2020年2月28日,云安全联盟大中华区(简称:CSA GCR)召开线上区块链安全工作组启动会。工作组专家来自中国电子学会、耶鲁大学、北京大学、北京理工大学、武汉大学、世界银行、华为、腾讯、知道创宇、赛博英杰、元界DNA、慢雾科技、安比实验室、启明星辰、天融信、联想、OPPO、安永、阿斯利康等五十多家单位。
会议开始,CSA大中华区主席李雨航为大家介绍CSA大中华区的基本情况,宣布区块链安全工作组正式成立,任命黄连金为工作组组长,期望区块链安全工作组专家整合国内外的先进经验及实践,尽快建立和发展区块链安全指南、最佳实践以及测试标准,推动国内区块链技术的发展。
CSA大中华区研究院副院长贾良玉为大家介绍CSA全球在云安全方面的研究情况,CSA已有10多年的研究经验积累,在很多技术方向上都做了前沿的探索研究,同时感谢各位专家对CSA区块链安全研究工作的支持与贡献。
接着,工作组组长黄连金介绍区块链安全工作组的研究计划及介绍各个小组的领军人,区块链安全工作组率先启动八个项目小组,并行开展研究工作。
会议最后,每个项目小组的领军人分别和大家分享其所负责项目小组的工作方向及想法。各项目小组领军人物及研究方向如下:
智能合约承载有价值的数字资产是黑客主要攻击目标。黑客曾经通过“重入攻击”,“整数溢出”,“伪随机数漏洞”等等盗取数字资产,新的攻击方法也层出不穷。智能合约安全小组需要分析案例,制定测试标准,探索形式化证明在智能合约安全的应用,以及智能合约安全的最佳实践和Security Patterns。
数字钱包存储数字资产的私钥,有云钱包,在线的热钱包,离线的冷钱包等等Form Factor。安全隐患主要存在于用户使用上和钱包的安全技术设计上。数字钱包安全小组将分析案例,制定测试标准,和开发与应用最佳实践。
领军人物:陈钟 北大信息科学技术学院区块链研究中心主任
共识算法是区块链底层技术的关键。算法的安全漏洞包括Long-range attack, nothing at stake, 51%, selfish mining, Eclipse Attacks 等。具体案例不多,主要研究是算法的安全性(security)和活性(liveness),共识算法小组对于常见的算法需要制定测试标准和算法开发最佳实践。
交易所是数字资产价格发现,价值交换的主要工具。主要有中心化和去中心化交易所。交易所安全漏洞频发,研究交易所安全,保护用户安全是区块链发展的必要条件之一。交易所安全小组需要分析案例,制定测试标准和开发与应用最佳实践,Check list 等。
Dapp安全小组对于主流公链上的DAPP 开发(以太坊,EOS, Tron等等)的安全案例进行分析, 提出最佳实践。
去中心化数字身份(DID:Decentralized ID)或自治数字身份(SSI:Self Soverign Identity)是区块链落地应用的基础,目前对于这方面的安全研究还没有开始,但是非常重要。小组主要研究欧盟的SSI标准,北美为主的DID标准,元界的Avatar数字身份,太一的EID数字身份链,探索安全方面的最佳实践。
区块链网络的安全运转是区块链系统可靠运行的关键,黑客曾经通过“日蚀攻击”,“女巫攻击”,“交易溯源”等方式对区块链系统的数据完整性、系统可用性、交易保密性进行攻击,给区块链技术落地实践带来巨大隐患。另外基于区块链可以构建新的安全通信系统。
网络层安全小组要分析案例,制定测试标准,探索区块链交易溯源、隐私保护、数据完整性等技术,开展基于区块链网络层的数据隐蔽通信等应用,研究5G技术对区块链网络的影响。
数据可控性保护(智能合约的逻辑与语义分析、访问控制、安全审计)
区块链安全工作组启动会圆满召开,工作正式启动。同时,CSA大中华区欢迎业界专家朋友们,一起加入区块链安全工作组,点击“阅读原文”可下载CSA大中华区专家注册表。