时间:2023-07-14|浏览:217
据了解,《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》,主要依据“危害程度”和“利用难度”等方面分析。它将漏洞分为高、中、低三个威胁等级,并在每个等级的描述中提供了详细的参考条目。这些细则基本涵盖了区块链领域可能遇到的大部分漏洞情况,可以帮助用户快速定位和分析漏洞。同时,细则力争与传统基础领域漏洞规则实现互通,从大网络安全的角度打通区块链新兴领域与传统领域对漏洞的认知和定义。
记者梳理国家区块链漏洞库数据发现,目前已披露的漏洞总数超过400个,其中绝大多数为中高危漏洞。具体来看,全网漏洞总数为412个。高危漏洞100个,占比24.27%;中危漏洞296个,占比71.84%;低危漏洞16个,占比3.88%。从漏洞影响对象类型来看,几乎均为公链。412个漏洞中,公链漏洞占了410个。
慢雾安全团队在接受《证券日报》记者采访时对此进行了分析。他们表示,“由于区块链具有金融属性,很多项目(如公链、交易所等)出现漏洞时都会带来不小的资产损失。在漏洞定级时,这部分实际影响会纳入考虑。因此,大部分区块链漏洞都是中高危的。”
公链项目居多是因为其具有开源性。慢雾安全团队表示,目前区块链漏洞主要集中在公链上,原因可能是公链的代码是开源的,而交易所和钱包的代码一般不开源。安全研究员通常只能获取到公链的代码,这就导致了发现的公链漏洞数量相对较多。
值得注意的是,漏洞库中大多数是加密数字币项目,其中不乏“归零币”。以点击量最高的加密数字币Emercoin项目为例,该漏洞属于高危类型,Emercoin0.7及之前版本存在安全漏洞,攻击者可以利用该漏洞进行拒绝服务攻击。记者搜索发现,Emercoin的币价已接近归零。根据英为财情数据显示,Emercoin的最新币价为0.03635美元,与其最高价时的5美元相差甚远。
对此,中国移动通信联合会区块链专业委员会主任委员兼首席数字经济学家陈晓华教授对《证券日报》记者表示,“加密数字币并非真实货币,没有中央银行进行总量控制和宏观调控,不具有与法定货币等同的法律地位。加密数字币在法律地位上的弱势导致其价格波动大。暴涨暴跌的加密数字币存在巨大风险,在支付系统、操作性、交易和流动性等方面存在风险,不适合普通人投资。
来源:网易号
热点:区块链