為什么企業(yè)區(qū)塊鏈現(xiàn)在如此受歡迎？毛球技術(shù)有兩個主要原因：現(xiàn)有的多數(shù)據(jù)共享和處理門檻太高，每個人都想強迫他人使用自己的系統(tǒng)和數(shù)據(jù)格式。
企業(yè)區(qū)塊鏈可以通過兩種方式解決這些問題。首先，區(qū)塊鏈和智能合同可以讓每個人就數(shù)據(jù)格式和處理規(guī)則達成一致，更重要的是，這些規(guī)則是由系統(tǒng)強制執(zhí)行的。除非每個人都統(tǒng)一更改，否則沒有可用的手動覆蓋。
其次，由于區(qū)塊鏈和智能合約是一項新興技術(shù)，它們基本上是每個人的綠地部署?，F(xiàn)在很可能沒有人有現(xiàn)成的解決方案，所以有些人會試圖把區(qū)塊鏈和智能合約強加給別人。
然而，新技術(shù)也會帶來新的風險，這通常是人們不太了解的風險。目前，毛球科技認為，企業(yè)區(qū)塊鏈和智能合署存在三大新風險：舊軟件、軟件缺陷和操作缺陷。
回顧過去50年，似乎所有這些都是計算機風險。在元級，當你深入細節(jié)時，區(qū)塊鏈和智能合約已經(jīng)找到了創(chuàng)造安全風險的新方法。
讓我們來看看小編整理的8個區(qū)塊鏈安全風險：
1. 老軟件
雖然企業(yè)區(qū)塊鏈軟件很少老，但對于軟件來說，任何一兩年以上的軟件基本上都是石器時代的工具。
R3的開源Corda區(qū)塊鏈平臺就是一個很好的例子。從2016年5月的初始版本到2021年5月(4).8版），Corda每10天大約有182個版本。其中許多不是小版本；主要的新功能和重構(gòu)或刪除代碼是很常見的。在大多數(shù)企業(yè)項目中，選擇軟件版本，然后永遠不會升級的真正趨勢是，因為升級可能會。
這里的教訓是：確保軟件是最新版本，并且可以繼續(xù)更新，但如果沒有，為什么不呢？
2. 缺乏安全漏洞覆蓋
企業(yè)區(qū)塊鏈軟件幾乎沒有覆蓋安全漏洞數(shù)據(jù)庫。這意味著大多數(shù)用戶不會意識到安全更新，除非他們清楚地跟蹤供應商的說明。
這種缺乏覆蓋，特別是公共漏洞和暴露（CVE）數(shù)據(jù)庫和美國國家漏洞數(shù)據(jù)庫（NVD）這是一個巨大的問題，因為如果漏洞沒有得到官方的認可，它們就不存在于許多大型組織中。
不確定為什么區(qū)塊鏈 CVE 和 NVD 覆蓋率如此之差，但一個可能的罪魁禍首是缺乏特定區(qū)塊鏈漏洞的官方文件。
3. 缺乏安全漏洞知識
傳統(tǒng)軟件有很好理解的漏洞類型，其中很多都是網(wǎng)上常見的弱點列舉。（CWE）例如，緩沖區(qū)溢出和整數(shù)溢出的區(qū)別是黑客使用的流行弱點。CWE它是一種重要的資源。許多代碼掃描工具將其作為試圖檢測的漏洞類型的基礎。
但截至2021年5月，CWE沒有區(qū)塊鏈或智能合同的漏洞類型記錄。好消息是，有兩項工作可以記錄這些問題。SWC注冊中心(以太坊和其他公司使用的30多個Solidity智能合同語言條目)，云安全聯(lián)盟區(qū)塊鏈DLT數(shù)據(jù)庫中有200多個項目，涵蓋了各種智能合同語言、區(qū)塊鏈技術(shù)和一般概念。

4. 缺乏代碼掃描和安全測試
目前區(qū)塊鏈和智能合同代碼掃描工具還不是很成熟，原因很簡單，因為這個領域太新了。更糟糕的是，許多智能合同的部署還沒有得到安全審計。但這種情況正在發(fā)生變化，許多安全事件讓人們意識到審計代碼和在部署之前生成新密鑰的重要性。
例如，Paid Network為金融交易提供區(qū)塊鏈去中心化應用（dApps）供應商，當它部署了支付給開發(fā)人員的智能合同時，它被破壞了，但它從未刪除過開發(fā)人員的秘密鑰匙。當開發(fā)人員的鑰匙后來出現(xiàn)時Git在公開曝光提交(程序代碼保存到存儲庫的過程中)時，一次攻擊耗盡了付費網(wǎng)絡合同。
本合同已通過安全審計。審計人員不能審計生產(chǎn)密鑰，因為它會暴露出來，所以他們會認為Paid Network用安全生成的密鑰代替，但它沒有。
5. 操作風險
假設有一個安全的區(qū)塊鏈和一個良好的智能合同，沒有任何安全缺陷。區(qū)塊鏈和智能合同代碼仍然需要在某些東西上運行，最好連接良好和可靠。如果您選擇云或第三方托管，您將需要確保它們也是安全的。
6. 加密密鑰和HSM
加密鑰是每個區(qū)塊鏈服務和客戶端的核心。即使使用專用系統(tǒng)，在計算機上保存重要的加密鑰也不夠。
而是使用硬件安全模塊(HSM)。HSM它基本上提供了普通計算機無法提供的兩件事。首先，可以設置密鑰，使其無法工作HSM導出或復制。其次，可以通過HSM更可靠地記錄密鑰的使用情況。
這是關鍵，因為如果網(wǎng)絡被入侵，它將能夠確定攻擊者使用密鑰的目的，而不是推測他們可能做壞事。
7. 網(wǎng)絡釣魚，SIM卡片交換等惡作劇
企業(yè)區(qū)塊鏈一般不使用網(wǎng)絡釣魚或網(wǎng)絡釣魚SIM攻擊卡交換等技術(shù)，通常是為攻擊加密貨幣的客戶保留的。
然而，勒索軟件和相關攻擊越來越多地轉(zhuǎn)向在線釣魚和魚叉在線釣魚，原因非常簡單：它非常有效。這些類型攻擊的一般答案是使用強大的多因素認證，最好是基于硬件令牌，以防止用戶向壞人提供信息，即使他們被愚弄。
8. 51%攻擊
最后，在大多數(shù)企業(yè)區(qū)塊鏈部署中，使用的共識機制不是工作量的證明(PoW)。更常見的是，使用權(quán)益證明或更傳統(tǒng)的投票機制，如大多數(shù)投票。
51%的攻擊，即一個實體占據(jù)了大部分區(qū)塊鏈哈希率或計算資源，試圖破壞網(wǎng)絡PoW系統(tǒng)是最有用的。即使有一個簡單的共識機制，比如大多數(shù)票，攻擊者也需要劫持51%的組織——這比簡單地調(diào)整計算資源要困難得多，因為計算資源通?？梢猿鲎?。
結(jié)論
有好消息和壞消息。壞消息是區(qū)塊鏈和智能合同軟件比幾乎其他任何東西都復雜且難以保證。好消息是他們試圖解決的問題。
建立信息處理系統(tǒng)，知道攻擊者是惡意攻擊，但不允許他們破壞系統(tǒng)。解決這個問題將開辟各種新的市場和機遇。

熱點：以太 以太坊 加密貨幣 區(qū)塊鏈 區(qū)塊鏈技術(shù) 數(shù)據(jù) 智能合約 計算機