過去一年間,才換新重機… 遭砂石車輾死,比特幣兌美元從1千元一路飆漲到超過1萬元,全大運桌球/愛子當小福星 陳建安男單稱霸,虛擬貨幣與區塊鏈瞬間成了新興科技的代名詞,美白人與少數裔財富差距擴大,各界熱烈的討論區塊鏈的應用,最高法院裁決 法國中止「布基尼」禁令,積極的參與各種驗證活動。但是,當我們正為區塊鏈歡呼的同時,是否也須冷靜評估在區塊鏈的各項應用是否是安全?從過去的失敗案例來看,區塊鏈應用的安全漏洞可能出現在三個層面:區塊鏈內、區塊鏈外與區塊鏈平台本身。本文將從這些案例歸納出各層面的安全議題,並提出區塊鏈安全與風險管理框架的十個重要領域。去年發生在以太坊區塊鏈上的The DAO事件中,駭客利用智能合約的漏洞盜走了約五千萬美元的以太幣 ,這就是一個典型的鏈內安全問題,必須針對智能合約發展弱點掃描等工具。最近南韓比特幣交易所疑遭北韓駭客入侵,以惡意程式竊取客戶個資與比特幣,這是鏈外程式以及與區塊鏈介接的部分出了問題,與一般企業應用系統所面臨的問題類似。至於區塊鏈平台本身發生的問題,一案例為去年9月,以太坊區塊鏈因為內部程式碼的特性,遭到駭客以惡意交易做出阻斷攻擊(DDoS),導致運行異常。綜合觀察,即使區塊鏈平台本身是安全,基於區塊鏈的應用系統未必是,也亟需一個系統性的分析框架。為此,KPMG發展了包含十個關鍵領域的安全與風險分析框架,包含有:共識機制與網路管理,密碼學、金鑰管理與代幣化,鏈的權限管理及隱私保護,區塊鏈防禦,資料管理與隔離,相互操作及整合,擴充性及效能、業務持續性及災後復原,案例適用性及相關性,治理、風險及合規。例如:共識機制與網路管理是區塊鏈的核心功能,負責傳輸與集體驗證區塊以更新帳本,故於策略與業務案例的階段,就應分析採用的共識機制的交易吞吐量,建立所允許的鏈外交易的範圍以及執行處所。此外,為避免在發生安全事件時受到波及,要確保各個節點可以依狀況設定停止傳播或接收其他節點的區塊。不難看出,在上述的安全架構下,前五項跟區塊鏈的關係比較密切,後五項則也適用於一般企業應用系統的風險管理。在這十大關鍵領域內,KPMG訂出了許多實務指引,可分別適用於發展區塊鏈應用的各個階段:策略與業務案例、需求與開發、測試與部署、營運與維護。此外,KPMG也為企業戶提供區塊鏈驗證檢核服務,以獨立第三方的專業角色,提供所有參與者區塊鏈安全的確信服務,期提供企業戶在安全的前提下,更靈活的運用區塊鏈此一最新技術。我們期許,能夠兼顧安全防護的前提下,區塊鏈新科技將帶給企業更多創新營運模式。(本文由政大資科系教授暨KPMG安侯建業區塊鏈實驗室顧問陳恭博士、KPMG安侯建業區塊鏈實驗室執行副總李育英/副理楊博文提供),