區(qū)塊鏈和分布式賬本技術(shù)是否能保護(hù)世界關(guān)鍵金融系統(tǒng)免受攻擊？

銀行進(jìn)行國(guó)際支付和轉(zhuǎn)賬匯款需要使用代碼和識(shí)別碼組成的標(biāo)準(zhǔn)電子信息，這就是通用的金融語言。為了達(dá)到法律要求、驗(yàn)證參與方、發(fā)現(xiàn)違規(guī)行為、防范任何可疑點(diǎn)和異常點(diǎn)，于是設(shè)置了許多審核手段、各種表格、各種流程和政策法規(guī)。執(zhí)行交易前需要核對(duì)各種特別的數(shù)據(jù)庫，比如黑名單中或者政府制裁名單的個(gè)人和團(tuán)體。鑒于交易涉及數(shù)千億美元，因此設(shè)置如此多的管控手段也就不奇怪了。

然而就算配備了如此多的金融手段，后端有那么多人監(jiān)控著貨幣流向，黑客還是時(shí)不時(shí)成功盜走資金。

年初就發(fā)生了大宗盜竊案。孟加拉國(guó)央行孟加拉銀行（Bangladesh Bank）的賬戶丟失將近8100萬美元巨款，黑客使用了紐聯(lián)儲(chǔ)賬戶（New York Federal Reserve）。黑客原本計(jì)劃盜竊10億美元，只是紐聯(lián)儲(chǔ)僅憑一絲運(yùn)氣，通過防護(hù)網(wǎng)阻止了大部分資金流失。

事情經(jīng)過是這樣的。

驚天竊案

目前案件還在調(diào)查中，只是涉事方都在極力推卸責(zé)任。紐聯(lián)儲(chǔ)說他們發(fā)現(xiàn)并拒絕了大多數(shù)的詐騙請(qǐng)求。網(wǎng)絡(luò)罪犯假裝孟加拉銀行，總共向紐聯(lián)儲(chǔ)發(fā)送了35條信息，涉及金額高達(dá)10億美元，可是只有少數(shù)請(qǐng)求獲批。相對(duì)于紐聯(lián)儲(chǔ)每天8000億美元的國(guó)際匯款量，5800美元似乎相對(duì)不算多。

然而孟加拉銀行則說，轉(zhuǎn)賬請(qǐng)求的頻率很可疑，因此紐聯(lián)儲(chǔ)本該完全制止這次詐騙的。因?yàn)槿ツ昝霞永y行幾乎都是每個(gè)月申請(qǐng)兩次向機(jī)構(gòu)轉(zhuǎn)賬，而這次確是一年內(nèi)向個(gè)人轉(zhuǎn)賬35次的請(qǐng)求。

此外，銀行所有的SWIFT也遭到批評(píng)，因?yàn)樗?fù)責(zé)通信協(xié)議、軟硬件和安全網(wǎng)的管理。該機(jī)構(gòu)每天處理大約10000家銀行和企業(yè)的2500萬次通訊。批評(píng)家說SWIFT完全沒有改善其網(wǎng)絡(luò)的安全環(huán)境，本該在網(wǎng)絡(luò)通訊安全技術(shù)方面加大投入的。

孟加拉銀行自身也有很多問題。有人說該銀行系統(tǒng)出現(xiàn)漏洞是因?yàn)樗缮⒌陌踩芸卮胧?。黑客在發(fā)起攻擊前一個(gè)月就完成惡意軟件部署，有足夠時(shí)間做計(jì)劃和準(zhǔn)備。銀行官員不會(huì)在網(wǎng)上監(jiān)控交易，檢查系統(tǒng)通訊的唯一方法是打印SWIFT網(wǎng)絡(luò)中收到的信息。黑客終止了打印功能，而第二天銀行發(fā)現(xiàn)紐聯(lián)儲(chǔ)和詐騙人的信息才進(jìn)行了修復(fù)。

而且這次攻擊的時(shí)間把握的很準(zhǔn)。黑客周四發(fā)送詐騙信息，而紐聯(lián)儲(chǔ)回復(fù)消息的時(shí)候，孟加拉銀行剛好是周五和周六的休息日。銀行修復(fù)打印功能，發(fā)現(xiàn)詐騙信息的時(shí)候，紐約又是周末。最后紐聯(lián)儲(chǔ)發(fā)現(xiàn)詐騙，再去阻止匯款的時(shí)候，轉(zhuǎn)入地菲律賓真在過中國(guó)新年。

完全是僥幸

一開始申請(qǐng)10億美元匯款的35條信息丟失了一些關(guān)鍵信息，因此紐聯(lián)儲(chǔ)拒絕了。于是黑客馬上修正之后重新發(fā)送請(qǐng)求。這次紐聯(lián)儲(chǔ)執(zhí)行了五筆交易，但人們說這完全是憑運(yùn)氣。而匯款的目的地銀行恰巧在菲律賓的Jupiter Street，這個(gè)街道的名字與美國(guó)制裁的伊朗運(yùn)油船和船務(wù)代理重名。

脆弱的全球網(wǎng)絡(luò)

現(xiàn)狀是，全球網(wǎng)絡(luò)，尤其是涉及匯款的網(wǎng)絡(luò)，一直是網(wǎng)絡(luò)罪犯的主要目標(biāo)，而且他們的技術(shù)和組織形式都達(dá)到新高度。

而且這些罪犯擁有很多資源，甚至有流氓政府的支持，還有盜竊數(shù)百萬美元的足夠動(dòng)機(jī)。銀行業(yè)老前輩們還說這個(gè)行業(yè)一直盛行一種文化，就算發(fā)生盜竊或者漏洞，也盡量保持緘默。但是為了發(fā)現(xiàn)和修補(bǔ)漏洞，就應(yīng)該秉著開放、合作的態(tài)度，共享信息和著手調(diào)查。

孟加拉銀行盜竊案的罪犯很清楚系統(tǒng)情況，避開了最強(qiáng)的防護(hù)措施，攻擊了國(guó)際支付網(wǎng)絡(luò)的薄弱環(huán)節(jié)。之前黑客通過美國(guó)富國(guó)銀行（Wells Fargo）盜竊厄瓜多爾銀行1200萬美元，可能也是這些人的杰作?，F(xiàn)在這兩家銀行正在打官司。

美國(guó)安全解決方案公司Symantec認(rèn)為這個(gè)黑客組織可能是Lazarus，他們是2014年索尼影業(yè)（Sony Pictures）的攻擊者，而且得到朝鮮政府的支持。

區(qū)塊鏈和分布式賬本

區(qū)塊鏈?zhǔn)菫榱酥稳ブ行幕摂M貨幣系統(tǒng)——比特幣；但是世界金融體系卻是中心化的，采用政府發(fā)行的法幣。去中心化系統(tǒng)其實(shí)就是去信任的系統(tǒng)，因?yàn)闆]有受信任機(jī)構(gòu)的參與，而且由系統(tǒng)中編寫的邏輯和共識(shí)做出決策。

區(qū)塊鏈?zhǔn)遣豢纱鄹牡?、不可撤銷的交易歷史信息記錄，因此可以確定所有權(quán)并執(zhí)行比特幣交易。還能防止比特幣持有者重復(fù)支付。虛擬貨幣系統(tǒng)中的節(jié)點(diǎn)，或者說計(jì)算機(jī)會(huì)驗(yàn)證比特幣交易，而不是由負(fù)責(zé)記賬的單個(gè)中心化機(jī)構(gòu)進(jìn)行驗(yàn)證。區(qū)塊鏈保證比特幣系統(tǒng)是非許可型的，無需中央機(jī)構(gòu)的授權(quán)或決議，因此是自治的。

分布式賬本的定義很廣。盡管區(qū)塊鏈的開發(fā)者主要是將它用于比特幣系統(tǒng)，分布式賬本架構(gòu)卻可以支持各種系統(tǒng)。金融服務(wù)中的分布式賬本系統(tǒng)一般是許可型的，因此自主性不強(qiáng)，可以搭配不同程度的靈活性和管控。

分布式賬本架構(gòu)可以提高風(fēng)險(xiǎn)管理

基于分布式賬本的防詐騙系統(tǒng)有多個(gè)互相協(xié)同的數(shù)據(jù)庫，可以有效地打擊詐騙。這個(gè)系統(tǒng)會(huì)記錄交易歷史的機(jī)密記錄，用于參考和驗(yàn)證，但是不會(huì)泄露給系統(tǒng)中每個(gè)人（與開放的區(qū)塊鏈交易不同）。而且這個(gè)系統(tǒng)會(huì)存儲(chǔ)和更新授權(quán)證書，驗(yàn)證交易發(fā)送和接收者。

目前銀行和金融機(jī)構(gòu)在內(nèi)部都有自己的風(fēng)險(xiǎn)管理系統(tǒng)，并參考黑名單和制裁名單上的一般信息。因此單個(gè)銀行就需要開發(fā)強(qiáng)大的風(fēng)險(xiǎn)管理系統(tǒng)，而這會(huì)造成系統(tǒng)無法統(tǒng)一，風(fēng)險(xiǎn)控制與操作流程也就大相徑庭。而分布式系統(tǒng)就可以幫助國(guó)際市場(chǎng)上的每個(gè)人，不僅僅是大型銀行，還有缺乏高科技風(fēng)險(xiǎn)管理系統(tǒng)的小型銀行。

銀行系統(tǒng)常常出現(xiàn)大量“誤報(bào)信息”，把交易當(dāng)作可疑的或者詐騙的。但是大多數(shù)這種交易只是丟失了部分信息，而且在重新提交前都更正了。這種誤報(bào)的比例讓銀行職員開始忽視這種警報(bào)的危害性。分布式賬本系統(tǒng)可以由主要的權(quán)益人進(jìn)行管理，比如央行和大型商業(yè)銀行。長(zhǎng)期以來，SWIFT這樣的央行機(jī)構(gòu)是否符合這樣的系統(tǒng)需要，一直存在爭(zhēng)議性。事實(shí)上，具有ISO標(biāo)準(zhǔn)格式的分布式系統(tǒng)可以自主運(yùn)行，或者完全可以只采用主要參與者支持的少數(shù)骨干人員。

各種方法協(xié)同合作

央行在探索一種混合系統(tǒng)，由單個(gè)機(jī)構(gòu)管理數(shù)據(jù)記錄；同時(shí)采用分布式賬本系統(tǒng)，保證網(wǎng)絡(luò)安全和真實(shí)性。這個(gè)系統(tǒng)適用于很多場(chǎng)景——全球性、地區(qū)性、當(dāng)?shù)亍?guó)內(nèi)，這樣多個(gè)國(guó)家的中央機(jī)構(gòu)就可以開發(fā)去中心化共享系統(tǒng)的附加層。

盡管需要一定時(shí)間去搭建基于定制版分布式賬本的國(guó)際匯款系統(tǒng)，而且會(huì)產(chǎn)生大量成本；而且私鑰的內(nèi)部沖突與漏洞意味著理論上沒有哪種系統(tǒng)完全可以阻止設(shè)計(jì)精妙的網(wǎng)絡(luò)攻擊。然而兩者混合的系統(tǒng)就可以發(fā)現(xiàn)詐騙或洗錢交易，并更快度的做出修補(bǔ)。

區(qū)塊鏈概念股：萬向錢潮、恒寶股份、國(guó)民技術(shù)、新開普、新國(guó)都、海立美達(dá)、恒生電子、飛天誠信、御銀股份、贏時(shí)勝。