基本上,区块链的资讯安全防护,最主要需考量两个重点,一为区块链系统本身的安全防护机制,另一个重点则是架构于区块链系统上的应用服务安全防护机制。

随着区块链的应用逐渐普及,金融交易应用服务上的庞大利益,吸引愈来愈多的骇客开始研究区块链应用上的资安漏洞问题。例如,近期发生于韩国最大的比特币交易所Bithumb遭窃,经证实,在6月19日晚上到6月20日清晨之间,价值350亿韩元(3,200万美元)的虚拟货币遭到窃取。此外,今年1月26日日本加密货币交易所Coincheck系统遭骇客入侵,窃取价值约五百八十亿日圆的虚拟货币。从以上案例,一再显示区块链的资讯安全防护将成为未来各种服务导入时的考量重点。

区块链技术,简单而言,即将资料放到一条由多个节点共同维护的资料链上,每个节点中都拥有相同资料,并利用共识决演算法确保资料不被窜改、伪造。

所有的区块链应用都系建立于底层程式的加密和共识决演算法的基础之上,因此,区块链系统底层本身的安全性需被放大检视;而安全性可分为两个面向探讨,一系资料的安全性,二为技术层面的安全性。

资料的安全性

资料安全此词汇具两个截然不同的意义:第一种安全指的系资料本身不被窜改、灭失及遗漏;第二种安全则指资料不外泄。上述两种资料安全意义在本质上是互相矛盾的,若要避免资料不被窜改、灭失及遗漏,最简单的做法即大量备份;而若要避免资料外泄,则应该尽量减少资料持有的人数。区块链技术去中心化的理念其实只解决了第一种安全性的需求,即资料不可窜改。但同时也增加了资料外泄的风险,因此仍然必须依赖传统的加密方法以维持资料的机密性。

技术层面的安全性

块链系统一旦上线后,即很难再更动程式,因此,第一个面对的问题将会是能否在不停止系统运作的情形下,修补智能合约内所存在的漏洞。第二个疑虑是其扩充性,随着资料存取需求增加,扩充储存需求是不可避免的,如何在区块链上设计一套安全的扩充方法是目前最大的挑战。

屡次发生的虚拟货币遭到窃取的资安问题,最主要仍旧发生于应用服务商本身的防护机制问题。由于多数的虚拟货币仍采昵名交易方式,只要能窃取交易所代为保管的电子钱包,则可利用来进行洗钱及地下经济交易,因而成为骇客攻击利用的最大诱因。然而,如何有效保管客户电子钱包中的关键金钥则成为应用层防护上的最大挑战呢

应用层面防护

在所有应用层上的防护,基本面是回归到全面性的资讯安全防护网中,没有一个简单的单一防护机制就可达成百分之百的安全,笔者整理以下业者经常疏失而导致不断遭骇客入侵得逞的应有三点防护观念:

(一)愈重要的核心系统必需建立愈严谨的白名单执行观念很多未知的系统漏洞可能终将遭骇客所探勘,但只要建立严谨的白名单检查机制,则任何程式码遭植入或新增的骇客程式将无法在系统中执行,并可立即侦测警示并通知管理者,而好的白名单不仅是静态,还包含程式行为、网络连线及各种存取认证之动态白名单。

(二)应用程式层往往无法有效保留应有之稽核日志骇客攻击多是不断探勘攻击、突破重重的防护后才成功得逞,因此中间的过程最常发生的便是受害者均无感于正遭受到严重的攻击。以往调查的许多案例中,业者自行开发之应用程式层均无保留适当日志,此部份若能事先埋下应有之日志及警示,则可第一时间阻挡掉骇客的破口。

(三)内部管理瑕疵,任何的资安防御,最难的地方往往是人的防御,愈重要核心的地方则应避免单人作业可能造成的损失。

结论

区块链技术是一个全新的领域,和传统资讯安全防护机制相比有着全然不同特性,在实务应用上带来优势的同时也产生了全新的安全性风险,这是所有资安团队目前面临到的挑战,除了依靠过往累积的经验,还必须适时跳脱过往的思维,方能建立一套适用于区块链的安全架构。