中央网信办组织开展备案审核工作，对区块链备案主体进行监督检查，并督促未备案主体尽快履行备案义务。2023年2月，中央网信办发布第十一批境内区块链信息服务备案编号502个，累计发布3193个区块链信息服务。（图3）

　　03

　　应用安全问题及解决方案

　　目前，基于区块链技术创建的应用系统平台仍然容易受到攻击，2023年3月，攻击者通过安全漏洞攻击DeFi借贷协议Euler Finance，瞄准抵押和清算系统存在的逻辑漏洞，通过操作借贷金额与抵押资产的比率从清算过程中获利，窃取价值约1.97亿美元的数字资产，这也是2023第一季度损失最为严重的一次安全事件。

　　区块链的应用安全主要涉及代码漏洞、数据篡改、通信窃取等风险问题，如果区块链系统没有足够的安全措施，将对其可靠性、可信性构成严重威胁。

　　1.代码漏洞

　　区块链技术本身并不存在代码风险，但是区块链衍生的智能合约、数字藏品、虚拟币交易等应用都是建立在代码之上，代码由人编写和移植部署，不可避免的会出现逻辑漏洞问题。随着基于区块链技术的系统应用越来越多，代码漏洞问题会进一步凸显，成为区块链应用发展最大的阻碍之一。

　　目前防范漏洞、降低安全风险的最有效的方式之一，即是在系统上线之前，对其进行全面深入的安全审计，提高安全评估等级。例如中国信通院“可信区块链”评测，评测服务体系涵盖基础评测、配套评测、软硬件协同评测、应用评测和能力评估5大类22专项，六年来累计服务各类型区块链单位180余家，其中中移动、中联通、中电信分别通过8项、7项、4项测评。（图4）

　　2.数据篡改

　　区块链的技术特点是数据的不可篡改，但在实际的系统应用中，会出现数据在输入端就被黑客攻击篡改，如果系统缺乏数据审核机制，那么错误的数据可能会永久存在于区块链的节点上，对系统造成潜在威胁。

　　目前，主要通过加密技术、权限分级、数据备份审核等方式形成一系列的安全机制对应数据篡改问题。例如2022年5月，中国最高法对电子数据本体的固化保存，防止非法手段对电子数据本体的随意篡改、伪造，同时推进法院电子卷宗、电子档案、司法统计报表等司法数据上链存储，通过区块链直接将数据上链，实现跨链互联和协同，有效提升司法业务效率。

　　3.通信窃取

　　区块链作为下一代互联网的核心技术，在使用时，数据不可避免的通过网络进行传输，如果暴露在非安全网络环境下，数据将极易受到窃取或篡改，在不同区块链协议之间的消息通信也将导致风险加剧。

　　目前，主要通过共识机制、加密保护等方式防范在通信过程中的安全风险，并实施网络安全评估流程，以解决相关的网络安全威胁、降低风险并持续监控新的威胁事件。例如2022年11月，我国“电信运营商区块链联盟”正式启动，共同探索形成面向运营商的统一规则、统一查验、统一展示、互通互认的技术体系，形成同构的区块链底层架构有利于互通互信，对电信行业区块链安全通信具有重要价值。

　　04

　　对于区块链安全发展的思考

　　区块链为解决经济活动中的信任问题而生，为广泛开展数字经济合作提供基础保障，但全球区块链应用安全风险仍然严峻，未来还将有更多的安全事件发生。

　　为应对区块链引发的安全风险，全球政府进一步加强区块链安全监管，为区块链应用的合法合规提供更加细致的监督框架，减少不必要的法律风险及纠纷。同时，业界在寻求安全技术方案来解决区块链安全问题，比如通过安全审计、数据本体固化、区块链联盟及完善的服务架构应对安全风险。未来，区块链安全问题仍然会带来持续的挑战，需要产业界不断地进行跟踪研究和优化。