日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近年來，隨著我國數(shù)字經(jīng)濟飛速發(fā)展，區(qū)塊鏈技術(shù)已開始廣泛應(yīng)用，全面融入社會經(jīng)濟發(fā)展體系之中，成為繼大數(shù)據(jù)、人工智能、云計算的又一新型技術(shù)領(lǐng)域。區(qū)塊鏈技術(shù)本身具有去中心化、分布式存儲、防篡改、可追溯等特性，其安全性遠高于傳統(tǒng)網(wǎng)絡(luò)體系，具有廣闊的應(yīng)用場景和巨大的商業(yè)價值。同時，區(qū)塊鏈也存在一些安全風(fēng)險，在其應(yīng)用普及的同時，也需要及時加以關(guān)注并做好應(yīng)對。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：國際域名空間、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、龍泉網(wǎng)站維護、網(wǎng)站推廣。

一、區(qū)塊鏈技術(shù)現(xiàn)狀綜述

1、區(qū)塊鏈發(fā)展現(xiàn)狀

我國高度重視以區(qū)塊鏈為代表的新型基礎(chǔ)設(shè)施在新的技術(shù)革新和產(chǎn)業(yè)變革中的重要作用。近年來，國家頒發(fā)了多項政策文件，以推動區(qū)塊鏈技術(shù)與產(chǎn)業(yè)創(chuàng)新、經(jīng)濟社會融合的高速發(fā)展。

經(jīng)過國家和行業(yè)的不懈努力，我國區(qū)塊鏈技術(shù)在推動數(shù)字產(chǎn)業(yè)化、健全數(shù)字經(jīng)濟治理體系、強化數(shù)字經(jīng)濟安全體系等方面均發(fā)揮著積極促進作用，主要取得的成績?nèi)缦拢?/p>

（1）產(chǎn)業(yè)鏈蓬勃發(fā)展，基礎(chǔ)設(shè)施加速建設(shè)

我國區(qū)塊鏈產(chǎn)業(yè)已初具規(guī)?；?，基本形成區(qū)塊鏈產(chǎn)業(yè)鏈上、中、下游的格局，同時區(qū)塊鏈在各行業(yè)不斷應(yīng)用，自2019年起，在各種有利政策推動下，北京、上海、廣州、福建等多地布局區(qū)塊鏈產(chǎn)業(yè)，同時各組織機構(gòu)在構(gòu)建規(guī)模性區(qū)塊鏈基礎(chǔ)設(shè)施上充分發(fā)揮自身優(yōu)勢，積極探索基礎(chǔ)設(shè)施建設(shè)方法。

（2）區(qū)塊鏈產(chǎn)業(yè)基金增速發(fā)展，政府參與力度趨勢增大

各地不斷加大區(qū)塊鏈產(chǎn)業(yè)基金投入，以此帶動區(qū)塊鏈產(chǎn)業(yè)布局。截至2021年底，共20多個省市在工業(yè)制造、新型數(shù)字產(chǎn)業(yè)、信息產(chǎn)業(yè)等母基金中涵蓋區(qū)塊鏈產(chǎn)業(yè)，專項發(fā)展基金達500多億元。全國15個省、28個城市成立48家區(qū)塊鏈產(chǎn)業(yè)園區(qū)，其中政府主導(dǎo)或參與共建了大部分產(chǎn)業(yè)園區(qū)。

（3）發(fā)達地區(qū)向周邊輻射，加速產(chǎn)業(yè)布局

一線城市與新一線城市依靠其優(yōu)勢引領(lǐng)產(chǎn)業(yè)發(fā)展，并向周邊地區(qū)輻射，帶動地方區(qū)塊鏈產(chǎn)業(yè)發(fā)展。據(jù)報告顯示，北京、上海、廣州、深圳等聚集區(qū)核心城市依靠經(jīng)濟、科技、教育、人才等優(yōu)勢，在區(qū)塊鏈產(chǎn)業(yè)發(fā)展水平中名列前茅。

（4）聯(lián)盟組織數(shù)量飛速增長，共建產(chǎn)業(yè)新格局

大批區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟組織如雨后春筍般涌現(xiàn)，至2021年底共成立了中國區(qū)塊鏈研究聯(lián)盟、中國分布式總賬基礎(chǔ)協(xié)議聯(lián)盟、中國未來區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟等70余家區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟，區(qū)塊鏈組織成員數(shù)量超過2300家，其中包括2200多家企業(yè)單位及近百家高校及研究機構(gòu)。

由于區(qū)塊鏈技術(shù)的無國界限制、強隱秘性和防篡改性，導(dǎo)致區(qū)塊鏈生態(tài)領(lǐng)域的網(wǎng)絡(luò)攻擊事件層出不窮，區(qū)塊鏈的安全挑戰(zhàn)愈發(fā)嚴(yán)峻。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計，2021年整個區(qū)塊鏈生態(tài)發(fā)生的安全事件數(shù)量超332起，比之2020年增幅超22%；2021年整個區(qū)塊鏈生態(tài)造成的經(jīng)濟損失超153億美金，較2020年增幅超26%。而這些安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網(wǎng)等方面。

2、區(qū)塊鏈面臨的挑戰(zhàn)

目前我國區(qū)塊鏈產(chǎn)業(yè)的發(fā)展存在一系列的挑戰(zhàn)，主要集中在以下四個方面：

自主研發(fā)能力不足。當(dāng)前我國的大部分區(qū)塊鏈應(yīng)用項目主要是基于國外開源平臺，自主底層平臺使用不多，可信執(zhí)行環(huán)境方面的自主技術(shù)還不成熟，復(fù)雜環(huán)境方面的核心技術(shù)還需加大研發(fā)投入，提前布局。

 團體標(biāo)準(zhǔn)質(zhì)量不齊，存在定義不統(tǒng)一情況。在我國區(qū)塊鏈標(biāo)準(zhǔn)體系中，發(fā)展最早最快的是團體標(biāo)準(zhǔn)，目前多個領(lǐng)域的團體標(biāo)準(zhǔn)已有70多個，但由于區(qū)塊鏈產(chǎn)業(yè)發(fā)展迅速，目前出現(xiàn)了不同標(biāo)準(zhǔn)中定義不統(tǒng)一的情況，這將無法發(fā)揮標(biāo)準(zhǔn)的引領(lǐng)作用。

技術(shù)安全問題不斷涌現(xiàn)，金融監(jiān)管風(fēng)險需加強關(guān)注。技術(shù)安全挑戰(zhàn)主要體現(xiàn)在區(qū)塊鏈自身技術(shù)漏洞，以及因自主技術(shù)不足過度依賴國外平臺和技術(shù)兩方面。金融監(jiān)管風(fēng)險主要體現(xiàn)在跨境金融基礎(chǔ)設(shè)施影響我國外匯、反洗錢管理要求。

區(qū)塊鏈應(yīng)用深度不足，可持續(xù)性較差。目前在各行業(yè)中，對于區(qū)塊鏈的應(yīng)用仍存在深度不足、可持續(xù)性差等問題，部分企業(yè)進行了工商注冊但未開展實際業(yè)務(wù)，同時一些區(qū)塊鏈項目只關(guān)注眼前利益，未思考后續(xù)發(fā)展，導(dǎo)致可持續(xù)性較差。

3、區(qū)塊鏈安全機制

區(qū)塊鏈的核心技術(shù)主要包括：共識機制、數(shù)據(jù)存儲、網(wǎng)絡(luò)協(xié)議、加密算法、隱私保護、智能合約。

1、共識機制：是通過特殊節(jié)點的投票，在很短的時間內(nèi)完成對交易的驗證和確認(rèn)。共識機制也叫共識算法，它能夠有助于驗證信息被添加到分類賬簿，確保在區(qū)塊鏈上只記錄真實的事務(wù)。常用共識機制主要有PoW、PoS、DPoS、Paxos、PBFT等。

2、數(shù)據(jù)存儲：區(qū)塊鏈中，數(shù)據(jù)以區(qū)塊的形式存儲，且為永久存儲，每個區(qū)塊記錄了創(chuàng)建期間發(fā)生的所有交易信息。區(qū)塊的數(shù)據(jù)結(jié)構(gòu)一般分為區(qū)塊頭和區(qū)塊體，每一個區(qū)塊相互鏈接，保證數(shù)據(jù)的完整性和防篡改性。

3、網(wǎng)絡(luò)協(xié)議：P2P協(xié)議是區(qū)塊鏈網(wǎng)絡(luò)協(xié)議一般采用的，它能確保同一網(wǎng)絡(luò)中的每臺計算機彼此對等，每個節(jié)點共同提供網(wǎng)絡(luò)服務(wù)，不存在任何“特殊”節(jié)點。不同的區(qū)塊鏈系統(tǒng)會根據(jù)需要制定獨自的P2P網(wǎng)絡(luò)協(xié)議，比如比特幣有比特幣網(wǎng)絡(luò)協(xié)議。

4、加密算法：主要包括散列算法和非對稱加密算法。散列（哈希）算法的原理是將一段信息轉(zhuǎn)換成一個固定長度的字符串，抽取數(shù)據(jù)特征。非對稱加密算法是由對應(yīng)的一對唯一性密鑰組成的加密方法，能夠保證數(shù)據(jù)的保密性。

5、隱私保護：在區(qū)塊鏈技術(shù)中的隱私主要指：身份隱私和交易隱私。目前區(qū)塊鏈上傳輸和存儲的數(shù)據(jù)都是公開的，僅通過“偽匿名”的方式對交易雙方進行一定的隱私保護，所以使用隱私保護技術(shù)主要為了解決用戶身份的匿名性和傳輸內(nèi)容的保密性。

6、智能合約：是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機協(xié)議，可看作部署于區(qū)塊鏈上可自動運行的程序，存在出錯可能性，其涵蓋范圍包括：編程語言、編譯器、虛擬機、容錯機制、安全事件等。

二、區(qū)塊鏈金融應(yīng)用場景

金融是區(qū)塊鏈應(yīng)用場景中探索最多的領(lǐng)域，在供應(yīng)鏈金融、貿(mào)易融資、跨境金融、資金監(jiān)管、商業(yè)銀行業(yè)務(wù)等細分金融場景都有具體的落地場景。

1、供應(yīng)鏈金融領(lǐng)域

對于供應(yīng)鏈金融產(chǎn)品，目前存在諸多挑戰(zhàn)，如鏈條過長、關(guān)聯(lián)度較高、交易場景難以識別等。區(qū)塊鏈作為實現(xiàn)數(shù)字化轉(zhuǎn)型的新興技術(shù)，包含了：網(wǎng)絡(luò)協(xié)議、共識算法、非對稱加密、智能合約等，具有分布式對等、鏈?zhǔn)綌?shù)據(jù)塊、可追溯、防偽造和防篡改、透明可信和高可靠性等特征，能夠在供應(yīng)鏈金融場景中發(fā)揮其獨特優(yōu)勢。銀行方面主要包括：應(yīng)收賬款和生態(tài)合作兩種“區(qū)塊鏈+供應(yīng)鏈金融”應(yīng)用模式，應(yīng)用示例如下：

文字來源：《區(qū)塊鏈技術(shù)與金融應(yīng)用安全白皮書》

2、貿(mào)易融資領(lǐng)域

貿(mào)易融資是銀行主要業(yè)務(wù)之一，包含：福費廷、信用證、綠色債券等業(yè)務(wù)。在業(yè)務(wù)整個流轉(zhuǎn)過程中，涉及銀行、買賣雙方、供應(yīng)商、物流公司、監(jiān)管機構(gòu)等多方交易實體，很難取得互相信任，造成交易流程過長，信任機制繁瑣，交易周期延長等問題，區(qū)塊鏈具有公開透明、不可篡改、分布式賬本的特點，便于貿(mào)易金融的線上化和智能化，可打造區(qū)塊鏈貿(mào)易融資平臺，在多方參與的平臺中，提供信任機制，進而簡化業(yè)務(wù)流程，提高業(yè)務(wù)流轉(zhuǎn)效率，提高用戶體驗感，降低市場風(fēng)險和流動性風(fēng)險，形成創(chuàng)新的金融產(chǎn)品，應(yīng)用示例如下：

部分文字來源：《區(qū)塊鏈技術(shù)與金融應(yīng)用安全白皮書》

3、跨境金融領(lǐng)域

隨著跨境電商的興起，區(qū)塊鏈技術(shù)在跨境支付領(lǐng)域得到了較好的應(yīng)用，解決了境外銀行賬戶申請難、多平臺店鋪資金管理難、提現(xiàn)到賬速度慢，更多銀行嘗試建立區(qū)塊鏈跨境支付系統(tǒng)，該系統(tǒng)實現(xiàn)了跨境匯款秒到賬、交易信息實時共享、交易過程實時追蹤等功能，不僅方便了跨境交易雙方，也改善了金融機構(gòu)成本結(jié)構(gòu)，有效提高了金融機構(gòu)盈利能力，應(yīng)用示例如下：

文字來源：《區(qū)塊鏈技術(shù)與金融應(yīng)用安全白皮書》

4、資金監(jiān)管領(lǐng)域

在傳統(tǒng)的征拆遷資金監(jiān)管過程中，資金流向監(jiān)管難、資金利用率低、項目復(fù)雜度高等問題一直困擾著監(jiān)管機構(gòu)，具有多方共識、公開透明、防篡改、可追溯等特性的區(qū)塊鏈技術(shù)解決了這一難題，利用區(qū)塊鏈技術(shù)可實現(xiàn)資金流和信息流相統(tǒng)一、申請和撥付流程可跟蹤追溯、資金審批及使用透明規(guī)范，保證上鏈信息的真實性和有效性，實現(xiàn)對資金的全方位監(jiān)控。

5、商業(yè)銀行業(yè)務(wù)領(lǐng)域

為了實現(xiàn)數(shù)字化轉(zhuǎn)型目標(biāo)，各銀行在區(qū)塊鏈研究上的投入不斷增加，區(qū)塊鏈技術(shù)與業(yè)務(wù)相互融合，本次介紹票據(jù)業(yè)務(wù)、信貸業(yè)務(wù)和信用卡業(yè)務(wù)與區(qū)塊鏈技術(shù)的深度融合。

1、票據(jù)業(yè)務(wù)主要包括：開票、貼現(xiàn)、轉(zhuǎn)貼現(xiàn)、再貼現(xiàn)、托收、抵押放款等方面，成本相對較低，能夠在短期內(nèi)實現(xiàn)資金融通，但紙質(zhì)票據(jù)交易存在毀損、人為篡改和欺詐等風(fēng)險。區(qū)塊鏈技術(shù)可解決上述風(fēng)險，具體措施包括：一是票據(jù)業(yè)務(wù)應(yīng)用結(jié)合形成區(qū)塊的過程，區(qū)塊上所有節(jié)點都記錄了交易信息，保證票據(jù)交易的可靠性；二是區(qū)塊鏈具有可追溯性，可通過存儲的交易信息上的“數(shù)據(jù)時間戳”解決票據(jù)的所屬問題，有效防止各種糾紛，節(jié)省資源。

2、貸款業(yè)務(wù)作為商業(yè)銀行最重要的資產(chǎn)業(yè)務(wù)，主要通過放款后回收本息的方式獲取收益，是銀行主要的盈利手段之一。目前信貸業(yè)務(wù)存在一些問題：一是傳統(tǒng)信貸業(yè)務(wù)審批機制復(fù)雜、成本難以控制，二是信息公開度低，信息不對稱增加了違約風(fēng)險，三是信貸業(yè)務(wù)審查不到位。區(qū)塊鏈技術(shù)可與信貸審批業(yè)務(wù)有機結(jié)合，能有效提升信貸審批效率和信貸審批流程的科學(xué)性。

3、信用卡是商業(yè)銀行支付融資一體化、線上線下交融化的新型數(shù)據(jù)化工具，銀行逐漸將信用卡業(yè)務(wù)線上化，與此同時，信用卡監(jiān)管投訴、訴訟糾紛也逐年增加，如何舉證和保留證據(jù)是一個難點。目前行業(yè)內(nèi)提出了基于區(qū)塊鏈的信用卡電子存證方案，可以為解決信用卡投訴和訴訟問題提供參考。相較于傳統(tǒng)電子存證，區(qū)塊鏈電子存證優(yōu)勢如下：

能夠通過區(qū)塊鏈建立無利益第三方的見證人身份；

用戶對保存在區(qū)塊鏈上的電子合同進行的每種操作都有時間戳，保證了每個行為都有據(jù)可查；

用戶對保存在區(qū)塊鏈上的電子合同進行的每種操作都需要經(jīng)過身份認(rèn)證，最后審查電子合同時，用戶不可抵賴。

三、區(qū)塊鏈應(yīng)用風(fēng)險

1、區(qū)塊鏈技術(shù)風(fēng)險

• 缺乏可擴展性。限制區(qū)塊鏈技術(shù)大規(guī)模應(yīng)用的最主要因素就是缺乏可擴展性，對于一些依賴高性能處理場景，如金融、存證、溯源等，區(qū)塊鏈的處理能力明顯不足。當(dāng)前運行的公鏈中，最核心的是比特幣、以太坊以及EOS，比特幣系統(tǒng)吞吐量（TPS）不足，以太坊由于需要保證網(wǎng)絡(luò)同步率，TPS也不足，EOS的TPS高但節(jié)點少，且存在安全隱患。
• 智能合約安全性無法保證。智能合約是區(qū)塊鏈技術(shù)的核心，能夠保障各類交易穩(wěn)定運行，但目前智能合約的安全性仍無法保證，智能合約的安全性受到諸多因素影響。智能合約的編寫與生成完全依賴程序員，若開發(fā)人員水平不高，則合約的功能完整性及條款嚴(yán)密程度極易出現(xiàn)問題。同時，在開發(fā)過程中，開發(fā)人員可能未滿足合規(guī)性，在合約中加入主觀意識，產(chǎn)生漏洞。
• 共識機制漏洞。共識機制是區(qū)塊鏈系統(tǒng)的核心，也是區(qū)塊鏈實現(xiàn)去中心化的關(guān)鍵，但其運作往往由簡單的多數(shù)投票機制組成，這些機制容易遭受區(qū)塊鏈上部分用戶的影響，不僅威脅用戶利益，同時也破壞節(jié)點公平。攻擊者能夠針對不同機制漏洞，設(shè)計相應(yīng)的攻擊手段，造成嚴(yán)重的后果。

2、區(qū)塊鏈應(yīng)用風(fēng)險

• 數(shù)據(jù)真實性與隱私泄露風(fēng)險。區(qū)塊鏈數(shù)據(jù)具有不可篡改的特性，如果上鏈前的數(shù)據(jù)真實性、合法性有問題，區(qū)塊鏈也無法識別，只能將數(shù)據(jù)記錄在區(qū)塊中。例如，比特幣區(qū)塊鏈上有交易會攜帶數(shù)據(jù)，而這些數(shù)據(jù)可能有不適當(dāng)內(nèi)容且無法檢驗真實性和合法性，這會給參與者和所有鏈上用戶帶來風(fēng)險。
• 技術(shù)犯罪現(xiàn)象頻發(fā)。如今技術(shù)犯罪事件層出不窮，基于區(qū)塊鏈技術(shù)的加密貨幣及衍生品更是犯罪行為頻發(fā)的領(lǐng)域。例如，以比特幣為代表的分散化的加密貨幣體系已經(jīng)成為一個全球性的貨幣體系，區(qū)塊鏈技術(shù)的特性使得加密貨幣交易風(fēng)險突現(xiàn)，不法分子鉆取漏洞實施犯罪，并從中獲利。
• 交易匿名化導(dǎo)致追責(zé)難。區(qū)塊鏈具有匿名交易的機制，這導(dǎo)致交易者無法確認(rèn)其他交易者身份真實性，同時對于交易監(jiān)管的難度也會大大提升。如若發(fā)生數(shù)據(jù)泄露事件，無法追溯數(shù)據(jù)安全和保密責(zé)任，這也是區(qū)塊鏈應(yīng)用中數(shù)據(jù)安全事件和犯罪行為如何管控的難點。如果未建立健全責(zé)任落實體系，將損害用戶權(quán)益。

3、區(qū)塊鏈合規(guī)風(fēng)險

• 區(qū)塊鏈雖被各行業(yè)廣泛應(yīng)用，但仍存在意識形態(tài)的合規(guī)風(fēng)險。區(qū)塊鏈從誕生起的最終目的就是實現(xiàn)完全去中心化，這也成為區(qū)塊鏈技術(shù)意識形態(tài)的核心，但目前完全去中心化的系統(tǒng)無法在現(xiàn)實場景落地，無論如何發(fā)展，最終的結(jié)果不是由中心化權(quán)力機構(gòu)接管，就是由于缺乏強有力的協(xié)調(diào)機制而分裂或下線，即使是比特幣、以太坊這些長時間活躍的項目也遭遇過多次硬分叉。因此，以形成完全去中心化的系統(tǒng)為目標(biāo)成為當(dāng)前區(qū)塊鏈發(fā)展的意識形態(tài)陷阱。
• 區(qū)塊鏈又一合規(guī)風(fēng)險主要體現(xiàn)在監(jiān)管和法律體系保障層面。區(qū)塊鏈作為集成性的創(chuàng)新技術(shù)，正在不斷影響行業(yè)發(fā)展、社會管理方式變更和產(chǎn)業(yè)布局，但新技術(shù)必然存在技術(shù)標(biāo)準(zhǔn)缺乏和監(jiān)管體系不完善的短板。目前國家標(biāo)準(zhǔn)正穩(wěn)步推進，行業(yè)企業(yè)也在不斷探索和制定區(qū)塊鏈的行業(yè)標(biāo)準(zhǔn)。但總體上看，區(qū)塊鏈技術(shù)監(jiān)管仍無法趕上它的發(fā)展速度，急需建立規(guī)范化的國家標(biāo)準(zhǔn)及各行業(yè)區(qū)塊鏈監(jiān)管規(guī)范，規(guī)范和引導(dǎo)區(qū)塊鏈技術(shù)與產(chǎn)業(yè)發(fā)展。

四、區(qū)塊鏈技術(shù)與安全框架

1、區(qū)塊鏈技術(shù)框架

區(qū)塊鏈技術(shù)架構(gòu)是運行在區(qū)塊鏈網(wǎng)絡(luò)節(jié)點中，提供區(qū)塊鏈系統(tǒng)功能的軟件和存儲實體的集合，其核心涵蓋了區(qū)塊鏈功能架構(gòu)的用戶層、接口層、核心層和基礎(chǔ)層。參考《信息安全技術(shù) 區(qū)塊鏈技術(shù)安全框架》（征求意見稿）和《區(qū)塊鏈技術(shù)架構(gòu)安全要求》（YD/T 3747-2020），建立的區(qū)塊鏈技術(shù)框架如下：

2、區(qū)塊鏈安全框架

完善的區(qū)塊鏈安全框架是推動區(qū)塊鏈技術(shù)應(yīng)用和場景創(chuàng)新發(fā)展的基礎(chǔ)，區(qū)塊鏈作為一種新興技術(shù)，必須警惕其潛在的安全風(fēng)險。針對區(qū)塊鏈技術(shù)面臨的風(fēng)險，參考《信息安全技術(shù) 區(qū)塊鏈技術(shù)安全框架》（征求意見稿）和《區(qū)塊鏈技術(shù)架構(gòu)安全要求》（YD/T 3747-2020），建立區(qū)塊鏈技術(shù)安全框架如下：

五、區(qū)塊鏈風(fēng)險評估方法

1、風(fēng)險管控框架

目前，區(qū)塊鏈技術(shù)已經(jīng)與實體經(jīng)濟深度融合，正在成為促進我國數(shù)字經(jīng)濟發(fā)展和數(shù)字化轉(zhuǎn)型的新動能，但是區(qū)塊鏈技術(shù)本身及區(qū)塊鏈技術(shù)應(yīng)用仍存在著如底層代碼安全、智能合約安全、數(shù)字孿生等風(fēng)險，金融單位需要針對各類區(qū)塊鏈風(fēng)險構(gòu)建健全的風(fēng)險管控框架，指導(dǎo)企業(yè)內(nèi)部區(qū)塊鏈技術(shù)的應(yīng)用，通過區(qū)塊鏈技術(shù)的良好應(yīng)用，助力企業(yè)發(fā)展。區(qū)塊鏈風(fēng)險管控框架如下：

2、基本要求評估

金融單位可參考《JRT 0193-2020區(qū)塊鏈技術(shù)金融應(yīng)用評估規(guī)則》，從應(yīng)用層、接口層、平臺層三方面展開，對區(qū)塊鏈內(nèi)外部接口、技術(shù)應(yīng)用、場景功能等開展評估。區(qū)塊鏈技術(shù)金融應(yīng)用風(fēng)險基本要求評估框架如下。

針對區(qū)塊鏈技術(shù)和應(yīng)用的基礎(chǔ)評估指標(biāo)如下：

領(lǐng)域	評估目標(biāo)	評估要素
基本要求評估	賬本技術(shù)	數(shù)據(jù)存儲方式
		賬本結(jié)構(gòu)
		歷史數(shù)據(jù)可追溯
		數(shù)據(jù)同步
		數(shù)據(jù)歸檔
		數(shù)據(jù)擴容
		數(shù)據(jù)跨鏈功能
		數(shù)據(jù)分片功能
	共識協(xié)議	共識算法
		一致性
		共識節(jié)點數(shù)呈
		容錯閾值
		可靠性
		可拓展性
	智能合約	智能合約虛擬機
		智能合約編程語言
		智能合約編譯
		智能合約正確性
		智能合約一致性
		智能合約可靠性
		智能合約業(yè)務(wù)隔離性
		智能合約生命周期管理
		智能合約版本控制
	節(jié)點通信	組網(wǎng)方式
		消息轉(zhuǎn)發(fā)
		節(jié)點加入
		節(jié)點退出
	事件分發(fā)	事件分發(fā)
	密鑰管理	密鑰生成
		密鑰存儲
		密鑰更新
		密鑰使用
		密鑰撤銷、銷毀和歸檔
	狀態(tài)管理	查詢區(qū)塊高度
		查詢區(qū)塊詳情
		查詢交易信息
		查詢交易結(jié)果
		查詢賬本狀態(tài)
		賬本狀態(tài)更新
	成員管理	用戶注冊
		用戶身份識別
		用戶權(quán)限變更
		用戶角色授權(quán)
		用戶賬戶凍結(jié)和解凍
		用戶注銷
		用戶信息查詢
		用戶交易
	交易系統(tǒng)	智能合約部署交易
		智能合約方法調(diào)用交易
		原生交易
		交易原子性
	接口管理	外部接口
		用戶接口
		管理接口
		系統(tǒng)間接口

3、系統(tǒng)性能評估

金融單位可參照《JRT 0193-2020區(qū)塊鏈技術(shù)金融應(yīng)用評估規(guī)則》，從交易吞吐率、查詢吞吐率、交易同步性能、部署效率和賬本數(shù)據(jù)增長速率等維度展開，對區(qū)塊鏈系統(tǒng)性能開展評估。

區(qū)塊鏈性能評估指標(biāo)如下：

領(lǐng)域	評估目標(biāo)	評估要素
系統(tǒng)性能評估	交易吞吐率	交易吞吐率
	查詢吞吐率	查詢吞吐率
	交易同步性能	交易同步性能
	部署效率	部署效率
	賬本數(shù)據(jù)増長速率	賬本數(shù)據(jù)増長速率

4、安全保障評估

在區(qū)塊鏈技術(shù)應(yīng)用的評估過程中，安全保障評估也是重要的一個環(huán)節(jié)，金融單位可參考《JRT 0193-2020區(qū)塊鏈技術(shù)金融應(yīng)用評估規(guī)則》和《JRT0184-2020金融分布式賬本技術(shù)安全規(guī)范》，從基礎(chǔ)軟硬件、智能合約、共識協(xié)議、隱私保護、運維要求等維度展開，對區(qū)塊鏈安全保障情況開展評估。

區(qū)塊鏈安全評估指標(biāo)如下：

領(lǐng)域	評估目標(biāo)	評估要素
安全保障評估	基礎(chǔ)硬件	基本條件
		場地安全
		硬件設(shè)備
		節(jié)點部署安全
		硬件加密設(shè)備安全
		網(wǎng)絡(luò)架構(gòu)安全
		通信傳輸安全
	基礎(chǔ)軟件	基本條件
		賬本結(jié)構(gòu)
		數(shù)據(jù)存儲
		共識模塊
		分布式組網(wǎng)
		智能合約
		接口設(shè)計
		數(shù)據(jù)傳輸
		時間同步
		操作系統(tǒng)
	密碼算法	對稱加解密
		非對稱加解密
		雜湊算法
		隨機數(shù)
		保密性
		完整性
		真實性
	節(jié)點通信	節(jié)點身份驗證
		通信完整性
		通信保密性
	賬本數(shù)據(jù)	賬本數(shù)據(jù)完整性
		賬本數(shù)據(jù)一致性
		賬本數(shù)據(jù)保密性
		賬本數(shù)據(jù)有效性
		賬本數(shù)據(jù)冗余
		賬本數(shù)據(jù)訪問與使用
		賬本數(shù)據(jù)安全審計
	共識協(xié)議	合法性
		正確性
		終局性
		不可偽造性
		健壯性
		低延時
		激勵相容
		可監(jiān)管性
	智能合約	訪問控制
		原子性
		安全審計
		攻擊防范
		安全驗證
	身份管理	身份注冊、核實、鑒別、更新、撤銷、安全、審計
		賬戶管理
		憑證生命周期管理
		節(jié)點標(biāo)識管理
	隱私保護	隱私保護策略
		隱私保護技術(shù)
		隱私保護監(jiān)控與審計
	監(jiān)管支撐	交易信息監(jiān)管
		系統(tǒng)監(jiān)管
		應(yīng)急事件報警
		智能合約監(jiān)管
	安全運維	權(quán)限管理
		審計記錄
		漏洞修復(fù)
		備份與恢復(fù)
		應(yīng)急預(yù)案
	安全治理	系統(tǒng)安全管理機制
節(jié)點管理
干預(yù)機制

5、安全技術(shù)測試

技術(shù)測試是區(qū)塊鏈安全風(fēng)險管控的重要手段之一，區(qū)塊鏈技術(shù)測試主要包括信息收集與威脅建模、測試與發(fā)現(xiàn)、利用和升級三個階段，具體流程及重點內(nèi)容如下所示。

區(qū)塊鏈技術(shù)測試主要針對智能合約，智能合約采用Solidity等語言來編程，這些編程語言同樣存在安全風(fēng)險，下面讓我們一起來回顧幾個典型的區(qū)塊鏈案例。

2016 年6月17日，區(qū)塊鏈出現(xiàn)了歷史上的一次重大攻擊事件由于以太坊的智能合約存在著重大缺陷，區(qū)塊鏈業(yè)界最大的眾籌項目 TheDAO（被攻擊前擁有約1億美元的資產(chǎn)）遭到攻擊，導(dǎo)致300多萬以太幣資產(chǎn)被分離出TheDAO資產(chǎn)池。

2021年DeFi借貸協(xié)議Cream Finance遭到五次攻擊。第1次，2月13日，黑客利用Alpha Homora V2技術(shù)漏洞從Cream Finance旗下零抵押跨協(xié)議貸款功能 Iron Bank借出ETH、DAI、USDC等資產(chǎn)，導(dǎo)致該項目損失約3800萬美元；第2次，同月28日，DeFi聚合平臺Furucombo遭到嚴(yán)重漏洞攻擊，損失 110 萬美元；第3次，3月15日，Cream Finance 域名遭到黑客攻擊，未造成資金損失；第4次，8月30日，Cream Finance 因可重入漏洞遭遇閃電貸攻擊，黑客獲利4.2億個AMP、1308個ETH以及少量USDC等穩(wěn)定幣資產(chǎn)，總資產(chǎn)價值超過3400萬美元；第5次，10月27日，DeFi 借貸協(xié) Cream Finance 遭受攻擊，損失約 1.3 億美元。被盜的資金主要是 Cream LP 代幣和其他 ERC-20 代幣。

2022年3月29日，東南亞最火熱的區(qū)塊鏈游戲Axie Infinity母公司Sky Mavis開發(fā)的以太坊側(cè)鏈Ronin遭到黑客攻擊，損失約6.16億美元，超去年8月DeFi協(xié)議Poly Network案件被黑的6.11億美元，成為DeFi歷史上最大盜竊案。

2022年5月18日Binance 鏈上 Feminist Metaverse 智能合約遭到智能合約攻擊。由于Fmtoken 合約資金轉(zhuǎn)移的正確性校驗機制不完善，導(dǎo)致?lián)p失資金價值超過55萬美元。

上述事件整理于互聯(lián)網(wǎng)公開信息，表明智能合約雖然帶來一定的生活便利，但仍然存在較多漏洞和安全隱患，合約設(shè)計漏洞、合約協(xié)議漏洞、合約安全性分析不足等仍需引起開發(fā)者的高度重視。

智能合約屬于合約層的程序，因此它一旦遭到攻擊，將直接影響應(yīng)用層功能的正常交易，甚至帶來資金損失，下圖是區(qū)塊鏈安全測試基礎(chǔ)架構(gòu)模型，雖然數(shù)據(jù)層和網(wǎng)絡(luò)層有著層層的安全防護手段，但仍然較難抵御合約層的合約漏洞。

為了更好的探索區(qū)塊鏈的技術(shù)風(fēng)險，筆者向大家介紹2款典型的安全測試工具，使我們更直觀了解他們的作用。

1、Oyente符號執(zhí)行工具

Oyente是一個智能合約自動審計工具，它能分析智能合約并返回可能的bug攻擊，包括著名的DAO攻擊類型。該工具分析對象是字節(jié)碼，對合約的編譯器版本有要求，使用docker運行時只能檢測出低于solc 0.4.21以下的版本。

該工具是開源工具，可以對多種漏洞進行檢測，包括整數(shù)下溢、整數(shù)溢出、多重校驗錯誤2、Callstack深度攻擊漏洞、事務(wù)排序依賴(TOD)、時間戳的依賴 、Re-Entrancy脆弱性，通過執(zhí)行此命令greeter.sol，可以對上述7大漏洞進行安全檢測和分析，此處表示代碼檢測覆蓋率99.5%，未發(fā)現(xiàn)漏洞風(fēng)險。

2、Mythril安全分析工具

Mythril是以太坊EVM字節(jié)碼的安全分析工具。它檢測以太坊、Hedera、Quorum、Vechain、Roostock、Tron和其他兼容evm的區(qū)塊鏈構(gòu)建的智能合約中的安全漏洞。

通過以下命令來對智能合約源碼實施安全檢測：

$ docker run -v $(pwd):/var/tmp/solidity_examples mythril/myth analyze /var/tmp/solidity_examples/Roulette.sol

通過檢測我們發(fā)現(xiàn)，此搭建的智能合約的測試環(huán)境中存在1個時間戳依賴漏洞。

六、區(qū)塊鏈安全未來發(fā)展趨勢

1、加強技術(shù)研發(fā)和應(yīng)用場景中的改進

區(qū)塊鏈技術(shù)研發(fā)與場景應(yīng)用是區(qū)塊鏈產(chǎn)業(yè)的重要內(nèi)容，未來可從三個方面予以加強：一是加強智能合約設(shè)計的合理性審查，建立智能合約協(xié)議漏洞庫，落實智能合約的代碼安全分析與技術(shù)檢測；二是提高區(qū)塊鏈共識機制，提高交易數(shù)據(jù)的透明度和安全性；三是明確區(qū)塊鏈價值輸出，細化區(qū)塊鏈應(yīng)用場景，建立不同場景下的區(qū)塊鏈安全管控目標(biāo)。

2、推動區(qū)塊鏈技術(shù)與新技術(shù)深度融合

區(qū)塊鏈技術(shù)的發(fā)展日新月異，區(qū)塊鏈與大數(shù)據(jù)、人工智能、隱私計算、量子計算等新技術(shù)相互融合，在融合過程中，也要不斷總結(jié)新生風(fēng)險，不斷改進量子計算攻克跨鏈數(shù)據(jù)交互難題，與隱私計算緊密集合，防范交易和客戶信息泄露，推動區(qū)塊鏈技術(shù)與新技術(shù)的高度融合與縱向延伸，搭建智能化、數(shù)字化、生態(tài)化的區(qū)塊鏈產(chǎn)業(yè)新格局。

3、完善區(qū)塊鏈標(biāo)準(zhǔn)，推動法律法規(guī)建設(shè)

區(qū)塊鏈國家標(biāo)準(zhǔn)和行業(yè)規(guī)范的推動對于區(qū)塊鏈產(chǎn)業(yè)至關(guān)重要，從國家層面繼續(xù)完善區(qū)塊鏈國標(biāo)，從區(qū)塊鏈基礎(chǔ)、區(qū)塊鏈架構(gòu)、區(qū)塊鏈業(yè)務(wù)、區(qū)塊鏈技術(shù)應(yīng)用、區(qū)塊鏈安全等方面繼續(xù)推動國家標(biāo)準(zhǔn)和行業(yè)規(guī)范的制定，結(jié)合國家標(biāo)準(zhǔn)組織、行業(yè)協(xié)會、技術(shù)廠商、研究機構(gòu)、咨詢公司等共同編制區(qū)塊鏈標(biāo)準(zhǔn)，形成區(qū)塊鏈智庫團隊，立法機構(gòu)可借助社會智庫和專業(yè)公司的力量，全面推動區(qū)塊鏈各行業(yè)的立法體系。

4、提升區(qū)塊鏈技術(shù)合規(guī)監(jiān)管力度

監(jiān)管合規(guī)要求是促進新技術(shù)發(fā)展的有力保障，區(qū)塊鏈技術(shù)作為新興技術(shù)同樣需要在監(jiān)管合規(guī)的引領(lǐng)下發(fā)展創(chuàng)新。一是建立松緊有度、寬松適宜的區(qū)塊鏈技術(shù)監(jiān)管合規(guī)體系，促進區(qū)塊鏈技術(shù)的發(fā)展和應(yīng)用；二是改進監(jiān)管方式，實現(xiàn)科技監(jiān)管的有力推動，充分發(fā)揮監(jiān)管治理優(yōu)勢，重視監(jiān)管引領(lǐng)作用；三是加強國際合作，建立全球統(tǒng)一的區(qū)塊鏈監(jiān)管體系，促進區(qū)塊鏈產(chǎn)業(yè)健康發(fā)展。

七、結(jié)語

區(qū)塊鏈?zhǔn)且豁椌哂懈锩砸饬x的新技術(shù)，被認(rèn)為是第二個互聯(lián)網(wǎng)，各個國家對此均給予了高度關(guān)注。目前，盡管區(qū)塊鏈技術(shù)還存在可擴展性、隱私安全、應(yīng)用場景不夠成熟、監(jiān)管政策不夠完善等問題，但十多年的發(fā)展和已有的應(yīng)用證明了區(qū)塊鏈的價值，尤其是在金融行業(yè)的應(yīng)用價值凸顯。接下來，為持續(xù)推進和完善區(qū)塊鏈生態(tài)體系的建設(shè)，在區(qū)塊鏈技術(shù)研發(fā)、場景應(yīng)用，區(qū)塊鏈技術(shù)與新技術(shù)的融合，區(qū)塊鏈國家標(biāo)準(zhǔn)和行業(yè)規(guī)范及區(qū)塊鏈技術(shù)合規(guī)監(jiān)管力度這四大方面還需要予以重視，加強完善。

網(wǎng)頁名稱：區(qū)塊鏈技術(shù)在金融行業(yè)的應(yīng)用與風(fēng)險管理
文章位置：http://m.5511xx.com/article/dhcdeso.html