區(qū)塊鏈技術(shù)安全概述區(qū)塊鏈
國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)持續(xù)跟蹤區(qū)塊鏈技術(shù)發(fā)展,對(duì)區(qū)塊鏈安全、區(qū)塊鏈+AI、區(qū)塊鏈+供應(yīng)鏈等領(lǐng)域進(jìn)行深入調(diào)研,本報(bào)告聚焦于“區(qū)塊鏈技術(shù)安全”。
國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)持續(xù)跟蹤區(qū)塊鏈技術(shù)發(fā)展,對(duì)區(qū)塊鏈安全、區(qū)塊鏈+AI、區(qū)塊鏈+供應(yīng)鏈等領(lǐng)域進(jìn)行深入調(diào)研,將推出系列報(bào)告。本報(bào)告聚焦于“區(qū)塊鏈技術(shù)安全”,聯(lián)合上海圳鏈公司共同推出,以期成為行業(yè)發(fā)展的研究依據(jù)。
一、 簡(jiǎn)述
區(qū)塊鏈技術(shù)目前的發(fā)展方興未艾,大多的技術(shù)和應(yīng)用處于試驗(yàn)階段,目前發(fā)生的安全事件多集中出現(xiàn)于加密資產(chǎn)相關(guān)領(lǐng)域,給用戶造成了較大的經(jīng)濟(jì)損失,其安全問(wèn)題日益受到行業(yè)關(guān)注。
同時(shí)區(qū)塊鏈智能合約一旦在分布式、去中心化網(wǎng)絡(luò)中部署,就難以變更,這種難以變更性一方面防止了數(shù)據(jù)操縱,建立起基于加密算法的信任機(jī)制。但另一方面,當(dāng)區(qū)塊鏈在面對(duì)安全攻擊時(shí),也就缺乏了有效的糾正機(jī)制,難以逆轉(zhuǎn)。
本文主要討論了區(qū)塊鏈的安全性問(wèn)題,以及相應(yīng)的解決方案和建議。 本文中,區(qū)塊鏈應(yīng)用從架構(gòu)上分為三層:基礎(chǔ)網(wǎng)絡(luò)、平臺(tái)層和應(yīng)用層。三個(gè)層面相互影響,每一個(gè)環(huán)節(jié)出現(xiàn)的安全問(wèn)題,都將給下個(gè)環(huán)節(jié)帶來(lái)更多的安全問(wèn)題。因此,在進(jìn)行區(qū)塊鏈項(xiàng)目開(kāi)發(fā)的過(guò)程中,從設(shè)計(jì)到實(shí)現(xiàn),從驗(yàn)證到響應(yīng),不僅僅需要考慮到單個(gè)環(huán)節(jié)的安全性問(wèn)題,也需要將其放入到整體的層面中去判斷可能出現(xiàn)的風(fēng)險(xiǎn)點(diǎn)。
圖1(區(qū)塊鏈應(yīng)用架構(gòu))
二、基礎(chǔ)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
基礎(chǔ)網(wǎng)絡(luò)由數(shù)據(jù)層及網(wǎng)絡(luò)層組成,是區(qū)塊鏈的基礎(chǔ)部分,該部分封裝了區(qū)塊鏈的底層數(shù)據(jù),對(duì)區(qū)塊鏈的數(shù)據(jù)采用非對(duì)稱性加密,利用P2P網(wǎng)絡(luò)并設(shè)置了傳播、驗(yàn)證機(jī)制等,目前主要面臨以下幾類安全問(wèn)題。
2.1 數(shù)據(jù)層:信息攻擊與加密算法攻擊
(1)數(shù)據(jù)區(qū)塊信息攻擊風(fēng)險(xiǎn):一方面寫(xiě)入?yún)^(qū)塊鏈后的信息很難刪除,不法分子將某些有害信息、病毒特征碼、淫穢信息等寫(xiě)入?yún)^(qū)塊中,影響區(qū)塊鏈生態(tài)環(huán)境。另一方面,大量的垃圾交易數(shù)據(jù)攻擊會(huì)堵塞區(qū)塊鏈,使得有效交易和信息遲遲無(wú)法被處理。
(2)加密算法安全風(fēng)險(xiǎn):早年普遍使用的SHA-1于2005年2月被王小云、殷益群及于紅波等人證明安全性不足,只需少于2的69次方的計(jì)算復(fù)雜度就能找到一組碰撞。此外SHA-2算法跟SHA-1基本相似,雖目前未出現(xiàn)有效攻擊,但安全性已被嚴(yán)重質(zhì)疑。其余的SHA-224、SHA-256、SHA-384、SHA-512等加密算法目前沒(méi)有公開(kāi)證據(jù)表明存在漏洞,但在量子計(jì)算高速發(fā)展的情況下,并不是無(wú)懈可擊。目前針對(duì)加密算法進(jìn)行攻擊的方式主要有:窮舉攻擊、碰撞攻擊、長(zhǎng)度擴(kuò)展攻擊、后門(mén)攻擊、量子攻擊等。
2.2 網(wǎng)絡(luò)層:節(jié)點(diǎn)傳播與驗(yàn)證機(jī)制風(fēng)險(xiǎn)
(1)P2P網(wǎng)絡(luò)風(fēng)險(xiǎn):區(qū)塊鏈信息傳播采用P2P的模式,節(jié)點(diǎn)之間的信息傳播,會(huì)將包含自身IP地址的信息發(fā)送給相鄰節(jié)點(diǎn)。由于節(jié)點(diǎn)安全性參差不齊,較差的節(jié)點(diǎn)容易受到攻擊,目前可進(jìn)行攻擊的方式有:日食攻擊、竊聽(tīng)攻擊、BGP劫持攻擊、節(jié)點(diǎn)客戶端漏洞、拒絕服務(wù)(DDoS)攻擊等。例如:2018年3月以太坊網(wǎng)絡(luò)爆出的“日食攻擊”。
(2)廣播機(jī)制風(fēng)險(xiǎn):節(jié)點(diǎn)與節(jié)點(diǎn)之間相互鏈接,某節(jié)點(diǎn)將信息廣播給其他節(jié)點(diǎn),這些節(jié)點(diǎn)確認(rèn)信息后再向更多的節(jié)點(diǎn)進(jìn)行廣播。在廣播機(jī)制中常見(jiàn)的攻擊方式有雙花攻擊及交易延展性攻擊。雙花攻擊即同一筆加密資產(chǎn)被多次花費(fèi),當(dāng)商家接受0確認(rèn)交易付款時(shí)或者通過(guò)51%算力攻擊時(shí)這種情況較容易發(fā)生。交易延展性攻擊也被稱為可鍛性,即同一個(gè)東西,本質(zhì)沒(méi)有變化,形狀發(fā)生了改變,攻擊者利用交易簽名算法特征修改原交易input簽名,生成一樣的input和output的新交易,導(dǎo)致原有交易一定概率不被確認(rèn)形成雙花。
(3)驗(yàn)證機(jī)制風(fēng)險(xiǎn):驗(yàn)證機(jī)制更新過(guò)程易出現(xiàn)驗(yàn)證繞過(guò),一旦出現(xiàn)問(wèn)題將導(dǎo)致數(shù)據(jù)混亂,而且會(huì)涉及到分叉問(wèn)題,需要確保機(jī)制的嚴(yán)謹(jǐn)性。
2.3 解決方案與建議
基礎(chǔ)網(wǎng)絡(luò)作為區(qū)塊鏈的底層,其安全性尤為重要。
(1)與時(shí)俱進(jìn),關(guān)注技術(shù)安全方面的最新進(jìn)展。在量子計(jì)算快速發(fā)展的情況下,加密系統(tǒng)只有不斷研發(fā)更新才可防范黑客攻擊。
(2)接受專業(yè)的代碼審計(jì),了解相關(guān)安全編碼規(guī)范。大多數(shù)區(qū)塊鏈項(xiàng)目為了增加可信度和透明性,對(duì)其項(xiàng)目代碼進(jìn)行開(kāi)源管理,然而這樣也使得項(xiàng)目更易受到攻擊,接受專業(yè)的代碼審計(jì)及注重安全編碼可以有效規(guī)避潛在的風(fēng)險(xiǎn)。
三、平臺(tái)層安全風(fēng)險(xiǎn)
平臺(tái)層由共識(shí)層、激勵(lì)層及合約層組成,是銜接基礎(chǔ)網(wǎng)絡(luò)與應(yīng)用服務(wù)層的橋梁。該部分封裝了網(wǎng)絡(luò)節(jié)點(diǎn)的共識(shí)算法、發(fā)行機(jī)制、分配機(jī)制、腳本及智能合約等。
3.1 共識(shí)層:常見(jiàn)共識(shí)機(jī)制安全性對(duì)比
共識(shí)機(jī)制是對(duì)于一個(gè)時(shí)間窗口內(nèi)的事務(wù)先后順序達(dá)成共識(shí)的算法。區(qū)塊鏈可支持不同的共識(shí)機(jī)制,目前存有的共識(shí)機(jī)制有PoW、PoS、DPoS、Pool驗(yàn)證池機(jī)制、BFT等等。本文將介紹以下三種常見(jiàn)的共識(shí)機(jī)制的安全性:
3.2 激勵(lì)層:發(fā)行與分配機(jī)制風(fēng)險(xiǎn)
(1)發(fā)行機(jī)制風(fēng)險(xiǎn):目前暫無(wú)安全風(fēng)險(xiǎn)事件曝光,但不排除激勵(lì)層發(fā)行機(jī)制中存在安全隱患。
(2)分配機(jī)制風(fēng)險(xiǎn):大量小算力節(jié)點(diǎn)易集中加入礦池,對(duì)于去中心化趨勢(shì)造成威脅。
3.3 合約層相關(guān)安全風(fēng)險(xiǎn)
合約層主要封裝區(qū)塊鏈的各類腳本、算法及智能合約。最初區(qū)塊鏈只能用于交易,合約層的出現(xiàn)使得很多領(lǐng)域可以使用區(qū)塊鏈技術(shù)。圖靈完備的代表是以太坊,其合約層包括了以太坊虛擬機(jī)和智能合約兩部分。目前合約層可能出現(xiàn)以下攻擊對(duì)區(qū)塊鏈的安全造成威脅:Solidity漏洞、逃逸漏洞、短地址漏洞、堆棧溢出漏洞、可重入性攻擊、交易順序依賴攻擊、時(shí)間戳依賴攻擊、整數(shù)溢出攻擊等。例如:2017年7月19日在github上出現(xiàn)一個(gè)針對(duì)VMware虛擬機(jī)的逃逸exploit源碼;2016年6月17日,DAO黑客利用重入性漏洞抽走了價(jià)值5000萬(wàn)美金的以太坊;2018年4月22日,黑客利用機(jī)制漏洞,轉(zhuǎn)出大量的通證,計(jì)算結(jié)果產(chǎn)生溢出,完成通證增發(fā)。BEC無(wú)中生有出巨額通證,價(jià)值幾乎歸零。
圖2 智能合約運(yùn)作原理(數(shù)據(jù)來(lái)源:百度百科)
3.4 解決方案與建議
(1)目前現(xiàn)有的共識(shí)機(jī)制均不是完美無(wú)缺的,需探求設(shè)計(jì)更安全性能更快的共識(shí)機(jī)制。
(2)智能合約開(kāi)發(fā)前需要對(duì)當(dāng)下已經(jīng)出現(xiàn)過(guò)的漏洞進(jìn)行防范。
(3)發(fā)布智能合約之前需要充分的進(jìn)行安全測(cè)試。
(4)關(guān)注相關(guān)情報(bào),專業(yè)人員及時(shí)進(jìn)行代碼優(yōu)化。
(5)定期進(jìn)行代碼審計(jì),包括但不限于:交易安全審查、訪問(wèn)控制審查等
(6)異常操作監(jiān)控,監(jiān)控已部署合約異常行為,降低損失。
四、應(yīng)用層安全風(fēng)險(xiǎn)
應(yīng)用層作為區(qū)塊鏈技術(shù)一個(gè)實(shí)際的落地場(chǎng)景,也是目前區(qū)塊鏈產(chǎn)業(yè)的所有架構(gòu)中受到安全性事件影響最多也是最頻繁的一個(gè)層級(jí)。攻擊目標(biāo)主要集中在與加密資產(chǎn)相關(guān)的領(lǐng)域例如用戶節(jié)點(diǎn)、數(shù)字資產(chǎn)錢(qián)包以及交易平臺(tái)之中,每一次的安全事件所帶來(lái)的實(shí)際損失可達(dá)千萬(wàn)至上億美元。
4.1節(jié)點(diǎn)常見(jiàn)安全問(wèn)題
(1)傀儡網(wǎng)絡(luò)是指惡意軟件開(kāi)發(fā)者或運(yùn)營(yíng)者通過(guò)感染受害者的系統(tǒng)和設(shè)備在對(duì)方不知情的情況下進(jìn)行加密資產(chǎn)挖礦行為。
黑客主要通過(guò)在例如網(wǎng)頁(yè)、游戲輔助程序、系統(tǒng)后臺(tái)中安裝木馬程序的方式侵占用戶的算力與電力,并用于采礦以謀求非法收益。美國(guó)哈佛大學(xué)與國(guó)家基金會(huì)的超級(jí)計(jì)算機(jī)在此前均受到過(guò)類似的攻擊方式,國(guó)內(nèi)也常常發(fā)生例如網(wǎng)頁(yè)被串改或者應(yīng)用程序被植入采礦木馬的相關(guān)事件。
在當(dāng)下采礦需要大量的計(jì)算能力的前提下,單一設(shè)備的算力已經(jīng)無(wú)法滿足采礦所需要的算力。于是攻擊者擴(kuò)大了攻擊目標(biāo)設(shè)備的范疇,尤其是易受到攻擊的物聯(lián)網(wǎng)設(shè)備成為了主要目標(biāo),這也形成更大規(guī)模的傀儡網(wǎng)絡(luò)采礦,目前主要的感染對(duì)象包括數(shù)字視頻攝像機(jī)、路由器、監(jiān)控?cái)z像頭、打印服務(wù)器、游戲機(jī)等。常見(jiàn)的攻擊方式有:
跨站腳本
Microsoft中遠(yuǎn)程執(zhí)行代碼的漏洞利用
命令緩沖區(qū)溢出漏洞利用
SQL注入
BlackNurse拒絕服務(wù)攻擊
(2)解決方案或建議
這些惡意軟件可能會(huì)威脅系統(tǒng)的可用性、完整性和安全性,并使最終用戶和企業(yè)面臨信息竊取,劫持和感染其他惡意軟件的風(fēng)險(xiǎn)。對(duì)于這些惡意軟件沒(méi)有一蹴而就的解決方案,但可以通過(guò)以下方式來(lái)減輕感染風(fēng)險(xiǎn):
定期使用最新補(bǔ)丁更新設(shè)備有助于防止攻擊者利用系統(tǒng)漏洞。
更改設(shè)備默認(rèn)憑據(jù)并啟用設(shè)備防火墻,尤其在使用家用路由器時(shí)。
禁用路由器中不必要的組件,也可重新配置路由器例如更改子網(wǎng)地址、使用隨機(jī)IP地址、強(qiáng)制執(zhí)行SSL等。
如果物聯(lián)網(wǎng)家庭設(shè)備鏈接到移動(dòng)設(shè)備,則僅通過(guò)官方/可信應(yīng)用商店使用合法應(yīng)用程序。
咨詢IT管理員和安全專家,制定對(duì)策和監(jiān)控流程,以預(yù)防或緩解高級(jí)威脅,例如采用應(yīng)用程序白名單或類似安全機(jī)制。
4.2加密資產(chǎn)錢(qián)包安全性對(duì)比
(1)區(qū)塊鏈的錢(qián)包主要用于存儲(chǔ)區(qū)塊鏈資產(chǎn)的地址和私鑰文件,目前根據(jù)使用場(chǎng)景的不同分為了不同類型的數(shù)字資產(chǎn)錢(qián)包,主要包括:
中心化錢(qián)包:使用用戶名/密碼進(jìn)行登陸,可在多個(gè)鏈上交易多個(gè)通證。
多種類錢(qián)包:可通過(guò)相同的私鑰保存不同鏈上的通證。
網(wǎng)絡(luò)錢(qián)包:通過(guò)網(wǎng)絡(luò)托管的鏈上錢(qián)包,有的需要將私鑰存儲(chǔ)在密碼之后,有的則要求在對(duì)賬戶執(zhí)行任何操作之前存儲(chǔ)私鑰并上傳。
本地錢(qián)包:本地安裝的軟件,用于對(duì)特定區(qū)塊鏈執(zhí)行操作,私鑰仍然需要存儲(chǔ)在錢(qián)包可以訪問(wèn)的地方。
硬件錢(qián)包:冷錢(qián)包,存儲(chǔ)在物理脫機(jī)設(shè)備中例如硬盤(pán)、USB,只在使用時(shí)連接網(wǎng)絡(luò)。
(2) 目前影響錢(qián)包安全的因素主要包括:
網(wǎng)絡(luò)釣魚(yú):簡(jiǎn)單來(lái)講為通過(guò)欺騙的方式獲取訪問(wèn)賬戶所需信息。例如:通過(guò)郵件發(fā)送的需要輸入私鑰或賬戶密碼的虛假鏈接。
惡意三方程序:來(lái)自非官方地址下載的有后臺(tái)程序漏洞的錢(qián)包。
計(jì)算機(jī)黑客:跟蹤計(jì)算機(jī)上執(zhí)行的操作,輸入密鑰或密碼將會(huì)被盜。
丟失密碼/密鑰:丟失存儲(chǔ)的密鑰、密碼或助記詞。
(3)不同的數(shù)字資產(chǎn)錢(qián)包面臨的安全性問(wèn)題
有別于其他的應(yīng)用程序,錢(qián)包因?yàn)楦髯杂猛尽傩缘牟煌壳安o(wú)統(tǒng)一的解決方案,用戶可以通過(guò)各自的適用性來(lái)判斷相應(yīng)適合的加密資產(chǎn)錢(qián)包,從用戶的角度出發(fā)目前主要有以下幾種拓展功能:
私鑰控制:意味著可以隨時(shí)使用其他軟件獲取私鑰并訪問(wèn)數(shù)字資產(chǎn),甚至可以直接在鏈上進(jìn)行交互。
賬戶恢復(fù):忘記密碼或者丟失私鑰時(shí),可使用服務(wù)來(lái)恢復(fù)訪問(wèn)權(quán)限。
獲取AirDrop/Forks:當(dāng)硬分叉發(fā)生或者通證被空投到另一個(gè)通證的持有者時(shí),只能使用私鑰訪問(wèn)這些新通證。
存儲(chǔ)不同鏈上的通證:使用同一個(gè)賬戶存儲(chǔ)不同鏈上的通證。
4.3加密資產(chǎn)交易平臺(tái)常見(jiàn)安全問(wèn)題
(1)加密資產(chǎn)是數(shù)字經(jīng)濟(jì)中重要的組成部分,但針對(duì)加密資產(chǎn)交易平臺(tái)展開(kāi)的頻繁網(wǎng)絡(luò)攻擊不斷沖擊著用戶對(duì)于數(shù)字資產(chǎn)的信任。就在最近的幾個(gè)月里,人們目睹了數(shù)起針對(duì)交易平臺(tái)的攻擊。例如日本的加密資產(chǎn)交易平臺(tái)Coincheck于2018年1月被入侵,損失超過(guò)5億美元。韓國(guó)交易平臺(tái)Coinrail也證實(shí)它在2018年6月被黑客攻擊,入侵損失達(dá)3,690萬(wàn)美元。
目前看來(lái),加密資產(chǎn)交易平臺(tái)主要有六類常見(jiàn)隱患和漏洞,即拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚(yú)事件,熱錢(qián)包防護(hù)問(wèn)題,內(nèi)部攻擊,軟件漏洞,和交易可鍛性。
拒絕服務(wù)攻擊:攻擊者通過(guò)拒絕服務(wù)攻擊使得交易平臺(tái)無(wú)法正常訪問(wèn),也是目前最主要的針對(duì)交易平臺(tái)的攻擊方式。用戶因?yàn)闊o(wú)法準(zhǔn)確分辨攻擊程度,往往會(huì)造成恐慌性的資產(chǎn)轉(zhuǎn)移,從而給交易平臺(tái)帶來(lái)?yè)p失。
網(wǎng)絡(luò)釣魚(yú)事件:目前即使是最好的技術(shù)措施也無(wú)法保護(hù)加密資產(chǎn)交易平臺(tái)免受網(wǎng)絡(luò)釣魚(yú)攻擊。 欺詐者往往通過(guò)虛假域名或者仿冒頁(yè)面的方式迷惑受害者,受害者如無(wú)法分辨交易平臺(tái)的真實(shí)性便會(huì)遭受資產(chǎn)上的損失。
熱錢(qián)包防護(hù)問(wèn)題:許多交易平臺(tái)使用單個(gè)私鑰來(lái)保護(hù)熱錢(qián)包,如果犯罪分子可以訪問(wèn)單個(gè)私鑰,他們將能夠破解與私鑰相關(guān)的熱錢(qián)包。 私鑰攻擊的典型例子是2017年首爾交易所Yapizon的攻擊,攻擊者一年內(nèi)前后兩次對(duì)交易平臺(tái)發(fā)起了針對(duì)平臺(tái)上熱錢(qián)包的盜取,總共造成了交易平臺(tái)近50%的資產(chǎn)損失,并最終導(dǎo)致了交易平臺(tái)的破產(chǎn)。
內(nèi)部攻擊:由于沒(méi)有完善的風(fēng)險(xiǎn)隔離措施或?qū)τ趩T工權(quán)限監(jiān)督不力,導(dǎo)致了部分擁有平臺(tái)操作權(quán)限的員工利用內(nèi)部信任監(jiān)守自盜。例如2016年交易平臺(tái)ShapeShift發(fā)生的員工盜取BTC事件,其通過(guò)私下盜取和將敏感信息轉(zhuǎn)賣(mài)給其余人員的方式前后給交易平臺(tái)造成了23萬(wàn)美元的損失。
軟件漏洞:包括單點(diǎn)登陸漏洞、oAuth協(xié)議漏洞等。各國(guó)都有法律要求銀行或其他金融機(jī)構(gòu)實(shí)施信息安全措施,以保護(hù)客戶的存款。但是,由于區(qū)塊鏈領(lǐng)域還處于起步階段,目前缺少適用于加密資產(chǎn)的此類規(guī)范。 因此,許多交易平臺(tái)在缺乏安全規(guī)范約束的條件下,存在大量漏洞并非偶然。
交易可鍛性:區(qū)塊鏈技術(shù)的支持者常常認(rèn)為區(qū)塊鏈交易是高度安全的,因?yàn)樗鼈儽挥涗浽趽?jù)稱不可更改的記錄上。 但是每個(gè)交易都需要有相應(yīng)簽名,而在交易最終確認(rèn)之前,記錄是可以被暫時(shí)偽造的。 “Mt.Gox事件“是加密資產(chǎn)歷史上最大的攻擊之一,共造成了4.73億美元的損失,而這次攻擊事件便是由黑客在初始交易發(fā)布之前向公共帳本提交代碼更改進(jìn)行的。
(2)解決方案與建議
在技術(shù)開(kāi)發(fā)方面持續(xù)的投入,抵御日益增長(zhǎng)的黑客攻擊,切實(shí)的增強(qiáng)系統(tǒng)的安全性。
確保員工保護(hù)安裝在專業(yè)工作計(jì)算機(jī)或個(gè)人計(jì)算機(jī)上軟件應(yīng)用程序相關(guān)的登錄憑據(jù),并完善安全培訓(xùn),提高安全意識(shí)。
定期的安全測(cè)試,建立完善的應(yīng)急相應(yīng)機(jī)制。
網(wǎng)絡(luò)安全隔離,謹(jǐn)慎進(jìn)行服務(wù)端口開(kāi)放。
選擇具備完善防護(hù)的能力的服務(wù)供應(yīng)商。
行業(yè)需要統(tǒng)一的治理機(jī)制,引入第三方監(jiān)管與合作,在出現(xiàn)問(wèn)題時(shí)及時(shí)與外部協(xié)同工作。
五、小結(jié)
以上內(nèi)容概述了區(qū)塊鏈三個(gè)架構(gòu)層中可能存在的安全問(wèn)題。總體來(lái)說(shuō),一是在架構(gòu)設(shè)計(jì)上,由于區(qū)塊鏈應(yīng)用具有高度自治特性,智能合約一旦運(yùn)行就無(wú)法逆轉(zhuǎn),因此初期的安全設(shè)計(jì)規(guī)范尤顯重要。二是在具體開(kāi)發(fā)階段,目前部分區(qū)塊鏈開(kāi)發(fā)者的代碼質(zhì)量、開(kāi)發(fā)工具和應(yīng)用平臺(tái)的成熟度都需要進(jìn)行不斷完善與提升。三是區(qū)塊鏈問(wèn)題外延方面,鑒于安全問(wèn)題始終是非靜態(tài)的,關(guān)注區(qū)塊鏈底層技術(shù)的安全問(wèn)題同時(shí),區(qū)塊鏈安全問(wèn)題同樣外延到了傳統(tǒng)的個(gè)人信息安全保護(hù)、基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全等領(lǐng)域中,無(wú)論是在區(qū)塊鏈概念上,還是在實(shí)際應(yīng)用層面上,都需要長(zhǎng)期有效的校正機(jī)制。
國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)將持續(xù)跟蹤該行業(yè)發(fā)展,未來(lái)將陸續(xù)發(fā)布更多相關(guān)領(lǐng)域研究報(bào)告。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
