区块链存安全隐患，隐私易泄露！报告揭10大问题

《报告》指出，随着区块链技术在国内外政府部门和民生领域的应用不断深入，为上层区块链应用提供存储、传输、计算、开发和测试等资源能力的区块链基础设施成为促进区块链业务主流化的决胜关键。

区块链基础设施通过建立区块链底层架构和平台，为区块链技术、产业和应用落地提供区块链底层核心能力、资源和服务。这可有效解决区块链落地进程中存在的底层性能不足和开发技术门槛过高等问题，逐步成为区块链竞争的新热点领域。

政府层面以欧盟为代表已启动了区块链基础设施建设，行业层面下正在加速各种区块链基础设施建设。例如，区块链即服务(BaaS, Blockchain-as-a-service)，由于其提供了丰富、按需分配的底层技术特点，因此受到了科技巨头、云服务提供商、区块链初创企业的高度关注。

然而，随着区块链的快速发展，也出现了新的风险挑战和不确定因素。相关的安全事件不断涌现。自2020年11月以来，中国信息通信研究院安全研究所公开征集公有链、联盟链和私有链项目，并开展了第一轮区块链基础设施安全测评。

《报告》显示，通过综合分析测评结果，发现参评项目根据不同的链类型可以提供基础性权限管理功能，但网络控制能力有限，采集用户信息类型简单，80%的项目对用户隐私保护仍停留在对隐私数据提供访问管理这种单一保护方式，未对个人隐私进行模糊化处理，通过账户验证就会暴露个人所有隐私信息。

在密码算法方面，国产化程度较高，但密钥存在安全漏洞，密钥全生命周期管理能力参差不齐。此外，参评项目的系统安全运维专业化、精细化程度也有待提升。

经综合评估，《报告》指出了区块链基础设施的十大安全隐患，包括区块链特有入侵行为检测缺失、密钥明文存储、单一外部隔离防护引入横向移动风险、智能合约代码审计覆盖面不全、资源滥用攻击防范检测能力不足、隐私数据未模糊化处理、公有链账户可用性管理不完善、密码更新管理缺失下的默认账户风险、测试环境迁移不完备、密钥存储存在敏感字段等。

在智能合约代码方面，《报告》强调，如果区块链系统不提供智能合约代码审计或仅依赖于内部人工审计方式，区块链系统将面临审计人才短缺、人力成本较高、代码审计效率低下等问题，智能合约极易成为重要风险点。

相应地，《报告》针对这些问题，对区块链基础设施平台提出了十大必知必会安全操作，比如部署专业性全面化的区块链恶意代码检测机制、对进出节点数据流提供细粒度访问控制、采用隐私数据多重保护技术实现内外双重防护。

《报告》还指出，在区块链基础设施加速建设的同时，也带来了区块链基础设施安全市场精细化发展需求。预计2021年至2023年区块链安全领域将涌现区块链安全即服务和区块链安全容器两类新兴安全方向。

本文出品：南都科创工作室，采写：南都记者程小妹。