本报记者 邢萌
6月3日,国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库CNVD-BC。CNVD区块链漏洞子库由国家互联网应急中心运营,技术支持单位为成都链安科技有限公司。
目前,区块链技术已广泛应用在数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域,作为构成我国信息化基础设施的一项重要技术,其安全能否得到保障影响到我国社会经济活动。
记者观察发现,当前收录的区块链相关漏洞基本上都是公链漏洞,以中危漏洞为主。据CNVD统计,当前已收录区块链相关漏洞247个,其中高危漏洞60个,中危漏洞173个,低危漏洞14个。其中,公链漏洞数量占比为99.59%,外围系统占比为0.41%,联盟链为0。以此计算,现有247个漏洞中有246个为公链漏洞,1个为外围系统漏洞。
相较于联盟链而言,公链确存较大的安全性问题。某区块链技术专家对《证券日报》记者分析道,“公链是匿名且无准入控制,作恶难以被发现,此外,公链应用发布没有审核,上链应用质量参差不齐,这或是公链漏洞较多的主要原因。对比而言,联盟链采用实名制,有严格的准入控制。业务协作的组织在相互信任的基础上才会组建联盟链,不相关的组织或个人并无物理访问的权限,因此相对安全,另外,组织内恶意作恶很容易通过审计发现,作恶会被惩罚。”
CNVD区块链漏洞子库的上线有利于提升区块链技术安全水平。火币研究院高级研究员赵文琦对《证券日报》记者表示,此类漏洞库在传统的信息安全领域已长期存在,其中最著名的是CVE(CommonVulnerabilitiesandExposures)平台,各大公司或组织如Apache、Linux等也维护了相应的漏洞平台。“在区块链行业,面向细分领域,如区块链底层系统、分布式协议、智能合约、去中心化应用及周边软件等,建立相应的漏洞平台有助于提升各领域的安全性。此次区块链漏洞子库的上线补充了我国在这一领域的缺失。依据传统安全领域的经验,在未来,不同区块链平台及服务提供机构可能会陆续推出面向各自应用生态的漏洞库。”赵文琦进一步说道。
进一步而言,从长期来看,区块链漏洞凸显出的安全问题则需要社会各方力量携手推进解决。据悉,CNVD区块链漏洞子库充分依托国家级网络安全资源,通过号召和引导区块链安全厂商、白帽子、区块链企业等多方共同参与区块链安全生态建设,提高我国区块链漏洞和安全事件的发现、分析、预警,以及整体研究水平和应急处置能力,为我国区块链行业安全保障工作提供重要技术支撑和数据支持。
(编辑 孙倩)