“区块链+”产业快速发展下的安全问题-2018.6.27(简化)-精选

精选标题：安信证劵报告：“区块链+”产业快速发展下的安全问题精选从比特币到区块链2008年10月31日，一位化名中本聪的人在metzdowd密码学邮件列表中提出了比特币的设计白皮书《比特币：一种点对点电子现金系统》，并于2009年公开了最初的实现代码，作为开源项目，比特币很快吸引了大量开发者的加入。比特币的意义在于，首次真正从实践意义上实现了安全可靠的去中心化数字货币机制。比特币网络由数千个核心节点参与构成，而不需要任何中心化的机构参与支持，则是靠分布式机制实现了稳定的交易量。通过分布式账本，每一笔交易或者数据都能被准确地记录，且无法被恶意篡改。比特币网络设计了区块链结构，提供了可靠、无法被恶意篡改的数字货币账本功能。区块链是一种去中心化的分布式账本数据库。根据工业和信息化部信息中心指导发布的《中国区块链技术和应用发展白皮书（2016）》所释，广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。从比特币中发展出来的区块链技术，可以塑造更高效、更安全的未来商业网络，产生巨大商业价值。自2014起，比特币背后的区块链技术逐渐被重视，并进一步引发了分布式记账本技术的革新。目前，区块链技术已经脱离了比特币网络，广泛应用于金融、贸易物流、征信、产权等领域。区块链热度攀升，产业迅速发展区块链产业近两年迅速发展，以区块链技术为主营业务的企业数量快速增加。根据工业和信息化部信息中心发布的《2018年中国区块链产业白皮书》显示，2015-2017年，我国以区块链业务为主营业务的区块链公司数量分别为120家、256家、434家，分别同比增长57.9%、113.3%、69.5%，而截至2018年3月31日，公司数量已达456家，大幅增长。资本对区块链产业的关注与支持力度持续增加。近两年区块链领域的投资热度明显上升，融资事件从2014年的6起迅速提升到2017年的96起，2018年第一季度投资事件数量就达到了68起。精选图3：2013-2017年中国区块链行业公司数量及融资事件情况资料来源：《2018年中国区块链产业白皮书》互联网巨头纷纷入局。区块链技术不仅受到了创业企业的青睐，也受到了互联网巨头企业的广泛关注。目前，腾讯、阿里、百度、京东等互联网巨头纷纷布局区块链，开展区块链技术的研究与进行场景应用，推动了我国区块链产业迅速发展。区块链应用场景广泛，商业落地赋能各行业按照应用范围与发展阶段将区块链应用划分为区块链1.0、2.0、3.0。其中：1）区块链1.0应用支撑虚拟货币应用，也就是与转账、汇款和数字化支付相关的密码学货币应用，比特币是区块链1.0的典型应用；2）区块链2.0应用支撑智能合约应用，合约是经济和金融领域区块链应用的基础，区块链2.0应用包括了股票、债券、期货、贷款、抵押、产权、智能财产和智能合约，以太坊、超级账本等是区块链2.0的典型应用；3）区块链3.0应用是超越货币和金融范围的泛行业去中心化应用（Dapp），特别是在政府、医疗、科学、文化与艺31761202564347612609602040608010012001002003004005002013年2014年2015年2016年2017年公司数量（个，左轴）融资事件（个，右轴）精选术等领域的应用。图8：区块链发展阶段如果未来基于区块链技术构造的商业价值网络成为现实，所有的交易都将高效完成且无法伪造，以及签署的合同都能按照约定严格执行，这将极大降低整个商业体系运转的成本，同时提高社会沟通协作的效率。从这个意义上，基于区块链技术构建的未来商业网络，将可能引发继互联网之后又一次巨大的产业变革。区块链与网络安全从目前区块链的技术运用来说，很多场景都是需要依托互联网技术才能实现的。事实上，区块链技术的应用价值将依赖于物联网、加密、大数据技术的辅助，以及云存储、云计算的支撑，区块链技术是融合了互联网中很多的先进技术衍生而成。因此，在区块链技术快速的发展下，信息安全技术越来越得到重视，没有信息安全技术的基础，区块链技术也会存在很大的风险和不可控，信息安全技术是区块链技术不可缺少的一部份。互联网安全需求我国网络安全行业市场规模迅速增长。根据智研咨询数据显示，2012-2016年我国网络安全行业市场规模保持20%以上的增速，2016年我国网络安全行业市场规模已达495.8亿元，近五年的复合增长率为22.6%，保持了快速增长态势。精选图12：2011-2016年我国网络安全行业市场规模资料来源：智研咨询信息安全事件迅速增多。据普华永道《2017年全球信息安全状况调查》显示，2016年中国内地及香港企业检测到的信息安全事件平均数为2577，较2014年大幅增长969%，是2015年的两倍。图13：2014-2016年中国内地及香港企业信息安全事件平均数量资料来源：普华永道241125425770500100015002000250030002014年2015年2016年信息安全事件数量（件）179.0216.4265.5321.3410.2495.820.9%22.7%21.0%27.7%20.9%0%5%10%15%20%25%30%01002003004005006002011年2012年2013年2014年2015年2016年网络安全市场规模（亿元）同比增速精选网络安全事故频出，且呈现出新特征。随着我国信息技术的高速创新发展，信息化建设成果显著，不仅传统安全问题日益突出，网络安全问题也更加复杂，这使得我国网络安全风险不断加大，各种网络攻击事件层出不穷。同时，随着云计算、大数据、物联网、人工智能等新技术新应用的不断涌现以及各国对网络空间争夺的日益加剧，网络安全事故也呈现出新特征：新技术发展推动网络攻击方式创新和升级；网络安全应急的时间窗口越来越短；物理信息融合更加深入，网络安全事件更加复杂。区块链安全安全需求随着区块链技术所产生的商业价值越来越高，其所面临的安全问题将越发突出。虽然区块链技术与各行各业的结合带来的正向价值逐步显现，但是在产业发展过程中仍然伴随着一系列不可忽视的风险，面临诸多方面的安全挑战，主要分为合规性风险与技术层面的风险。一方面，合规性风险是指与早期的互联网发展类似，在区块链发展的早期阶段，由于币本身具有传递价值的属性，因此会使得一些投资者或者开发者不专注于技术应用，而是热衷于通过ICO（首次代币发行）进行非法集资甚至是欺诈的行为，存在资本市场的过分炒作的现象。一些项目本质上并没有真正利用区块链技术，只是打着区块链的旗号，进行虚假的宣传，获得了与实际价值完全不相符的估值。此外，还有些项目的所谓创新脱离了实体经济的需求，完全是投机行为。2017年9月，国家七部门联合发布《关于防范代币发行融资风险的公告》，对国内通过发行代币形式包括首次代币发行进行融资的行为进行了规范。另一方面，从安全技术的角度，区块链面临着算法安全性、协议安全性、使用安全性、实现安全性和系统安全性的风险与挑战：（1）算法安全性：目前区块链的算法主要是公钥算法和哈希算法，相对比较安全。但是随着数学、密码学和计算技术的发展，以及量子计算的发展和商业化，使得目前的加密算法存在被破解的可能性，这也是区块链技术面临的潜在安全威胁之一。（2）协议安全性：基于PoW共识过程的区块链主要面临的是51%攻击问题，即节点通过掌握全网超过51%的算力就有能力成功篡改和伪造区块链数据。区块链应用前景广阔，不排除攻击者为了达到某种目的而不惜成本地实施这样的攻击。（3）使用安全性：主要是指私钥的安全性。区块链技术一大特点就是不可逆、不可伪造，但前提是私钥是安全的。但是目前针对密钥的攻击层出不穷，一旦用户使用不当，造成私钥丢失，就会给区块链系统带来危险。（4）实现安全性：由于区块链大量应用了各种密码学技术，属于算法高度密集工程，在实现上比较容易出现问题。比如NSA对RSA算法实现埋入缺陷，使其能够轻松破解别人的加密信息。（5）系统安全性：在区块链的编码以及运行的系统中，不可避免会存在很多的安全漏洞，黑客通过利用上述安全漏洞，展开攻击，这对区块链的应用和推广带来极大的不利影响。精选精选区块链安全事件损失情况根据360发布的国内区块链安全报告《2017年挖矿木马报告》显示，2017年挖矿木马攻击事件数量呈爆发式增长，近一年的数量超过去4年数量总和。图15：国内被披露大规模挖矿木马攻击事件数量资料来源：《2017年挖矿木马报告》自2017年开始，安全漏洞所造成的损失呈现出指数上升的趋势。根据区块链安全网数据显示，2017年发生区块链重大安全事件数量为16次，仅2018年初至5月重大安全事件数量已达46次；2017年区块链安全事件造成的经济损失达6.34亿美元，损失额度从2017年开始呈现出指数上升的趋势，2018年初至5月损失已达20亿美元，按照历史的攻击趋势，未来区块链安全攻击事件会越来越多，损失也会越来越大。精选图16：2011-2018年区块链重大安全事件数量及经济损失资料来源：区块链安全网从易受攻击面的角度，即从区块链层级的角度，攻击者主要选择应用层、合约层、共识层以及网络层进行攻击。2011-2018年至今，应用层面累计的损失达18.88亿美元，占比56.34%，其次是合约层损失为14.09亿美元，占比42.04%。10265368046568565017323634282006353439681646051015202530354045500500001000001500002000002500002011年2012年2013年2014年2015年2016年2017年2018年损失金额（万美元，左轴）重大安全事件数（件，右轴）精选图17：2011-2018年区块链各层级被攻击所造成的经济损失资料来源：区块链安全网从易受攻击点的角度，区块链安全攻击事件带来的经济损失主要集中于智能合约、共识机制、交易平台、用户自身、矿工、共识机制方面。2011-2018年至今，智能合约层面发生的安全事件累计损失为14.09亿美元，占比42.04%，交易平台安全事件损失13.45亿美元，占比40.15%，普通用户安全事件损失4.37亿美元，占比13.03%。图18：2011-2018年区块链易受攻击点带来的经济损失资料来源：区块链安全网精选区块链各层级的安全诉求区块链系统一般由数据层、网络层、共识层、激励层、合约层和应用层组成，目前针对区块链的安全攻击已经覆盖了应用层、智能合约层、底层结构层、基础设施层等方方面面，贯穿区块链的全产业链。目前攻击者通常从交易平台、在线钱包、智能合约以及共识机制方面进行攻击。数据层的安全性区块链的数据层主要包括底层数据块区以及相关的数据加密等技术。其中底层数据块是指分布在多个节点上的链式结构数据，各个节点之间的互动将会同步记录在区块中，每个节点都有属于自己的一份区块，单一或一小部分的节点的区块数据被篡改，都无法影响整个区块链的正常运行，因此这种数据块的架构，可以有效的防止数据被恶意篡改。但是利用区块链数据的不可删除与篡改的特点，一些数据源方面的安全也会暴露出，比如攻击者会进行恶意信息攻击与资源滥用攻击。恶意信息攻击：借助区块链数据不可删除的特性，信息被写入区块链后很难删除，攻击者在区块链中写入恶意信息，将会遭到杀毒软件、政治敏感等多方面的问题。资源滥用攻击：随着时间的推移，区块数据可能会爆炸式增长，进而可能导致节点无法容纳更多数据进而使区块链系统运转缓慢，引发区块链危机。攻击者可以通过发送大量的垃圾信息来堵塞整个区块链运作系统，使区块链中真正的信息得不到及时处理，又或者使区块链中的存储节点超负荷运行。数据加密技术为区块链的信息完整性、认证性和不可抵赖性提供了关键保障。已经有很多Hash函数被设计出来并广泛应用，不过Hash函数一般安全寿命都不长,Hash函数的安全性很大程度上取决于抗强碰撞的能力，评价一个Hash函数的安全性，就是