1. 极安网首页
  2. 网络安全新闻

区块链金融网络安全的风险与应对思路新探

区块链技术基于密码学原理,最初运用在数字货币的发行上。目前已经得到了诸多国家的重视,瑞士制定了区块链国家战略计划,计划将数字货币监管纳入到金融监管体系之内。

区块链金融网络安全的风险与应对思路新探-极安网

区块链技术的应用未来将非常广泛,其大致可以分为三个阶段:

第一阶段是在加密数字货币及金融领域的集中应用,以比特币和各种通证经济的创生与支付为代表;

第二阶段以智能合约为代表,在其它金融领域的运用,如跨境支付、期权凭证或数字资产通证化等;

第三阶段,区块链应用逐步拓展到非金融领域,即国家当前正大力推广的区块链+产业融合,诸如区块链+教育、养老、精准扶贫、医疗健康、社会保障等。

目前,区块链技术的应用正处于第二阶段与第三阶段的过渡时期,特别是在金融领域,一方面产生了许多运用,比如高效的跨境支付,数字资产及其衍生品交易等等,甚至为少部分投资者提供了暴富的机会,另一方面亦存在着诸多巨大的风险隐患,不容忽视。为此,本文主要探讨区块链在金融领域应用层及技术层面存在的安全风险,并提出监管的新思路,以供相关机构参考。

一、区块链金融立法与监管概况

美国议会提出要求脸书发布基于区块链为底层技术的稳定币Libra必须到达最高的金融监管要求,并计划出台《2020年加密货币法案》。我国在2017年全面禁止ICO融资,严格防范区块链金融的风险,注重将区块链技术提高到国家战略层面,使区块链技术赋能监管科技,引导区块链技术与实体经济相结合。

2019年11月,工业和信息化部表示将推动成立全国区块链和分布式记账技术标准化委员会,体系化推进标准制定工作。2020年2月,央行发布《金融分布式账本技术安全规范》,促进形成区块链技术金融合规的统一标准。可见,一些主要国家在监管或立法层面对区块链金融领域高度重视。

二、区块链金融在应用层的风险类型

首先是智能合约的风险。区块链的应用目前主要聚焦于金融领域,存在着巨大的安全风险隐患。区块链技术具有不可篡改性,与区块链金融密切相关的智能合约可以高效支付与发送加密资产,不需要第三方监督即可自动执行。但是,智能合约虽然具有图灵完备的特性,但其中仍不可避免地存在安全漏洞。

某些黑客热衷于寻找智能合约的漏洞并进行攻击,窃取交易者代币。有的“庄家”则在短时期内实施数额巨大的交易,以操纵数字资产价格,对区块链数字资产交易所和交易者带来巨大损失。例如在2016年6月,黑客利用智能合约的缺陷,对拥有1亿美元的TheDAO攻击,导致三百多万个以太币被非法提取。当前,智能合约已经成为区块链金融应用领域中的“重灾区”。

其次是区块链数字资产交易平台的风险。大量境外虚拟交易平台存在不同程度的系统漏洞,被盗走大量数字资产。数字资产交易的互联网服务器、后端数据库构成了信息系统,交易者通过PC端、移动端App或者API等方式访问交易所的服务器。当交易者访问交易所服务器时,交易所服务器可能因配置不当或软件存在漏洞,亦或受到DDoS拒绝服务攻击,致使交易服务中断,给投资人带来巨大损失。多数交易所的一部分数字资产往往在在线钱包中存储,便利客户及时提现。这些在线数字资产往往为许多黑客所觊觎。这就对在线钱包技术的准入和安全技术标准提出了很高的要求。一旦客户端的设备发生异常,如黑客攻破网络安全系统,盗窃数字资产,其财产将面临丢失的风险。比如,在2017年4月,韩国比特币交易平台yapizon发布消息称,价值五百万美元的比特币被盗。2018年4月,黑客利用智能合约代码中存在的bug,成功攻击漏洞,导致数亿的BEC token被盗。据统计,2011年-2019年因区块链网络安全漏洞的损失达到84亿美元,其中交易所占50%。仅在2019年,据不完全统计,涉及数字资产的损失高达50亿美元以上。

再次是区块链数字资产的钱包风险。涉及转移和存储数字资产的第三方数字钱包(包括软件钱包、硬件钱包),当前缺乏全球统一的安全技术标准,钱包公私钥的控制权没有统一规范,有的私钥管理机制不良,容易成为黑客攻击的目标,有的软件钱包项目方可能掌控了合法持有人的数字资产私钥,存在盗取或转移的潜在安全风险。

最后,区块链金融作为近年的新事物,在应用层方面还存在诸多法律风险与监管政策方面的风险。

目前,区块链金融领域的法律规制尚不完善,对于区块链应用现存的法律问题争论不休。例如,对于数字资产被盗事件,引发了相应的法律问题。数字资产被窃取或者拒付后,原持有人是否可以获得司法救济?法律是否保护数字资产的财产属性?或者比特币是否是法律上所保护的虚拟财产?近年来中国金融监管机构发文禁止国内开展数字资产交易,禁止代币发行融资,因此,国内学术界、监管机构与司法机构对代币的保护问题存在很大争议,尚无统一的答案。与此同时,在实践中,数字资产交易具有匿名性,可不断拆分、多重转账等方式将资产转移,在运用司法手段进行救济时,这些复杂的技术对公安机构追踪被盗窃资产往往造成很大困难。再比如,有的不法分子通过区块链这一技术手段洗钱,或者向境外转移资产,可能负面冲击国内金融市场的安全。

区块链技术的一大优点在于去中心化,对于传统的以中心化为主的金融监管带来了巨大的挑战。目前,我国的金融监管是围绕着“一行两会”开展,与区块链去中心化的特点矛盾,如果以现在的监管思想与模式去规制区块链的应用,会产生事倍功半的效果。此外,区块链应用的监管存在跨行业跨领域的问题,区块链本身作为一种加密技术,具有很强的独特性与专业性。这就意味着,区块链金融的监管不仅仅要有相应的法律规范,也要有配套的专业技术规范。2020年2月,中国人民银行发布《金融分布式账本技术安全规范》,为区块链金融合规提供了技术标准和监管的技术指南,其中也明确指出,“金融分布式账本系统具有结构去中心、数据多副本、交易点对点、记录不可篡改的特点,与中心化系统有很大差异。”

此外,区块链技术在非金融领域的应用还突出存在隐私和数据风险。在区块链应用的公私机构的数据开发中,比如区块链在医疗数据中的确权和交易等应用,将涉及患者的个人信息保护等关键问题。在技术上设置不完善,比如未将上链的信息及时加密,未设定授权访问机制,可能导致患者医疗隐私信息泄漏的风险。区块链上的信息难以删改,因此有较高可信度,区块链+产权确权或防伪溯源等方面的运用有很大价值。但是,区块链并不能保证链外信息上链前天然具有真实性。将区块链应用到诸如防伪溯源系统中时,将遇到上链前信息真实性的验证等复杂问题。个人则可能通过公有链传播一些违法信息或国家依法管控的信息,侵害他人信誉甚至危及国家机密安全。

同时,隐私泄露问题也越发严重。与传统的中心化储存相比,区块链不依赖于中心节点存储数据,从而有效地防止了中心节点被攻破导致数据泄露的风险。但在公有区块链系统中,所有的记录公开透明,任何参与方都可以查询链上的数据,这就意味着加大了数据泄露的风险。换句话讲,链上任何参与方的数据可以完整的备份,即便是采用匿名手段,攻击者也可以通过对网络层、交易层、应用层多次攻击从而准确地找到信息的发出者和接受者。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3826.html