区块链资产安全监管 区块链的安全风险

本篇文章主要给网友们分享区块链资产安全监管的知识，其中更加会对区块链的安全风险进行更多的解释，如果能碰巧解决你现在面临的问题，记得关注本站！

Chainge技术沙龙（0414）-区块链技术的安全隐患

虚拟机设计

零钱整理

慢雾科技介绍

01| The Dao事件

以太坊第一个安全大事件

智能合约的取款

新建一个Bank，存入一部分钱，用Dao框架不停取钱。

取款-判断余额-取款操作框架-转空该账户下的所有钱。

简单的例子就是，你的银行卡有余额100万，你需要买一个10块钱的饮料，但是支付的过程有漏洞，所以你银行卡的所有钱都被转走。

一、外部调用

02| 以太坊黑色情人节

起源：第一转账时间是2.14

ETH节点统计

客户端、客户端版本、OS系统。整个系统的庞杂

蜜罐检测 （部署陷阱能检测出黑客的点来）

net_version

判断是主网还是测试网，只攻击主网

3000+主网节点完全暴露

eth_accounts

获取钱包账号，涉及钱包账号

eth_getBanlance

获取有多少钱，被盗46000+ETH

why?

unlockAccount 函数介绍

该函数将使用密码从本地的keystore 里提取private key 并存储在内存中,函数第三个参数duration 表示解密后private key 在内存中保存默认是300 秒; 如果设置为0,则表的时间，示永久存留在内存，直至Geth/Parity 退出。

详见:

节点存用户的keystore信息（严重危险）

eth_getBlockByNumber

墨子扫描引擎，扫描有问题的节点，慢雾的以太坊安全事件的披露

被盗ETH，市值，被盗钱包数

具体内容可以查看慢雾发布的 以太坊黑色情人节专题

生态相关

ETH：矿池、钱包、web3、smart contract、dapp

BTC:矿池、钱包、Lightning Network

BTC RPC

防御建议

管理数十万用户安全的接近百万的比特币

华人世界唯一被bitcoin.org网站展示的钱包

比特派多种区块链资产（BTC、ETH、Token、分叉）

冷热结合，确保安全

比特派-热钱包

比特护盾-冷钱包/硬件钱包

区块链安全事件

私钥决定了区块链资产的所有权，丢了私钥也就相当于丢了一切。私钥就是一个随机数，这个随机数的概率空间很大(256 位，即2^256)

钱包=生态入口

需要在安全的同时做到尽可能的开放

玩法的开放，技术的开放，通用的技术接口，生态的开放，把自己的资源进行导入。合作伙伴计划：技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助伙伴实现区块链转型或区块链项目孵化，安全、便捷实现真正落地的区块链应用场景。

联系方式 B@bitpie.com

用户风控系统，数百万的数字货币用户。

最大可能保持我们的数字资产

骗子故事：抢数字货币份额，钱没到账，冒充官方，交出助记词

恶意钱包地址库

诈骗钱包、黑客钱包、羊毛党钱包

恶意网站库

钓鱼网站、空投网站、交易所、众筹

风险合约库

重名币、空格币、风险合约

安全事件库

历史安全事件提醒

最新事件提醒

盗币风险监控

安全意识教育

可能出现被盗的情况

游戏即资产，稀缺资源，成为游戏运营者。最后大BOSS死于暴露了自己的密钥。

通过社工（社会工程学）【欺骗的艺术】黑客攻击手法，虚拟景象做出错误判断让自己陷入危机。

人始终是系统中最薄弱的环节，币安背锅的黑客事件。大客户泄露自己的账户，调用API接口，自动交易。虽然没丢币但是黑客在期货市场盈利。

关于安全钱包的帖子（来自小白愤怒控诉，实际没有理解整个机制）：

1、我没私钥和交易密码，东西都在你们那我不知道安全在哪里

2、密语算个毛，你告诉我拿着你们的密语能做什么。

汽车和自行车事件，出了问题之后，弱势的一方被原谅。负责的是更大的一方。平台替没有安全意识的用户背锅。

对于大部分用户来说，交易所的安全性比普通用户自己管理的安全性要高，用户的安全意识没有提高，交给交易所帮助、协助你来管理你的钱包提示很多风险操作。

为什么要随机生成256位的密钥，为什么不能用户自己去设置，如果自己设置会处于一个集中的区域，随机值不够，私钥生成时就处于危险的状态。

自己的安全认识不够，所以自己造成的损失，先怼交易所先怼钱包。先想到得是你们的问题和漏洞造成的，不是我的操作失误和密钥泄露造成的。

币派做的是大神和小白的交流之间的翻译，做画漫画，写段子的逗比。

币小宝防骗指南漫画，贡献题材和内容。

区块链的哪些技术特征加大了监管难度

区块链特征：

1、去中心化。区块链技术不依赖额外区块链资产安全监管的第三方管理机构或硬件设施区块链资产安全监管，没有中心管制，除了自成一体的区块链本身，通过分布式核算和存储，各个节点实现了信息自我验证、传递和管理。去中心化是区块链最突出最本质的特征。

2、开放性。区块链技术基础是开源的，除了交易各方的私有信息被加密外，区块链的数据对所有人开放，任何人都可以通过公开的接口查询区块链数据和开发相关应用，因此整个系统信息高度透明。

3、独立性。基于协商一致的规范和协议（类似比特币采用的哈希算法等各种数学算法），整个区块链系统不依赖其他第三方，所有节点能够在系统内自动安全地验证、交换数据，不需要任何人为的干预。

4、安全性。只要不能掌控全部数据节点的51%，就无法肆意操控修改网络数据，这使区块链本身变得相对安全，避免了主观人为的数据变更。

区块链

区块链（BlockChain）技术是一种使用去中心化共识机制去维护一个完整的、分布式的、不可篡改的账本数据库的技术，它能够让区块链中的参与者在无需建立信任关系的前提下实现一个统一的账本系统。区块是公共账本，多点维护区块链资产安全监管；链就是盖上时间戳（Timestamps），不可伪造。

目前所有的系统背后都有一个数据库，也就是一个大账本。那么谁来记这个账本就变得很重要。现在就是谁的系统谁来记账，各个银行的账本就是各个银行在记，支付宝的账本就是阿里在记。但现在区块链系统中，系统中的每个人都可以有机会参与记账。

以上内容参考：百度百科--区块链

区块链的安全法则

区块链区块链资产安全监管的安全法则，即第一法则区块链资产安全监管：

存储即所有

一个人的财产归属及安全性，从根本上来说取决于财产的存储方式及定义权。在互联网世界里，海量的用户数据存储在平台方的服务器上，所以，这些数据的所有权至今都是个迷，一如你我的社交ID归谁，难有定论，但用户数据资产却推高了平台的市值，而作为用户，并未享受到市值红利。区块链世界使得存储介质和方式的变化，让资产的所有权交付给了个体。

拓展资料

区块链系统面临的风险不仅来自外部实体的攻击，也可能有来自内 部参与者的攻击，以及组件的失效，如软件故障。因此在实施之前，需 要制定风险模型，认清特殊的安全需求，以确保对风险和应对方案的准 确把握。

1. 区块链技术特有的安全特性

● (1) 写入数据的安全性

在共识机制的作用下，只有当全网大部分节点（或多个关键节点）都 同时认为这个记录正确时，记录的真实性才能得到全网认可，记录数据才 允许被写入区块中。

● (2) 读取数据的安全性

区块链没有固有的信息读取安全限制，但可以在一定程度上控制信 息读取，比如把区块链上某些元素加密，之后把密钥交给相关参与者。同时，复杂的共识协议确保系统中的任何人看到的账本都是一样的，这是防 止双重支付的重要手段。

● (3) 分布式拒绝服务(DDOS)

攻击抵抗 区块链的分布式架构赋予其点对点、多冗余特性，不存在单点失效的问题，因此其应对拒绝服务攻击的方式比中心化系统要灵活得多。即使一个节点失效，其他节点不受影响，与失效节点连接的用户无法连入系统， 除非有支持他们连入其他节点的机制。

2. 区块链技术面临的安全挑战与应对策略

● (1) 网络公开不设防

对公有链网络而言，所有数据都在公网上传输，所有加入网络的节点 可以无障碍地连接其他节点和接受其他节点的连接，在网络层没有做身份验证以及其他防护。针对该类风险的应对策略是要求更高的私密性并谨慎控制网络连接。对安全性较高的行业，如金融行业，宜采用专线接入区块链网络，对接入的连接进行身份验证，排除未经授权的节点接入以免数据泄漏，并通过协议栈级别的防火墙安全防护，防止网络攻击。

● (2) 隐私

公有链上交易数据全网可见，公众可以跟踪这些交易，任何人可以通过观察区块链得出关于某事的结论，不利于个人或机构的合法隐私保护。 针对该类风险的应对策略是：

第一，由认证机构代理用户在区块链上进行 交易，用户资料和个人行为不进入区块链。

第二，不采用全网广播方式， 而是将交易数据的传输限制在正在进行相关交易的节点之间。

第三，对用 户数据的访问采用权限控制，持有密钥的访问者才能解密和访问数据。

第四，采用例如“零知识证明”等隐私保护算法，规避隐私暴露。

● (3) 算力

使用工作量证明型的区块链解决方案，都面临51%算力攻击问题。随 着算力的逐渐集中，客观上确实存在有掌握超过50%算力的组织出现的可 能，在不经改进的情况下，不排除逐渐演变成弱肉强食的丛林法则。针对 该类风险的应对策略是采用算法和现实约束相结合的方式，例如用资产抵 押、法律和监管手段等进行联合管控。

区块链里数字身份的意义（附一篇引发思考的优秀区块链文章）

微信作为当前互联网的基础设施和连接器区块链资产安全监管，所有的价值都基于“连接”区块链资产安全监管，人与人的连接，人与财的连接，人与事的连接，现在也可以人与物的连接（摩拜小程序扫码骑车），但所有的“连接”都有一个前提就是 区块链资产安全监管我信任微信，信任腾讯，信任法制对互联网的规范，信任 周围的人都在用微信，这种信任追根溯源是对中心化的信任，对名誉好的企业信任，对机构，法制，社群的信任。

而如今区块链似乎可以实现区块链网络里的每个节点变成“微信”，为了形成这种去中心化的信任，我们需要给节点“微信”定义唯一可信的数字身份， 这个数字身份不仅仅是区块链资产安全监管你有了区块链网络里管理你自己数字资产的私钥，还要让这个数字身份最终服务于现实生活，应用场景落地，因此还需要赋予之前提到的法制，机构，社群的信用标签。

未来的世界是分布的，并且每个节点都是可验证，可信任的，无论放在区块链还是现实世界，每个节点都变成我们大家信任的“微信”，同时我们自己也可以成为被别人信任的“微信”。

附区块链资产安全监管：数字身份对于区块链的意义-刘永新（NEL）

1.特修斯之船-如何定义你自己

生活中，我们经常使用身份，我们经常会向别人介绍自己，有时会发自己的名片，有时会出示自己的身份证，可是身份的内涵究竟是什么，如何定义身份，可能很多人并不清楚。

有一个著名的思想实验叫做“特修斯之船”，特修斯之船可以在海上长久不间断航行数百年，一块木板腐烂了，就换一块新的木板，直到有一天，船上所有的木板都不是原来的木板，那么这艘船还是原来的特修斯之船吗？

人体就像是特修斯之船，细胞一直在做着新陈代谢，那么所有的细胞都更新了一遍，你还是不是原来的你？如果你的思想、性格也改变了呢？

所以，如何定义你自己好像并不是一件简单的事情。

2.生活中的身份

在生活中，我们有很多种身份，例如在公司里，你有自己的职位，在家庭里，可能是丈夫、妻子或者孩子，对于银行来说，你是他的客户，对于你的房子来说，你是他的主人，是租客的房东，对于你的车子来说，你是车主。

所以我们发现，在不同的场景中，你有不同的身份，不同的身份通常对应了不同的客体。对于银行来说，它在意的是你是不是他的客户，你在家庭里承担什么样的角色并不重要，对于车子来说，只要你有它的钥匙就可以启动它，你是不是房东它并不关心。

3.定义身份

根据前面的探讨，我尝试定义身份：

身份是关系的标识，

关系是双向的，

关系代表了双方之间的权利和义务。

所以对于不同的客体，你们有着不同的关系，你有着不同的权利和义务，有着不同的身份。

对于国家来说，你有着公民身份，通常用身份证代表，公民身份代表了你有着纳税的义务，代表着你有选举投票的权利。对于银行来说，你是他的客户，代表了你在它那里的存款和负债。对于区块链来说，你掌握了私钥，代表你拥有私钥控制的资产，私钥就是你的身份。

所以，我们不应该放弃客体而去探讨身份，重要的不是你是谁，重要的是你在别人眼里是谁。

在身份使用的过程中，包含认证和验证两个过程，例如中国人出生之后要到派出所上户口，这就是认证过程，此后出示身份证，就是验证过程。在网络上账号的注册和登录就是身份认证和验证过程。而区块链对资产所有权的认证和验证是通过共识算法达成的，可以简单的认为是51%的投票认可。

4.可信数据

中本聪在比特币的创世块中写入了一句话：“The Times 03/Jan/2009 Chancellor on brink of second bailout for banks”，这句话是当天泰晤士报的头版头条，意思是“总理大臣第二次拯救银行于危险边缘”。

很多人认为，这句话体证明了泰晤士报当天一定发表了这篇文章，体现了区块链具备的存在性证明的能力。

然而，区块链只能保证写入数据的不可篡改，无法保证数据的真实性。我们之所以认为这篇报纸文章一定存在，是因为写入区块链的是中本聪，数据的真实性是由中本聪的信誉保证的 。

实际上，数据的真实性是通过两种方式产生的：

去中心化方式，或者说51%民主投票，例如比特币交易数据的真实性实际上是通过51%算力投票的方式保证的，对于链外数据上链时，也可以通过人工投票的方式保证数据的真实性，例如去中心化预测平台Augur。

但是，不是所有的共识都能通过少数服从多数的方式达成。

例如一个艺术品究竟是真还是假，是通过专家鉴定的，而无法通过少数服从多数，鉴定结果的可信度是通过专家的信用保证的。对于一个人是不是中国人，是在上户口的时候，由派出所认证的，而不是由全体中国人投票认证的。所以对于特定的场景，有时候不得不通过公认的权威来确认事件的真实性。

通常，链上原生的数据，例如代币的分发、交易等数据可以非常方便的通过少数服从多数的投票机制来达成共识，但是对于链下数据上链时，其数据真实性需要依赖上链者的身份信誉背书，有时候也需要法律手段通过问责机制来威慑造假行为。

5.可信数据上链

所以对于链下数据的上链，数据的真实性可以通过少数服从多数的投票或者权威身份的信誉背书完成。

可信数据上链的基本流程应该是这样的：

首先，你要有个数字身份，这个身份的认证有可能是通过51%的投票产生，也有可能是通过权威认证。

然后在数据上链的时候，需要附加上身份信息。

数据使用者获取到数据后，对身份信息进行验证，然后根据验证结果决定数据的可信度。

6.身份管理

当我们使用网络应用时，需要注册、登录账号，有时候，为了方便，我们会使用第三方应用来注册及登录，这种身份托管方式虽然提供了便利性，但是第三方应用其实可以在未经我们授权的情况下登录应用，并进行操作以及获取个人数据。

所以理想情况下，我们希望能够兼顾便利性和安全性，我们希望能够通过同一个账号登录不同应用，并且完全是由自己控制。

数字身份大体可以分为三类：

数字主权身份，在中国表现形式是CA证书、EID等方案，要满足政府监管，兼容国家法律，必须知道主权身份。

数字网络身份，即各种APP的登录账号

数字资产身份，即各种区块链资产的地址及私钥

数字身份管理应用应当能兼容这几种身份，能够实现身份的认证、验证、注销、丢失找回等。

还应当有一个数据管理平台，实现数据的存储及权限管理。

区块链平台可以作为数据存证平台，将数据的指纹、读写记录等进行存证，智能合约可以实现身份的验证，通过加密技术避免多余信息泄露，也可以通过多重签名实现密钥找回。同时，区块链也是数字资产的登记平台。

在此基础上，可以实现丰富的应用场景，例如：APP登录，电子合同签署，供应链，版权保护，资产数字化。

当数字身份和区块链结合之后，再加上数据管理平台，就可以实现联盟链的需求，例如银行间的KYC联盟。联盟链的本质是基于身份的数据互信，是不是一条单独的链并不重要。

而区块链资产和主权身份关联起来后，就可以满足政府监管需求，可以在应用层增加满足监管需求的监管策略。

因此，未来区块链要想大规模应用，必须要解决数字身份问题，数字身份是链上和链下的桥梁，是区块链走向合规监管的桥梁。

而随着构建在区块链上的应用和资产越来越多，因为有统一的身份标识，大数据分析也成为可能，因此，大数据和区块链的结合，也离不开数字身份。

关于区块链资产安全监管和区块链的安全风险的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。