国家互联网应急中心发布区块链开源安全漏洞分析报告

2016年10月，国家互联网应急中心聚焦区块链领域的知名开源软件，综合考虑用户数量、受关注程度以及更新频率等情况，选取了 25 款具有代表性的区块链软件，结合漏洞扫描工具和人工审计，进行了安全检测。从结果来看，开源区块链软件存在着不容忽视的严重安全风险。

报告指出，测试选取了 25 款具有代表性的区块链软件，包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等，结合漏洞扫描工具和人工审计，进行了安全检测。本次检测在代码层面发现高危安全漏洞和安全隐患共 746 个。由于这些软件多数与资产、货币交易相关，一旦出现漏洞，可能会导致财产损失的严重风险。

在所有被测软件中，总体而言安全风险相对较为严重的是区块链支付网络 Ripple，包含高危漏洞 223 个。 值得注意的是，该软件很可能是本次检测的区块链相关软件中名气最大、用户最多、使用最广的软件。 据悉，截至发稿，该软件所在公司已获得包括Google、埃森哲等在内共计 1 亿美元的投资， 同时一些大型银行已经宣布将加入其支付网络，其中包括渣打、西太银行、澳大利亚国家银行和上海华瑞银行等。 考虑到该软件直接处理金融资产，且拥有如此大规模的用户，一旦这些漏洞被黑客利用，将会造成不可估量的损失。

总体安全风险排名第二的是 Ethereumj 项目， 该项目是基于区块链的分布式应用平台 Ethereum 的 Java 实现。 检测表明，该项目包含高危漏洞 110 个，具有较高的安全风险。

在所有被测软件中，漏洞总数最多的是基于区块链的金融服务软件 BitShares， 其最新版本包含中高危漏洞高达 669 个，其中高危漏洞 4 个，中危漏洞 665 个； 虽然已经比早期版本（BitShares-0.x 包含高危漏洞 25 个，中危漏洞 1236 个）有了明显改善， 但仍然存在较大的安全风险。