Lectura recomendada de oro | ¿Quién garantizará la seguridad de la cadena de bloques?

En los últimos años, el desarrollo de la tecnología blockchain ha sido muy rápido y la situación de seguridad se ha vuelto cada vez más grave. Las pérdidas económicas directas causadas solo por incidentes de seguridad han alcanzado miles de millones de dólares, lo que ha traído enormes pérdidas económicas y lecciones dolorosas para la industria. . Dado que la tecnología blockchain es un libro de cuentas y una base de datos compartidos distribuidos, tiene las características de descentralización, no manipulación, trazabilidad en todo el proceso, trazabilidad, mantenimiento común, apertura y transparencia, etc., lo que sienta las bases para la confianza. Sin embargo, los riesgos de seguridad y las características técnicas de la tecnología blockchain también han traído muchos desafíos a su amplia aplicación y supervisión de seguridad.Con la implementación comercial de blockchain, los requisitos de seguridad se han vuelto muy urgentes. ¡Se puede decir que la seguridad es la "base" de la cadena de bloques y el primer elemento de la cadena de bloques! El gobierno chino ve a blockchain como la infraestructura de TI clave de próxima generación para construir futuras ciudades inteligentes, conectando bases de datos de seguridad encriptadas vinculadas a 5G a una nube escalable y una infraestructura de gestión de datos para que el análisis de big data/AI pueda implementarse de manera eficiente según los chinos. portal de información de la compañía, hay más de 37,000 negocios de blockchain que operan en China. Solo en el último año, más de un tercio de las entidades registradas en la Organización Mundial de la Propiedad Intelectual (OMPI). En marzo, las solicitudes de patentes relacionadas con blockchain de China alcanzaron las 13,000 , que representa más del 53 % del total de solicitudes de patentes a nivel mundial. El Banco Popular de China ha solicitado 84 patentes para la moneda digital DC/EP. Piloto en 19 empresas locales, incluidas las cadenas de tiendas Starbucks, Subway y McDonald's El Banco Popular de China "Especificación de seguridad de la tecnología del libro mayor distribuido financiero" El Banco Popular de China publicó la "Especificación de seguridad de la tecnología del libro mayor distribuido financiero" (JR/T) en febrero de 2020 0184-2020), este documento de especificaciones de 35 páginas expone varios aspectos de los requisitos de seguridad y especifica el sistema de seguridad de la tecnología de contabilidad distribuida financiera, que incluye: hardware básico, software básico, algoritmos criptográficos, comunicación de nodos, datos de contabilidad, protocolos de consenso, contratos inteligentes, gestión de identidad, protección de la privacidad, soporte normativo, requisitos de operación y mantenimiento y mecanismos de gobernanza. Greater China Cloud Security Alliance (CSA GCR) Blockchain Security Working Group La organización sin fines de lucro de renombre internacional Cloud Security Alliance Greater China CSA GCR (www.c-csa.cn) ha establecido una tecnología dedicada de blockchain/libro mayor distribuido El grupo de trabajo se enfoca en blockchain (usando la última tecnología de seguridad para garantizar la seguridad y la protección de la privacidad de blockchain) y la aplicación de la tecnología blockchain en la seguridad de la información de la red (usando blockchain y tecnología de contabilidad distribuida para mejorar la seguridad de la información de la red), el grupo de trabajo integra experiencia y prácticas avanzadas en el país y en el extranjero, establece y desarrolla pautas de seguridad de blockchain, mejores prácticas y estándares de prueba, etc., y publica los libros blancos correspondientes, especificaciones de evaluación y listas de verificación, etc., con la esperanza de ayudar al público en general. Practicantes de blockchain y personas preocupadas por blockchain seguridad, además de mejorar la seguridad de la cadena de bloques y la información de la red. Seguridad de cadena de bloques: CSA GCR actualmente tiene 9 grupos de trabajo de seguridad de cadena de bloques (https://www.c-csa.cn/), que incluyen seguridad de contrato inteligente, seguridad de billetera, seguridad de algoritmo de consenso, seguridad de intercambio y seguridad de dApp, identidad digital autónoma del usuario , seguridad de la capa de comunicación de la red, seguridad de la capa de datos, cumplimiento KYC/AML, etc. En el futuro, se agregarán otros grupos de trabajo relacionados según sea necesario (como seguridad de incentivos económicos de token, seguridad de gobierno DAO, etc.). Cada grupo de trabajo está dirigido por un conocido experto, y en cada grupo trabajan un total de más de 100 expertos en seguridad de la información de redes y expertos en seguridad de cadenas de bloques. Aplicación de la tecnología blockchain en el campo de la seguridad de la información de la red: Además, la tecnología blockchain y el registro distribuido se pueden aplicar al campo de la seguridad de la información de la red tradicional para mejorar y perfeccionar la seguridad de la información de la red tradicional (como anti-DDOS, gestión de identidad, Data seguridad y protección de la privacidad, prevención de la piratería y control de autoridad, etc.), también por otros grupos de trabajo (como el grupo de trabajo IAM, el grupo de trabajo de seguridad de datos/grandes datos, el grupo de trabajo de confianza cero/SDP, el grupo de trabajo de IOT, cloud/edge grupo de trabajo informático, grupo de trabajo de seguridad de Smart City, grupo de trabajo de seguridad de IA, etc.) y colaborar con el grupo de trabajo de seguridad de Blockchain. Los futuros sobre índices bursátiles de EE. UU. ampliaron sus caídas, y el Nasdaq y el S&P una vez cayeron más del 1 %: los tres principales futuros sobre índices bursátiles de EE. UU. ampliaron sus caídas, y los futuros del Nasdaq y el S&P 500 cayeron más del 1 %. [1/2/2021 18:33:37] La ​​región de China de OWAS enumera los diez principales problemas de seguridad de blockchain Seguridad de blockchain TOP10: Amenaza sostenible avanzada Fuera de control Inflación de moneda Control de autoridad no válido Protocolo de consenso inseguro Consideración insuficiente de la lógica del programa Irrelevante Verificación de políticas comerciales Lógica de transacción laxa Frágil Mecanismo de números aleatorios defectuoso Registro y monitoreo insuficientes del mecanismo de incentivos http://www.owasp.org.cn/owasp-project/533a575794fe5b895168top10 publicado en los últimos años Muchos informes y análisis de incidentes de seguridad: https://www.knownsec.com/https://www.slowmist.com/and https://slowmist.io/https://secbit.io/ https://peckshield .cn/https://beosin.com/#/https://noneage.com/ Blockchain Security Technology Book 2018 <<Blockchain Security Technology Guide>> Un análisis detallado de los riesgos potenciales de tecnología de cadena de bloques: no solo los riesgos que conlleva la propia tecnología de cadena de bloques (como la tecnología de encriptación, la tecnología de gestión de identidad, la tecnología de consenso y los posibles riesgos relacionados con la tecnología de "contratos inteligentes"), también incluye los riesgos en las aplicaciones de cadena de bloques (como los posibles riesgos en mecanismos de incentivos, seguridad de datos y seguridad de la red). Hay un análisis en profundidad de varios mecanismos de seguridad de la tecnología de cadenas de bloques, así como estudios de casos de aplicaciones de cadenas de bloques que están siendo atacadas. Combinando la teoría con la práctica, la anticipación y evaluación de los riesgos potenciales se sitúan en un segundo plano de la realidad. El Capítulo 1 explica en detalle el atributo de seguridad CIA de la cadena de bloques, principalmente a partir de los cuatro aspectos de confidencialidad, integridad de datos, usabilidad y seguridad física para explicar en detalle los atributos de seguridad de la cadena de bloques. El Capítulo 2 selecciona deliberadamente algunas monedas digitales principales (incluidas Bitcoin, Ethereum y Zcash) para analizar sus propiedades de seguridad. El Capítulo 3 es el control de seguridad de la aplicación y la capa de contrato inteligente. Los problemas de seguridad y la gestión de identidades y el control de acceso de blockchain se analizan principalmente desde tres aspectos: aplicación de cliente web o móvil, contrato inteligente y control de identidad y acceso. El Capítulo 4 es el diseño del mecanismo de seguridad de la capa de incentivos. Se analiza la generación y distribución de incentivos y la seguridad de la capa de incentivos, y se analiza la seguridad de la capa de incentivos desde los aspectos de peligros ocultos del modelo de incentivos, incidentes de seguridad, riesgos legales, medidas de seguridad y cómo diseño para evitar efectivamente la zona La ocurrencia de incidentes de seguridad en la capa de incentivos de blockchain. El quinto capítulo es la seguridad y control de la capa de red. La seguridad y el control de la capa de red afectan directamente el valor de la cadena de bloques y se analiza desde tres aspectos: cifrado P2P, cifrado de comunicación entre el cliente y el nodo, y defensa contra ataques DDoS, y describe el contenido de seguridad relevante de la seguridad de la capa de red. y control. El número de transferencias de TRON superó los 350 millones: el 2 de diciembre, según los últimos datos del navegador de cadena de bloques TRONSCAN, el número acumulado de transferencias de TRON alcanzó los 351.598.425, superando los 350 millones. Los datos de TRON han ido avanzando constantemente. Si bien la ecología de TRON se está fortaleciendo, también dará paso a un mayor volumen comercial. [2020/12/2 22:52:58] El Capítulo 6 es la capa de datos y la seguridad de consenso. La capa de datos es la parte básica del diseño de la cadena de bloques y la clave para el funcionamiento normal de la cadena de bloques. Este documento analiza cinco aspectos de la tecnología de cifrado de datos de blockchain, la transmisión de datos, la firma de transacciones de blockchain, el ataque de consenso y las consideraciones de seguridad de blockchain, y expone el conocimiento de la seguridad de la capa de datos y el valor de garantizar el funcionamiento normal de blockchain. El Capítulo 7 trata sobre la seguridad de la clave privada. Se realiza un análisis exhaustivo de la seguridad de la clave privada desde los aspectos de la importancia de la clave privada, el método de uso, los problemas existentes, la revocación y otros métodos y medidas para mejorar la seguridad de la cadena de bloques. La seguridad de la cadena de bloques incluye los siguientes aspectos: Seguridad de contratos inteligentes Los contratos inteligentes que transportan activos digitales valiosos son los principales objetivos de los piratas informáticos. Los piratas informáticos roban activos digitales a través de "ataques de reingreso", "desbordamientos de enteros" y "vulnerabilidades de números pseudoaleatorios". También están surgiendo nuevos métodos de ataque en un flujo interminable. Es muy importante analizar los casos de contratos inteligentes, formular estándares de prueba, explorar la aplicación de pruebas formales en la seguridad de contratos inteligentes y realizar investigaciones sobre las mejores prácticas de seguridad de contratos inteligentes. Seguridad de la billetera Las billeteras digitales almacenan las claves privadas de los activos digitales, incluidas las billeteras en la nube, las billeteras calientes en línea, las billeteras frías fuera de línea, etc. Factor de forma. Los riesgos de seguridad existen principalmente en el uso de los usuarios y el diseño de la tecnología de seguridad de las billeteras. Las billeteras digitales necesitan analizar casos, desarrollar estándares de prueba y desarrollar y aplicar las mejores prácticas para mejorar la seguridad de la billetera. Seguridad del algoritmo de consenso El algoritmo de consenso es la clave de la tecnología subyacente de blockchain. Las lagunas de seguridad del algoritmo de consenso incluyen ataques remotos, ataques desinteresados, ataques del 51%, minería egoísta, ataques de Eclipse, etc., investigando principalmente la seguridad y la vitalidad del algoritmo, incluidos los algoritmos de consenso de uso común POW, POS, DPOS, BFT. , POC, algoritmos POA, etc.; esperamos establecer estándares de prueba y mejores prácticas en el desarrollo de algoritmos para mejorar la seguridad de los algoritmos de consenso. Exchange Security Exchange es la herramienta principal para el descubrimiento de precios de activos digitales y el intercambio de valor. Hay principalmente intercambios centralizados y descentralizados. Las vulnerabilidades de seguridad de los intercambios ocurren con frecuencia. Investigar la seguridad de los intercambios y proteger los activos digitales de los usuarios es una de las condiciones necesarias para el desarrollo de blockchain. Es necesario analizar casos, formular estándares de prueba y desarrollar y aplicar mejores prácticas, Check list, etc. La seguridad de dApp analiza los casos de seguridad del desarrollo de dAPP en las principales cadenas públicas (Ethereum, EOS, Tron, etc.), propone las mejores prácticas, pautas de seguridad y estándares de prueba, y publica los documentos técnicos correspondientes, las especificaciones de evaluación y las listas de verificación, etc. con la esperanza de ayudar a todos los practicantes de dApp, mejorar la seguridad de dApp. En la actualidad, la aplicación de DeFi es muy popular, pero a menudo se presentan problemas de seguridad. La razón principal es que la parte del proyecto no presta suficiente atención a la seguridad. Identidad digital autónoma del usuario La identidad digital descentralizada (DID: Decentralized ID) o la identidad digital autónoma (SSI: Self Sovereign Identity) es la base para la aplicación de blockchain. Actualmente, la investigación de seguridad en esta área acaba de comenzar, pero es muy importante significado Es necesario estudiar el estándar SSI de la UE, el estándar DID basado en América del Norte y la identidad digital Avatar y la cadena de identidad digital EID de Metaverse, explorar las mejores prácticas de seguridad, las pautas de seguridad y los estándares de prueba, y publicar los libros blancos correspondientes, las especificaciones de evaluación, y Checklist, etc., con la esperanza de ayudar a la gran cantidad de desarrolladores y usuarios de DID/SSI a mejorar su seguridad. Seguridad de la capa de comunicación de la red El funcionamiento seguro de la red blockchain es la clave para el funcionamiento fiable del sistema blockchain. Los piratas informáticos utilizan métodos como "ataque de eclipse", "ataque de bruja" y "trazabilidad de transacciones" para destruir la integridad de los datos y la disponibilidad del sistema. Los ataques a la confidencialidad de las transacciones han traído enormes peligros ocultos a la implementación de la tecnología blockchain. Además, se puede construir un nuevo sistema de comunicación seguro basado en blockchain. Es necesario analizar casos, formular estándares de prueba, explorar la trazabilidad de las transacciones de la cadena de bloques, la protección de la privacidad, la integridad de los datos y otras tecnologías, llevar a cabo aplicaciones como la comunicación encubierta de datos basada en la capa de la red de la cadena de bloques y estudiar el impacto de la tecnología 5G en las redes de la cadena de bloques. . Seguridad de la capa de datos Problemas de seguridad de los datos de la cadena de bloques: protección de la privacidad de los datos (deformación de datos, cifrado de datos, liberación restringida de datos, etc.) protección de la disponibilidad de datos (trazabilidad de la red, conectividad) protección de la integridad de los datos (defensa contra ataques de doble flor, defensa contra ataques de minería) protección de control de datos (análisis lógico y semántico de contratos inteligentes, control de acceso, auditoría de seguridad), etc. para mejorar la seguridad de los datos de blockchain y la protección de la privacidad. Cumplimiento (AML/KYC y otras tecnologías y seguridad) A medida que el valor de los activos digitales cifrados sigue aumentando, la gente los acepta y utiliza cada vez más. Debido al anonimato de los activos digitales, los países de todo el mundo están intensificando la supervisión de las transacciones cifradas de activos en la cadena y la demanda de KYC también está aumentando. El grupo de trabajo AML/KYC discutió transacciones anormales en blockchain, métodos para identificar entidades detrás de direcciones correspondientes en la cadena (KYC) y métodos para rastrear monedas digitales anónimas a través del análisis de datos en la cadena. Las herramientas de seguridad de desarrollo de blockchain utilizan la modificación no manipulable de blockchain para proteger la integridad de los datos, incluido el sistema de integridad de datos de blockchain que está investigando el Departamento de Seguridad Nacional de EE. UU. En el proceso de uso, verifique si el hash de los datos en la base de datos es el mismo que el Hash correspondiente en la cadena de bloques para juzgar la integridad de los datos. Aplicación de criptografía en Blockchain La prueba de conocimiento cero, el cifrado homomórfico y la computación multipartita segura tienen aplicaciones muy grandes en el campo de blockchain y la seguridad en la nube. En la actualidad, la Universidad de Stanford, Berkeley y algunas empresas emergentes en el Área de la Bahía de los Estados Unidos otorgan gran importancia a la investigación en esta área. Por ejemplo, las pruebas de conocimiento cero se pueden usar para la protección de la privacidad, la expansión del rendimiento y las pruebas de transacciones entre cadenas. Por lo tanto, surgen sin cesar varios métodos de optimización de prueba de conocimiento cero. El uso de la prueba de conocimiento cero para la protección de la privacidad es principalmente para proteger las direcciones de ambas partes de la transacción y el contenido de la transacción específica. La prueba de conocimiento cero se utiliza para la expansión del rendimiento, principalmente mediante el uso de prueba recursiva de conocimiento cero para reducir el tiempo y la memoria necesarios para la verificación, a fin de garantizar la privacidad y mejorar la eficiencia. En el caso de transacciones de múltiples partes (como la financiación de la cadena de suministro), el cálculo seguro de múltiples partes es un algoritmo muy útil. Además, el cifrado homomórfico significa que los datos pueden procesarse sin descifrarse y el resultado del procesamiento solo puede ser descifrado por el propietario de los datos. Esto tiene una gran importancia para la seguridad en la nube y la cadena de bloques. En la actualidad, la velocidad del algoritmo que puede satisfacer el cifrado totalmente homomórfico no es suficiente, pero la investigación en esta área está en pleno apogeo en los círculos académicos. Seguridad de cadena pública y cadena de alianza Hay dos diferencias principales entre la cadena pública y la cadena de alianza: la cadena pública puede ingresar a la red de la cadena pública sin identidad. La cadena del consorcio debe estar autenticada por identidad o certificado para ingresar a la red del consorcio. Otra diferencia es el algoritmo de consenso.

Tags：

TRX