国家互联网金融安全技术专家委员会曾发布过一则非常重要的报告——区块链开源软件源代码安全漏洞分析。委员会选取了 25 款具有代表性的区块链软件,包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等,结合漏洞扫描工具和人工审计,进行了安全检测。
检测在代码层面发现高危安全漏洞和安全隐患共 746 个,中危漏洞 3497 个。下图展示了被测项目中检出的中高危安全漏洞情况,图中还用红色折线图展示了每千行包含漏洞数。从中可以看出,本次选取的区块链软件都存在不同程度的安全问题。
被测软件中,安全风险相对较为严重的是区块链支付网络 Ripple,包含高危漏洞 223 个。 而渣打、西太银行等一些大型银行已经宣布将加入其支付网络,荷兰合作银行(Rabobank Group)已经于2018年3月完成了Ripple的Interledger解决方案的测试工作,Interledger是Ripple公司推出的一个协议,旨在将银行账本和区块链技术整合在一起。
考虑到 Ripple协议直接处理金融资产,且拥有如此大规模的用户,一旦这些漏洞被黑客利用,后果不堪设想。同样,其它区块链开源软件也多与资产、货币交易相关,漏洞也可能导致财产损失的严重风险。
