区块链安全TOP10
近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达35亿美元,很多公司甚至因此倒闭,给行业带来了巨额的经济损失和惨痛的教训。基于此,OWASP中国成立专门研究小组,收集、整理和分析了2011年至2019年间共160个典型区块链安全事件,并在本文档中给出了排列和描述,希望能帮助到广大的区块链从业者和关注区块链安全的人们。
在参考了类似CVSS(Common Vulnerability Scoring System)等安全威胁评估方法之后,本文以每类威胁历史安全事件所导致的直接经济损失总额为依据,通过客观数据评估威胁大小。直接经济损失总额包含了威胁评估的两个重要因素,一是威胁发生的数量,即,威胁发生的次数;二是威胁发生导致的影响,即,直接经济损失。所以,直接经济损失足以表示威胁的大小,且数据相对客观,避免了主观数据导致评估结果误差较大问题,同时,该评估方式更具有良好的解释性。
阅读本文档时需注意以下三点:(1)安全事件导致的经济损失以案件发生时的虚拟币价格计算;(2)统计分析过程中只计算了直接经济损失,未计算间接经济损失;(3)24.3%的安全事件(39个)未公布经济损失,因而未计入损失统计。
感谢以下为本文档编写做成贡献的个人(排名不分先后,按姓氏拼音排列)
项目组长:付山阳
项目组成员:Kevin Gu、Victor Fang、Wei Quan、
侯欣杰、蒋旭宪、宋飞、王颉、张迅迪
文档下载:区块链安全TOP10 2019
区块链安全TOP10
一、高级可持续威胁 二、失控的币值通胀 三、失效的权限控制 四、不安全的共识协议 五、考虑不充分的程序逻辑 六、不严谨的业务策略 七、校验不严格的交易逻辑 八、脆弱的随机数机制 九、存在缺陷的激励机制 十、日志记录和监控不足
主编在研究区块链安全的过程中,发现并没有权威的指导性安全文档,所以联合了各区块链安全公司和各一线企业的安全专家,一起给出了区块链安全的Top10,由于作者们时间和水平有限,如有任何错误的地方,或者更好的方案,请立即联系(项目组邮箱:project@owasp.org.cn),我们可以不断改进和提升文档的质量。