從理論角度出發(fā)，區(qū)塊鏈技術(shù)似乎是最安全的網(wǎng)絡(luò)體系之一。盡管如此，最近一群研究人員仍然發(fā)現(xiàn)了其中存在的多種安全漏洞。

區(qū)塊鏈（即全局分類賬網(wǎng)絡(luò)）真的足夠安全嗎？支持者對(duì)這個(gè)問(wèn)題給出了肯定的答案，因?yàn)槠鋾?huì)將交易或智能合約分發(fā)至不可篡改的總賬當(dāng)中，并由所有參與方以共識(shí)方式進(jìn)行證明。然而，最近發(fā)表的一篇論文提出了區(qū)塊鏈網(wǎng)絡(luò)中存在的多項(xiàng)安全漏洞，可能導(dǎo)致區(qū)塊鏈效率低下、黑客攻擊以及其它犯罪活動(dòng)。

這份由Xiaoqi Li、Peng Jiang以及Xiapu Luo（皆來(lái)自香港理工大學(xué)）、Ting Chen（中國(guó)電子科技大學(xué)）以及Qiaoyan Wen（北京大學(xué)）共同發(fā)表的論文指出，區(qū)塊鏈當(dāng)中存在著一系列值得引起關(guān)注的漏洞。

隨著區(qū)塊鏈越來(lái)越多地被引入企業(yè)運(yùn)營(yíng)體系當(dāng)中，我們自然有理由認(rèn)真研究這種新興技術(shù)可能帶來(lái)的潛在安全責(zé)任。面對(duì)去中心化應(yīng)用數(shù)量的迅猛增長(zhǎng)，Li及其他合著者強(qiáng)調(diào)稱，“區(qū)塊鏈帶來(lái)的隱私泄露風(fēng)險(xiǎn)將更加嚴(yán)重。事實(shí)上，去中心化應(yīng)用本身以及應(yīng)用程序與互聯(lián)網(wǎng)之間的通信過(guò)程都可能遭遇隱私泄露風(fēng)險(xiǎn)的侵?jǐn)_?！彼麄冞€敦促采取更多相關(guān)技術(shù)應(yīng)對(duì)這一挑戰(zhàn)，具體包括“代碼混淆、應(yīng)用強(qiáng)化以及執(zhí)行可信度計(jì)算?！?/span>

研究人員們概述了以下關(guān)于區(qū)塊鏈的書籍風(fēng)險(xiǎn)因素：

區(qū)塊鏈效率：對(duì)于新人們來(lái)說(shuō)，區(qū)塊鏈本身的執(zhí)行效率可能會(huì)因復(fù)雜的共識(shí)機(jī)制以及無(wú)效數(shù)據(jù)而受到嚴(yán)重拖累。Li和其他合著者指出，互聯(lián)網(wǎng)上采用的共識(shí)機(jī)制需要占用大量計(jì)算資源。舉例來(lái)說(shuō)，區(qū)塊鏈中所使用的流行共識(shí)機(jī)制為“工作證明（簡(jiǎn)稱PoW）”，研究人員們將其稱為“對(duì)計(jì)算資源的極大浪費(fèi)”。他們表示，目前他們正努力將工作證明同權(quán)益證明（簡(jiǎn)稱PoS）加以結(jié)合，從而提供更高效的混合型共識(shí)機(jī)制。另外，區(qū)塊鏈還會(huì)產(chǎn)生大量數(shù)據(jù)——包括區(qū)塊信息、交易數(shù)據(jù)、合約字節(jié)碼等——這一切都可能隨著時(shí)間推移而變得毫無(wú)作用?！霸谝蕴划?dāng)中，存在著大量不包含代碼或者包含完全相同代碼的智能合約，且相當(dāng)一部分智能合約在部署后從未得到實(shí)際執(zhí)行。希望未來(lái)出現(xiàn)有效的數(shù)據(jù)清理與檢測(cè)機(jī)制，從而提高區(qū)塊鏈系統(tǒng)的執(zhí)行效率?！?/span>

＂51％漏洞：＂區(qū)塊鏈“依賴于分布式共識(shí)機(jī)制以建立互信關(guān)系。然而，共識(shí)機(jī)制本身存在‘51％漏洞’，攻擊者可以借此控制整體區(qū)塊鏈。更確切地講，在基于工作證明的區(qū)塊鏈當(dāng)中，如果單一礦工的散列處理能力占整體區(qū)塊鏈總散列能力的50％以上，即可發(fā)動(dòng)51％攻擊。因此，在礦池資源比較有限的情況下，區(qū)塊鏈體系可能并不可信?！?/span>

私鑰安全性：在“在使用區(qū)塊鏈方案時(shí)，用戶的私鑰是由用戶——而非第三方機(jī)構(gòu)——所生成及維護(hù)的身份及安全憑證。舉例來(lái)說(shuō)，在比特幣區(qū)塊鏈中創(chuàng)建冷存儲(chǔ)錢包時(shí)，用戶必須導(dǎo)入自己的私鑰。在這種情況下，攻擊者可能因簽名過(guò)程中隨機(jī)度不足而還原用戶私鑰。一旦用戶丟失私鑰，還原即成為可能。由于區(qū)塊鏈并不依賴于任何集中化第三方中間商，因此一旦私鑰被盜，我們將很難追蹤犯罪行為并恢復(fù)遭到篡改后的區(qū)塊鏈信息?！?/span>

犯罪活動(dòng)。“通過(guò)某些支持比特幣的第三方交易平臺(tái)，用戶可以購(gòu)買或出售任何產(chǎn)品。由于整個(gè)流程完全匿名，因此我們很難追蹤用戶行為，更不用說(shuō)確保違法活動(dòng)受到法律制裁?！蹦壳?，比特幣正被大量用于各類犯罪活動(dòng)，包括勒索軟件、地下市場(chǎng)與洗錢等。

重復(fù)支付?！氨M管區(qū)塊鏈的共識(shí)性機(jī)制能夠?qū)崿F(xiàn)交易驗(yàn)證，但仍無(wú)法避免重復(fù)支出，或者多次使用相同的加密貨幣進(jìn)行交易。攻擊者可以利用兩筆交易啟動(dòng)與確認(rèn)之間的中間時(shí)段快速發(fā)起攻擊?！?/span>

交易隱私泄露。“遺憾的是，區(qū)塊鏈中的隱私保護(hù)措施并不可靠。刑事智能合約可能會(huì)泄露機(jī)密信息、密鑰失竊并真實(shí)世界中的各類犯罪活動(dòng)記錄（例如謀殺、縱火、恐怖活動(dòng)等）?！?/span>

智能合約中的安全漏洞?！白鳛檫\(yùn)行于區(qū)塊鏈之內(nèi) 的程序，智能合約可能存在設(shè)計(jì)缺陷并導(dǎo)致安全漏洞。舉例來(lái)說(shuō)，一項(xiàng)研究發(fā)現(xiàn)在19366份以太坊智能合約當(dāng)中，有8833份受到交易順序依賴性、時(shí)間戳依賴性、無(wú)法處理的例外情況以及正確性保障失效等缺陷的影響。”

欠缺優(yōu)化的智能合約：“當(dāng)用戶與部署在以太坊內(nèi)的智能合約進(jìn)行交互時(shí)，需要支付一部分‘gas’費(fèi)用。這些費(fèi)用能夠通過(guò)以太幣結(jié)算，這必然會(huì)引入‘與模式相關(guān)的無(wú)用代碼’以及‘與模式相關(guān)的循環(huán)’，具體包括‘死循環(huán)中的死代碼、不透明聲明以及昂貴的運(yùn)算需求。”

低成本操作：“以太坊會(huì)根據(jù)執(zhí)行時(shí)間、帶寬、內(nèi)存占用量以及其它參數(shù)來(lái)設(shè)置‘gas’價(jià)值。一般來(lái)說(shuō)，gas價(jià)值與操作所消耗的計(jì)算資源成正比，但這套體系仍然難以準(zhǔn)確測(cè)量單一操作的計(jì)算資源消耗量，因此部分gas的價(jià)值在設(shè)置上存在問(wèn)題。舉例來(lái)說(shuō)，一些IO操作的gas值設(shè)置得過(guò)低，因此攻擊者可以在單一交易中大量執(zhí)行此類操作，進(jìn)而發(fā)動(dòng)對(duì)以太坊體系的拒絕服務(wù)攻擊。”