欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

国家区块链漏洞库定级细则发布 中高危漏洞占据绝大多数

程序员文章站 2022-04-21 20:49:03
本报记者 邢萌9月27日,国家漏洞库《漏洞定级细则》(以下简称“《细则》”)正式向社会发布。《细则》由国家应急中心联合长亭科技、成都链安科技、安比实验室和慢雾科技四家厂商共同起...

本报记者 邢萌

9月27日,国家漏洞库《漏洞定级细则》(以下简称“《细则》”)正式向社会发布。《细则》由国家应急中心联合长亭科技、成都链安科技、安比实验室和慢雾科技四家厂商共同起草,目的是为进一步建立行业统一客观的漏洞评级体系,建立健全安全的基础设施,逐步改善领域的诸多安全问题。

据了解,《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》,主要依据“危害程度”和“利用难度”等方面分析,将漏洞分为高、中、低三个威胁等级,且每种危害和难度的描述中都罗列了非常详细的参考条目,基本涵盖了领域可能遇到的大部分漏洞情况,可以帮助使用者快速定位和分析漏洞。同时依托cvss2.0,力争实现与传统基础领域漏洞规则的互通,从大网络安全的角度打通新兴领域与传统领域对于漏洞的认知和定义。

记者梳理国家漏洞库数据发现,目前披露的漏洞总数超过400个,绝大多数为中高危漏洞。具体来看,全网漏洞总数412个。高危漏洞100个,占比24.27%;中危漏洞296个,占比71.84%;低危漏洞16个,占比3.88%。从漏洞影响对象类型来看,几乎均为公链。412个漏洞中,公链漏洞占410个。

对此,慢雾安全团队在接受《证券日报》记者采访时分析道,“由于自带属性,很多项目(如公链、交易所等)出现漏洞时都会带来不小的资产损失,在漏洞定级时这部分实际影响会纳入其中,所以大部分漏洞都是中高危的。”

对于公链项目居多,则是由其开源性决定。慢雾安全团队表示,目前漏洞主要集中于公链,原因可能是因为公链代码是开源的,但是交易所、钱包的代码一般情况是不开源的。安全研究员主要拿到的代码都是公链的,所以发现的公链漏洞数也就比较多。

值得注意的是,漏洞库中多为加密数字币项目,“归零币”不在少数。以点击量最高的加密数字币emercoin项目为例,该漏洞为高危类型,emercoin0.7及之前版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。记者搜索发现,emercoin币价已趋近于归零。据英为财情数据显示,emercoin最新币价为0.03635美元,这与其最高时5美元的价格已相距甚远。

对此,中国移动联合会专业委员会主任委员兼首席数字经济学家陈晓华教授对《证券日报》记者表示,“加密数字币并非真实货币,没有*进行总量控制和宏观调控,不具有与法定货币等同的法律地位,加密数字币在法律地位上的弱势导致其价格波动大。暴涨暴跌的加密数字币风险巨大,在支付系统、操作性、交易、流动性等多方面存在风险,并不适合普通人。”

(编辑 沈明)