近日，中国信息通信研究院（以下简称“中国信通院”）安全研究所基于2020年11月-2021年1月间举办的首轮区块链安全能力测评中发现的安全问题，发布了《区块链安全能力测评与分析报告（2021年）》（以下简称《报告》）。

《报告》表示，随着区块链应用在国计民生多领域落地探索，为上层区块链应用提供存储、传输、计算、开发和测试等资源能力的区块链基础设施，其发展已成为推动区块链业务主流化的决胜关键所在。

区块链基础设施通过建立区块链底层架构和平台，为区块链技术、产业和应用落地提供区块链底层核心能力、资源和服务，可有力清扫区块链落地进程中必须解决的区块链底层性能不足和开发技术门槛过高等障碍，逐步成为区块链竞争新热点领域。

在政府层面，以欧盟为代表已启动区块链基础设施建设部署；行业层面，多样化区块链基础设施能力正加快建设。如区块链即服务(BaaS, Blockcha in as a service)作为一类特殊的基于云平台区块链基础设施，其所提供的资源丰富、弹性按需分配的底层技术特性使其受到了科技巨头、云厂商、区块链初创企业的高度

但区块链在快速发展的同时，也面临着新的风险挑战和不确定因素，相关安全事件不断涌现。2020年11月起，中国信通院安全研究所公开征集公有链、联盟链和私有链项目，开展了首轮区块链基础设施安全测评。

《报告》显示，通过综合分析测评结果，发现参评项目根据不同的链类型可以提供基础性权限管理功能，但网络控制能力有限，采集用户信息类型简单，80%的项目对用户隐私保护仍停留在对隐私数据提供访问管理这种单一保护方式，未对个人隐私进行模糊化处理，通过账户验证就会暴露个人所有隐私信息。

密码算法方面，国产化程度高，密钥存在安全漏洞，对密钥全生命周期安全管理能力参差不齐，尤其在密钥存储、备份、泄露与重置方面有待增强。此外，参评项目的系统安全运维专业化、精细化程度也有待提升。

经综合评估，《报告》指出了区块链基础设施的十大安全隐患，包括区块链特有入侵行为检测缺失、密钥明文存储、单一外部隔离防护引入横向移动风险、智能合约代码审计覆盖面不全、资源滥用攻击防范检测能力不足、隐私数据未模糊化处理、公有链账户可用性管理不完善、密码更新管理缺失下的默认账户风险、测试环境迁移不完备以及密钥存储存在敏感字段等。

在智能合约代码方面，《报告》强调，如果区块链系统不提供智能合约代码审计或仅依赖于内部人工审计方式,区块链系统将面临审计人才短缺、人力成本较高、代码审计效率低下等问题，智能合约极易成为重要风险点。

相应地，针对这些问题，《报告》对区块链基础设施平台提出了十大必知必会安全操作，如部署专业性全面化的区块链恶意代码检测机制、对进出节点数据流提供细粒度访问控制、采用隐私数据多重保护技术实现内外双重防护等。

《报告》还指出，在区块链基础设施加速建设的同时，也带来了区块链基础设施安全市场精细化发展需求，预计2021年-2023年间区块链安全领域将涌现区块链安全即服务和区块链安全容器两类新兴安全方向。

出品：南都科创工作室

采写：南都记者程小妹