区块链部署中的风险管理 - Trail of Bits 博客
Trail of Bits 发布区块链操作风险评估报告
2022年6月24日 | 标签:区块链, darpa, 新闻稿
是否需要区块链?如何选择?
Trail of Bits 最新发布的区块链操作风险评估报告指出,随着企业日益关注区块链及分布式账本技术(DLT)的创新优势,决策者必须审慎评估采用这类技术的风险与实施方案。报告重点探讨了运营区块链服务组织、管理钱包与加密密钥、依赖第三方API供应商等环节的风险缓解策略。
技术架构与风险维度
区块链与传统数据存储方案在约束条件、安全特性和资源需求方面存在显著差异。报告通过决策树、对比表和风险影响矩阵等工具,帮助读者根据具体场景选择合适的技术方案:
关键技术洞察
-
共识机制风险差异
工作量证明(PoW)技术的风险认知度远高于权益证明(PoS)、权威证明(PoA)和销毁证明(PoB)等新型共识机制 -
密钥存储核心风险
“存储问题”是首要风险——并非加密货币本身的存储,而是控制地址所有权的加密私钥的存储。密钥泄露或短暂失控可能导致资金瞬间永久丢失 -
硬件安全方案实践
专业密钥存储硬件(HSM或硬件钱包)在正确设计和使用时可有效提升安全性,但现有硬件解决方案仍存在缺陷 -
多层防御策略
资金隔离与多签钱包是有效的安全控制措施,可与HSM形成互补防御体系 -
第三方API风险
第三方API提供商的安全漏洞或服务中断属于次要风险,需通过应急计划进行缓解 -
算力中心化监控
矿工算力集中化是系统性风险,可能引发区块链操纵和货币操纵,需要持续监控 -
安全评估实践
尽管多数区块链软件是开源的,但缺乏知名应用安全团队的正式评估。建议定期进行安全审查,并通过网络分段防止漏洞暴露
技术合作背景
本报告基于2018年Trail of Bits与高盛合作的加密货币风险框架研究,并整合了为美国国防高级研究计划局(DARPA)完成的区块链基础属性与网络安全风险研究项目成果。
本研究由Trail of Bits基于DARPA资助项目(合同号HR001120C0084)完成。报告观点仅代表作者立场,不代表美国政府或DARPA的官方立场。