文中国信息通信研究院云计算与大数据研究所何张
自2008年比特币诞生以来,区块链技术引起了全世界的关注,其应用范围也从加密货币和数字资产交易逐渐扩展到供应链协同、产融协同、社会治理、政府管理等领域。区块链有望重构人类社会的组织模式、合作模式和资源配置模式,推动价值互联网的深入发展。在可预见的未来,越来越多的行业将采用区块链技术来运行他们的业务,甚至是他们的核心业务。因此,迫切需要高度重视区块链技术应用的安全风险,并采取合理有效的防范措施。
一.区块链的主要安全风险
区块链是多项信息技术的组合创新。具有去中心化、信息不易篡改、透明可追溯、建立信用方便等特点。在重构各类行业组织的传统商业模式方面具有独特优势。与传统的由一方独立建设和运营的信息系统不同,区块链系统需要将信息存储在许多不同参与者的节点上,并通过一套机制保证数据的一致性,使各项业务能够正常运行。因此,区块链安全风险既有技术本身的缺陷,也有相关数据和应用缺乏有效管理的原因。与此同时,在重构现有商业模式的基础上,区块链创造了各机构间可信协作的新商业模式,产生了新型的市场主体,这也对现有的全球监管体系提出了巨大挑战。为了便于分析,本文将区块链安全风险分为技术、数据、应用和运营主体几个维度,分别进行讨论。
(一)技术层面的安全风险
区块链集成了加密算法、对等网络、共识机制、智能契约等信息技术。而且每项技术的整体发展尚未完全成熟,这使得区块链在算法、协议和应用方面仍然存在多种安全威胁,主要体现在以下几个方面。
密码安全:目前基于区块链的算法主要有公钥算法和哈希算法。它的安全性来源于数学难度,相对安全。然而,我国大多数区块链系统仍然采用国际通用的密码算法,如SHA256、ECC椭圆曲线算法等。加密算法和相关硬件容易被人控制,迫切需要用国家秘密算法来替代。同时,随着高性能计算和量子计算的发展和商业化,目前所有的加密算法都有被破解的可能,这对区块链也是一个威胁。
协议安全性:在区块链中,如果一个节点可以控制全网51%的计算能力,就可以伪造或篡改区块链的数据。目前在电子货币的典型应用场景下,是得不偿失的。但是,随着区块链应用范围的扩大,攻击者为了达到某些目的,有可能实施这种攻击。
应用安全:在区块链的编码和运行的应用系统中,不可避免地会存在许多安全漏洞。针对这些漏洞的攻击与日俱增,对区块链系统的安全性造成了极大的影响。
智能合约安全:智能合约已经成为区块链系统的重要组成部分,其中部分区块链系统完全采用智能合约来完成转账、权限管理等核心操作。智能合约的完整性和安全性成为区块链系统安全的关键要素。
总的来说,智能合同对区块链的安全影响最大。根据白帽对2011-2019年区块链相关安全事件的统计,区块链技术安全风险主要集中在应用层和合同层。尤其是2019年,合同层引发的安全事件数量已经占到所有事件的75%,合同层安全已经成为区块链泰克的首要风险因素
区块链是一个只能添加额外信息的系统,其链中存储的数据不能被替换、删除或篡改。其中,比特币、以太坊等公链数据的写入权对所有用户开放,写入的信息永远不能删除。这使得无法修改人为的恶意信息书写或敏感信息误操作,容易导致敏感和非法信息书写的滥用,给社会造成新的问题。
例如,德国亚琛大学的学者发现,目前比特币的区块链中存储了大约1600个文件,其中至少有8个是色情内容,1个是疑似虐童图片,2个包含虐童内容的链接,142个链接指向黑暗网络服务。由于上述内容无法删除,每个比特币记账节点都存储了上述信息,给比特币系统和记账节点的合法性带来巨大隐患。
随着公链功能的拓展和用户的增加,滥用非法数据内容写入已经成为所有公链的通病。这种行为引发的问题主要包括侵犯版权、恶意软件传播、侵犯隐私、政治敏感内容传播和有害内容传播。各种问题的违法内容和威胁对象见表1。
(3)应用层安全风险
目前,区块链的应用广度在不断扩大,但加密货币仍是目前区块链最成熟的应用之一。区块链的一些加密货币是不可撤销和未经审查的,因此很容易被各种不法分子用于非法交易,如恐怖融资、非法武器或毒品交易、毒品交易等。具体而言,与加密货币有关的犯罪行为包括:
一是打着虚拟加密货币的旗号误导公众,吸收公众资金。这种行为可能包含实际业务行为,难以判断是否存在主观故意,可能被定性为非法吸收公众存款,甚至集资诈骗。
二是利用加密货币的匿名性从事暗网非法交易。据统计,2019年年中,仅比特币(BTC)就在暗网市场创下了超过10亿美元的交易记录。除此之外,还有门罗币(XMR)、莱特币(LTC)、大零币(ZEC)、DASH、以太坊(ETH)等加密货币。近年来越来越多地出现在各种非法交易中。加密货币在暗网等非法交易市场的应用正在加速。
第三,黑客利用计算机病毒进行盗窃、勒索或非法采矿。近年来,以WannaCry为代表的蠕虫式勒索病毒遍布全球,不少挖矿木马也造成了极大的负面影响。加密货币已经成为黑客非法敛财的主要工具。
(四)经营单位的安全风险
2019年6月18日,脸书宣布将推出一种名为Libra(天秤座)的加密货币,计划成为一种简单的、无国界的货币和服务于数十亿人的金融基础设施。但由于全球监管的阻力,Libra于2020年12月1日更名为Diem,计划推出只锚定美元的数字货币,以获得监管部门的批准。从Libra最初的定位和计划来看,可能会冲击各国现有的货币金融体系,未来可能会出现类似的超主权货币。因此,必须考虑天秤等超主权货币带来的安全风险。
首先,天秤座可能会冲击现有的金融体系。借助脸书庞大的用户群,Libra可以轻松渗透市场,这可能会对相关国家的货币主权、货币政策和外汇政策产生巨大影响。由于区块链的分权削弱了国家监管的概念,Libra的出现和发展给传统的货币体系带来了前所未有的挑战。
第二,Libra新的分布式组织缺乏市场主体的监管。Libra网络具有分布性和全球性,区块链服务无统一市场主体的特点对需要依靠市场主体设立监管对象的传统监管手段是一个巨大的挑战。Libra协会的初始成员是来自多个国家的企事业单位,他们横跨多个领域,包括支付结算、旅游、版权交易、投融资机构等。这种新的市场主体的出现给全球监管带来了新的挑战。
第三,天秤座可能会滥用交易隐私数据。在海量脸书用户的帮助下,Libra可以快速渗透到各个国家,导致原本由国家掌握的公民金融交易数据被Libra运营商掌握,从而造成个人金融和交易数据的隐私问题。鉴于脸书在剑桥分析(Cambridge Analytica)的不良记录,Libra进一步引起了全球公众和机构对数据隐私的担忧。
二、区块链安全风险监管实践
总的来说,目前区块链的各种问题既有过去问题的新形式,也有新问题。这就要求监管者从多个维度探索和实现区块链监管覆盖。一方面,要深入了解区块链技术,加强相关领域的监管;另一方面,需要引入新的监管技术、制度和机制。目前,全球相关机构从不同领域入手,加强对区块链技术应用的监管,防范相关风险。
(1)金融监管
近年来,数字货币的发展越来越挑战传统的货币金融体系。如何平衡数字安全和隐私保护,如何有效监管数字货币,保护所有参与者的权益,都是各国政府和监管部门需要思考和解决的问题。
国际机构一直非常关注数字货币。国际清算银行(BIS)针对数字货币的支付功能、数字货币是否具有货币属性等问题发布了很多指引和建议。国际货币基金组织(IMF)也发表了多份相关研究报告。经济合作与发展组织(OECD)和二十国集团(G20)也发布了相关报告表明监管态度。
除了国际金融组织,各国监管部门也在关注并积极研究数字货币的监管问题。由于各国金融环境不同,各国对数字货币的监管态度也不同。一些国家,如美国、日本等国,对数字货币的产业持支持态度,并积极部署监管措施。印度等一些国家目前禁止在中国开展数字货币相关业务。具体而言,各国在金融监管领域的具体监管态度、做法和监管机构存在差异。
从上面一些国家的监管措施可以看出,很多国家在监管数字货币的时候,大多选择用牌照来监管数字货币的相关行业。数字货币监管牌照是数字货币产业链相关企业进入市场的先决条件。该机构只有获得监管许可,才能在当地合规开展数字货币相关业务和服务,如设立数字货币证券交易所、交易和发行数字货币金融衍生品等。随着各国对区块链和数字货币市场的深入了解和探索,监管机构正在逐步调整现有法律法规或起草新的法律体系,以应对数字货币的快速发展。随着全球对数字货币认识的加深和接受度的相应提高,其发行、使用和管理将更加规范,相关风险也会降低。
(2)行为监督
加密货币用于暗网非法交易、恐怖融资、洗钱等活动,跟踪数字货币交易,打击犯罪,已经成为区块链领域的一个新兴产业。行业公司通过持续关注周围的各种区块链交易来判断用户的可靠性
美国的Chainalysis公司通过追踪区块链的数字货币来打击网络犯罪。根据披露的82份美国联邦采购合同的记录,自2015年以来,美国联邦执法机构向该公司支付了超过1000万美元,主要用于购买其工具、服务和培训,以打击涉及数字货币的犯罪。未来,该公司将跟踪10种不同的加密货币,包括莱特币和以太坊,以进一步扩大业务范围。此外,英国还有Elliptic等初创企业从事相关业务,韩国(KISA)网络安全厅也计划利用人工智能和机器学习技术自动搜索韩国的暗网,寻找加密货币相关活动。
(3)市场监管
从Libra的特点来看,Libra未来的金融服务可能涉及支付、跨境支付、贷款、资产管理等领域,其作为货币对全球货币体系的影响也要考虑。基于天秤形成的金融或准金融行为的规模和范围的特征,以及其风险可能迅速蔓延到整个金融领域,天秤具有系统重要性的特征。按照全球机构的说法,天秤需要被监管已经成为共识。目前讨论Libra的监管原则主要有两个方向。一个是大型科技企业(平台企业)进入金融领域的常见监管问题,一个是天秤的特性决定了需要哪些独特的监管措施。2020年4月,天秤协会发布新版白皮书,调整了职能和视野。此举被外界普遍认为是迎合监管、争取合规的重要一步。随着区块链相关监管体系的不断完善,像Libra这样的新兴市场主体将逐步纳入相应的监管框架。
(4)内容监管
鉴于区块链数据的分散性和数据不可篡改的特点,有必要建立相应的数据内容监控和治理体系。主要内容包括:区块链系统特定数据内容快速检测预警技术研究,有害信息受控回滚技术研究;研究区块链体系的多中心监管机制和层级治理机制,对分布式、协同式监管中心进行有效治理;研究区块链行为的相关性分析,结合网络流量特征分析,实现区块链匿名节点的身份跟踪。
三。中国区块链安全现状及监管启示
2017年,比特币、以太坊等加密货币价格上涨,大量资本进入市场,区块链从业者和应用项目数量迅速增加。随着一些发行硬币和投机硬币的混乱,中国金融秩序的稳定和区块链工业的健康发展产生了负面影响。我国监管部门相继出台多项监管政策,进一步规范相关市场行为。部分违法违规项目将受到严格监管,行业监管体系建设不断完善,为工业区块链项目深入服务实体经济、优化产业发展环境提供有力保障。
(一)中国区块链监管的现状
在金融监管方面,我国设立了涉及私人数字货币发行和交易的监管红线。近年来,我国与数字货币相关的规范性文件有《关于防范比特币风险的通知》 《关于防范代币发行融资风险的公告》 《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》 《常抓不懈持续防范 ICO 和虚拟货币交易风险》 《区块链信息服务管理规定》。
在内容监管方面,2019年1月10日,国家网信办发布的《中国信息安全》明确,国家互联网信息办公室是区块链信息服务的监管主体,其监管对象为区块链信息服务提供者。主要方式是采用备案管理。同时,区块链信息服务提供者需要落实信息内容安全管理的主体责任。
(二)中国区块链风险监管的启示
由此可见,中国在区块链领域的监管态度相对其他国家来说是比较严格的,尤其是私人数字凭证的发行和交易
一是深化区块链核心技术研究,加强技术监管。区块链结合了多种信息技术,因此对区块链的监管必须建立在掌握核心技术的基础上。我国应加大国家秘密算法的应用范围,加强区块链核心技术的研究,确保相关技术的合理规范使用。
二是建立可信的第三方审计机制。区块链涉及多种技术的结合,系统集成度高,系统应用方难以识别。由中国信通院发起的可信区块链系列评测,通过专业测试、专家评测、同行评审,以第三方可信评测的方式,推动区块链行业透明化,帮助用户降低区块链使用风险。
第三,丰富监管的多样性,提高监管的适应性,建立多种技术和手段,完善监管体系。首先,重点行业区块链系统为监管机构设置监管节点,提高监管的穿透力和时效性。其次,借助所有公开区块链交易数据的特点,为打击跨境犯罪和海外追逃追赃提供协助。最后,充分利用新兴技术积极发展监管科技,提高监管部门的实时风险感知和预测能力。
四是建立负面清单,划出监管底线。区块链作为一个新生事物,在技术不断发展完善的同时,不可避免的会存在规避监管的问题。因此,监管机构不仅要鼓励区块链的探索,而且要从早期建立负面清单,明确监管底线,加强清单管理。通过建立负面清单,各方在守住底线的基础上积极探索,既要提高包容度,支持创新,为创新预留空间;守住底线,防止越线。
(本文发表于0755-79000杂志2021年第3期)
