钱包、智能合约、交易所都不安全 区块链安全由其最弱一环决定

国家网络安全周将于本月中下旬盛大开幕，在本届网络安全博览会上，区块链技术以及由区块链技术为基础的可信安全议题也是热议话题之一，那么区块链技术都是安全的吗？

本期优炫知识课堂也为大家准备了现在火热的“区块链”的相关知识：

保护区块链生态系统是当前最具挑战性的网络安全问题。区块链本身可能是安全的，但这并不意味着与之交互的所有部分都安全，比如加密货币钱包、加密货币交易所、挖矿软件、智能合约。

区块链软件漏洞导致的网络攻击近年来逐渐增多，从加密货币钱包盗窃到智能合约攻击再到加密货币交易所被黑，各种涉区块链软件的安全事件层出不穷。对此我们应注意什么呢？

请看如下报道：

Carbon Black 最近的一份调查研究表明，仅今年上半年，黑客便盗取了价值11亿美元的加密货币。尽管当下区块链威胁主要集中在公共链领域，企业区块链势必也不能独善其身。对公共链下手就如此有利可图，企业区块链在黑客眼中就像是一片未开垦的矿山。公共链漏洞的成功利用案例将会引导黑客发现企业区块链中的弱点。

安全学习曲线

新技术意味着新威胁和新的学习曲线。任何新技术都一样，风险浮现需要时间，发展出应对风险的方法也需要时间。我们已经在WiFi技术上走过了这条曲线，IoT技术领域的学习曲线则仍在描绘中。至于区块链安全，我们才刚刚踏上学习曲线的起始阶段。而我们必须尽快探索，因为区块链的诱惑太大了，链上投注了如此之多的金钱，大量攻击活动正蠢蠢欲动。

区块链成为黑客眼中诱人目标的部分原因，在于攻击者利用区块链变现更加便捷，他们不用转手所盗数据即可收获金钱，直接盗取(虚拟)货币本身即可。

最弱一环

只要整个区块链系统不是全无漏洞，攻击者就总有空子可钻。与区块链交互的组件也是用代码编写的，而大多数软件代码都有漏洞。

CA Veracode 上的代码扫描每年都能扫出一大批漏洞。最近的数据集也显示77%的应用初次扫描就有至少一个漏洞。这种形势下，你还会相信与区块链互动的所有软件都是安全的？加密货币钱包、智能合约、加密货币交易所，哪个值得信任？

就拿加密货币交易所和智能合约来说。加密货币交易所就是用户兑换加密货币的在线平台。换句话说，根据兑换类型，加密货币交易所可被视为另一种形式的股票交易所或机场和银行的货币兑换服务。

最近几年发生过数起加密货币交易所重大安全事件：
Gox损失了4.8亿美元的比特币
2016年Bitfinex遭遇多签名钱包黑客事件，损失7200万美元
Nicehash遭攻击者网络钓鱼盗走凭证后损失6300万美元
Coincheck因使用单因子身份验证的在线钱包存储所有信息而惨遭攻击。(这就好像银行把所有的钱都放到某位出纳的抽屉里一样。)

能够数字化验证并促进合约签署和执行的智能合约也未能免疫。智能合约中的低级编程错误导致大规模数据泄露的事件不是没有：
DAO智能合约中的可重入漏洞让攻击者抽取了价值5000万美元的以太币
Parity钱包访问控制问题导致价值3000万美元的以太币损失

区块链安全问题需重视

优炫软件早已布局区块链事业，针对区块链技术进行深入研究和开发。区块链技术与大数据、云服务、数据中心等新一代信息技术的结合，将生成区块链+的行业应用，如区块链在金融、 医疗、审计、物联、公证、版权、社交等各行业多场景下的创新应用，为未来的市场竞争奠定实力。

行业专家提醒广大用户，不要以为用了区块链技术的交易就是安全的。区块链用户要保护自身，需从以下四个基本安全措施做起：
别暴露你的私钥
采用双因子身份验证
使用加密货币交易平台时别公开任何电子邮箱地址或电话号码
别在网上吹嘘你的加密货币财富

区块链好处多多，包括更好的法律合同、更强的供应链可见性，甚至可以减少欺诈。但任何技术都逃不过被恶意黑客探测一番，区块链也不例外，黑客探出的漏洞就有可能引发怀疑情绪，减缓新技术的采纳速度。