1 背景介紹

2008年，中本聰在一篇名為《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》的論文中首次提出了比特幣，隨后在2009年比特幣網(wǎng)絡正式啟動。經(jīng)過幾年的考驗，比特幣因其網(wǎng)絡的穩(wěn)定性及創(chuàng)新性而逐漸受到人們的廣泛關注。隨后，區(qū)塊鏈這一概念被抽象出來，它可看作是比特幣的底層技術。簡單的理解，區(qū)塊鏈是一種去中心化的分布式賬本技術。

近兩年，區(qū)塊鏈逐漸成了熱門話題，頻繁出現(xiàn)在媒體及學術會議上，各類企業(yè)和研究機構也逐漸成立了區(qū)塊鏈實驗室，區(qū)塊鏈這一新興技術正在逐漸的發(fā)展。比特幣可看作區(qū)塊鏈的第一個應用，即區(qū)塊鏈1.0；區(qū)塊鏈2.0也隨后出現(xiàn)，即以以太坊為代表的可編程的智能合約平臺。時至當下，各種基于區(qū)塊鏈技術的項目和相關的應用如雨后春筍般涌現(xiàn)，但區(qū)塊鏈作為一門新的技術才剛剛起步，其本身還有許多不足和缺陷。本文從技術自身的角度探討區(qū)塊鏈面臨的一些安全風險和挑戰(zhàn)。

2 偽隨機數(shù)生成器的陷門

區(qū)塊鏈屬于算法高度密集的工程，應用了大量的密碼學算法，區(qū)塊鏈達成的共識本質(zhì)上是對密碼算法所基于的數(shù)學難題的共識。區(qū)塊鏈所用到的密碼算法主要有數(shù)字簽名算法和雜湊函數(shù)，隨后也有很多密碼算法和協(xié)議被引入應用到區(qū)塊鏈中，如環(huán)簽名，零知識證明，承諾協(xié)議，安全多方計算等?？梢哉f，密碼算法和協(xié)議的安全決定著區(qū)塊鏈技術的安全。

在密碼算法中，隨機數(shù)是不可或缺的參數(shù)，安全的隨機數(shù)生成機制是密碼算法安全的重要支撐。由于真隨機數(shù)的生成比較困難，一般在密碼算法中都采用達到特定安全要求的偽隨機數(shù)去替代真隨機數(shù)。偽隨機數(shù)一般采用偽隨機數(shù)生成器生成，如果選取的偽隨機數(shù)沒有達到要求，算法就不安全，例如，比特幣區(qū)塊瀏覽器blockchain.info 被曝隨機數(shù)沒有正確的生成，進而導致私鑰暴露。另一方面，偽隨機數(shù)生成器的設計有可能留有后門，即使是標準算法也不例外，例如，NSA曾將帶有后門的Dual_EC_DRBG寫入NIST的確定性隨機數(shù)生成器推薦標準，并收買RSA公司將該算法設置為BSafe中默認的隨機數(shù)生成算法。值得一提的是，雖然比特幣也選擇了ECC來生成隨機數(shù)，但選的是小眾的曲線參數(shù)，有效地避開了這一問題。區(qū)塊鏈中廣泛需要生成隨機數(shù)，如果選取的偽隨機數(shù)生成器存在后門，造成的損失是不可想象和不可挽回的。一般構造的偽隨機數(shù)生成器如圖1所示。

圖1 偽隨機數(shù)生成器示意圖

3 橢圓曲線的抗量子脆弱

基于橢圓曲線的密碼算法，因其具有良好的安全性和運算效率而被廣泛應用，橢圓曲線如圖2所示。數(shù)字簽名算法具有不可抵賴、防止冒充等特點，很多基于區(qū)塊鏈技術的產(chǎn)品和項目中采用了基于橢圓曲線的數(shù)字簽名算法，用于身份鑒別和對交易數(shù)據(jù)的確認。橢圓曲線數(shù)字簽名算法的安全性依賴于橢圓曲線上離散對數(shù)的困難性，此類數(shù)學難題目前還沒有被破解。隨著時間的推移，一旦底層數(shù)學問題被破解，那么此類密碼算法將不再安全。另外，雖然橢圓曲線上的離散對數(shù)問題在經(jīng)典計算機上破解難度很大，但如果量子計算機出現(xiàn)，橢圓曲線數(shù)字簽名算法將沒有任何安全性可言。雖然目前真正實用的量子計算機還沒有出現(xiàn)，但諸如IBM，谷歌等這類公司正投入大量的人力財力研制量子計算機，一旦實用的量子計算機出現(xiàn)，目前絕大多數(shù)的區(qū)塊鏈技術將徹底沒有了安全保障。

圖2 橢圓曲線示意圖

4 雜湊函數(shù)的碰撞

圖3 雜湊函數(shù)對輸入消息的敏感性示例

密碼雜湊函數(shù)將任意長度的輸入生成固定長度的輸出，一般用于產(chǎn)生消息摘要。雜湊函數(shù)示例如圖3。區(qū)塊鏈中采用了各種不同的雜湊算法，例如，比特幣中用到的雜湊算法是SHA256，以太坊用的雜湊算法是Ethash算法等，雜湊算法的安全性決定著區(qū)塊鏈技術的不可篡改性。同樣的問題，如果雜湊算法的設計有缺陷或有后門，那么基于此算法的區(qū)塊鏈技術將不再安全。即使雜湊算法設計的完美無缺，也并不表示該算法永遠安全，雜湊算法從理論上一定會存在碰撞，只是發(fā)現(xiàn)碰撞的難度很大，概率很小。例如，我國王小云院士破解了MD5算法，谷歌構造出了SHA-1的碰撞。由此表明，即使目前安全的雜湊算法，其碰撞的發(fā)現(xiàn)也只是時間問題，到那時，基于該算法的區(qū)塊鏈將不再可靠。

5 共識機制的欠缺

5.1 51%攻擊的可行性

圖4 POW的工作原理

區(qū)塊鏈最大的創(chuàng)新在于能夠達成無中心的信任共識，這是由其所采用的共識機制來決定的。目前常見的共識算法有工作量證明(POW)，權益證明(POS)，委托權益證明(DPOS)。大多數(shù)區(qū)塊鏈尤其是早期的各種數(shù)字貨幣均采用POW共識算法，例如，比特幣采用的是POW，以太坊采用的是POW和POS的混合機制，POW的工作原理如圖4所示。目前比特幣網(wǎng)絡很穩(wěn)定，這與其強大的算力分不開，算力越高系統(tǒng)越穩(wěn)定，單點進行算力攻擊(又稱51%攻擊，即掌握全網(wǎng)的51%算力之后，用這些算力來重新計算已經(jīng)確認過的區(qū)塊，對數(shù)據(jù)篡改和偽造并且獲得利益的行為)的可能性就越低。目前比特幣全網(wǎng)的算力約為25EH/s，但算力主要集中于各大礦池，根據(jù)目前的算力分布，前三大礦池的算力之和約為全網(wǎng)算力的56%，即理論上前三大礦池聯(lián)合起來可進行51%攻擊。類似的，其他采用POW的區(qū)塊鏈應用項目，如果沒有強大的算力支撐，就很容易受到單點的51%算力攻擊，區(qū)塊鏈本身不可篡改的屬性將不再存在。例如，在2016年以太坊平臺Krypton就遭受了51%攻擊。

5.2 偽去中心與分叉

區(qū)塊鏈的優(yōu)勢之一在于去中心化，這也保證了區(qū)塊鏈數(shù)據(jù)的穩(wěn)定性。但隨著挖礦逐漸形成產(chǎn)業(yè)，以比特幣為代表的區(qū)塊鏈1.0產(chǎn)物的去中心特性逐漸弱化，形成了算力集中的礦池，一旦礦池出現(xiàn)問題就會影響全網(wǎng)，這也是POW共識機制所帶來的風險之一。根據(jù)目前比特幣的算力分布，全球約有22個礦池，這些礦池占有全網(wǎng)的94%的算力。

作為區(qū)塊鏈最早的產(chǎn)物，比特幣設計之初就考慮了如何防止單節(jié)點的惡意分叉，但卻不能防止主動修改共識規(guī)則所導致的分叉。目前為止，比特幣出現(xiàn)的分叉幣有BCH、BTG、BCD、SBTC、BCX、BTF等，預計比特幣的分叉幣還會出現(xiàn)。如果區(qū)塊鏈技術不能有效防止分叉的出現(xiàn)，就會降低社區(qū)的穩(wěn)定性。因此，共識算法和共識規(guī)則隨著時間的變化，都有可能導致軟硬分叉的風險。

圖5 區(qū)塊鏈分叉示意圖

5.3 POS的缺陷

與POW不同，權益證明POS消除了對硬件的要求，也不需要消耗龐大的電力，兩者的對比見圖6。但POS本身也有一些缺點，例如，持幣數(shù)量越多的人話語權就越大，另外，POS本身并不能防止分叉的攻擊，某些節(jié)點可能會嘗試進行分叉，即使分叉最終沒有被接受，該節(jié)點本身也沒有任何損失。相反地其它節(jié)點看到分叉后，最好的策略就是同時在每條鏈上工作，因為節(jié)點不需要消耗資源，只需要用自己持有的幣進行投票即可。因此，如果網(wǎng)絡采用POS機制，還需要額外設置針對分叉的懲罰機制才能良好的運行。

圖6 POW與POS對比

6 智能合約的不完善

區(qū)塊鏈2.0的創(chuàng)新與改進在于智能合約的出現(xiàn)，智能合約是一段可編程的代碼，可部署到區(qū)塊鏈上，一旦合約的條款觸發(fā)某個條件，代碼就會自動執(zhí)行，即使有人想違約也很難。智能合約的原理如圖7的示例。

智能合約在區(qū)塊鏈中具有舉足輕重的地位，但如果合約本身具有漏洞，則將會造成不可挽回的損失。例如，著名的以太坊智能合約應用The DAO因漏洞遭受黑客攻擊，丟失數(shù)目龐大的數(shù)字貨幣，導致以太坊不得不采取硬分叉。另外，智能合約的升級很難，出現(xiàn)漏洞只能進行類似以太坊硬分叉的方式處理。最后，智能合約本質(zhì)上是一段代碼，如果惡意的智能合約出現(xiàn)，類似計算機木馬病毒，可能將會導致良好的智能合約感染，進而造成不可挽回的損失。

由于智能合約是不可逆的，部署到網(wǎng)絡后無法升級修改，所以迫切需要智能合約的形式化驗證，即判斷程序是否按照預期運行。形式化驗證是一種減少漏洞和防止攻擊的有效手段，

但目前為止還沒有找到一種形式化驗證的解決方案。此外，目前的智能合約是根據(jù)預定義場景的響應規(guī)則，而如何能做到對未知場景的推演和響應也是智能合約面臨的挑戰(zhàn)之一。

雖然智能合約的出現(xiàn)是區(qū)塊鏈技術進步發(fā)展的產(chǎn)物，但智能合約能否再進一步完善發(fā)展并帶來巨大的效益還有待驗證。

圖7 智能合約工作原理

7 隱私的泄露

時至當下，人們最為關心的就是個人隱私的保護，棱鏡門事件暴露出了我們的隱私數(shù)據(jù)并不像我們想象的那么安全。區(qū)塊鏈技術中采用一對公私鑰來代表身份，并且交易數(shù)據(jù)都是公開透明的，任何人都可以查詢。例如比特幣不需要與真實身份進行綁定即可交易，但用公鑰代替身份并不能做到匿名，只能算作假名，而且通過對每一筆交易的追蹤和分析，也能判斷出某些地址是否歸屬于同一人或機構，它的匿名性并不像起初人們想象的那樣強。雖然目前已有很多數(shù)字貨幣的設計重點是針對隱私進行保護，但目前的方案都有各自的優(yōu)缺點，能否設計出保密和效率折衷的區(qū)塊鏈技術還需要進一步探討。

8 密鑰的丟失

密碼算法的安全需要兩點保證，其一是隨機數(shù)的安全，其二是密鑰的安全。區(qū)塊鏈應用了大量的密碼算法，除了保證密碼算法的正確實施運行之外，還需要一套嚴謹合理的密鑰管理方案。區(qū)塊鏈數(shù)字資產(chǎn)的安全完全取決于用戶自己掌握的私鑰，與傳統(tǒng)密碼口令不同的是，私鑰由每個用戶自己生成和保管，沒有第三方的參與，也沒有私鑰補發(fā)與管理機制，私鑰一旦丟失或被盜，用戶的資產(chǎn)將永遠丟失。由于私鑰是密碼算法的關鍵參數(shù)，字符較長，用戶難以記憶存儲，如果存儲在聯(lián)網(wǎng)的電腦或者在線服務器或其它軟件中，丟失的風險較高。目前已經(jīng)發(fā)生了很多密鑰丟失或被盜導致的大量財產(chǎn)損失的事件，比如自稱是全球最大挖礦平臺的 NiceHash就因黑客攻擊造成了超過 7000 萬美元的比特幣被盜走，這是私鑰進行托管后被盜導致的。近期，著名的物聯(lián)網(wǎng)區(qū)塊鏈項目IOTA錢包種子生成網(wǎng)站被黑客入侵，損失400萬美元，原因是用戶生成錢包種子時為了回避繁瑣的81個符號而委托相應網(wǎng)站代為創(chuàng)建。因此，設計一種安全便利的密鑰保護和管理機制是區(qū)塊鏈長期發(fā)展的關鍵所在。

9 網(wǎng)絡支撐的不穩(wěn)定性

區(qū)塊鏈的分布式技術使得全網(wǎng)的每一個節(jié)點都能參與進來，如果利用現(xiàn)有的區(qū)塊鏈技術處理非常重要的數(shù)據(jù)，也會帶來一定的風險。目前互聯(lián)網(wǎng)所依賴的DNS根服務器一共13臺，其中10臺在美國，英國、瑞典、日本各1臺。如果這些服務器遭受攻擊導致域名不能解析，那么區(qū)塊鏈將不能正常運轉(zhuǎn)。例如，2002年，根服務器遭受了有史以來最為嚴重的也是規(guī)模最為龐大的一次網(wǎng)絡襲擊，導致其中9臺不能正常運轉(zhuǎn)。區(qū)塊鏈技術能否規(guī)避這些安全隱患也是值得研究和探討的。

區(qū)塊鏈受到人們廣泛關注的同時也吸引大量的黑客對其進行攻擊和破壞，這對區(qū)塊鏈技術本身的發(fā)展和完善也是一個很大的挑戰(zhàn)，目前大多數(shù)區(qū)塊鏈數(shù)字資產(chǎn)的交易均在中心化的平臺進行，平臺的建設維護運營至關重要，因平臺不穩(wěn)定或有漏洞導致的財產(chǎn)損失案例數(shù)不勝數(shù)。例如，今年韓國最大的交易所Bithumb被黑客侵入數(shù)據(jù)庫，盜走數(shù)字貨幣價值上百萬美元；最近，日本最大交易所之一Coincheck被黑客入侵，資產(chǎn)損失6億美元。各類區(qū)塊鏈項目初始代幣發(fā)行時，被黑客入侵修改錢包地址造成的巨大損失，也歷歷在目。交易平臺的安全問題雖然不是區(qū)塊鏈技術本身的問題，但卻是區(qū)塊鏈能否進一步發(fā)展的關鍵保障。

10 總結(jié)

區(qū)塊鏈技術的出現(xiàn)，為我們打開了一個新的大門，以其無中心信任機制的特性，在金融領域已有了成功的應用案例。除此之外，在能源、醫(yī)療、公益、征信等領域都有著很大的應用潛力。作為一門新技術，區(qū)塊鏈本身還不成熟，在應用中暴露出了各種不足，但這并不會限制區(qū)塊鏈的應用，反而會促進區(qū)塊鏈技術的創(chuàng)新、完善和發(fā)展。例如，實用的抗量子密碼算法的研究成果越來越豐富，其國際的標準化也在逐漸推進，將新型的抗量子密碼算法應用到區(qū)塊鏈中，量子計算機的威脅將不復存在。

區(qū)塊鏈已經(jīng)被我國列入了十三五信息化規(guī)劃中，相信隨著時間的推移，區(qū)塊鏈技術及其應用會發(fā)展的越來越完善，必將對社會和生活產(chǎn)生深遠的影響。