Även om ingen blockkedja hittills har hackats innebär det inte att ett system som använder tekniken automatiskt blir säkert. Här får du tre tips om hur du behöver tänka för att minimera riskerna innan du går live med den nya tekniken.
Den andra augusti 2016 publicerade världens största bitcoin-plattform, Bitfinex, ett oväntat inlägg på sin blogg. Av inlägget framgick att någon lyckats hacka systemet och stjäla ett stort antal bitcoins från Bitfinex kunder. Senare skulle det visa sig att stölden motsvarade ett värde på 72 miljoner dollar.
Inlägget var oväntat eftersom blockchain-tekniken, som ju Bitcoin bygger på, hade betraktats som bombsäker. Dessutom hade leverantören vidtagit särskilda åtgärder för att säkra åtkomsten till bitcoin-kontona, med hjälp av en lösning från BitGo.
Att intrånget överraskade berodde dock på en missuppfattning. Det stämmer faktiskt fortfarande att blockchain är säkert. Till dags dato har någon sådan varken hackats eller skadats. Men det innebär inte att hela miljön är säker.
– Händelsen belyser något som många ofta glömmer, att blockkedjan bara utgör en del av en tjänst eller applikation. I Bitfinex fall hade hackarna såvitt det går att bedöma hittat och utnyttjat svagheter i hur det egna systemet fungerade ihop med BitGo, förklarar Didem Ünal som är säkerhetskonsult på Accenture.
Tre sårbarheter
Didem Ünal pekar på tre sårbarheter som kan finnas i en lösning av det här slaget. Det första är det som på engelska kallas end-points, alltså användares datorer eller mobilenheter, eller sensorer och annan utrustning som kommunicerar med ett blockkedjebaserat system.
– En hackare som kommer in i en användares dator med tillgång till en affärsapplikation som utnyttjar en blockkedja, kan nå de transaktioner som sker där, säger hon.
Det andra riskområdet handlar om otestad kod. Det var något som blev smärtsamt uppenbart när DAO (The Decentralized Autonomous Organization) drabbades. Det var en organisation som tillhandahöll ett sätt att koppla ihop investerare och entreprenörer med hjälp av så kallade smarta kontrakt – enkelt uttryckt ett sätt att inkludera avtalsvillkor i blockkedjans kod.
2016 lyckades hackare hitta en bugg i denna, och kunde inom loppet av några timmar föra över en tredjedel av det kapital som fanns inom DAO, motsvarande 70 miljoner dollar, till egna konton.
– I den snabba utveckling som sker idag finns en överhängande risk att kod inte testas tillräckligt innan den släpps ut, hävdar Didem Ünal.
Gör dina leverantörer rätt?
Det tredje området som måste beaktas för att upprätthålla maximal säkerhet handlar om tredjepartsleverantörer. Här understryker Didem Ünal vikten av att göra noggranna revisioner av alla de aktörer som bidrar med applikationer eller tjänster kopplade till din blockkedja. Följer de alla riktlinjer för säkerhet som finns för gällande applikation?
Sammanfattningsvis handlar säkerhet i samband med blockchain-teknik om samma sak som i andra it-sammanhang. Det räcker inte att titta på en punkt, ett område eller en sorts agerande. För att nå en rimlig säkerhetsnivå behöver alla delar inkluderas.
– Det handlar en hel del om tekniska lösningar, men givetvis behöver också både it-ansvariga och användare vara medvetna om risker och riskbeteenden.
