區塊鏈之網路安全議題

蔡昱宏/東海大學資訊管理學系

何為區塊鏈?

區塊鏈技術是一種進階資料庫機制,允許在業務網路中分享透明的資訊。區塊鏈資料庫會將資料存放在連結於同一鏈的區塊中。資料在時間順序上具有一致性,因為在無網路共識的情況下,使用者不能刪除或修改此鏈。因此,使用者可以使用區塊鏈技術建立不可更改或不可變的總帳,以追蹤訂單、付款、帳戶以及其他交易。這個系統有內建機制,可預防未經授權的交易進入以及在這些交易的共享檢視中建立一致性。[1]

區塊鏈的重要性與應用

區塊鏈為何重要?在傳統的金融交易中,因為交易雙方的安全信任問題,交易往往會遇到相當的阻礙。傳統的資料庫技術給記錄金融交易帶來了一些挑戰。例如,考慮資產銷售。一旦完成金錢交換,資產的擁有權便轉移給了買方。買賣雙方可以單獨記錄貨幣交易,但任何來源都不可信。即使賣方已經收到了錢,仍可以輕易地聲稱自己沒有收到錢;而即使買方並沒有付錢,同樣可以辯稱自己已經付了錢。[2]

為避免潛在的法規問題,值得信賴的第三方必須監管和驗證交易。該中央授權單位的存在不僅讓交易複雜化,而且還產生了單一漏洞弱點。如果中央資料庫遭到入侵,雙方都可能遭受損失。

區塊鏈透過建立去中心化的防竄改系統來記錄交易,進而緩解此類問題。在資產交易情境中,區塊鏈為買賣雙方分別建立了一個總帳。所有交易都必須獲得雙方的核准,並在雙方的總帳中即時自動更新。歷史交易中的任何損毀都會損壞整個總帳。正是因為區塊鏈技術擁有這些屬性,所以其才能廣泛應用於各個領域,包括建立如比特幣這樣的數位貨幣。

區塊鏈面臨的網路安全問題

  1. 缺乏適當管制:區塊鏈應該有適當的管制和明確界定的業務需求,管制風險主要來自區塊鏈固有去中心化的特性,需要對決策準則、管制政策、身分和存取管理進行嚴格的控制。如果適當的管制或業務需求不夠明確或不存在,攻擊者可能會獲得過多的區塊鏈存取權限,可能導致資料遺失、服務中斷和被拒絕存取。
  2. 未經適當測試的程式碼和智能合約的風險:智能合約是在區塊鏈中包含數據和程式碼的程式,當符合某些條件時,智能合約會自動執行。如果沒有為智能合約進行徹底和適當的測試,智能合約可能會出現錯誤或漏洞,導致驗證了不正確的合約或交易。
  3. 遺失私人密碼金鑰:區塊鏈架構採用公開密碼加密技術,用戶的私人密碼金鑰用於讀取區塊鏈中的加密數據,一旦遺失將無法復原。此外,攻擊者如果偷取了用戶的私人密碼金鑰,便可竄改該用戶的帳戶,而被修改的區塊鏈資訊將難以追蹤或復原。
  4. 端點漏洞: 用戶用作存取區塊鏈系統記錄的端點裝置可能成為攻擊者的目標。如果端點裝置被破解,用戶的私人密碼金鑰和區塊鏈系統內的數據將面臨風險。[3]

針對區塊鏈常見的網路攻擊類型

以下為幾種常見的網路攻擊類型[4]:

攻擊類型 解決方式
Blockchain Structure

 

區塊鏈架構

Forks 智能合約掃描-Slither

開放原始碼掃描-snyk

Peer-to-Peer System

區塊鏈點對點系統

 

DDoS攻擊

日蝕攻擊

BGP挾持攻擊

DNS攻擊

51%攻擊

Application Security-IMPERVA
Blockchain Application

區塊鏈應用程式

私鑰竊取

反組譯程式碼

私鑰管理-Vault

App防護-appGuard

End Point

 

端點

加密貨幣挖礦挾持(Cryptojacking)

勒索軟體

網路釣魚

EDR-Crowdstrike

結語

區塊鏈技術的應用為金融交易帶來了極大的突破與成長。區塊鏈技術為交易雙方建立起安全的交易環境。區塊鏈的去中心化技術不僅解決了交易第三方的漏洞問題,同時也省下雇請第三方見證的成本。並且建立了可信度高且難以竄改的資料紀錄。即使在當今網際網路的世代仍存在著不少的網路問題,區塊鏈在金融交易仍扮演著舉足輕重的角色。

本文內容純屬筆者個人意見,並不代表TWNIC立場

[1] AWS.什麼是區塊鏈技術?為什麼區塊鏈很重要?.AWS.檢自:https://aws.amazon.com/tw/what-is/blockchain/?aws-products-all.sort-by=item.additionalFields.productNameLowercase&aws-products-all.sort-order=asc

[2] 同註1

[3] Infosec.區塊鏈的網路威脅.Infosec.檢自:https://www.infosec.gov.hk/tc/knowledge-centre/blockchain

[4]Alex Kuo(2022.9.15).iThome.檢自:https://www.ithome.com.tw/pr/153047

 

 

Scroll to Top