区块链安全风控系统设计区块链技术架构安全要求

超果比特币 2023-02-14 215 0

本篇文章给大家谈谈区块链安全风控系统设计，以及区块链技术架构安全要求对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

Chainge技术沙龙（0414）-区块链技术的安全隐患

虚拟机设计

零钱整理

慢雾科技介绍

01| The Dao事件

以太坊第一个安全大事件

智能合约的取款

新建一个Bank区块链安全风控系统设计，存入一部分钱，用Dao框架不停取钱。

取款-判断余额-取款操作框架-转空该账户下的所有钱。

简单的例子就是，你的银行卡有余额100万，你需要买一个10块钱的饮料，但是支付的过程有漏洞，所以你银行卡的所有钱都被转走。

一、外部调用

02| 以太坊黑色情人节

起源区块链安全风控系统设计：第一转账时间是2.14

ETH节点统计

客户端、客户端版本、OS系统。整个系统的庞杂

蜜罐检测（部署陷阱能检测出黑客的点来）

net_version

判断是主网还是测试网，只攻击主网

3000+主网节点完全暴露

eth_accounts

获取钱包账号，涉及钱包账号

eth_getBanlance

获取有多少钱，被盗46000+ETH

why?

unlockAccount 函数介绍

该函数将使用密码从本地的keystore 里提取private key 并存储在内存中,函数第三个参数duration 表示解密后private key 在内存中保存默认是300 秒; 如果设置为0,则表的时间，示永久存留在内存，直至Geth/Parity 退出。

详见:

节点存用户的keystore信息（严重危险）

eth_getBlockByNumber

墨子扫描引擎，扫描有问题的节点，慢雾的以太坊安全事件的披露

被盗ETH，市值，被盗钱包数

具体内容可以查看慢雾发布的以太坊黑色情人节专题

生态相关

ETH：矿池、钱包、web3、smart contract、dapp

BTC:矿池、钱包、Lightning Network

BTC RPC

防御建议

管理数十万用户安全的接近百万的比特币

华人世界唯一被bitcoin.org网站展示的钱包

比特派多种区块链资产（BTC、ETH、Token、分叉）

冷热结合，确保安全

比特派-热钱包

比特护盾-冷钱包/硬件钱包

区块链安全事件

私钥决定区块链安全风控系统设计了区块链资产的所有权，丢了私钥也就相当于丢了一切。私钥就是一个随机数，这个随机数的概率空间很大(256 位，即2^256)

钱包=生态入口

需要在安全的同时做到尽可能的开放

玩法的开放，技术的开放，通用的技术接口，生态的开放，把自己的资源进行导入。合作伙伴计划：技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助伙伴实现区块链转型或区块链项目孵化，安全、便捷实现真正落地的区块链应用场景。

联系方式 B@bitpie.com

用户风控系统，数百万的数字货币用户。

最大可能保持区块链安全风控系统设计我们的数字资产

骗子故事：抢数字货币份额，钱没到账，冒充官方，交出助记词

恶意钱包地址库

诈骗钱包、黑客钱包、羊毛党钱包

恶意网站库

钓鱼网站、空投网站、交易所、众筹

风险合约库

重名币、空格币、风险合约

安全事件库

历史安全事件提醒

区块链是解决风控系统问题的答案

金融有三个要素:安全性收益性流动性

而这三者有一一个共通之处，即现在与未来在空间和时间，上的冲突。冲突就是不安定的因素，必须通过权力的设计进行约束，而这个权力设计的约束就是控制。这个控制的过程，对应的是等价的交换原则,或者说是冲突性的防御性设计。原文链接

下面看一看这个防御性设计的原理：

首先，我们需要做评估。先看一下风险评估的定义:

在风险事件发生之前或之后(但还没有结束)，对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。

也就是说，风险评估就是量化地测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度讲，风险评估是对信息资产（即某一事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。我们需要意识到，人是有动机的，而机器和程序只有指令。这是人和机器的重要差别。

下面是在风险控制之防御性设计的过程管理中所面临的问题:

要确定保护的对象(或者资产)是什么？它的直接和间接价值如何？

资产面临哪些潜在威胁？是什么导致了威胁？威胁发生的可能性有多大？

资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？

一旦威胁事件发生，则组织会遭受怎样的损失或者面临怎样的负面影响?

组织应该采取怎样的安全措施才能将风险带来的损失降到最低?

而解决以上问题的过程，就是风险评估的过程。

在进行风险评估时，有几个对应关系必须要考虑:

每项资产可能面临多种威胁

威胁源(威胁代理)可能不止一个

每种威胁可能利用一个或多个系统弱点

风控系统就是关于动机及过程管理的体系。而动机和过程管理正是风控体系的基本逻辑。你有没有发现，这些都是人的设计。人的设计，基于知识结构和经验判断。基于案例和统计学的原理，就有了尽职调查。

然而调查的根源是空间和时间的不确定性；调查的动机是为了使未来和现在达成共识。请注意，这依然还是人的设计。正如所有的调查报告都是人写的，人参考的资料和数据也是人写的。那么，重点来了，人设定的程序，能不能被技术取代？这个问题在过去可能是无解的，如今它有了答案。

这个答案可能就是区块链。

区块链范式下的风险控制：降低战略风险，可预见型风险

马尔科·扬西蒂（Marco Iansiti）卡里姆·拉哈尼（Karim Lakhani），《哈佛商业评论》中文版2017年1月，《区块链真相》一文

在技术创新领域的研究经验告诉我们，只有消除在技术、政府管控、组织和社会等多方面的障碍，才有可能真正发生区块链革命。若不清楚区块链将如何占领高地，贸然开始区块链创新就是个错误。

系统性风险。说到系统性风险，就不得不提及像2008年到2009年的金融危机之后的信贷紧缩这样的全球经济戏剧性衰退。对于大部分公司来说，那是一个无法预测也无法控制的外部事件。全球监管者重塑了金融世界，以避免类似的危机，其战略中很重要的一步是增强了中央对手方（CCP）的角色。CCP是在一项金融交易中插入交易双方中间的一个实体。在双方都同意进行交易之后，CCP就成为对任意买方的卖方和任意卖方的买方。在此过程中，CCP通过结网降低交易对手信用和流动性的风险暴露，减少了当一方违约时交易双方的直接接触的风险，但这么做的风险仍然集中。CCP的主要角色是：1.管理结算运行任务，降低结算风险；2.通过会员身份批准和实行保证金（最初的和变化的）监控个人的信用风险，提供透明的风险管理；3.处理违约方；4.监督市场上的系统风险。

在以区块链为基础管理的金融市场中，许多CCP的原则可能会被淘汰。可以设想到的是，CCP的功能1和2将会被智能合约替代。DAOs的设计使交易双方发生关系，一旦植入在智能合约中的某些条款被触及，应收款项就能自动从一方转到另一方。CCP的功能3和4也可以被区块链技术提高，但它不太可能完全实现自动化，因为其对定向性程度和大型场景分析能力要求较高。相关区块链创业公司如Digital Asset Holding和D-Pactum正在与CCP展开合作，在不改变最近法律法规给予CCP的角色基础上，朝着分布式账本和智能合约的方向重新设计他们的技术。这可能会发展成为增加金融系统复原力的根本性措施。在分布式账本上，可以设计出透明、标准化的交易流程，资本和保证金的相互关系可以自动发生，因此降低了中间管理者的风险负担。通过把各个参与方签订智能合约编码，管理危机事件的规则可以做到尽可能的确定性。

网络风险。这是我们要分析的最后一个外部风险，但并非最不重要。的确，对于网络风险或关键基础设施故障（如控制系统、能源、交通、电信和金融基础设施）相关风险的不理解或不重视，有可能对国家经济、多个经济部门和全球企业造成深远影响。进行风险评估和设置风险管理系统的责任现在落在了每个企业身上，但它们内部实践和流程千差万别，风险管理系统不成熟的小企业在这种情况下更易遭受网络攻击。

区块链是一种可行的解决方案吗？毫无疑问。数字货币的发展延伸了密码学的安全使用，并且创造了一种商业模式，针对网络攻击有了新型的复原力。在分布式账本上的一套完整系统可以提供比公司标准防火墙技术更高级别的网络安全。因为分布式账本是自动化的，并且由于信息共享的原则和共识协议的鲁棒性，账本历史是无所不在且无法更改的。因此在该系统中，高科技网络攻击可以在发生之前被阻止。

然而，在分析外部风险的最后，值得注意的是数字货币的出现第一次创造了一种与国家、跨国政府决策或是任何实体经济都不相关的流通货币。实际而言，数字货币价值的波动幅度巨大，但其方向和时间与市场不同，从而保持了与某国货币或股票市场非相关性。因此，比特币被称为“数字黄金”，和黄金一样，数字货币已被用作避险资产，限制宏观经济风险的影响。

总之，在深入挖掘区块链在风险管理方面的惊人效用之前，要明白区块链不是万能解药。它应该被看作是构建下一代风险管理基础设施的众多技术之一。

区块链风控是什么意思

区块链风控的意思是

我国的供应链金融实践已经有10年以上的时间。银行作为资金端的主力，风控逻辑主要依赖核心企业的信用背书，在风险规避的策略下，质押担保是主要的授信策略，如存货质押、应收账款融资、预付款融资等。而购买债权的保理业务占比较低，贸易融资的自偿性特性没有得到充分利用。这与银行的信用创新技术和风控方法有着密切联系，银行对于交易真实性的判断与票据审查，仍然具有诸多技术上的困难。

区块链架构提供“穿透”多层交易结构的信用技术，使得银行可以对远离核心企业的节点进行授信。现有的供应链金融，核心企业的信用杠杆一般只能传递给一级供应商或一级经销商，而对于二级以上的供应商与经销商，由于缺少与核心企业的直接交易关系，银行因核心企业无法进行信用背书而不能提供融资服务。在区块链架构下，可以构建多节点参与的交易关系，依据ERP构建连续的合同关系，再结合云仓库、VMI等库存管理模式，使得全链都可以获得核心企业的信用支持。

区块链架构可以打通银行急需解决的信用瓶颈。虚拟系统对于供应链金融的最佳支持，是对于全链所有节点交易的可视化，不仅包括线上的交易链（商流），而且包括交易的各类支持流程，如线下的物流、单证流、价值交换的真实证据等，只有当银行认为已经获得足够、充分的信息时，才能排除质押品风险，充分的授信服务才可能实现。

1.从虚拟到平行、交互

快速发展的电子商务、科技金融、虚拟现实和其他众多的智能技术，已经根本性地改变了现代商业的采购、生产、营销、消费等模式，形成了现实物理世界与虚拟网络空间紧密耦合、虚实互动、协同演化的平行世界。

可靠的数据是虚拟世界存在的基础。基于区块链架构构建的虚拟系统，在“双工交互”模式下，能实现与真实系统同构的方式反映交易历史，实际上虚拟系统已经具有客观实在性，因为虚拟系统不再是原来可以任意删改的信息系统，而是与真实系统相对应的平行系统，现实系统与虚拟系统具有相同的真实性，所以虚拟系统的信用也是真实可信的，这对于以“真实性”为本的金融业务的开展具有极大的支撑作用。

区块链架构下的虚拟系统是平行于真实系统的。或者说，在区块链架构下，人可以理解的系统分为两个世界（由两个世界组成），这两个世界都是真实的，互为补充、交互执行。

2 政府节点的重要性

政府各相关部门具有丰富、高质量的信用信息资源，如工商、税务、公安、海关、检验检疫等部门。这些部门的信息获取具有严格的要求并受国家法规的保护，是建立在自身业务范围基础之上的，但是缺乏统一标准。

政府部门的信息一般对内交流，不与社会商业系统进行互通交换、资源共享。而在现有供应链金融的平台中，信用信息资源分散、透明度低、获取信息的难度大、成本高，较大地制约了信用创新及信用评级业务本身。政府部门大量有价值的信息资源处于闲置和浪费的状态中，这甚至是商业信用创新的一个“瓶颈”问题。

以外贸为例，有运输服务、港口及空港物流园区（保税）、海关及电子平台、检验检疫、综合服务平台（如一达通）及大量功能性服务机构。在管理及效率的驱动下，近年来各类机构及平台不断创新服务模式，在效率上取得较大的进步。但在实践中，贸易便利性问题仍然没有得到很好地解决。目前，主要问题是海关、港口、物流园区的服务功能并不以“贸易”本身为中心来构建，这就给平台的金融服务创新造成极大的困难。

参考国外的先进模式，商业平台的构建以“贸易”为中心，是整合各政府服务部门、职能部门、运作实体的大服务平台。以贸易为中心，是把以“商流”为中心的交易网作为最高层次的平台，其他平台、实体、职能机构围绕交易平台来展开和对接服务、衔接流程，最终的目标是实现“贸易便利化”。这种模式将为供应链金融服务的导入和创新提供巨大的空间，便利化的结果是交易成本的快速下降。这也是我国发展实体经济的重要策略之一。

未来，大型平台中的供应链金融必然要将政府节点的引入作为区块链架构的关键之一。政府节点加入后，高质量的信用信息可以增强系统整体信用，也将促进参与交易的各方守信并增加动力，为金融服务的创新和融资范围的扩大提供有利的条件。

区块链架构并不是去中心化，而是减少传统的信用中介成本，政府节点的加入并不会导致中心化模式的出现，政府节点与其他节点处于平等的地位，政府节点并不实施控制权，而是在公开环境下实施行政职能。资料整理自网络，更多干货关注e票通！

区块链安全风控系统设计的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于区块链技术架构安全要求、区块链安全风控系统设计的信息别忘了在本站进行查找喔。