玄幻小说,斗破苍穹续集,古风名字

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

區(qū)塊鏈技術(shù)在金融行業(yè)的應用與風險管理

近年來，隨著我國數(shù)字經(jīng)濟飛速發(fā)展，區(qū)塊鏈技術(shù)已開始廣泛應用，全面融入社會經(jīng)濟發(fā)展體系之中，成為繼大數(shù)據(jù)、人工智能、云計算的又一新型技術(shù)領(lǐng)域。區(qū)塊鏈技術(shù)本身具有去中心化、分布式存儲、防篡改、可追溯等特性，其安全性遠高于傳統(tǒng)網(wǎng)絡體系，具有廣闊的應用場景和巨大的商業(yè)價值。同時，區(qū)塊鏈也存在一些安全風險，在其應用普及的同時，也需要及時加以關(guān)注并做好應對。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：國際域名空間、網(wǎng)站空間、營銷軟件、網(wǎng)站建設、龍泉網(wǎng)站維護、網(wǎng)站推廣。

一、區(qū)塊鏈技術(shù)現(xiàn)狀綜述

1、區(qū)塊鏈發(fā)展現(xiàn)狀

我國高度重視以區(qū)塊鏈為代表的新型基礎(chǔ)設施在新的技術(shù)革新和產(chǎn)業(yè)變革中的重要作用。近年來，國家頒發(fā)了多項政策文件，以推動區(qū)塊鏈技術(shù)與產(chǎn)業(yè)創(chuàng)新、經(jīng)濟社會融合的高速發(fā)展。

經(jīng)過國家和行業(yè)的不懈努力，我國區(qū)塊鏈技術(shù)在推動數(shù)字產(chǎn)業(yè)化、健全數(shù)字經(jīng)濟治理體系、強化數(shù)字經(jīng)濟安全體系等方面均發(fā)揮著積極促進作用，主要取得的成績?nèi)缦拢?/p>

（1）產(chǎn)業(yè)鏈蓬勃發(fā)展，基礎(chǔ)設施加速建設

我國區(qū)塊鏈產(chǎn)業(yè)已初具規(guī)?；?，基本形成區(qū)塊鏈產(chǎn)業(yè)鏈上、中、下游的格局，同時區(qū)塊鏈在各行業(yè)不斷應用，自2019年起，在各種有利政策推動下，北京、上海、廣州、福建等多地布局區(qū)塊鏈產(chǎn)業(yè)，同時各組織機構(gòu)在構(gòu)建規(guī)模性區(qū)塊鏈基礎(chǔ)設施上充分發(fā)揮自身優(yōu)勢，積極探索基礎(chǔ)設施建設方法。

（2）區(qū)塊鏈產(chǎn)業(yè)基金增速發(fā)展，政府參與力度趨勢增大

各地不斷加大區(qū)塊鏈產(chǎn)業(yè)基金投入，以此帶動區(qū)塊鏈產(chǎn)業(yè)布局。截至2021年底，共20多個省市在工業(yè)制造、新型數(shù)字產(chǎn)業(yè)、信息產(chǎn)業(yè)等母基金中涵蓋區(qū)塊鏈產(chǎn)業(yè)，專項發(fā)展基金達500多億元。全國15個省、28個城市成立48家區(qū)塊鏈產(chǎn)業(yè)園區(qū)，其中政府主導或參與共建了大部分產(chǎn)業(yè)園區(qū)。

（3）發(fā)達地區(qū)向周邊輻射，加速產(chǎn)業(yè)布局

一線城市與新一線城市依靠其優(yōu)勢引領(lǐng)產(chǎn)業(yè)發(fā)展，并向周邊地區(qū)輻射，帶動地方區(qū)塊鏈產(chǎn)業(yè)發(fā)展。據(jù)報告顯示，北京、上海、廣州、深圳等聚集區(qū)核心城市依靠經(jīng)濟、科技、教育、人才等優(yōu)勢，在區(qū)塊鏈產(chǎn)業(yè)發(fā)展水平中名列前茅。

（4）聯(lián)盟組織數(shù)量飛速增長，共建產(chǎn)業(yè)新格局

大批區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟組織如雨后春筍般涌現(xiàn)，至2021年底共成立了中國區(qū)塊鏈研究聯(lián)盟、中國分布式總賬基礎(chǔ)協(xié)議聯(lián)盟、中國未來區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟等70余家區(qū)塊鏈產(chǎn)業(yè)聯(lián)盟，區(qū)塊鏈組織成員數(shù)量超過2300家，其中包括2200多家企業(yè)單位及近百家高校及研究機構(gòu)。

由于區(qū)塊鏈技術(shù)的無國界限制、強隱秘性和防篡改性，導致區(qū)塊鏈生態(tài)領(lǐng)域的網(wǎng)絡攻擊事件層出不窮，區(qū)塊鏈的安全挑戰(zhàn)愈發(fā)嚴峻。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計，2021年整個區(qū)塊鏈生態(tài)發(fā)生的安全事件數(shù)量超332起，比之2020年增幅超22%；2021年整個區(qū)塊鏈生態(tài)造成的經(jīng)濟損失超153億美金，較2020年增幅超26%。而這些安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網(wǎng)等方面。

2、區(qū)塊鏈面臨的挑戰(zhàn)

目前我國區(qū)塊鏈產(chǎn)業(yè)的發(fā)展存在一系列的挑戰(zhàn)，主要集中在以下四個方面：

自主研發(fā)能力不足。當前我國的大部分區(qū)塊鏈應用項目主要是基于國外開源平臺，自主底層平臺使用不多，可信執(zhí)行環(huán)境方面的自主技術(shù)還不成熟，復雜環(huán)境方面的核心技術(shù)還需加大研發(fā)投入，提前布局。

團體標準質(zhì)量不齊，存在定義不統(tǒng)一情況。在我國區(qū)塊鏈標準體系中，發(fā)展最早最快的是團體標準，目前多個領(lǐng)域的團體標準已有70多個，但由于區(qū)塊鏈產(chǎn)業(yè)發(fā)展迅速，目前出現(xiàn)了不同標準中定義不統(tǒng)一的情況，這將無法發(fā)揮標準的引領(lǐng)作用。

技術(shù)安全問題不斷涌現(xiàn)，金融監(jiān)管風險需加強關(guān)注。技術(shù)安全挑戰(zhàn)主要體現(xiàn)在區(qū)塊鏈自身技術(shù)漏洞，以及因自主技術(shù)不足過度依賴國外平臺和技術(shù)兩方面。金融監(jiān)管風險主要體現(xiàn)在跨境金融基礎(chǔ)設施影響我國外匯、反洗錢管理要求。

區(qū)塊鏈應用深度不足，可持續(xù)性較差。目前在各行業(yè)中，對于區(qū)塊鏈的應用仍存在深度不足、可持續(xù)性差等問題，部分企業(yè)進行了工商注冊但未開展實際業(yè)務，同時一些區(qū)塊鏈項目只關(guān)注眼前利益，未思考后續(xù)發(fā)展，導致可持續(xù)性較差。

3、區(qū)塊鏈安全機制

區(qū)塊鏈的核心技術(shù)主要包括：共識機制、數(shù)據(jù)存儲、網(wǎng)絡協(xié)議、加密算法、隱私保護、智能合約。

1、共識機制：是通過特殊節(jié)點的投票，在很短的時間內(nèi)完成對交易的驗證和確認。共識機制也叫共識算法，它能夠有助于驗證信息被添加到分類賬簿，確保在區(qū)塊鏈上只記錄真實的事務。常用共識機制主要有PoW、PoS、DPoS、Paxos、PBFT等。

2、數(shù)據(jù)存儲：區(qū)塊鏈中，數(shù)據(jù)以區(qū)塊的形式存儲，且為永久存儲，每個區(qū)塊記錄了創(chuàng)建期間發(fā)生的所有交易信息。區(qū)塊的數(shù)據(jù)結(jié)構(gòu)一般分為區(qū)塊頭和區(qū)塊體，每一個區(qū)塊相互鏈接，保證數(shù)據(jù)的完整性和防篡改性。

3、網(wǎng)絡協(xié)議：P2P協(xié)議是區(qū)塊鏈網(wǎng)絡協(xié)議一般采用的，它能確保同一網(wǎng)絡中的每臺計算機彼此對等，每個節(jié)點共同提供網(wǎng)絡服務，不存在任何“特殊”節(jié)點。不同的區(qū)塊鏈系統(tǒng)會根據(jù)需要制定獨自的P2P網(wǎng)絡協(xié)議，比如比特幣有比特幣網(wǎng)絡協(xié)議。

4、加密算法：主要包括散列算法和非對稱加密算法。散列（哈希）算法的原理是將一段信息轉(zhuǎn)換成一個固定長度的字符串，抽取數(shù)據(jù)特征。非對稱加密算法是由對應的一對唯一性密鑰組成的加密方法，能夠保證數(shù)據(jù)的保密性。

5、隱私保護：在區(qū)塊鏈技術(shù)中的隱私主要指：身份隱私和交易隱私。目前區(qū)塊鏈上傳輸和存儲的數(shù)據(jù)都是公開的，僅通過“偽匿名”的方式對交易雙方進行一定的隱私保護，所以使用隱私保護技術(shù)主要為了解決用戶身份的匿名性和傳輸內(nèi)容的保密性。

6、智能合約：是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機協(xié)議，可看作部署于區(qū)塊鏈上可自動運行的程序，存在出錯可能性，其涵蓋范圍包括：編程語言、編譯器、虛擬機、容錯機制、安全事件等。

二、區(qū)塊鏈金融應用場景

金融是區(qū)塊鏈應用場景中探索最多的領(lǐng)域，在供應鏈金融、貿(mào)易融資、跨境金融、資金監(jiān)管、商業(yè)銀行業(yè)務等細分金融場景都有具體的落地場景。

1、供應鏈金融領(lǐng)域

對于供應鏈金融產(chǎn)品，目前存在諸多挑戰(zhàn)，如鏈條過長、關(guān)聯(lián)度較高、交易場景難以識別等。區(qū)塊鏈作為實現(xiàn)數(shù)字化轉(zhuǎn)型的新興技術(shù)，包含了：網(wǎng)絡協(xié)議、共識算法、非對稱加密、智能合約等，具有分布式對等、鏈式數(shù)據(jù)塊、可追溯、防偽造和防篡改、透明可信和高可靠性等特征，能夠在供應鏈金融場景中發(fā)揮其獨特優(yōu)勢。銀行方面主要包括：應收賬款和生態(tài)合作兩種“區(qū)塊鏈+供應鏈金融”應用模式，應用示例如下：

文字來源：《區(qū)塊鏈技術(shù)與金融應用安全白皮書》

2、貿(mào)易融資領(lǐng)域

貿(mào)易融資是銀行主要業(yè)務之一，包含：福費廷、信用證、綠色債券等業(yè)務。在業(yè)務整個流轉(zhuǎn)過程中，涉及銀行、買賣雙方、供應商、物流公司、監(jiān)管機構(gòu)等多方交易實體，很難取得互相信任，造成交易流程過長，信任機制繁瑣，交易周期延長等問題，區(qū)塊鏈具有公開透明、不可篡改、分布式賬本的特點，便于貿(mào)易金融的線上化和智能化，可打造區(qū)塊鏈貿(mào)易融資平臺，在多方參與的平臺中，提供信任機制，進而簡化業(yè)務流程，提高業(yè)務流轉(zhuǎn)效率，提高用戶體驗感，降低市場風險和流動性風險，形成創(chuàng)新的金融產(chǎn)品，應用示例如下：

部分文字來源：《區(qū)塊鏈技術(shù)與金融應用安全白皮書》

3、跨境金融領(lǐng)域

隨著跨境電商的興起，區(qū)塊鏈技術(shù)在跨境支付領(lǐng)域得到了較好的應用，解決了境外銀行賬戶申請難、多平臺店鋪資金管理難、提現(xiàn)到賬速度慢，更多銀行嘗試建立區(qū)塊鏈跨境支付系統(tǒng)，該系統(tǒng)實現(xiàn)了跨境匯款秒到賬、交易信息實時共享、交易過程實時追蹤等功能，不僅方便了跨境交易雙方，也改善了金融機構(gòu)成本結(jié)構(gòu)，有效提高了金融機構(gòu)盈利能力，應用示例如下：

文字來源：《區(qū)塊鏈技術(shù)與金融應用安全白皮書》

4、資金監(jiān)管領(lǐng)域

在傳統(tǒng)的征拆遷資金監(jiān)管過程中，資金流向監(jiān)管難、資金利用率低、項目復雜度高等問題一直困擾著監(jiān)管機構(gòu)，具有多方共識、公開透明、防篡改、可追溯等特性的區(qū)塊鏈技術(shù)解決了這一難題，利用區(qū)塊鏈技術(shù)可實現(xiàn)資金流和信息流相統(tǒng)一、申請和撥付流程可跟蹤追溯、資金審批及使用透明規(guī)范，保證上鏈信息的真實性和有效性，實現(xiàn)對資金的全方位監(jiān)控。

5、商業(yè)銀行業(yè)務領(lǐng)域

為了實現(xiàn)數(shù)字化轉(zhuǎn)型目標，各銀行在區(qū)塊鏈研究上的投入不斷增加，區(qū)塊鏈技術(shù)與業(yè)務相互融合，本次介紹票據(jù)業(yè)務、信貸業(yè)務和信用卡業(yè)務與區(qū)塊鏈技術(shù)的深度融合。

1、票據(jù)業(yè)務主要包括：開票、貼現(xiàn)、轉(zhuǎn)貼現(xiàn)、再貼現(xiàn)、托收、抵押放款等方面，成本相對較低，能夠在短期內(nèi)實現(xiàn)資金融通，但紙質(zhì)票據(jù)交易存在毀損、人為篡改和欺詐等風險。區(qū)塊鏈技術(shù)可解決上述風險，具體措施包括：一是票據(jù)業(yè)務應用結(jié)合形成區(qū)塊的過程，區(qū)塊上所有節(jié)點都記錄了交易信息，保證票據(jù)交易的可靠性；二是區(qū)塊鏈具有可追溯性，可通過存儲的交易信息上的“數(shù)據(jù)時間戳”解決票據(jù)的所屬問題，有效防止各種糾紛，節(jié)省資源。

2、貸款業(yè)務作為商業(yè)銀行最重要的資產(chǎn)業(yè)務，主要通過放款后回收本息的方式獲取收益，是銀行主要的盈利手段之一。目前信貸業(yè)務存在一些問題：一是傳統(tǒng)信貸業(yè)務審批機制復雜、成本難以控制，二是信息公開度低，信息不對稱增加了違約風險，三是信貸業(yè)務審查不到位。區(qū)塊鏈技術(shù)可與信貸審批業(yè)務有機結(jié)合，能有效提升信貸審批效率和信貸審批流程的科學性。

3、信用卡是商業(yè)銀行支付融資一體化、線上線下交融化的新型數(shù)據(jù)化工具，銀行逐漸將信用卡業(yè)務線上化，與此同時，信用卡監(jiān)管投訴、訴訟糾紛也逐年增加，如何舉證和保留證據(jù)是一個難點。目前行業(yè)內(nèi)提出了基于區(qū)塊鏈的信用卡電子存證方案，可以為解決信用卡投訴和訴訟問題提供參考。相較于傳統(tǒng)電子存證，區(qū)塊鏈電子存證優(yōu)勢如下：

能夠通過區(qū)塊鏈建立無利益第三方的見證人身份；

用戶對保存在區(qū)塊鏈上的電子合同進行的每種操作都有時間戳，保證了每個行為都有據(jù)可查；

用戶對保存在區(qū)塊鏈上的電子合同進行的每種操作都需要經(jīng)過身份認證，最后審查電子合同時，用戶不可抵賴。

三、區(qū)塊鏈應用風險

1、區(qū)塊鏈技術(shù)風險

缺乏可擴展性。限制區(qū)塊鏈技術(shù)大規(guī)模應用的最主要因素就是缺乏可擴展性，對于一些依賴高性能處理場景，如金融、存證、溯源等，區(qū)塊鏈的處理能力明顯不足。當前運行的公鏈中，最核心的是比特幣、以太坊以及EOS，比特幣系統(tǒng)吞吐量（TPS）不足，以太坊由于需要保證網(wǎng)絡同步率，TPS也不足，EOS的TPS高但節(jié)點少，且存在安全隱患。
智能合約安全性無法保證。智能合約是區(qū)塊鏈技術(shù)的核心，能夠保障各類交易穩(wěn)定運行，但目前智能合約的安全性仍無法保證，智能合約的安全性受到諸多因素影響。智能合約的編寫與生成完全依賴程序員，若開發(fā)人員水平不高，則合約的功能完整性及條款嚴密程度極易出現(xiàn)問題。同時，在開發(fā)過程中，開發(fā)人員可能未滿足合規(guī)性，在合約中加入主觀意識，產(chǎn)生漏洞。
共識機制漏洞。共識機制是區(qū)塊鏈系統(tǒng)的核心，也是區(qū)塊鏈實現(xiàn)去中心化的關(guān)鍵，但其運作往往由簡單的多數(shù)投票機制組成，這些機制容易遭受區(qū)塊鏈上部分用戶的影響，不僅威脅用戶利益，同時也破壞節(jié)點公平。攻擊者能夠針對不同機制漏洞，設計相應的攻擊手段，造成嚴重的后果。

2、區(qū)塊鏈應用風險

數(shù)據(jù)真實性與隱私泄露風險。區(qū)塊鏈數(shù)據(jù)具有不可篡改的特性，如果上鏈前的數(shù)據(jù)真實性、合法性有問題，區(qū)塊鏈也無法識別，只能將數(shù)據(jù)記錄在區(qū)塊中。例如，比特幣區(qū)塊鏈上有交易會攜帶數(shù)據(jù)，而這些數(shù)據(jù)可能有不適當內(nèi)容且無法檢驗真實性和合法性，這會給參與者和所有鏈上用戶帶來風險。
技術(shù)犯罪現(xiàn)象頻發(fā)。如今技術(shù)犯罪事件層出不窮，基于區(qū)塊鏈技術(shù)的加密貨幣及衍生品更是犯罪行為頻發(fā)的領(lǐng)域。例如，以比特幣為代表的分散化的加密貨幣體系已經(jīng)成為一個全球性的貨幣體系，區(qū)塊鏈技術(shù)的特性使得加密貨幣交易風險突現(xiàn)，不法分子鉆取漏洞實施犯罪，并從中獲利。
交易匿名化導致追責難。區(qū)塊鏈具有匿名交易的機制，這導致交易者無法確認其他交易者身份真實性，同時對于交易監(jiān)管的難度也會大大提升。如若發(fā)生數(shù)據(jù)泄露事件，無法追溯數(shù)據(jù)安全和保密責任，這也是區(qū)塊鏈應用中數(shù)據(jù)安全事件和犯罪行為如何管控的難點。如果未建立健全責任落實體系，將損害用戶權(quán)益。

3、區(qū)塊鏈合規(guī)風險

區(qū)塊鏈雖被各行業(yè)廣泛應用，但仍存在意識形態(tài)的合規(guī)風險。區(qū)塊鏈從誕生起的最終目的就是實現(xiàn)完全去中心化，這也成為區(qū)塊鏈技術(shù)意識形態(tài)的核心，但目前完全去中心化的系統(tǒng)無法在現(xiàn)實場景落地，無論如何發(fā)展，最終的結(jié)果不是由中心化權(quán)力機構(gòu)接管，就是由于缺乏強有力的協(xié)調(diào)機制而分裂或下線，即使是比特幣、以太坊這些長時間活躍的項目也遭遇過多次硬分叉。因此，以形成完全去中心化的系統(tǒng)為目標成為當前區(qū)塊鏈發(fā)展的意識形態(tài)陷阱。
區(qū)塊鏈又一合規(guī)風險主要體現(xiàn)在監(jiān)管和法律體系保障層面。區(qū)塊鏈作為集成性的創(chuàng)新技術(shù)，正在不斷影響行業(yè)發(fā)展、社會管理方式變更和產(chǎn)業(yè)布局，但新技術(shù)必然存在技術(shù)標準缺乏和監(jiān)管體系不完善的短板。目前國家標準正穩(wěn)步推進，行業(yè)企業(yè)也在不斷探索和制定區(qū)塊鏈的行業(yè)標準。但總體上看，區(qū)塊鏈技術(shù)監(jiān)管仍無法趕上它的發(fā)展速度，急需建立規(guī)范化的國家標準及各行業(yè)區(qū)塊鏈監(jiān)管規(guī)范，規(guī)范和引導區(qū)塊鏈技術(shù)與產(chǎn)業(yè)發(fā)展。

四、區(qū)塊鏈技術(shù)與安全框架

1、區(qū)塊鏈技術(shù)框架

區(qū)塊鏈技術(shù)架構(gòu)是運行在區(qū)塊鏈網(wǎng)絡節(jié)點中，提供區(qū)塊鏈系統(tǒng)功能的軟件和存儲實體的集合，其核心涵蓋了區(qū)塊鏈功能架構(gòu)的用戶層、接口層、核心層和基礎(chǔ)層。參考《信息安全技術(shù) 區(qū)塊鏈技術(shù)安全框架》（征求意見稿）和《區(qū)塊鏈技術(shù)架構(gòu)安全要求》（YD/T 3747-2020），建立的區(qū)塊鏈技術(shù)框架如下：

2、區(qū)塊鏈安全框架

完善的區(qū)塊鏈安全框架是推動區(qū)塊鏈技術(shù)應用和場景創(chuàng)新發(fā)展的基礎(chǔ)，區(qū)塊鏈作為一種新興技術(shù)，必須警惕其潛在的安全風險。針對區(qū)塊鏈技術(shù)面臨的風險，參考《信息安全技術(shù) 區(qū)塊鏈技術(shù)安全框架》（征求意見稿）和《區(qū)塊鏈技術(shù)架構(gòu)安全要求》（YD/T 3747-2020），建立區(qū)塊鏈技術(shù)安全框架如下：

五、區(qū)塊鏈風險評估方法

1、風險管控框架

目前，區(qū)塊鏈技術(shù)已經(jīng)與實體經(jīng)濟深度融合，正在成為促進我國數(shù)字經(jīng)濟發(fā)展和數(shù)字化轉(zhuǎn)型的新動能，但是區(qū)塊鏈技術(shù)本身及區(qū)塊鏈技術(shù)應用仍存在著如底層代碼安全、智能合約安全、數(shù)字孿生等風險，金融單位需要針對各類區(qū)塊鏈風險構(gòu)建健全的風險管控框架，指導企業(yè)內(nèi)部區(qū)塊鏈技術(shù)的應用，通過區(qū)塊鏈技術(shù)的良好應用，助力企業(yè)發(fā)展。區(qū)塊鏈風險管控框架如下：

2、基本要求評估

金融單位可參考《JRT 0193-2020區(qū)塊鏈技術(shù)金融應用評估規(guī)則》，從應用層、接口層、平臺層三方面展開，對區(qū)塊鏈內(nèi)外部接口、技術(shù)應用、場景功能等開展評估。區(qū)塊鏈技術(shù)金融應用風險基本要求評估框架如下。

針對區(qū)塊鏈技術(shù)和應用的基礎(chǔ)評估指標如下：

領(lǐng)域	評估目標	評估要素
基本要求評估	賬本技術(shù)	數(shù)據(jù)存儲方式
		賬本結(jié)構(gòu)
		歷史數(shù)據(jù)可追溯
		數(shù)據(jù)同步
		數(shù)據(jù)歸檔
		數(shù)據(jù)擴容
		數(shù)據(jù)跨鏈功能
		數(shù)據(jù)分片功能
	共識協(xié)議	共識算法
		一致性
		共識節(jié)點數(shù)呈
		容錯閾值
		可靠性
		可拓展性
	智能合約	智能合約虛擬機
		智能合約編程語言
		智能合約編譯
		智能合約正確性
		智能合約一致性
		智能合約可靠性
		智能合約業(yè)務隔離性
		智能合約生命周期管理
		智能合約版本控制
	節(jié)點通信	組網(wǎng)方式
		消息轉(zhuǎn)發(fā)
		節(jié)點加入
		節(jié)點退出
	事件分發(fā)	事件分發(fā)
	密鑰管理	密鑰生成
		密鑰存儲
		密鑰更新
		密鑰使用
		密鑰撤銷、銷毀和歸檔
	狀態(tài)管理	查詢區(qū)塊高度
		查詢區(qū)塊詳情
		查詢交易信息
		查詢交易結(jié)果
		查詢賬本狀態(tài)
		賬本狀態(tài)更新
	成員管理	用戶注冊
		用戶身份識別
		用戶權(quán)限變更
		用戶角色授權(quán)
		用戶賬戶凍結(jié)和解凍
		用戶注銷
		用戶信息查詢
		用戶交易
	交易系統(tǒng)	智能合約部署交易
		智能合約方法調(diào)用交易
		原生交易
		交易原子性
	接口管理	外部接口
		用戶接口
		管理接口
		系統(tǒng)間接口

3、系統(tǒng)性能評估

金融單位可參照《JRT 0193-2020區(qū)塊鏈技術(shù)金融應用評估規(guī)則》，從交易吞吐率、查詢吞吐率、交易同步性能、部署效率和賬本數(shù)據(jù)增長速率等維度展開，對區(qū)塊鏈系統(tǒng)性能開展評估。

區(qū)塊鏈性能評估指標如下：

領(lǐng)域	評估目標	評估要素
系統(tǒng)性能評估	交易吞吐率	交易吞吐率
	查詢吞吐率	查詢吞吐率
	交易同步性能	交易同步性能
	部署效率	部署效率
	賬本數(shù)據(jù)増長速率	賬本數(shù)據(jù)増長速率

4、安全保障評估

在區(qū)塊鏈技術(shù)應用的評估過程中，安全保障評估也是重要的一個環(huán)節(jié)，金融單位可參考《JRT 0193-2020區(qū)塊鏈技術(shù)金融應用評估規(guī)則》和《JRT0184-2020金融分布式賬本技術(shù)安全規(guī)范》，從基礎(chǔ)軟硬件、智能合約、共識協(xié)議、隱私保護、運維要求等維度展開，對區(qū)塊鏈安全保障情況開展評估。

區(qū)塊鏈安全評估指標如下：

領(lǐng)域	評估目標	評估要素
安全保障評估	基礎(chǔ)硬件	基本條件
		場地安全
		硬件設備
		節(jié)點部署安全
		硬件加密設備安全
		網(wǎng)絡架構(gòu)安全
		通信傳輸安全
	基礎(chǔ)軟件	基本條件
		賬本結(jié)構(gòu)
		數(shù)據(jù)存儲
		共識模塊
		分布式組網(wǎng)
		智能合約
		接口設計
		數(shù)據(jù)傳輸
		時間同步
		操作系統(tǒng)
	密碼算法	對稱加解密
		非對稱加解密
		雜湊算法
		隨機數(shù)
		保密性
		完整性
		真實性
	節(jié)點通信	節(jié)點身份驗證
		通信完整性
		通信保密性
	賬本數(shù)據(jù)	賬本數(shù)據(jù)完整性
		賬本數(shù)據(jù)一致性
		賬本數(shù)據(jù)保密性
		賬本數(shù)據(jù)有效性
		賬本數(shù)據(jù)冗余
		賬本數(shù)據(jù)訪問與使用
		賬本數(shù)據(jù)安全審計
	共識協(xié)議	合法性
		正確性
		終局性
		不可偽造性
		健壯性
		低延時
		激勵相容
		可監(jiān)管性
	智能合約	訪問控制
		原子性
		安全審計
		攻擊防范
		安全驗證
	身份管理	身份注冊、核實、鑒別、更新、撤銷、安全、審計
		賬戶管理
		憑證生命周期管理
		節(jié)點標識管理
	隱私保護	隱私保護策略
		隱私保護技術(shù)
		隱私保護監(jiān)控與審計
	監(jiān)管支撐	交易信息監(jiān)管
		系統(tǒng)監(jiān)管
		應急事件報警
		智能合約監(jiān)管
	安全運維	權(quán)限管理
		審計記錄
		漏洞修復
		備份與恢復
		應急預案
	安全治理	系統(tǒng)安全管理機制
節(jié)點管理
干預機制

5、安全技術(shù)測試

技術(shù)測試是區(qū)塊鏈安全風險管控的重要手段之一，區(qū)塊鏈技術(shù)測試主要包括信息收集與威脅建模、測試與發(fā)現(xiàn)、利用和升級三個階段，具體流程及重點內(nèi)容如下所示。

區(qū)塊鏈技術(shù)測試主要針對智能合約，智能合約采用Solidity等語言來編程，這些編程語言同樣存在安全風險，下面讓我們一起來回顧幾個典型的區(qū)塊鏈案例。

2016 年6月17日，區(qū)塊鏈出現(xiàn)了歷史上的一次重大攻擊事件由于以太坊的智能合約存在著重大缺陷，區(qū)塊鏈業(yè)界最大的眾籌項目 TheDAO（被攻擊前擁有約1億美元的資產(chǎn)）遭到攻擊，導致300多萬以太幣資產(chǎn)被分離出TheDAO資產(chǎn)池。

2021年DeFi借貸協(xié)議Cream Finance遭到五次攻擊。第1次，2月13日，黑客利用Alpha Homora V2技術(shù)漏洞從Cream Finance旗下零抵押跨協(xié)議貸款功能 Iron Bank借出ETH、DAI、USDC等資產(chǎn)，導致該項目損失約3800萬美元；第2次，同月28日，DeFi聚合平臺Furucombo遭到嚴重漏洞攻擊，損失 110 萬美元；第3次，3月15日，Cream Finance 域名遭到黑客攻擊，未造成資金損失；第4次，8月30日，Cream Finance 因可重入漏洞遭遇閃電貸攻擊，黑客獲利4.2億個AMP、1308個ETH以及少量USDC等穩(wěn)定幣資產(chǎn)，總資產(chǎn)價值超過3400萬美元；第5次，10月27日，DeFi 借貸協(xié) Cream Finance 遭受攻擊，損失約 1.3 億美元。被盜的資金主要是 Cream LP 代幣和其他 ERC-20 代幣。

2022年3月29日，東南亞最火熱的區(qū)塊鏈游戲Axie Infinity母公司Sky Mavis開發(fā)的以太坊側(cè)鏈Ronin遭到黑客攻擊，損失約6.16億美元，超去年8月DeFi協(xié)議Poly Network案件被黑的6.11億美元，成為DeFi歷史上最大盜竊案。

2022年5月18日Binance 鏈上 Feminist Metaverse 智能合約遭到智能合約攻擊。由于Fmtoken 合約資金轉(zhuǎn)移的正確性校驗機制不完善，導致?lián)p失資金價值超過55萬美元。

上述事件整理于互聯(lián)網(wǎng)公開信息，表明智能合約雖然帶來一定的生活便利，但仍然存在較多漏洞和安全隱患，合約設計漏洞、合約協(xié)議漏洞、合約安全性分析不足等仍需引起開發(fā)者的高度重視。

智能合約屬于合約層的程序，因此它一旦遭到攻擊，將直接影響應用層功能的正常交易，甚至帶來資金損失，下圖是區(qū)塊鏈安全測試基礎(chǔ)架構(gòu)模型，雖然數(shù)據(jù)層和網(wǎng)絡層有著層層的安全防護手段，但仍然較難抵御合約層的合約漏洞。

為了更好的探索區(qū)塊鏈的技術(shù)風險，筆者向大家介紹2款典型的安全測試工具，使我們更直觀了解他們的作用。

1、Oyente符號執(zhí)行工具

Oyente是一個智能合約自動審計工具，它能分析智能合約并返回可能的bug攻擊，包括著名的DAO攻擊類型。該工具分析對象是字節(jié)碼，對合約的編譯器版本有要求，使用docker運行時只能檢測出低于solc 0.4.21以下的版本。

該工具是開源工具，可以對多種漏洞進行檢測，包括整數(shù)下溢、整數(shù)溢出、多重校驗錯誤2、Callstack深度攻擊漏洞、事務排序依賴(TOD)、時間戳的依賴、Re-Entrancy脆弱性，通過執(zhí)行此命令greeter.sol，可以對上述7大漏洞進行安全檢測和分析，此處表示代碼檢測覆蓋率99.5%，未發(fā)現(xiàn)漏洞風險。

2、Mythril安全分析工具

Mythril是以太坊EVM字節(jié)碼的安全分析工具。它檢測以太坊、Hedera、Quorum、Vechain、Roostock、Tron和其他兼容evm的區(qū)塊鏈構(gòu)建的智能合約中的安全漏洞。

通過以下命令來對智能合約源碼實施安全檢測：

$ docker run -v $(pwd):/var/tmp/solidity_examples mythril/myth analyze /var/tmp/solidity_examples/Roulette.sol

通過檢測我們發(fā)現(xiàn)，此搭建的智能合約的測試環(huán)境中存在1個時間戳依賴漏洞。

六、區(qū)塊鏈安全未來發(fā)展趨勢

1、加強技術(shù)研發(fā)和應用場景中的改進

區(qū)塊鏈技術(shù)研發(fā)與場景應用是區(qū)塊鏈產(chǎn)業(yè)的重要內(nèi)容，未來可從三個方面予以加強：一是加強智能合約設計的合理性審查，建立智能合約協(xié)議漏洞庫，落實智能合約的代碼安全分析與技術(shù)檢測；二是提高區(qū)塊鏈共識機制，提高交易數(shù)據(jù)的透明度和安全性；三是明確區(qū)塊鏈價值輸出，細化區(qū)塊鏈應用場景，建立不同場景下的區(qū)塊鏈安全管控目標。

2、推動區(qū)塊鏈技術(shù)與新技術(shù)深度融合

區(qū)塊鏈技術(shù)的發(fā)展日新月異，區(qū)塊鏈與大數(shù)據(jù)、人工智能、隱私計算、量子計算等新技術(shù)相互融合，在融合過程中，也要不斷總結(jié)新生風險，不斷改進量子計算攻克跨鏈數(shù)據(jù)交互難題，與隱私計算緊密集合，防范交易和客戶信息泄露，推動區(qū)塊鏈技術(shù)與新技術(shù)的高度融合與縱向延伸，搭建智能化、數(shù)字化、生態(tài)化的區(qū)塊鏈產(chǎn)業(yè)新格局。

3、完善區(qū)塊鏈標準，推動法律法規(guī)建設

區(qū)塊鏈國家標準和行業(yè)規(guī)范的推動對于區(qū)塊鏈產(chǎn)業(yè)至關(guān)重要，從國家層面繼續(xù)完善區(qū)塊鏈國標，從區(qū)塊鏈基礎(chǔ)、區(qū)塊鏈架構(gòu)、區(qū)塊鏈業(yè)務、區(qū)塊鏈技術(shù)應用、區(qū)塊鏈安全等方面繼續(xù)推動國家標準和行業(yè)規(guī)范的制定，結(jié)合國家標準組織、行業(yè)協(xié)會、技術(shù)廠商、研究機構(gòu)、咨詢公司等共同編制區(qū)塊鏈標準，形成區(qū)塊鏈智庫團隊，立法機構(gòu)可借助社會智庫和專業(yè)公司的力量，全面推動區(qū)塊鏈各行業(yè)的立法體系。

4、提升區(qū)塊鏈技術(shù)合規(guī)監(jiān)管力度

監(jiān)管合規(guī)要求是促進新技術(shù)發(fā)展的有力保障，區(qū)塊鏈技術(shù)作為新興技術(shù)同樣需要在監(jiān)管合規(guī)的引領(lǐng)下發(fā)展創(chuàng)新。一是建立松緊有度、寬松適宜的區(qū)塊鏈技術(shù)監(jiān)管合規(guī)體系，促進區(qū)塊鏈技術(shù)的發(fā)展和應用；二是改進監(jiān)管方式，實現(xiàn)科技監(jiān)管的有力推動，充分發(fā)揮監(jiān)管治理優(yōu)勢，重視監(jiān)管引領(lǐng)作用；三是加強國際合作，建立全球統(tǒng)一的區(qū)塊鏈監(jiān)管體系，促進區(qū)塊鏈產(chǎn)業(yè)健康發(fā)展。

七、結(jié)語

區(qū)塊鏈是一項具有革命性意義的新技術(shù)，被認為是第二個互聯(lián)網(wǎng)，各個國家對此均給予了高度關(guān)注。目前，盡管區(qū)塊鏈技術(shù)還存在可擴展性、隱私安全、應用場景不夠成熟、監(jiān)管政策不夠完善等問題，但十多年的發(fā)展和已有的應用證明了區(qū)塊鏈的價值，尤其是在金融行業(yè)的應用價值凸顯。接下來，為持續(xù)推進和完善區(qū)塊鏈生態(tài)體系的建設，在區(qū)塊鏈技術(shù)研發(fā)、場景應用，區(qū)塊鏈技術(shù)與新技術(shù)的融合，區(qū)塊鏈國家標準和行業(yè)規(guī)范及區(qū)塊鏈技術(shù)合規(guī)監(jiān)管力度這四大方面還需要予以重視，加強完善。

本文標題：區(qū)塊鏈技術(shù)在金融行業(yè)的應用與風險管理
網(wǎng)址分享：http://m.fisionsoft.com.cn/article/dhcdeso.html

新聞中心

一、區(qū)塊鏈技術(shù)現(xiàn)狀綜述

1、區(qū)塊鏈發(fā)展現(xiàn)狀

2、區(qū)塊鏈面臨的挑戰(zhàn)

3、區(qū)塊鏈安全機制

二、區(qū)塊鏈金融應用場景

1、供應鏈金融領(lǐng)域

2、貿(mào)易融資領(lǐng)域

3、跨境金融領(lǐng)域

4、資金監(jiān)管領(lǐng)域

5、商業(yè)銀行業(yè)務領(lǐng)域

三、區(qū)塊鏈應用風險

1、區(qū)塊鏈技術(shù)風險

2、區(qū)塊鏈應用風險

3、區(qū)塊鏈合規(guī)風險

四、區(qū)塊鏈技術(shù)與安全框架

1、區(qū)塊鏈技術(shù)框架

2、區(qū)塊鏈安全框架

五、區(qū)塊鏈風險評估方法

1、風險管控框架

2、基本要求評估

3、系統(tǒng)性能評估

4、安全保障評估