区块链技术在金融行业的应用与风险管理
作者: 日期:2022年08月10日 阅:1,425

原创 王志超 周颖 安全牛 

近年来,随着我国数字经济飞速发展,区块链技术已开始广泛应用,全面融入社会经济发展体系之中,成为继大数据、人工智能、云计算的又一新型技术领域。区块链技术本身具有去中心化、分布式存储、防篡改、可追溯等特性,其安全性远高于传统网络体系,具有广阔的应用场景和巨大的商业价值。同时,区块链也存在一些安全风险,在其应用普及的同时,也需要及时加以关注并做好应对。

一、区块链技术现状综述

01

区块链发展现状

我国高度重视以区块链为代表的新型基础设施在新的技术革新和产业变革中的重要作用。近年来,国家颁发了多项政策文件,以推动区块链技术与产业创新、经济社会融合的高速发展。

经过国家和行业的不懈努力,我国区块链技术在推动数字产业化、健全数字经济治理体系、强化数字经济安全体系等方面均发挥着积极促进作用,主要取得的成绩如下:

1、产业链蓬勃发展,基础设施加速建设

我国区块链产业已初具规模化,基本形成区块链产业链上、中、下游的格局,同时区块链在各行业不断应用,自2019年起,在各种有利政策推动下,北京、上海、广州、福建等多地布局区块链产业,同时各组织机构在构建规模性区块链基础设施上充分发挥自身优势,积极探索基础设施建设方法。

2、区块链产业基金增速发展,政府参与力度趋势增大

各地不断加大区块链产业基金投入,以此带动区块链产业布局。截至2021年底,共20多个省市在工业制造、新型数字产业、信息产业等母基金中涵盖区块链产业,专项发展基金达500多亿元。全国15个省、28个城市成立48家区块链产业园区,其中政府主导或参与共建了大部分产业园区。

3、发达地区向周边辐射,加速产业布局

一线城市与新一线城市依靠其优势引领产业发展,并向周边地区辐射,带动地方区块链产业发展。据报告显示,北京、上海、广州、深圳等聚集区核心城市依靠经济、科技、教育、人才等优势,在区块链产业发展水平中名列前茅。

4、联盟组织数量飞速增长,共建产业新格局

大批区块链产业联盟组织如雨后春笋般涌现,至2021年底共成立了中国区块链研究联盟、中国分布式总账基础协议联盟、中国未来区块链产业联盟等70余家区块链产业联盟,区块链组织成员数量超过2300家,其中包括2200多家企业单位及近百家高校及研究机构。

由于区块链技术的无国界限制、强隐秘性和防篡改性,导致区块链生态领域的网络攻击事件层出不穷,区块链的安全挑战愈发严峻。据相关数据统计,2021年整个区块链生态发生的安全事件数量超332起,比之2020年增幅超22%;2021年整个区块链生态造成的经济损失超153亿美金,较2020年增幅超26%。而这些安全事件主要集中在交易所、DeFi、诈骗跑路/加密骗局、勒索软件/挖矿木马、暗网等方面。

02

区块链面临的挑战

目前我国区块链产业的发展存在一系列的挑战,主要集中在以下四个方面:

  • 自主研发能力不足。当前我国的大部分区块链应用项目主要是基于国外开源平台,自主底层平台使用不多,可信执行环境方面的自主技术还不成熟,复杂环境方面的核心技术还需加大研发投入,提前布局。
  •  团体标准质量不齐,存在定义不统一情况。在我国区块链标准体系中,发展最早最快的是团体标准,目前多个领域的团体标准已有70多个,但由于区块链产业发展迅速,目前出现了不同标准中定义不统一的情况,这将无法发挥标准的引领作用。
  • 技术安全问题不断涌现,金融监管风险需加强关注。技术安全挑战主要体现在区块链自身技术漏洞,以及因自主技术不足过度依赖国外平台和技术两方面。金融监管风险主要体现在跨境金融基础设施影响我国外汇、反洗钱管理要求。
  • 区块链应用深度不足,可持续性较差。目前在各行业中,对于区块链的应用仍存在深度不足、可持续性差等问题,部分企业进行了工商注册但未开展实际业务,同时一些区块链项目只关注眼前利益,未思考后续发展,导致可持续性较差。

03

区块链安全机制

区块链的核心技术主要包括:共识机制、数据存储、网络协议、加密算法、隐私保护、智能合约。

1、共识机制:是通过特殊节点的投票,在很短的时间内完成对交易的验证和确认。共识机制也叫共识算法,它能够有助于验证信息被添加到分类账簿,确保在区块链上只记录真实的事务。常用共识机制主要有PoW、PoS、DPoS、Paxos、PBFT等。

2、数据存储:区块链中,数据以区块的形式存储,且为永久存储,每个区块记录了创建期间发生的所有交易信息。区块的数据结构一般分为区块头和区块体,每一个区块相互链接,保证数据的完整性和防篡改性。

3、网络协议:P2P协议是区块链网络协议一般采用的,它能确保同一网络中的每台计算机彼此对等,每个节点共同提供网络服务,不存在任何“特殊”节点。不同的区块链系统会根据需要制定独自的P2P网络协议,比如比特币有比特币网络协议。

4、加密算法:主要包括散列算法和非对称加密算法。散列(哈希)算法的原理是将一段信息转换成一个固定长度的字符串,抽取数据特征。非对称加密算法是由对应的一对唯一性密钥组成的加密方法,能够保证数据的保密性。

5、隐私保护:在区块链技术中的隐私主要指:身份隐私和交易隐私。目前区块链上传输和存储的数据都是公开的,仅通过“伪匿名”的方式对交易双方进行一定的隐私保护,所以使用隐私保护技术主要为了解决用户身份的匿名性和传输内容的保密性。

6、智能合约:是一种旨在以信息化方式传播、验证或执行合同的计算机协议,可看作部署于区块链上可自动运行的程序,存在出错可能性,其涵盖范围包括:编程语言、编译器、虚拟机、容错机制、安全事件等。 

二、区块链金融应用场景

金融是区块链应用场景中探索最多的领域,在供应链金融、贸易融资、跨境金融、资金监管、商业银行业务等细分金融场景都有具体的落地场景。

01

供应链金融领域

对于供应链金融产品,目前存在诸多挑战,如链条过长、关联度较高、交易场景难以识别等。区块链作为实现数字化转型的新兴技术,包含了:网络协议、共识算法、非对称加密、智能合约等,具有分布式对等、链式数据块、可追溯、防伪造和防篡改、透明可信和高可靠性等特征,能够在供应链金融场景中发挥其独特优势。银行方面主要包括:应收账款和生态合作两种“区块链+供应链金融”应用模式,应用示例如下:

文字来源:《区块链技术与金融应用安全白皮书》

02

贸易融资领域

贸易融资是银行主要业务之一,包含:福费廷、信用证、绿色债券等业务。在业务整个流转过程中,涉及银行、买卖双方、供应商、物流公司、监管机构等多方交易实体,很难取得互相信任,造成交易流程过长,信任机制繁琐,交易周期延长等问题,区块链具有公开透明、不可篡改、分布式账本的特点,便于贸易金融的线上化和智能化,可打造区块链贸易融资平台,在多方参与的平台中,提供信任机制,进而简化业务流程,提高业务流转效率,提高用户体验感,降低市场风险和流动性风险,形成创新的金融产品,应用示例如下:

部分文字来源:《区块链技术与金融应用安全白皮书》

03

跨境金融领域

随着跨境电商的兴起,区块链技术在跨境支付领域得到了较好的应用,解决了境外银行账户申请难、多平台店铺资金管理难、提现到账速度慢,更多银行尝试建立区块链跨境支付系统,该系统实现了跨境汇款秒到账、交易信息实时共享、交易过程实时追踪等功能,不仅方便了跨境交易双方,也改善了金融机构成本结构,有效提高了金融机构盈利能力,应用示例如下:

文字来源:《区块链技术与金融应用安全白皮书》

04

资金监管领域

在传统的征拆迁资金监管过程中,资金流向监管难、资金利用率低、项目复杂度高等问题一直困扰着监管机构,具有多方共识、公开透明、防篡改、可追溯等特性的区块链技术解决了这一难题,利用区块链技术可实现资金流和信息流相统一、申请和拨付流程可跟踪追溯、资金审批及使用透明规范,保证上链信息的真实性和有效性,实现对资金的全方位监控。

05

商业银行业务领域

为了实现数字化转型目标,各银行在区块链研究上的投入不断增加,区块链技术与业务相互融合,本次介绍票据业务、信贷业务和信用卡业务与区块链技术的深度融合。

1、票据业务主要包括:开票、贴现、转贴现、再贴现、托收、抵押放款等方面,成本相对较低,能够在短期内实现资金融通,但纸质票据交易存在毁损、人为篡改和欺诈等风险。区块链技术可解决上述风险,具体措施包括:一是票据业务应用结合形成区块的过程,区块上所有节点都记录了交易信息,保证票据交易的可靠性;二是区块链具有可追溯性,可通过存储的交易信息上的“数据时间戳”解决票据的所属问题,有效防止各种纠纷,节省资源。

2、贷款业务作为商业银行最重要的资产业务,主要通过放款后回收本息的方式获取收益,是银行主要的盈利手段之一。目前信贷业务存在一些问题:一是传统信贷业务审批机制复杂、成本难以控制,二是信息公开度低,信息不对称增加了违约风险,三是信贷业务审查不到位。区块链技术可与信贷审批业务有机结合,能有效提升信贷审批效率和信贷审批流程的科学性。

3、信用卡是商业银行支付融资一体化、线上线下交融化的新型数据化工具,银行逐渐将信用卡业务线上化,与此同时,信用卡监管投诉、诉讼纠纷也逐年增加,如何举证和保留证据是一个难点。目前行业内提出了基于区块链的信用卡电子存证方案,可以为解决信用卡投诉和诉讼问题提供参考。相较于传统电子存证,区块链电子存证优势如下:

  • 能够通过区块链建立无利益第三方的见证人身份;
  • 用户对保存在区块链上的电子合同进行的每种操作都有时间戳,保证了每个行为都有据可查;
  • 用户对保存在区块链上的电子合同进行的每种操作都需要经过身份认证,最后审查电子合同时,用户不可抵赖。

三、区块链应用风险

01

 区块链技术风险

  • 缺乏可扩展性。限制区块链技术大规模应用的最主要因素就是缺乏可扩展性,对于一些依赖高性能处理场景,如金融、存证、溯源等,区块链的处理能力明显不足。当前运行的公链中,最核心的是比特币、以太坊以及EOS,比特币系统吞吐量(TPS)不足,以太坊由于需要保证网络同步率,TPS也不足,EOS的TPS高但节点少,且存在安全隐患。
  • 智能合约安全性无法保证。智能合约是区块链技术的核心,能够保障各类交易稳定运行,但目前智能合约的安全性仍无法保证,智能合约的安全性受到诸多因素影响。智能合约的编写与生成完全依赖程序员,若开发人员水平不高,则合约的功能完整性及条款严密程度极易出现问题。同时,在开发过程中,开发人员可能未满足合规性,在合约中加入主观意识,产生漏洞。
  • 共识机制漏洞。共识机制是区块链系统的核心,也是区块链实现去中心化的关键,但其运作往往由简单的多数投票机制组成,这些机制容易遭受区块链上部分用户的影响,不仅威胁用户利益,同时也破坏节点公平。攻击者能够针对不同机制漏洞,设计相应的攻击手段,造成严重的后果。

02

区块链应用风险

  • 数据真实性与隐私泄露风险。区块链数据具有不可篡改的特性,如果上链前的数据真实性、合法性有问题,区块链也无法识别,只能将数据记录在区块中。例如,比特币区块链上有交易会携带数据,而这些数据可能有不适当内容且无法检验真实性和合法性,这会给参与者和所有链上用户带来风险。
  • 技术犯罪现象频发。如今技术犯罪事件层出不穷,基于区块链技术的加密货币及衍生品更是犯罪行为频发的领域。例如,以比特币为代表的分散化的加密货币体系已经成为一个全球性的货币体系,区块链技术的特性使得加密货币交易风险突现,不法分子钻取漏洞实施犯罪,并从中获利。
  • 交易匿名化导致追责难。区块链具有匿名交易的机制,这导致交易者无法确认其他交易者身份真实性,同时对于交易监管的难度也会大大提升。如若发生数据泄露事件,无法追溯数据安全和保密责任,这也是区块链应用中数据安全事件和犯罪行为如何管控的难点。如果未建立健全责任落实体系,将损害用户权益。

03

区块链合规风险

  • 区块链虽被各行业广泛应用,但仍存在意识形态的合规风险。区块链从诞生起的最终目的就是实现完全去中心化,这也成为区块链技术意识形态的核心,但目前完全去中心化的系统无法在现实场景落地,无论如何发展,最终的结果不是由中心化权力机构接管,就是由于缺乏强有力的协调机制而分裂或下线,即使是比特币、以太坊这些长时间活跃的项目也遭遇过多次硬分叉。因此,以形成完全去中心化的系统为目标成为当前区块链发展的意识形态陷阱。
  • 区块链又一合规风险主要体现在监管和法律体系保障层面。区块链作为集成性的创新技术,正在不断影响行业发展、社会管理方式变更和产业布局,但新技术必然存在技术标准缺乏和监管体系不完善的短板。目前国家标准正稳步推进,行业企业也在不断探索和制定区块链的行业标准。但总体上看,区块链技术监管仍无法赶上它的发展速度,急需建立规范化的国家标准及各行业区块链监管规范,规范和引导区块链技术与产业发展。

四、区块链技术与安全框架

01

区块链技术框架

区块链技术架构是运行在区块链网络节点中,提供区块链系统功能的软件和存储实体的集合,其核心涵盖了区块链功能架构的用户层、接口层、核心层和基础层。参考《信息安全技术 区块链技术安全框架》(征求意见稿)和《区块链技术架构安全要求》(YD/T 3747-2020),建立的区块链技术框架如下:

02

区块链安全框架

完善的区块链安全框架是推动区块链技术应用和场景创新发展的基础,区块链作为一种新兴技术,必须警惕其潜在的安全风险。针对区块链技术面临的风险,参考《信息安全技术 区块链技术安全框架》(征求意见稿)和《区块链技术架构安全要求》(YD/T 3747-2020),建立区块链技术安全框架如下:

五、区块链风险评估方法

01

风险管控框架

目前,区块链技术已经与实体经济深度融合,正在成为促进我国数字经济发展和数字化转型的新动能,但是区块链技术本身及区块链技术应用仍存在着如底层代码安全、智能合约安全、数字孪生等风险,金融单位需要针对各类区块链风险构建健全的风险管控框架,指导企业内部区块链技术的应用,通过区块链技术的良好应用,助力企业发展。区块链风险管控框架如下:

02

基本要求评估

金融单位可参考《JRT 0193-2020区块链技术金融应用评估规则》,从应用层、接口层、平台层三方面展开,对区块链内外部接口、技术应用、场景功能等开展评估。区块链技术金融应用风险基本要求评估框架如下。

针对区块链技术和应用的基础评估指标如下:

03

系统性能评估

金融单位可参照《JRT 0193-2020区块链技术金融应用评估规则》,从交易吞吐率、查询吞吐率、交易同步性能、部署效率和账本数据增长速率等维度展开,对区块链系统性能开展评估。

区块链性能评估指标如下:

04

安全保障评估

在区块链技术应用的评估过程中,安全保障评估也是重要的一个环节,金融单位可参考《JRT 0193-2020区块链技术金融应用评估规则》和《JRT0184-2020金融分布式账本技术安全规范》,从基础软硬件、智能合约、共识协议、隐私保护、运维要求等维度展开,对区块链安全保障情况开展评估。

区块链安全评估指标如下:

05

安全技术测试

技术测试是区块链安全风险管控的重要手段之一,区块链技术测试主要包括信息收集与威胁建模、测试与发现、利用和升级三个阶段,具体流程及重点内容如下所示。

区块链技术测试主要针对智能合约,智能合约采用Solidity等语言来编程,这些编程语言同样存在安全风险,下面让我们一起来回顾几个典型的区块链案例。

2016 年6月17日,区块链出现了历史上的一次重大攻击事件由于以太坊的智能合约存在着重大缺陷,区块链业界最大的众筹项目 TheDAO(被攻击前拥有约1亿美元的资产)遭到攻击,导致300多万以太币资产被分离出TheDAO资产池。

2021年DeFi借贷协议Cream Finance遭到五次攻击。第1次,2月13日,黑客利用Alpha Homora V2技术漏洞从Cream Finance旗下零抵押跨协议贷款功能 Iron Bank借出ETH、DAI、USDC等资产,导致该项目损失约3800万美元;第2次,同月28日,DeFi聚合平台Furucombo遭到严重漏洞攻击,损失 110 万美元;第3次,3月15日,Cream Finance 域名遭到黑客攻击,未造成资金损失;第4次,8月30日,Cream Finance 因可重入漏洞遭遇闪电贷攻击,黑客获利4.2亿个AMP、1308个ETH以及少量USDC等稳定币资产,总资产价值超过3400万美元;第5次,10月27日,DeFi 借贷协 Cream Finance 遭受攻击,损失约 1.3 亿美元。被盗的资金主要是 Cream LP 代币和其他 ERC-20 代币。

2022年3月29日,东南亚最火热的区块链游戏Axie Infinity母公司Sky Mavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议Poly Network案件被黑的6.11亿美元,成为DeFi历史上最大盗窃案。

2022年5月18日Binance 链上 Feminist Metaverse 智能合约遭到智能合约攻击。由于Fmtoken 合约资金转移的正确性校验机制不完善,导致损失资金价值超过55万美元。

上述事件整理于互联网公开信息,表明智能合约虽然带来一定的生活便利,但仍然存在较多漏洞和安全隐患,合约设计漏洞、合约协议漏洞、合约安全性分析不足等仍需引起开发者的高度重视。

智能合约属于合约层的程序,因此它一旦遭到攻击,将直接影响应用层功能的正常交易,甚至带来资金损失,下图是区块链安全测试基础架构模型,虽然数据层和网络层有着层层的安全防护手段,但仍然较难抵御合约层的合约漏洞。

为了更好的探索区块链的技术风险,笔者向大家介绍2款典型的安全测试工具,使我们更直观了解他们的作用。

01

Oyente符号执行工具

Oyente是一个智能合约自动审计工具,它能分析智能合约并返回可能的bug攻击,包括著名的DAO攻击类型。该工具分析对象是字节码,对合约的编译器版本有要求,使用docker运行时只能检测出低于solc 0.4.21以下的版本。

该工具是开源工具,可以对多种漏洞进行检测,包括整数下溢、整数溢出、多重校验错误2、Callstack深度攻击漏洞、事务排序依赖(TOD)、时间戳的依赖 、Re-Entrancy脆弱性,通过执行此命令greeter.sol,可以对上述7大漏洞进行安全检测和分析,此处表示代码检测覆盖率99.5%,未发现漏洞风险。

02

Mythril安全分析工具

Mythril是以太坊EVM字节码的安全分析工具。它检测以太坊、Hedera、Quorum、Vechain、Roostock、Tron和其他兼容evm的区块链构建的智能合约中的安全漏洞。

通过以下命令来对智能合约源码实施安全检测:

$ docker run -v $(pwd):/var/tmp/solidity_examples mythril/myth analyze /var/tmp/solidity_examples/Roulette.sol

通过检测我们发现,此搭建的智能合约的测试环境中存在1个时间戳依赖漏洞。

六、区块链安全未来发展趋势

01

加强技术研发和应用场景中的改进

区块链技术研发与场景应用是区块链产业的重要内容,未来可从三个方面予以加强:一是加强智能合约设计的合理性审查,建立智能合约协议漏洞库,落实智能合约的代码安全分析与技术检测;二是提高区块链共识机制,提高交易数据的透明度和安全性;三是明确区块链价值输出,细化区块链应用场景,建立不同场景下的区块链安全管控目标。

02

推动区块链技术与新技术深度融合

区块链技术的发展日新月异,区块链与大数据、人工智能、隐私计算、量子计算等新技术相互融合,在融合过程中,也要不断总结新生风险,不断改进量子计算攻克跨链数据交互难题,与隐私计算紧密集合,防范交易和客户信息泄露,推动区块链技术与新技术的高度融合与纵向延伸,搭建智能化、数字化、生态化的区块链产业新格局。

03

完善区块链标准,推动法律法规建设

区块链国家标准和行业规范的推动对于区块链产业至关重要,从国家层面继续完善区块链国标,从区块链基础、区块链架构、区块链业务、区块链技术应用、区块链安全等方面继续推动国家标准和行业规范的制定,结合国家标准组织、行业协会、技术厂商、研究机构、咨询公司等共同编制区块链标准,形成区块链智库团队,立法机构可借助社会智库和专业公司的力量,全面推动区块链各行业的立法体系。

04

提升区块链技术合规监管力度

监管合规要求是促进新技术发展的有力保障,区块链技术作为新兴技术同样需要在监管合规的引领下发展创新。一是建立松紧有度、宽松适宜的区块链技术监管合规体系,促进区块链技术的发展和应用;二是改进监管方式,实现科技监管的有力推动,充分发挥监管治理优势,重视监管引领作用;三是加强国际合作,建立全球统一的区块链监管体系,促进区块链产业健康发展。

七、结语

区块链是一项具有革命性意义的新技术,被认为是第二个互联网,各个国家对此均给予了高度关注。目前,尽管区块链技术还存在可扩展性、隐私安全、应用场景不够成熟、监管政策不够完善等问题,但十多年的发展和已有的应用证明了区块链的价值,尤其是在金融行业的应用价值凸显。接下来,为持续推进和完善区块链生态体系的建设,在区块链技术研发、场景应用,区块链技术与新技术的融合,区块链国家标准和行业规范及区块链技术合规监管力度这四大方面还需要予以重视,加强完善。

引用

1、《成都链安|2021区块链安全生态大盘点,经济损失超153亿美元》

2、《浙商银行&浙江大学:区块链技术与金融应用安全白皮书》

作者简介:

王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、云计算、区块链、人工智能、数字化转型等领域均有着较为深入的研究,多次参与银保监会组织的信息科技风险管理课题研究,并获得不错的奖项。

周颖,谷安天下咨询经理,10多年的金融业信息科技咨询及审计工作经验,获得CISA、CISP、PMP、ISO 27001、COBIT、ITIL等证书,熟悉金融业的各项业务流程和风险要点,熟悉行业监管及地方监管标准,对敏捷开发、重要系统效能、数据治理、数据安全、区块链、大数据、人工智能、零信任、数字化转型等领域均有着较为深入的研究。

朱隆国,谷安天下高级技术顾问,从事安全行业5年,熟悉配置合规检查、漏洞扫描、渗透测试、Android/IOS客户端安全测试、接口安全测试等,对区块链安全测试有着一定的研究经验。获得CISSP、ITIL等证书,具有较强的攻防实战经验,多次参与金融行业、电信行业的网络攻防重大保障活动。

张佩扬,谷安天下高级咨询顾问,从事安全行业3年,从事车联网、物联网、云计算、区块链、大数据、人工智能等领域的研究工作,包括行业现状、监管政策、应用场景、主要风险等,获得CISA、ISO27001等证书,多次参与新技术应用风险的研究工作。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章