信息化觀察網(wǎng)

6月3日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）正式上線區(qū)塊鏈漏洞子庫(kù)CNVD-BC。CNVD區(qū)塊鏈漏洞子庫(kù)由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)營(yíng)，技術(shù)支持單位為成都鏈安科技有限公司。

目前，區(qū)塊鏈技術(shù)已廣泛應(yīng)用在數(shù)字金融、物聯(lián)網(wǎng)、智能制造、供應(yīng)鏈管理、數(shù)字資產(chǎn)交易等多個(gè)領(lǐng)域，作為構(gòu)成我國(guó)信息化基礎(chǔ)設(shè)施的一項(xiàng)重要技術(shù)，其安全能否得到保障影響到我國(guó)社會(huì)經(jīng)濟(jì)活動(dòng)。

記者觀察發(fā)現(xiàn)，當(dāng)前收錄的區(qū)塊鏈相關(guān)漏洞基本上都是公鏈漏洞，以中危漏洞為主。據(jù)CNVD統(tǒng)計(jì)，當(dāng)前已收錄區(qū)塊鏈相關(guān)漏洞247個(gè)，其中高危漏洞60個(gè)，中危漏洞173個(gè)，低危漏洞14個(gè)。其中，公鏈漏洞數(shù)量占比為99.59%，外圍系統(tǒng)占比為0.41%，聯(lián)盟鏈為0。以此計(jì)算，現(xiàn)有247個(gè)漏洞中有246個(gè)為公鏈漏洞，1個(gè)為外圍系統(tǒng)漏洞。

相較于聯(lián)盟鏈而言，公鏈確存較大的安全性問題。某區(qū)塊鏈技術(shù)專家對(duì)《證券日?qǐng)?bào)》記者分析道，“公鏈?zhǔn)悄涿覠o準(zhǔn)入控制，作惡難以被發(fā)現(xiàn)，此外，公鏈應(yīng)用發(fā)布沒有審核，上鏈應(yīng)用質(zhì)量參差不齊，這或是公鏈漏洞較多的主要原因。對(duì)比而言，聯(lián)盟鏈采用實(shí)名制，有嚴(yán)格的準(zhǔn)入控制。業(yè)務(wù)協(xié)作的組織在相互信任的基礎(chǔ)上才會(huì)組建聯(lián)盟鏈，不相關(guān)的組織或個(gè)人并無物理訪問的權(quán)限，因此相對(duì)安全，另外，組織內(nèi)惡意作惡很容易通過審計(jì)發(fā)現(xiàn)，作惡會(huì)被懲罰。”

CNVD區(qū)塊鏈漏洞子庫(kù)的上線有利于提升區(qū)塊鏈技術(shù)安全水平?；饚叛芯吭焊呒?jí)研究員趙文琦對(duì)《證券日?qǐng)?bào)》記者表示，此類漏洞庫(kù)在傳統(tǒng)的信息安全領(lǐng)域已長(zhǎng)期存在，其中最著名的是CVE（

CommonVulnerabilitiesandExposures）平臺(tái)，各大公司或組織如Apache、Linux等也維護(hù)了相應(yīng)的漏洞平臺(tái)。“在區(qū)塊鏈行業(yè)，面向細(xì)分領(lǐng)域，如區(qū)塊鏈底層系統(tǒng)、分布式協(xié)議、智能合約、去中心化應(yīng)用及周邊軟件等，建立相應(yīng)的漏洞平臺(tái)有助于提升各領(lǐng)域的安全性。此次區(qū)塊鏈漏洞子庫(kù)的上線補(bǔ)充了我國(guó)在這一領(lǐng)域的缺失。依據(jù)傳統(tǒng)安全領(lǐng)域的經(jīng)驗(yàn)，在未來，不同區(qū)塊鏈平臺(tái)及服務(wù)提供機(jī)構(gòu)可能會(huì)陸續(xù)推出面向各自應(yīng)用生態(tài)的漏洞庫(kù)。”趙文琦進(jìn)一步說道。

進(jìn)一步而言，從長(zhǎng)期來看，區(qū)塊鏈漏洞凸顯出的安全問題則需要社會(huì)各方力量攜手推進(jìn)解決。據(jù)悉，CNVD區(qū)塊鏈漏洞子庫(kù)充分依托國(guó)家級(jí)網(wǎng)絡(luò)安全資源，通過號(hào)召和引導(dǎo)區(qū)塊鏈安全廠商、白帽子、區(qū)塊鏈企業(yè)等多方共同參與區(qū)塊鏈安全生態(tài)建設(shè)，提高我國(guó)區(qū)塊鏈漏洞和安全事件的發(fā)現(xiàn)、分析、預(yù)警，以及整體研究水平和應(yīng)急處置能力，為我國(guó)區(qū)塊鏈行業(yè)安全保障工作提供重要技術(shù)支撐和數(shù)據(jù)支持。