文中国信息通信研究院云计算与大数据研究所何张
自2008年比特币诞生以来,区块链技术持续引起全球关注,应用范围从加密货币、数字资产交易逐步扩展到供应链协同、产融协同、社会治理、政府管理等领域。区块链有望重构人类社会的组织模式、合作模式和资源配置模式,推动价值互联网的深入发展。在可预见的未来,越来越多的行业将使用区块链技术来运行他们的业务,甚至是他们的核心业务。因此,迫切需要高度重视区块链技术应用的安全风险,并采取合理有效的防范措施。
一、区块链的主要安全风险
区块链是多种信息技术的组合创新。具有去中心化、信息难以篡改、透明可追溯、建立信用方便等特点。在重构各类行业组织的传统商业模式方面具有独特优势。与传统的由一方独立建设和运营的信息系统不同,区块链系统需要将信息存储在许多不同参与者的节点上,并通过一套机制保证数据的一致性,使各项业务能够正常运行。因此,区块链的安全风险既有技术本身的缺陷,也有相关数据和应用缺乏有效管理的原因。与此同时,在重构现有商业模式的基础上,区块链创造了各机构间可信合作的新商业模式,由此产生了新的市场实体,也对现有的全球监管体系提出了巨大挑战。为了便于分析,本文将区块链安全风险分为技术、数据、应用和运营主体几个维度,分别进行讨论。
(一)技术层安全风险
区块链集成了加密算法、对等网络、共识机制、智能合约等信息技术。各项技术的整体发展尚未完全成熟,这使得区块链在算法、协议和应用方面仍存在各种安全威胁,主要表现在以下几个方面。
密码算法安全性:目前基于区块链的算法主要是公钥算法和哈希算法,其安全性来源于数学难度,相对安全。然而,大多数国内区块链系统仍然使用国际通用的密码算法,如SHA256和ECC椭圆曲线算法。密码算法和相关硬件容易被人控制,因此迫切需要取代国家秘密算法。同时,随着高性能计算和量子计算的发展和商业化,所有的加密算法都有可能被破解,这对区块链也是一个威胁。
协议安全性:在区块链中,如果一个节点可以控制全网51%的计算能力,就可以伪造或篡改区块链的数据。在目前电子货币的典型应用场景下,得不偿失。然而,随着区块链应用范围的扩大,攻击者为了达到某种目的而实施此类攻击成为可能。
应用安全:在区块链的编码和运行的应用系统中,不可避免地存在很多安全漏洞,针对这些漏洞的攻击与日俱增,对区块链系统的安全造成了很大的影响。
智能合约的安全性:智能合约已经成为区块链系统的重要组成部分,部分区块链系统完全使用智能合约来完成转账、权限管理等核心操作。智能合约的完整性和安全性已经成为区块链系统安全的关键要素。
总的来说,智能合同对区块链的安全影响最大。根据白帽惠对2011-2019年区块链相关安全事件的统计,技术安全风险主要集中在应用层和合同层。尤其是2019年,合同层引发的安全事件数量已经占到所有事件的75%,合同层的安全问题已经成为区块链科技se的首要风险因素
区块链是一个只能添加信息的系统,链中存储的数据不能被替换、删除、篡改。其中,写入比特币、以太坊等公链数据的权限对所有用户开放,写入的信息永远不能删除。这使得人为的恶意信息书写或敏感信息的误操作无法修改,很容易导致敏感和非法信息书写的滥用,给社会造成新的问题。
例如,德国亚琛大学的学者发现,目前比特币的区块链中存储了约1600个文件,其中至少有8个是色情内容,1个涉嫌虐童,2个是包含虐童内容的链接,142个链接指向黑暗网络服务。由于上述内容无法删除,每个比特币记账节点都存储了上述信息,这给比特币系统和记账节点的合法性带来了极大的隐患。
随着公链功能的扩展和用户数量的增加,非法数据内容的滥用已经成为所有公链的共同问题。这种行为引发的问题主要包括侵犯版权、恶意软件传播、侵犯隐私、政治敏感内容传播和有害内容传播。各种问题对应的违规内容和威胁对象见表1。
(三)应用层安全风险
目前,区块链的应用广度不断扩大,但加密货币仍是区块链最成熟的应用之一。区块链的一些加密货币具有不可撤销和不受审查的特点,因此非常容易被各种不法分子用于非法交易,如恐怖融资、非法武器或毒品交易和毒品交易。具体而言,与加密货币相关的犯罪包括:
一种是打着虚拟加密货币的旗号误导公众,吸收公众资金。这种行为可能包含实际业务行为,难以判断是否存在主观故意,可能定性为非法吸收公众存款,甚至集资诈骗。
二是利用加密货币的匿名性从事暗网非法交易。据统计,2019年,仅比特币(BTC)就在黑市创下了超过10亿美元的交易记录。此外,门罗币(XMR)、莱特币(LTC)、大零币(ZEC)、DASH币、以太坊(ETH)等加密货币近年来也越来越多地出现在各种非法交易中。加密货币在暗网等非法交易市场的应用正在加速。
第三,黑客利用计算机病毒进行盗窃、勒索或非法采矿。近年来,以WannaCry为代表的蠕虫状勒索软件遍布全球,各种挖矿木马也造成了极大的负面影响。加密货币已经成为黑客非法敛财的主要工具。
(四)经营单位的安全风险
2019年6月18日,脸书宣布将推出一种名为Libra的加密货币,计划成为一种简单无国界的货币和服务于数十亿人的金融基础设施。但由于全球监管的阻力,Libra于2020年12月1日更名为Diem,计划推出只锚定美元的数字货币,从而获得监管部门的批准。从Libra最初的定位和计划来看,可能会对各国现有的货币金融体系产生冲击,未来可能会出现类似的超主权货币,因此必须考虑Libra等超主权货币带来的安全风险。
首先,天秤座可能会冲击现有的金融体系。凭借脸书庞大的用户基础,Libra可以轻松渗透市场,可能对相关国家的货币主权、货币政策和外汇政策产生巨大影响。由于区块链的去中心化,国家监管的概念被淡化,天秤的出现和发展给传统的货币体系带来了前所未有的挑战。
第二,天秤新的分布式组织缺乏市场主体的监管。天秤网是分布式的、全球化的,区块链服务没有统一的市场主体,这对于需要依靠市场主体设立监管对象的传统监管手段是一个巨大的挑战。Libra协会的初始成员是来自多个国家的企事业单位,他们横跨多个领域,包括支付结算、旅游、版权交易、投融资机构等。这种新的市场主体的出现给全球监管带来了新的挑战。
第三,天秤座可能会滥用交易隐私数据。在大量脸书用户的帮助下,Libra可以迅速渗透到各个国家,导致原本由国家掌握的公民财务交易数据被Libra运营商掌握,从而导致个人财务和交易数据的隐私问题。鉴于脸书在剑桥分析中的不良记录,Libra进一步引发了全球个人和机构对数据隐私的担忧。
二、区块链安全风险监管的实践
总的来说,目前区块链出现的问题既有过去问题的新形式,也有新问题。这就要求监管者从多个维度探索和实现区块链监管覆盖。一方面,要深入了解区块链技术,加强相关领域的监管;另一方面,需要引入新的监管技术、制度和机制。目前,全球相关机构从不同领域入手,加强对区块链技术应用的监管,防范相关风险。
(一)金融监管
近年来,数字货币的发展越来越挑战传统的货币金融体系。如何平衡数字安全和隐私保护,如何有效监管数字货币,如何保护所有参与者的权益,都是政府和监管部门需要考虑和解决的问题。
国际机构一直对数字货币保持密切关注。国际清算银行(BIS)针对数字货币的支付功能,以及数字货币是否具有货币的属性,发布了很多指导意见和建议。国际货币基金组织(IMF)也发布了多份相关研究报告。经济合作与发展组织(OECD)和二十国集团(G20)也发布相关报告表明监管态度。
除了国际金融组织,各国监管机构也在关注并积极研究数字货币的监管。由于各国金融环境不同,对数字货币的监管态度也不同。美国、日本等一些国家对数字货币产业持支持态度,积极部署监管措施。不过,印度等一些国家目前禁止在中国开展数字货币相关业务。具体而言,在金融监管领域,具体的监管态度、监管实践和监管机构存在差异。
从上面一些国家的监管措施可以看出,很多国家在监管数字货币的时候,选择使用牌照来监管数字货币的相关行业。数字货币监管牌照是数字货币产业链相关企业和机构进入市场的先决条件。只有在获得监管许可后,该机构才能开展符合当地法规的数字货币相关业务和服务,如设立数字货币证券交易所、交易和发行数字货币金融衍生品。随着各国对区块链和数字货币市场的深入了解和探索,监管机构正在逐步调整现有法律法规或起草新的法律体系,以应对数字货币的快速发展。随着全球对数字货币认识的加深和接受度的相应提高,其发行、使用和管理将更加规范,相关风险也会降低。
(2)行为监督
鉴于加密货币被用于非法交易、恐怖融资、洗钱等活动,跟踪数字货币交易、打击犯罪已经成为区块链领域的一个新兴产业。业内公司通过持续关注世界各地的各种区块链交易来判断用户的可靠性。
美国Chainalysis公司试图通过追溯区块链的数字货币来打击网络犯罪。根据已经披露的82份美国联邦采购合同的记录,自2015年以来,美国联邦执法机构已经向该公司支付了超过1000万美元,主要用于购买其工具、服务和培训,以打击数字货币相关犯罪。未来,该公司将跟踪10种不同的加密货币,包括莱特币和以太坊,以进一步扩大业务范围。此外,英国的椭圆公司(Elliptic Company)等初创企业也在从事相关业务,韩国的网络安全厅(KISA)也计划利用人工智能和机器学习技术,通过自动搜索韩国的暗网来搜索加密货币相关活动。
(3)市场监管
从天秤座的特点来看,天秤座未来的金融服务可能涉及支付、跨境支付、贷款、资产管理等领域,其作为货币对全球货币体系的影响需要考虑。基于天秤形成的金融或准金融行为的规模和范围特征,以及其风险可能迅速传导至整个金融领域,天秤具有系统重要性的特征。全球机构称,天秤座需要被监管已经成为共识。目前讨论Libra的监管原则主要有两个方向。一个是大型科技企业(平台企业)进入金融领域的常见监管问题,一个是天秤座的特性决定的独特监管措施。2020年4月,天秤协会发布了新的白皮书,调整了职能和视野。此举被普遍认为是迎合监管、争取合规的重要一步。随着区块链相关监管体系的不断完善,像Libra这样的新兴市场主体将被逐步纳入相应的监管框架。
(4)内容监管
针对区块链数据分散的特点和数据不可篡改的特点,需要建立相应的数据内容监控和治理体系。涉及的主要内容包括:研究区块链系统中特定数据内容的快速检测预警技术,研究有害信息的受控回滚技术;研究区块链体系的多中心监管机制和层级治理机制,对分布式、协同式监管中心进行有效治理;研究区块链行为的相关性分析,结合网络流量特征分析,实现区块链匿名节点的身份跟踪。
三,中国区块链证券现状及监管启示
2017年,比特币、以太坊等加密货币价格上涨,大量资本进入市场,区块链从业者和应用项目数量迅速增加。随着一些硬币的混乱,中国的金融秩序是稳定的,区块链工业是健康的。发展产生了负面影响。我国监管部门相继出台多项监管政策,进一步规范相关市场行为。对部分违法违规项目进行严格监管,不断完善行业监管体系建设,为工业区块链项目深入服务实体经济提供有力保障,产业发展环境得到优化。
(1)中国区块链监管现状
在金融监管方面,我国设立了涉及民间数字货币发行和交易的监管红线。近年来我国涉及数字货币的规范性文件有《关于防范比特币风险的通知》755-7900《关于防范代币发行融资风险的公告》755-79000755等。
在内容监管方面,2019年1月10日,国家网信办发布的《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》明确,国家互联网信息办公室是区块链信息服务的监管主体,其监管对象是区块链信息服务提供者,主要通过备案管理,区块链信息服务提供者需要落实信息内容安全管理的主体责任。
(二)中国区块链风险监管的启示
可以看出,中国在区块链领域的监管态度相对于其他国家较为严格,尤其是对私人数字货币的发行和交易采取了完全禁止的措施,这对中国数字货币的发展带来了一定的影响
一是深化区块链核心技术研究,加强技术监管。区块链结合了多种信息技术,因此对区块链的监管必须建立在掌握核心技术的基础上。我国应结合实际,扩大国家秘密算法的应用范围,加强区块链核心技术的研究,确保相关技术的合理规范使用。
二是建立可信的第三方审计机制。区块链涉及多种技术的结合使用,系统集成度高,系统用户识别难度大。中国信通院发起的可信区块链测评系列,通过专业测试、专家评审、同行评审,以第三方可信测评的方式提升区块链行业透明度,帮助用户降低区块链使用风险。
三是丰富监管的多样性,提高监管的适应性,建立多种技术手段,完善监管体系。首先,在重点行业的区块链体系中,为监管机构设置监管节点,提高监管的穿透性和时效性。其次,凭借区块链交易数据全部公开的特点,为打击跨境犯罪和海外追逃提供协助。最后,充分利用新兴技术,积极发展监管技术,提高监管部门的实时风险感知和预测能力。
四是建立负面清单,划出监管底线。区块链作为一个新生事物,在技术不断发展完善的同时,也不可避免地会逃避监管。因此,监管机构不仅应该鼓励区块链的探索,还应该从初始阶段建立负面清单,明确监管底线,加强清单管理。通过建立负面清单,各方在守住底线的基础上积极探索,既要提高包容度,支持创新,为创新预留空间;也要守住底线,防止越界。
(本文发表于《常抓不懈持续防范 ICO 和虚拟货币交易风险》杂志2021年第3期)