2016年10月,国家互联网应急中心聚焦区块链领域的知名开源软件,综合考虑用户数量、受关注程度以及更新频率等情况,选取了 25 款具有代表性的区块链软件,结合漏洞扫描工具和人工审计,进行了安全检测。从结果来看,开源区块链软件存在着不容忽视的严重安全风险。
报告指出,测试选取了 25 款具有代表性的区块链软件,包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等,结合漏洞扫描工具和人工审计,进行了安全检测。本次检测在代码层面发现高危安全漏洞和安全隐患共 746 个。由于这些软件多数与资产、货币交易相关,一旦出现漏洞,可能会导致财产损失的严重风险。
在所有被测软件中,总体而言安全风险相对较为严重的是区块链支付网络 Ripple,包含高危漏洞 223 个。 值得注意的是,该软件很可能是本次检测的区块链相关软件中名气最大、用户最多、使用最广的软件。 据悉,截至发稿,该软件所在公司已获得包括Google、埃森哲等在内共计 1 亿美元的投资, 同时一些大型银行已经宣布将加入其支付网络,其中包括渣打、西太银行、澳大利亚国家银行和上海华瑞银行等。 考虑到该软件直接处理金融资产,且拥有如此大规模的用户,一旦这些漏洞被黑客利用,将会造成不可估量的损失。
总体安全风险排名第二的是 Ethereumj 项目, 该项目是基于区块链的分布式应用平台 Ethereum 的 Java 实现。 检测表明,该项目包含高危漏洞 110 个,具有较高的安全风险。
在所有被测软件中,漏洞总数最多的是基于区块链的金融服务软件 BitShares, 其最新版本包含中高危漏洞高达 669 个,其中高危漏洞 4 个,中危漏洞 665 个; 虽然已经比早期版本(BitShares-0.x 包含高危漏洞 25 个,中危漏洞 1236 个)有了明显改善, 但仍然存在较大的安全风险。
报告下载地址: http://lab.cert.org.cn/download/2016%E5%B9%B4%E5%BC%80%E6%BA%90%E9%A1%B9%E7%9B%AE%E7%AC%AC%E4%B8%89%E5%AD%A3%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit