本报记者 邢萌
9月27日,国家区块链漏洞库《区块链漏洞定级细则》(以下简称“《细则》”)正式向社会发布。《细则》由国家互联网应急中心联合长亭科技、成都链安科技、安比实验室和慢雾科技四家安全厂商共同起草,目的是为进一步建立区块链行业统一客观的漏洞评级体系,建立健全区块链安全的基础设施,逐步改善区块链领域的诸多安全问题。
据了解,《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》,主要依据“危害程度”和“利用难度”等方面分析,将漏洞分为高、中、低三个威胁等级,且每种危害和难度的描述中都罗列了非常详细的参考条目,基本涵盖了区块链领域可能遇到的大部分漏洞情况,可以帮助使用者快速定位和分析漏洞。同时依托CVSS2.0,力争实现与传统基础领域漏洞规则的互通,从大网络安全的角度打通区块链新兴领域与传统领域对于漏洞的认知和定义。
记者梳理国家区块链漏洞库数据发现,目前披露的漏洞总数超过400个,绝大多数为中高危漏洞。具体来看,全网漏洞总数412个。高危漏洞100个,占比24.27%;中危漏洞296个,占比71.84%;低危漏洞16个,占比3.88%。从漏洞影响对象类型来看,几乎均为公链。412个漏洞中,公链漏洞占410个。
对此,慢雾安全团队在接受《证券日报》记者采访时分析道,“由于区块链自带金融属性,很多项目(如公链、交易所等)出现漏洞时都会带来不小的资产损失,在漏洞定级时这部分实际影响会纳入其中,所以大部分区块链漏洞都是中高危的。”
对于公链项目居多,则是由其开源性决定。慢雾安全团队表示,目前区块链漏洞主要集中于公链,原因可能是因为公链代码是开源的,但是交易所、钱包的代码一般情况是不开源的。安全研究员主要拿到的代码都是公链的,所以发现的公链漏洞数也就比较多。
值得注意的是,漏洞库中多为加密数字币项目,“归零币”不在少数。以点击量最高的加密数字币Emercoin项目为例,该漏洞为高危类型,Emercoin0.7及之前版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。记者搜索发现,Emercoin币价已趋近于归零。据英为财情数据显示,Emercoin最新币价为0.03635美元,这与其最高时5美元的价格已相距甚远。
对此,中国移动通信联合会区块链专业委员会主任委员兼首席数字经济学家陈晓华教授对《证券日报》记者表示,“加密数字币并非真实货币,没有中央银行进行总量控制和宏观调控,不具有与法定货币等同的法律地位,加密数字币在法律地位上的弱势导致其价格波动大。暴涨暴跌的加密数字币风险巨大,在支付系统、操作性、交易、流动性等多方面存在风险,并不适合普通人投资。”
(编辑 沈明)