抽調25款區(qū)塊鏈開源軟件，發(fā)現(xiàn)700+高危漏洞，3500+中危漏洞！

本文作者：陳伊莉

2017-05-31 22:13

導語：國家互聯(lián)網(wǎng)應急中心互聯(lián)網(wǎng)金融監(jiān)管技術支撐專項組組長、互聯(lián)網(wǎng)金融安全技術工業(yè)和信息化部重點實驗室主任吳震教授出現(xiàn)并分享“區(qū)塊鏈的監(jiān)管與安全技術初探”。

雷鋒網(wǎng)報道，5月27日，2017全球區(qū)塊鏈技術發(fā)展論壇在貴陽舉辦。國家互聯(lián)網(wǎng)應急中心互聯(lián)網(wǎng)金融監(jiān)管技術支撐專項組組長、互聯(lián)網(wǎng)金融安全技術工業(yè)和信息化部重點實驗室主任、國家互聯(lián)網(wǎng)金融安全術專家委員會秘書長吳震教授出現(xiàn)并分享“區(qū)塊鏈的監(jiān)管與安全技術初探”。

他認為區(qū)塊鏈有四個研究方向，區(qū)塊鏈的底層技術；區(qū)塊鏈的應用；區(qū)塊鏈的監(jiān)管；區(qū)塊鏈的安全。而他們的重點在后兩部分監(jiān)管和安全，具體表現(xiàn)在，在態(tài)勢感知和預警、交易追蹤技術，非法幣種發(fā)現(xiàn)，區(qū)塊鏈安全分析。

以下是演講實錄，雷鋒網(wǎng)作了不改變原意的編輯：

首先介紹一下我們的背景。去年年初，我們受國家委托成立了一個互聯(lián)網(wǎng)金融風險檢測專項組，開展互聯(lián)網(wǎng)金融風險檢測技術研究。到去年8月，初步建成了一個國家互聯(lián)網(wǎng)金融風險分析技術平臺，該系統(tǒng)部分業(yè)務已經(jīng)可以投入實際應用了，其他的需要正式立項以后才開始使用。我們對互聯(lián)網(wǎng)金融進行風險監(jiān)測，為監(jiān)管提供技術支撐。去年11月獲批成立了互聯(lián)網(wǎng)金融安全技術工信部的重點實驗室。這里需要說明一點，我們是從虛擬貨幣，再切到區(qū)塊鏈上來的。

我認為區(qū)塊鏈有四個研究方向，區(qū)塊鏈的底層技術；區(qū)塊鏈的應用；區(qū)塊鏈的監(jiān)管；區(qū)塊鏈的安全。我們重點會在后兩部分，具體表現(xiàn)在，態(tài)勢感知和預警、交易追蹤技術，非法幣種發(fā)現(xiàn)，區(qū)塊鏈安全分析。

虛擬貨幣價格、市值飆升

首先看虛擬貨幣。風險主要是兩種，金融風險和違法犯罪的風險。金融風險主要表現(xiàn)在虛擬貨幣價格，例如去年6月以來大起大落的比特幣。第二個是違法犯罪的風險，很多違法犯罪都通過區(qū)塊鏈進行。傳統(tǒng)監(jiān)管技術在區(qū)塊鏈數(shù)字貨幣體系上難以使用。區(qū)塊鏈數(shù)字貨幣有匿名性、分散性和去中心。

我們的監(jiān)測結果發(fā)現(xiàn)，全球有交易的虛擬貨幣達700多種，總市值大概在700億美元。今年3月份以來，虛擬貨幣價格和市值飆升。國內有交易的虛擬貨幣大概有150種，支持人民幣兌換交易及虛擬幣間兌換交易。其中，最為活躍的是比特幣、萊特幣和以太坊。2016年，國內比特幣成交額4.5萬億元，占全球總成交額90%以上，占國內各幣種總成交額的90%，1月底以來成交額大幅下滑。另外，萊特幣交易量、成交價齊飛。據(jù)雷鋒網(wǎng)了解，4月份成交額達到100億元，是3月份成交額的20倍。

追蹤虛擬貨幣交易數(shù)據(jù)

第二個是交易追蹤技術。去年我們對區(qū)塊鏈研究還不深，當時認為虛擬貨幣最大的問題就是交易公開，但是交易者身份不明。我們當時和國內的虛擬貨幣廠商合作，嘗試實名制。首先提取交易賬本，然后將輸入的交易地址和交易實體關聯(lián)起來。聚類以后，獲得了一些結果，雖然不是非常精準，但我們認為基本相當。我們對比特幣資金外流進行了統(tǒng)計，并把數(shù)據(jù)報給了相關監(jiān)管部門。

非法幣種監(jiān)測

第三個是非法幣種監(jiān)測。隨著虛擬貨幣受到熱棒，出現(xiàn)了大量涉嫌打著數(shù)字貨幣旗號進行傳銷、詐騙、非法集資的假數(shù)字貨幣。傳銷幣主要利用門戶網(wǎng)站、微博、微信公眾號、貼吧渠道進行宣傳、招商等活動，上線部分虛擬貨幣交易平臺進行炒作和交易。它們一個特點是頻繁更換域名。60%網(wǎng)站服務器部署在境外，大多在美國和中國香港。我們也把這些情況報給相關監(jiān)管部門。

開源軟件存在眾多漏洞

最后簡單談談對于區(qū)塊鏈的安全分析。區(qū)塊鏈的應用范圍在不斷擴大，涉及了金融、醫(yī)療、知識產(chǎn)權等等多領域。而一旦拓寬了應用領域，這就變成類似技術設施的服務，可能就會導致嚴重的安全后果。

去年10月份，單位另外一個部門選取了25款具有代表性的區(qū)塊鏈開源軟件，包括比特幣錢包等，進行漏洞分析，從代碼層面一共發(fā)現(xiàn)了高危漏洞700多個，中危漏洞3500多個，其中Ripple包含高危漏洞223個?？梢韵胂?，一旦出現(xiàn)問題，會引發(fā)比較嚴重的后果。加密功能是維護整個開放賬本安全的核心功能。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。

1人收藏