2020年4月,刷屏的新基建明確範圍,作為新興技術代表的區塊鏈首次被國家層面明確為新型基礎設施,在市場需求、國家政策和資本等多種要素的驅動下,區塊鏈自身的體系標準正在進一步豐富、發展和完善。近日,國家區塊鏈漏洞庫聯合行業領先企業共同編制的《區塊鏈漏洞定級細則》終於面世。長亭科技區塊鏈安全專家團隊牽頭並深度參與了本次的定級細則編制工作,負責公鏈板塊定級細則編寫及整體技術、劃分標準的把關。《細則》涵蓋公鏈、聯盟鏈、智能合約、外圍系統四大板塊,填補了區塊鏈與安全行業溝通空白,為業界就區塊鏈安全問題達成共識邁出了堅實的一步。這是國際上首次對區塊鏈安全漏洞及其威脅等級做出清晰且可執行的定義。
2019年11月27日,韓國交易所Upbit被黑客攻擊,34.2萬枚ETH從熱錢包中被盜,價值約合5000萬美元。2019年05月08日,全球知名交易所幣安被曝遭遇了黑客大規模系統性攻擊,黑客獲取了大量 API 密鑰、谷歌驗證 2FA 碼等信息,一次性提走了7000枚 BTC。似乎自誕生之日起,號稱「最安全」區塊鏈的安全問題就備受爭議。得益於分布式系統的高可用性與密碼學的高一致性,區塊鏈技術本身具備穩定、可信的技術特點,這使得區塊鏈技術天生具備長遠發展的基礎,但現實情況卻是區塊鏈系統安全事件頻發。這之間的差別在於,高可用、高一致等都是設計層面的技術優勢,但要想真正長遠健康發展,可靠性是現實系統中必須要考慮的,而提升可靠性的關鍵點就在於甄別修復系統缺陷和漏洞,提高系統實際安全水平。因此區塊鏈安全,已經成為目前制約區塊鏈技術長遠健康發展的瓶頸,加快區塊鏈安全相關標準的制定則也成為提升區塊鏈基礎設施安全乃至生態安全的必然所需。
此次發布的區塊鏈漏洞定級細則既是對區塊鏈國家政策和區塊鏈安全評測標準制定的深入落實,也是對於目前行業內漏洞威脅認知混亂的有效應對策略。區塊鏈生態中各個角色對於安全漏洞的認知混亂,帶來了長久以來對於區塊鏈漏洞認知的分歧與不客觀,區塊鏈行業亟需一套特定針對區塊鏈行業的,被各個項目方同時認可有公信力的定級細則。此次由國家網際網路應急中心統籌,安全廠商和區塊鏈企業合作對區塊鏈漏洞進行定級細則制定,正是從國家層面對漏洞評測標準做出的統一,為行業明確分析漏洞情況並確定威脅等級提供了可操作、可執行、可量化的指標與方法,為區塊鏈行業的安全測評工作提供基礎支撐。
《細則》主要依託於CVSS2.0,實現了與傳統基礎領域漏洞規則的互通,從大網絡安全的角度打通區塊鏈新興領域與傳統基礎領域對於漏洞的基層定義,實現統一管理,統一歸檔;此外,該細則還同時考慮到了區塊鏈安全的理論性與實現性,提升區塊鏈企業對於「內外」安全的重視,構建整個區塊鏈生態的安全性。同時,細則中還提出區塊鏈安全漏洞本質是非故意、非預期的安全缺陷或風險,應主要依據『危害程度』和『利用難度』兩方面分析,並通過定級表將漏洞分為高、中、低三個威脅等級,這樣既符合CVSS2.0方法論,又能快速分析具體漏洞案例,準確給出相應定級。
《細則》中針對每一類危害程度和利用難度都羅列了詳細的參考條目,這些條目均是團隊從大量過往真實漏洞案例中濃縮而來,同時包含幾乎所有公開歷史漏洞特徵,並對其進行提煉拆解和反覆打磨,基本涵蓋了區塊鏈領域可能遇到的各類漏洞情況,幫助使用者快速定位和分析區塊鏈漏洞。
此次能夠牽頭編寫國家區塊鏈漏洞定級細則,與長亭科技一直以來在區塊鏈安全領域的不斷探索有著很大關係。2018年長亭科技聯合ConsenSys、比特大陸兩家區塊鏈行業巨頭髮布了國內首個區塊鏈安全深度報告——《區塊鏈安全生存指南》,針對性總結了區塊鏈行業安全應對策略;2019年又發布了《區塊鏈生態安全服務解決方案》,意在探索勾勒在現有的區塊鏈生態之下安全建設的邊界輪廓。
在新基建背景下,區塊鏈將迎來又一輪的發展高峰,用更加安全的技術方式與應用場景去構建萬物互信的時代,區塊鏈的安全並非終極目標,以更安全的區塊鏈產品去創造更高的價值才是發展目標。《細則》的發布將成為一個信號,標誌區塊鏈安全正式進入規範化階段。未來,長亭科技將繼續深耕區塊鏈安全領域,將全行業網絡安全攻防理念和實戰研究經驗對應到區塊鏈行業安全解決方案中,為區塊鏈企業研究與開發提供專業的全周期安全應對策略。