腾讯联合知道创宇推出上半年区块链安全报告

本篇文章1978字，读完约5分钟

8月2日，腾讯安保获悉，于闯发布了《2018年上半年区块链安全报告》(以下简称“报告”)，并结合了于闯、腾讯安保实验室、腾讯云、腾讯电脑经理等提供的大量数据。它深刻揭示了区块链安全的三个根本问题，为如何防范区块链安全风险，构建新的网络安全生态系统提供了新的思路。

区块链安全的三大根源:安全机制、生态安全和用户安全

报告显示，2018年上半年，区块链各类行业信息、投融资创业、技术和应用探索密集爆发，成为创业和资本的共同追求。然而，随着区块链科技的不断发展，区块链领域的安全问题日益突出，与区块链相关的社会安全问题也日益突出。

腾讯安全技术专家认为，目前区块链加密数字现金引发的安全问题主要来自三个方面:一是区块链机制本身。以以太网为代表的区块链智能合同设计中的漏洞造成了极其严重的经济损失。2016年6月，Etherium最受欢迎的项目dao遭到攻击，黑客获得了350多万枚Etherium硬币，最终导致Etherium分支到Etherium等。同时，真正的区块链网络是自由开放的。理论上，它不能阻止拥有足够计算机资源的节点执行任何操作。如果黑客控制了节点中的大部分计算机资源，他们可以改变共享的分类账，最终实现51%的“双花攻击”。

第二，区块链的生态安全。《展望未来》中的区块链生态包括权力机制下的矿池、pos机制下的股权节点、加密数字现金证券交易所、软硬钱包、数据跟踪浏览器、dapp应用和dapp应用的区块链网关系统。其中，交易所周边的安全事件最为突出，交易所被盗事件远远超过了其他类型的事件，如交易所被盗、内鬼被盗、钱包被盗、各种信息和数据的泄露和篡改、交易所账户被盗等也值得关注。根据该报告，现阶段与区块链生态相关的安全问题在所有安全事件中所占比例最高，从发生次数、损失金额和攻击类型来看最为突出，这也是区块链加密数字现金近期安全防范的重点。

第三，用户安全问题。对于普通用户来说，要理解或完全掌握数字虚拟货币钱包的使用，有一个很高的门槛，这就要求用户对计算机、加密原理和网络安全有很高的认识。然而，数字虚拟货币交易的许多参与者不具备这些能力，并且容易出现安全问题。东莞一名名叫imtoken的用户发现自己账户中的100多枚eth (Ethereum硬币)被盗，最终发现是他身边的熟人实施了犯罪。

据报道，区块链机制安全、生态安全和用户安全造成的经济损失分别为12.5亿美元、14.2亿美元和5600万美元，总计27亿美元。随着近年来数字虚拟货币参与者的增加，各种原因造成的安全事件也显著增加，尤其是区块链机制和区块链生态问题。

加快产能输出保驾护航区块链腾讯安全联盟知于闯打造新安全生态

近年来，由数字密码引起的网络安全问题频繁发生。从风靡全球的恶意软件到“tlminer”挖掘木马案，再到最近层出不穷的数字现金盗窃案，犯罪分子看中了数字密码货币的匿名性，通过非法手段获取了大量不义之财。《报告》详细分析了区块链领域的三大安全威胁:“敲诈勒索”、“非法开采”和“盗窃”，并披露了腾讯与相关黑产品安全对抗的实际案例，为加强区块链安全保护提供了有益的借鉴。

值得注意的是，传统的挖掘方法，如比特币，一般使用图形卡gpu进行挖掘，这对于黑客来说很难使用，而且更多的场景是敲诈加密；自从门罗货币(Monroe Currency)等使用cryptonight算法的新货币出现后，挖掘方法发生了变化，不再依赖于gpu挖掘，cpu挖掘成为可能。因此，黑客入侵个人电脑和云主机后，会选择直接消耗机器cpu资源进行挖掘。根据腾讯安全云顶实验室的统计，具有一般安全漏洞的机器，如永恒蓝，已经成为主要的入侵目标，黑客通常利用批量扫描一般安全问题和入侵挖掘程序来恶意挖掘。在一些传统企业、政府机构和其他行业中，机器的侵入和挖掘尤为显著。主要原因是这些行业的云主机由于一些维护人员缺乏安全意识，容易出现漏洞，甚至长时间不登录云主机，给黑客提供了长期的挖掘机器。这些存在安全问题的云主机也是恶意行为的温床，例如在云上进行挖掘。

除了此次腾讯安全联盟得知于闯联合发布该报告外，双方长期合作，为区块链保驾护航产业健康发展。在今年6月21日举行的“中国封锁链安全峰会论坛”上，腾讯证券与中国技术市场协会、智川渝等政府指导单位、网络安全企业、区块链相关机构以及20多家媒体机构和单位联合发起“中国封锁链安全联盟”，共同启动了区块链生态良性发展长效机制的建立。

从整体上看，当前国内外网络安全形势日益复杂，区块链的安全也面临巨大挑战。以区块链为名的欺诈和金字塔计划等社会问题日益增多，已发展成为社会和经济癌症。在这方面，腾讯安全将与于闯等区块链安全联盟成员携手探讨行业解决方案，提升行业整体安全实力，同时将与更多政府部门和企业联手，共同打击黑色产业链，构建新的网络安全生态。

来源：央视线