区块链行业首个漏洞定级细则发布，长亭科技深度参与编制则发布

近日，国家区块链漏洞库联合行业领先企业共同编制的《区块链漏洞定级细则》发布，长亭科技区块链安全专家团队牵头并深度参与了本次的定级细则编制工作，主要负责公链板块定级细则编写及整体技术、划分标准的把关。《细则》涵盖公链、联盟链、智能合约、外围系统四大板块，不仅填补了区块链与安全行业沟通空白，为业界就区块链安全问题达成共识迈出了坚实的一步，也是国际上首次对区块链漏洞及其威胁等级做出清晰且可执行的定义。

此次发布的漏洞评定细则主要基于国际应用最为广泛的通用漏洞评分系统CVSS，提出区块链漏洞本质是非故意、非预期的安全缺陷或风险，应主要依据‘危害程度’和‘利用难度’两方面分析，并通过定级表将漏洞分为高、中、低三个威胁等级。该细则首次明确了CVSS2.0在区块链垂直领域的应用规则，统一行业衡量漏洞严重程度的标准并据此确定漏洞处理优先级，细化了可操作、可执行、可量化的区块链安全漏洞评定指标与方法，为区块链行业的安全测评工作提供基础支撑；同时依托CVSS也实现了与传统基础领域漏洞规则的互通，从网络安全整体性的角度打通区块链新兴领域与传统基础领域对于漏洞的基层定义，实现统一管理，统一归档；此外，该标准还同时考虑到了区块链安全的理论性与实现性，提升区块链企业对于“内外”安全的重视，构建区块链生态安全。

“如果21世纪的前20年分别属于互联网与移动互联网，那么，从2020年开启的下个十年将是属于区块链的重要年份。”

2020年4月20日，国家发改委在新闻发布会上首次明确新基建范围，将区块链、人工智能、云计算等为代表的新技术纳入新型基础设施中的信息基础设施。这也是自2019年10月以来，中央强调要把区块链作为核心技术自主创新重要突破口之后的又一重大政策激励。在经历了早期的乱象横生，野蛮生长后，区块链行业终于开始挤压泡沫，回归到以技术研究和产业应用为核心的发展之路，区块链的下半场已经开启。

在新基建范畴中，国家发改委把区块链定义为一个新的金融基础建设，并把所有基建放一起进行对比，根据数字化程度的强弱进行了分层。区块链作为最底层的数据共享传递层，可以看作是整个国家战略传递的基础设施，将很大程度上影响数字经济时代的发展进程。而将区块链被纳入新型基础设施，在很大程度上促进区块链技术体系进一步完善，快速推进区块链的标准化工作，推进区块链更多场景、行业和产业当中的落地应用。近期，央行下发了《推动区块链技术规范应用的通知》及《区块链技术金融应用评估规则》（下称《规则》）。作为国内首次由最高权威机构颁发的区块链相关规范文件，表明我国区块链技术相关的研究和标准化定制正进入全面推进阶段，在未来，不仅是金融场景，更多的应用场景都将有望迎来加速落地。属于区块链的舞台刚刚开始。

2019年11月27日，韩国交易所Upbit转移大量BTT和TRX等加密货币进入未知钱包地址，疑似被黑客攻击。之后Upbit发布公告确认被黑，34.2万枚ETH从热钱包中被盗，价值约5000万美元。2019年05月08日，全球知名交易所币安被曝遭遇了黑客大规模系统性攻击，黑客获取了大量API密钥、谷歌验证2FA码等信息，一次性提走了7000枚BTC。似乎自诞生之日起，号称“最安全”区块链的安全问题就备受争论。

得益于分布式系统的高可用性与密码学的高一致性，区块链技术本身具备稳定、可信的技术特点，这使得区块链技术天生具备长远发展的基础，但现实情况却是区块链系统安全事件频发。这之间的差别在于，高可用、高一致等都是设计层面的技术优势，但要想真正长远健康发展，可靠性是现实系统中必须要考虑的，而提升可靠性的关键点就在于甄别修复系统缺陷和漏洞，提高系统实际安全水平。因此区块链安全，已经成为目前制约区块链技术长远健康发展的瓶颈，加快区块链安全相关标准的制定则也成为提升区块链基础设施安全乃至生态安全的必然所需。

目前国内外对于区块链的安全评测体系尚不成熟，我国也仍处于探索中。在安全评测体系中，区块链漏洞分级和分类的标准化研究是评测十分重要的基础环节，建立统一的漏洞定级标准化方案对统一行业认知、提升区块链行业技术安全、建立健全安全测评体系有着里程碑式的重要意义。目前漏洞威胁等级评定方法应用最广泛的就是通用漏洞评分系统CVSS，国内的漏洞定级标准也多以此为基础，但由于区块链技术创新程度较高、系统架构相对复杂、与传统系统的运行逻辑差异度较大，使得CVSS在区块链领域的应用不是那么直观、清晰。目前，很多区块链企业和团队在发行漏洞悬赏计划时由于没有可供参考的官方标准，往往都会按照各自的理解定义漏洞的威胁等级，而安全厂商也会根据各自对CVSS的理解制定出不同的评定标准，因此在区块链生态中各个角色对于安全漏洞的认知是混乱的，而这种混乱又会带来分歧与不客观，严重阻碍区块链生态安全的健康发展。因此，区块链行业亟需一套特定针对区块链技术的，被行业普遍认可有公信力的定级细则，来统一区块链漏洞威胁等级认知，明确漏洞分析原则，并给出确定且可执行的威胁等级评定方法。

此次发布区块链漏洞评定细则正是对于目前行业内漏洞威胁认知混乱的有效应对策略。长亭科技区块链安全专家团队在本次的评定细则准备工作中主要负责了其中公链的漏洞评定标准，基于多年来对区块链安全领域的不断探索，同时结合前期对于公链漏洞定级标准的深度研究，在公链漏洞的定级分类和具体参考条目的编写中提出了针对性关键意见，对于其中每种危害和难度的描述中都罗列了非常详细的参考条目，而这些条目均从大量真实漏洞案例中浓缩而来，同时包含几乎所有公开历史漏洞特征，并对其进行提炼拆解和反复打磨，基本涵盖了区块链领域可能遇到的各类漏洞情况，帮助使用者快速定位和分析区块链漏洞。