为什么企业区块链现在这么火？毛球科技归结起来主要有两个原因：现有的多方数据共享和处理的门槛太高，大家都想强迫别人使用自己的系统和数据格式。 　　

　　

　　区块链企业可以通过两种方式解决这些问题。首先，区块链和智能合约允许每个人就数据格式和处理规则达成一致。更重要的是，这些规则是由系统执行的。没有可用的手动覆盖，除非所有人统一更改。 　　

　　

　　其次，由于区块链和智能合约是新兴技术，它们基本上是每个人的绿地部署。很可能现在没有人有现成的解决方案，所以有些人会试图将区块链和智能合约强加给别人。 　　

　　

　　但是，新技术也会带来新的风险，这些风险通常是人们不太了解的风险。目前，茂球科技部署企业区块链和智能合约有三个新风险：旧软件、软件缺陷和操作缺陷。 　　

　　

　　回顾过去50年，似乎这些都是一直在应对的计算机风险。在元级别，当你深入到细节时，像任何其他技术一样，区块链和智能合约已经找到了新的和创造性的方法来创建安全风险。 　　

　　

　　下面我们就来看看毛球科技整理的八大区块链安全隐患： 　　

　　

　　1. 老软件 　　

　　

　　虽然企业区块链软件很少是“旧”的，但对于软件来说，任何超过一两年的软件，就变化速度和改进而言，基本上都是石器时代的工具。 　　

　　

　　R3的开源Corda区块链平台就是一个很好的例子。从2016年5月最初的版本到2021年5月(4.8版本)，Corda有182个版本，大约每10天一个。很多都不是小版本；主要的新功能和重构或删除代码是司空见惯的。在大多数企业项目中，有一个真实的趋势是选择一个软件版本，然后永远不要升级它，因为升级可能会打破一些东西。 　　

　　

　　这里的教训是：确保软件是最新版本，可以保持最新，如果不是，为什么不呢？ 　　

　　

　　2. 缺乏安全漏洞覆盖 　　

　　

　　安全漏洞数据库中几乎没有涉及企业区块链软件。这意味着大多数用户不会意识到安全更新，除非他们明确遵循供应商的发布说明。 　　

　　

　　这种覆盖范围的缺乏，特别是公共漏洞和暴露(CVE)数据库和国家漏洞数据库(NVD)是一个巨大的问题，因为如果漏洞没有得到官方的承认，那么对于许多大型组织来说，它们就不存在。 　　

　　

　　不知道为什么区块链的CVE和NVD的覆盖率如此之低，但一个可能的原因是缺乏具体区块链漏洞的官方文件。 　　

　　

　　3. 缺乏安全漏洞知识 　　

　　

　　传统软件具有众所周知的漏洞类型，其中许多都记录在在线《常见弱点列举》 (CWE)字典中。例如，缓冲区溢出和整数溢出之间的差异是黑客利用的一个普遍弱点。CWE是一个重要的资源。许多静态代码分析工具将它作为它们试图检测的漏洞类型的基础。 　　

　　

　　然而，截至2021年5月，CWE没有包含区块链或智能合同的漏洞类型的记录。好消息是有两个工作可以记录这些问题。一个是SWC注册表(关于以太坊等公司使用的Solidity智能合约语言有30多个条目)，另一个是云安全联盟的区块链DLT攻击和漏洞枚举数据库，有200多个条目，涵盖了各种智能合约语言、区块链技术和通用概念。 　　

　　

　　4. 缺乏代码扫描和安全测试 　　

　　

　　目前，区块链和智能合约静态代码分析工具还不是很成熟，原因很简单，这个领域太新了。更糟糕的是，许多智能合同都是在没有安全审计的情况下部署的。但这种情况正在开始改变，已经发生了很多安全事件，让人们意识到在部署之前审计代码和生成新密钥的重要性。 　　

　　

　　例如，付费网络是为金融交易提供区块链去中心化应用(dApps)的供应商。当它部署一个它付钱给开发人员创建的智能合同时，它被破坏了，但它从未删除开发人员的秘密密钥。当开发人员的密钥后来在Git提交(将程序代码保存到存储库的过程)中被公开时，一次攻击耗尽了付费网络合同。 　　

　　

　　该合同已通过安全审核。审计人员不能审计生产密钥，因为这样会暴露它，所以他们会认为付费网络会用安全生成的密钥来代替它，但事实并非如此。 　　

　　

　　5. 操作风险 　　

　　

　　假设有一个安全的区块链和一个格式良好的智能契约，就不存在安全缺陷。要在某些东西上运行区块链和智能合同代码，最好是连接良好且可靠的。如果您选择云或第三方托管，您将需要确保它们也是安全的。 　　

　　

　　6. 加密密钥和HSM 　　

　　

　　每个区块链服务和客户端的核心是加密密钥。即使使用专用系统，在计算机上保存重要的加密密钥也不再足够。 　　

　　

　　相反，使用硬件安全模块(HSM)。HSM基本上提供了两样普通电脑不能提供的东西。首先，您可以设置密钥，使其无法从HSM导出或复制。其次，通过HSM可以更可靠地记录密钥的使用。 　　

　　

　　这很关键，因为如果网络被入侵，它将能够确定攻击者使用密钥的目的，而不是猜测他们可能做了坏事。 　　

　　

　　7. 网络钓鱼、SIM卡交换和其他恶作剧 　　

　　

　　企业区块链通常不使用网络钓鱼或SIM卡交换等技术进行攻击。这些技术通常是留给攻击加密货币的客户的。 　　

　　

　　然而，乐 　　

索软件和相关攻击正越来越多地转向网络钓鱼和鱼叉式网络钓鱼，原因很简单：它很有效。对这些类型的攻击的一般答案是使用强大的多因素认证，最好是基于硬件令牌，以防止用户向坏人提供信息，即使他们被愚弄。

　　

8. 51%攻击

　　

最后，在大多数企业区块链部署中，使用的共识机制不是工作量证明(PoW)。更常见的是，使用权益证明或更传统的投票机制，例如多数票。

　　

51%的攻击，即一个实体占据了大部分的区块链哈希率或计算资源，试图破坏网络，对基于PoW的系统最有用。即使有一个简单的共识机制，如多数票，攻击者也需要劫持51%的组织――这比简单地调集计算资源要难得多，因为计算资源往往可以租借。

　　

结论有一个好消息和坏消息。坏消息是区块链和智能合约软件比几乎任何其他东西都要复杂和难以保障。好消息是他们试图解决的问题确实很难。

　　

想建立信息处理系统，知道攻击者正在恶意攻击，但不允许他们破坏系统。解决这个问题将开辟各种新的市场和机会。