区块链技术是分布式数据存储、点对点传输、共识机制、密码、智能合约等计算机技术
在互联网时代的创新应用模式和融合技术,面临着与其他信息系统相似的安全风险,也因为
区块链的多方参与和分布式特点带来了新风险。
A.1 区块链密码支撑安全风险
A.1.1 密码技术安全风险
区块链中采用的密码技术面临的安全风险,包括但不限于:
a) 密码算法设计、实现或使用不当,随机数质量不佳,可导致算法存在缺陷,数据不
可信、共识机制失效、信息不完整等多重问题;
b) 密码协议使用不当,可导致服务质量无法保障、身份认证机制存在漏洞,用户隐私
信息泄漏、数据不完整等问题。
密钥的生成、密钥生命周期管理不当,可导致系统安全无法保障,数据不完整,恶
意交易被执行等众多问题。
A.2 区块链安全功能组件面临的安全风险
A.2.1 区块链应用安全风险
区块链业务应用中,终端用户面临的安全风险,包括但不限于:
a) 用户合法身份、口令和密钥等关键信息监管不当,会导致隐私信息被恶意利用、非
授权访问、业务错误以及隐私泄露等问题;
b) 数字资产存储不当或防护措施不当,会导致数据泄漏或丢失、密钥泄漏、用户资产
受威胁以及系统安全性下降等问题;
c) 用户权限设置不当或权限过大,会导致数据泄漏、权限滥用等安全隐患。若审计信
息缺失,会导致无法对交易及时间进行追溯的问题;
d) 钱包使用不当或私钥生成、存储或使用不当,会导致网络钓鱼、键盘记录器、cookie
劫持、云端拖库、撞库、木马以及暴力破解等问题。
a) 智能合约存在设计缺陷或缺乏验证机制,会导致代码漏洞、整数溢出以及业务逻辑
异常、未授权访问,以及程序无限循环,导致系统资源耗尽等问题;
b) 智能合约的恶意调用会导致业务错误、合约控制流劫持,甚至拒绝服务、系统崩溃
等威胁区块链安全问题;
c) 智能合约误操作或执行异常未被及时发现,会导致账本数据受损、业务错误等问题;
d) 合约虚拟机出现漏洞,会导致资源滥用、堆栈溢出漏洞、业务逻辑异常等问题。