今天给各位分享区块链支付系统运行风险的知识,其中也会对支付系统的风险进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、 令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1) 在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2) 黑客获得账号后,自动创建交易API,之后便静默潜伏。
3) 3月7日黑客通过盗取的API Key,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1. 算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2. 共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3. 区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4. 系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
近年来,人们跨界交易需求的增长对电子商务支付平台的发展起到了积极的促进作用。为了获取更多的经济效益,部分电子商务支付平台开始在拓展境内支付的同时,将跨界交易作为一项拓展目标。在这一背景中,对于电子商务支付平台而言,如何通过制定跨界电子商务支付优化模式以保障支付安全是其发展面临的主要问题。
一、跨界电子商务支付模式的不足
跨界电子商务支付模式中的不足主要包含以下几种:
(一)支付安全
近年来,随着第三方支付平台的逐渐发展,支付业务变得越来越成熟。但境内支付业务的安全仍面临着诸多威胁,具体体现在以下几方面:第一,跨界支付市场方面。与境内支付市场相比,境外支付市场上停留在初级发展阶段,并未形成完善的市场体系,这一状况对跨界支付系统的防御功能产生了一定的干扰。第二,第三方支付机构方面。在跨界电子商务支付模式中,第三方支付机构中储备着海量资金信息、消费者身份信息,而第三方支付机构的主体以小型企业为主,其在支付网络防御方面不具备优势,当国际网络或不法分子供给跨界支付系统时,很容易引发资金受损、消费者信息泄露等问题[1].
(二)跨界电子商务管理
跨界电子商务管理的不足主要与跨界电子商务支付模式的特殊性有关。与传统支付模式相比,跨界支付模式具有虚拟化、无纸化特征。而跨界电子商务管理工作多建立在纸质交易记录的基础上,这种状况不利于管理工作的开展,导致消费者身份信息及资金信息的安全管理效果欠佳,严重者甚至影响电子商务企业的发展。
二、基于区块链金融的跨界电子商务支付优化模式
区块链金融的出现为跨界电子商务支付模式的变更提供了新的方向。在区块链金融基础上,跨界电子商务支付模式可行的优化策略主要包含以下几种:
(一)跨界支付流程简化策略
跨界电子商务支付模式优化的目的为:通过对支付模式的调整保障跨界支付的安全性。从概率统计角度来讲,跨界支付流程中的环节数量与支付安全呈负相关关系。因此,跨界电子商务支付优化模式可将支付流程简化作为基本目标,进而确保跨界交易的安全完成。
传统跨界商务支付模式主要包含商品结算、用户支付、商品物流传输等。其中,每个环节中的交易流程均需要耗费较长时间,且其安全性有待商榷。引入区块链技术后,基于区块链技术的跨界支付系统可直接对商品结算中的用户身份提取、商品质量验证、商品质量验证等进行智能分析,自动完成一系列验证过程,并生成支付指令,为用户的支付提供可靠的技术支持。经简化的跨界支付流程大大缩小了支付流程中出现信息被盗、资金受损等风险,并提高跨界支付效率,促进企业经营成本的降低。
例如,某跨界支付平台于2016年正式引入区块链技术,构建跨界支付自动化系统。2017年的统计结果显示,该平台2017年的支付安全问题发生率为0.03%,较2015年同期的0.16%发生显着下降。上述数据充分验证了区块链金融在跨界电子商务支付优化模式中的应用价值。
(二)信息核实认证策略
区块链技术的引人可为跨界电子商务支付优化模式提供良好的风险事前控制。利用区块链技术构建区块链金融跨界电子商务支付系统后,系统可于跨界交易发生前,对交易过程中的各类身份信息及支付过程中涉及的子系统进行审核。
具体而言,在跨界支付过程中,区块链系统利用去信任化、去中心化实现事前风险控制:首先,借助区块链技术的随机散列加密算法避免系统数据被伪造等问题;其次,系统可以共识协议为工具,对跨界交易中的境外交易主体、商品信息进行事先核查,如确认相关信息符合共识协议的要求,可允许用户与交易主体发生交易;如不符合共识协议的要求,则将其剔除于区块链系统外。最后,系统还可运用跨界电子商务支付合约对跨界支付中的海关系统、物流配送系统谨慎审查,如出现不符合现象,则会阻断完整支付链条的建立,保障用户的资金安全及身份信息安全,降低金融犯罪行为的发生率。例如,某电子商务企业利用区块链金融构建区块链系统后,系统运行1年后,安全问题发生率由6.25%降至3.04%.
(三)强化信息对称策略
在传统跨界电子商务支付模式中,用户与境外售卖主体之间存在信息不对称现象,这种状况是威胁跨界支付安全的主要因素。区块链技术的引入为用户提供了一个信息对称的交易平台,其原理为:当用户(消费者)对区块链系统提出交易申请时,区块链系统会以共识协议为参照,对用户提交请求中的商品信息、售卖者信息进行审核,经审核确认相关信息未违背共识协议中的相关条例后,区块链系统可自动为用户生成支付命令,即通过用户的支付请求[2].同时,系统将自动将整个交易过程中涉及的用户身份信息、售卖者身份信息、商品信息等逐一录入系统对应模块中。在这种跨界支付优化模式下,用户信息、售卖者信息的验证均由区块链系统自动完成,可有效避免传统跨界支付模式中的信息不对称问题,并确保整个交易过程的透明度。
例如,某跨界电子商务支付平台利用区块链技术组件了区块链金融跨界支付系统,系统运行半年后,用户(消费者)对该支付平台的满意度由原本的73.26%提升至85.20%,且信息对称、支付安全是用户对该支付平台满意的两条主要原因。因此,电子商务企业应于跨界电子商务支付平台系统构建中引入区块链技术,以提高跨界交易的安全陛。
三、结论
综上所述,传统跨界电子商务支付模式中存在诸多不足,建立跨界支付优化模式具有一定的必要性。为了实现上述目的,跨界支付平台可将区块链技术引入跨界支付平台中,利用区块链技术的去中心化、去信任化等优势,为用户营造安全的支付平台,降低用户身份信息被盗、资金损失等安全问题的发生率。此外,随着技术的不断更新,区块链金融与跨界电子商务支付优化模式之间的关联将变得越来越紧密,有助于跨界支付安全水平的提高。
区块链应用有数学货币、支付清算、数字票据、权益证明、银行征信
各个应用具体讲解如下:
1、数字货币
目前区块链技术最广泛、最成功的运用是以比特币为代表的数字货币。近年来数字货币发展很快,由于去中心化信用和频繁交易的特点,使得其具有较高交易流通价值,并能够通过开发对冲性金融衍生品作为准超主权货币,保持相对稳定的价格。数字货币建立了主权货币背书下的数字货币交易信用,交易量越大,交易越频繁,数字货币交易信用基础越牢固。一旦在全球范围实现了区块链信用体系,数字货币将成为类黄金的全球通用支付信用。
2、支付清算
现阶段商业贸易交易清算支付都要借助于银行,这种传统的通过中介进行交易的方式要经过开户行、对手行、央行、境外银行。在此过程中每一个机构都有自己的账务系统,彼此之间需要建立代理关系,需要有授信额度;每笔交易需要在本银行记录,还要与交易对手进行清算和对账等,导致交易速度慢,成本高。与传统支付体系相比,区块链支付为交易双方直接进行,不涉及中间机构,即使部分网络瘫痪也不影响整个系统运行。如果基于区块链技术构建一套通用的分布式银行间金融交易协议,为用户提供跨境、任意币种实时支付清算服务,则跨境支付将会变得便捷和成本低廉。
以跨境汇兑为例,如果我在本国的一家小型银行开户,向境外另一家小型银行汇款,传统SWIFT体系下的转账过程中需要如下步骤:第一,我向自己所属的小型银行提交申请;第二,小型银行向签有汇兑条款的同国大型银行提交申请;第三,大型银行电汇境外合作银行;第四,合作银行向境外小型银行汇款。目前而言,根据所在国不同,该过程需要10分钟到两天不等。如果使用基于区块链的结算技术,在汇出人民币的同时在做市商处进行挂单,世界上某个参与体系的交易银行接单,双方握手从而完成兑换,支付平均确认的速度则在几秒之内。
3、数字票据
数字票据是结合区块链技术和票据属性、法规、市场,开发出的一种全新的票据展现形式,与现有的电子票据体系的技术架构完全不同。数字票据的核心优势主要表现在:一是实现票据价值传递的去中介化。在传统票据交易中,往往票据中介利用信息差进行撮合,借助区块链实现点对点交易后,票据中介将失去中介职能,重新进行身份定位。二是有效防范票据市场风险。区块链由于具有不可篡改的时间戳和全网公开的特性,一旦交易,将不会存在赖账现象,从而避免了纸票“一票多卖”、电票打款背书不同步的问题。三是系统的搭建和数据存储不需要中心服务器,省去了中心应用和接入系统的开发成本,降低了传统模式下系统的维护和优化成本,减少了系统中心化带来的风险。四是规范市场秩序,降低监管成本。区块链数据前后相连构成的不可篡改的时间戳,使得监管的调阅成本大大降低,完全透明的数据管理体系提供了可信任的追溯途径,并且可以在链条中针对监管规则通过编程建立共用约束代码,实现监管政策全覆盖和硬控制。
4、权益证明
区块链每个参与维护节点都能获得一份完整的数据记录,利用区块链可靠和集体维护的特点,可对权益的所有者确权。对于存储永久性记录的需求,区块链是理想解决方案,适用于土地所有权、股权交易等场景。其中股权证明是目前尝试应用最多的领域,股权所有者凭借私钥,可证明对该股权的所有权,股权转让时通过区块链系统转让给下家,产权明晰,记录明确。整个过程无需第三方的参与。
在伦敦举办的2015年欧洲卓越贸易技术金融新闻奖的主题演讲中,纳斯达克首席执行官BobGreifeld宣布,该交易所打算使用区块链技术管理代理投票系统。代理投票本来是由一家上市交易所使用的一项重要而又费时的操作,区块链技术的应用可以让股东们不必出席公司周年大会就能参与投票,人们用自己的手机就能投票,并且永远保存投票记录。区块链技术被视为股权交易领域能够在更短时间内确保透明交易的先进技术。
5、银行征信
目前,商业银行信贷业务的开展,无论是针对企业还是个人,最基础的考量是借款主体本身所具备的金融信用。各家银行将每个借款主体的还款情况上传至央行的征信中心,需要查询时,在客户授权的前提下,再从央行征信中心下载参考。这其中存在信息不完整、数据不准确、使用效率低、使用成本高等问题。在这一领域,区块链的优势在于依靠程序算法自动记录海量信息,并存储在区块链网络的每一台计算机上,信息透明、篡改难度高、使用成本低。各商业银行以加密的形式存储并共享客户在本机构的信用状况,客户申请贷款时不必再到央行申请查询征信,即去中心化,贷款机构通过调取区块链的相应信息数据即可完成全部征信工作。
总之,区块链已经成为金融业创新的热点之一,但是,作为新生技术,区块链同样也存在着相当大的风险。目前基于区块链技术的结算体系对监管风险非常敏感,如果参与者担心监管政策的不确定性,可能会导致支付体系因不稳定而崩溃。另外,由于其运营权由开发商掌握,显而易见的技术缺点在于,如果运营商本身掌握全网51%以上的算力,就能够实现双重支付,导致信任崩溃。这也是区块链技术在应用过程中需要解决的重要课题。
区块链目前面临的挑战有哪些
现阶段,区块链领域的应用项目主要分为两个方面:一是与区块链技术较为匹配的新商业模式,比如跨境支付、供应链金融、产品溯源等等场景;二是基于已有中心化业务进行改革的应用,即利用Token的经济激励机制。
随着技术的发展,该领域应用项目的数量正迅速膨胀,不少人认为2018年将会是区块链真正与实体经济结合并爆发的一年。不过区块链技术当前仍处于早期发展阶段,面临着包括监管环境、人才匮乏、技术认知等方面的挑战。
从技术层面来看,将区块链技术应用至实际行业场景中,需要解决交易速度、数据共识、节点维护等问题。当前比特币网络每秒仅能处理七笔交易,而较为领先的超级账本技术也只能达到200到300笔的水平;这与每秒上万笔交易处理能力的中心化系统相比,还有一大段距离。此外,目前领域内缺乏相关激励机制,使得参与节点间较难有序运行。从监管层面来看,虽然大部分国家都积极拥抱区块链技术,但是现阶段还未有较为完善的监管法规及行业标准。而不适当的监管措施,或许会阻碍着这类新兴技术的创新发展。
受到底层技术有待进一步成熟、智能合约公链平台缺乏、各类Token生态兼容不足、政府监管不明等等多方面因素的影响;现阶段区块链应用项目的落地较为缓慢,同时还呈现出项目质量良莠不齐的情况。为此分析人士表示,相较于通用型区块链,短期内将得到突破的或许是面向特定场景及应用的聚焦式区块链。
虽然在资本和人才涌入的推动下,区块链行业迎来快速发展,但是作为一个新兴产业,其安全漏洞频繁示警的状况引发了人们对区块链风险的担忧。
国家信息技术安全研究中心主任俞克群指出,对于隐私暴露、数据泄露、信息篡改、网络诈骗等问题,区块链的出现给人们带来了很多期望。但区块链的安全问题依然存在诸多的挑战。
俞克群表示,目前区块链还处在初级阶段,存在着密码算法的安全性、协议安全性、使用安全性、系统安全性等诸多的挑战。
国家互联网应急中心运行部主任严寒冰也指出,区块链如果要在全球经济占有重要地位,必须首先解决其面临的安全问题。
严寒冰指出,区块链安全问题包含多个方面。比如说传统的安全问题,包括私钥的保护,包括应用层软件传统的漏洞等。另外,新的协议层面也有一些新的协议带来的漏洞。
去中心化漏洞平台(DVP)提供的数据也显示区块链安全问题的严峻性。DVP负责人吴家志透露,自7月24日来的一周内,DVP就已经收到白帽子所提供的312个漏洞,涉及175个项目方。其中包括智能合约、知名公链,交易所等一系列项目。高危漏洞达122个,占所有漏洞的39.1%,中危漏洞53个,占所有漏洞的17%。
中国信息安全测评中心主任助理李斌分析说,当前区块链分为公有链、私有链、联盟链三种,无论哪一类在算法、协议、使用、时限和系统等多个方面都面临安全挑战。尤为关键的是,目前区块链还面临的是51%的攻击问题,即节点通过掌握全网超过51%的算例就有能力成功的篡改和伪造区块链数据。
值得注意的是,除了外部恶意攻击风险,区块链也面临其内生风险的威胁。俞克群提醒说,如何围绕着整个区块链的应用系统的设备、数据、应用、加密、认证以及权限等等方面构筑一个完整的安全应用体系,是各方必须要面临的重要问题。
吴家志也分析说,作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞,此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力来解决问题。迎接上述挑战需要系统化的解决方案。
内容来源 中新网
关于区块链支付系统运行风险和支付系统的风险的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
评论