區(qū)塊鏈和分布式賬本技術(shù)是否能保護世界關(guān)鍵金融系統(tǒng)免受攻擊？

銀行進行國際支付和轉(zhuǎn)賬匯款需要使用代碼和識別碼組成的標準電子信息，這就是通用的金融語言。為了達到法律要求、驗證參與方、發(fā)現(xiàn)違規(guī)行為、防范任何可疑點和異常點，于是設(shè)置了許多審核手段、各種表格、各種流程和政策法規(guī)。執(zhí)行交易前需要核對各種特別的數(shù)據(jù)庫，比如黑名單中或者政府制裁名單的個人和團體。鑒于交易涉及數(shù)千億美元，因此設(shè)置如此多的管控手段也就不奇怪了。

然而就算配備了如此多的金融手段，后端有那么多人監(jiān)控著貨幣流向，黑客還是時不時成功盜走資金。

年初就發(fā)生了大宗盜竊案。孟加拉國央行孟加拉銀行（Bangladesh Bank）的賬戶丟失將近8100萬美元巨款，黑客使用了紐聯(lián)儲賬戶（New York Federal Reserve）。黑客原本計劃盜竊10億美元，只是紐聯(lián)儲僅憑一絲運氣，通過防護網(wǎng)阻止了大部分資金流失。

事情經(jīng)過是這樣的。

驚天竊案

目前案件還在調(diào)查中，只是涉事方都在極力推卸責任。紐聯(lián)儲說他們發(fā)現(xiàn)并拒絕了大多數(shù)的詐騙請求。網(wǎng)絡(luò)罪犯假裝孟加拉銀行，總共向紐聯(lián)儲發(fā)送了35條信息，涉及金額高達10億美元，可是只有少數(shù)請求獲批。相對于紐聯(lián)儲每天8000億美元的國際匯款量，5800美元似乎相對不算多。

然而孟加拉銀行則說，轉(zhuǎn)賬請求的頻率很可疑，因此紐聯(lián)儲本該完全制止這次詐騙的。因為去年孟加拉銀行幾乎都是每個月申請兩次向機構(gòu)轉(zhuǎn)賬，而這次確是一年內(nèi)向個人轉(zhuǎn)賬35次的請求。

此外，銀行所有的SWIFT也遭到批評，因為它負責通信協(xié)議、軟硬件和安全網(wǎng)的管理。該機構(gòu)每天處理大約10000家銀行和企業(yè)的2500萬次通訊。批評家說SWIFT完全沒有改善其網(wǎng)絡(luò)的安全環(huán)境，本該在網(wǎng)絡(luò)通訊安全技術(shù)方面加大投入的。

孟加拉銀行自身也有很多問題。有人說該銀行系統(tǒng)出現(xiàn)漏洞是因為松散的安全管控措施。黑客在發(fā)起攻擊前一個月就完成惡意軟件部署，有足夠時間做計劃和準備。銀行官員不會在網(wǎng)上監(jiān)控交易，檢查系統(tǒng)通訊的唯一方法是打印SWIFT網(wǎng)絡(luò)中收到的信息。黑客終止了打印功能，而第二天銀行發(fā)現(xiàn)紐聯(lián)儲和詐騙人的信息才進行了修復。

而且這次攻擊的時間把握的很準。黑客周四發(fā)送詐騙信息，而紐聯(lián)儲回復消息的時候，孟加拉銀行剛好是周五和周六的休息日。銀行修復打印功能，發(fā)現(xiàn)詐騙信息的時候，紐約又是周末。最后紐聯(lián)儲發(fā)現(xiàn)詐騙，再去阻止匯款的時候，轉(zhuǎn)入地菲律賓真在過中國新年。

完全是僥幸

一開始申請10億美元匯款的35條信息丟失了一些關(guān)鍵信息，因此紐聯(lián)儲拒絕了。于是黑客馬上修正之后重新發(fā)送請求。這次紐聯(lián)儲執(zhí)行了五筆交易，但人們說這完全是憑運氣。而匯款的目的地銀行恰巧在菲律賓的Jupiter Street，這個街道的名字與美國制裁的伊朗運油船和船務代理重名。

脆弱的全球網(wǎng)絡(luò)

現(xiàn)狀是，全球網(wǎng)絡(luò)，尤其是涉及匯款的網(wǎng)絡(luò)，一直是網(wǎng)絡(luò)罪犯的主要目標，而且他們的技術(shù)和組織形式都達到新高度。

而且這些罪犯擁有很多資源，甚至有流氓政府的支持，還有盜竊數(shù)百萬美元的足夠動機。銀行業(yè)老前輩們還說這個行業(yè)一直盛行一種文化，就算發(fā)生盜竊或者漏洞，也盡量保持緘默。但是為了發(fā)現(xiàn)和修補漏洞，就應該秉著開放、合作的態(tài)度，共享信息和著手調(diào)查。

孟加拉銀行盜竊案的罪犯很清楚系統(tǒng)情況，避開了最強的防護措施，攻擊了國際支付網(wǎng)絡(luò)的薄弱環(huán)節(jié)。之前黑客通過美國富國銀行（Wells Fargo）盜竊厄瓜多爾銀行1200萬美元，可能也是這些人的杰作。現(xiàn)在這兩家銀行正在打官司。

美國安全解決方案公司Symantec認為這個黑客組織可能是Lazarus，他們是2014年索尼影業(yè)（Sony Pictures）的攻擊者，而且得到朝鮮政府的支持。

區(qū)塊鏈和分布式賬本

區(qū)塊鏈是為了支撐去中心化虛擬貨幣系統(tǒng)——比特幣；但是世界金融體系卻是中心化的，采用政府發(fā)行的法幣。去中心化系統(tǒng)其實就是去信任的系統(tǒng)，因為沒有受信任機構(gòu)的參與，而且由系統(tǒng)中編寫的邏輯和共識做出決策。

區(qū)塊鏈是不可篡改的、不可撤銷的交易歷史信息記錄，因此可以確定所有權(quán)并執(zhí)行比特幣交易。還能防止比特幣持有者重復支付。虛擬貨幣系統(tǒng)中的節(jié)點，或者說計算機會驗證比特幣交易，而不是由負責記賬的單個中心化機構(gòu)進行驗證。區(qū)塊鏈保證比特幣系統(tǒng)是非許可型的，無需中央機構(gòu)的授權(quán)或決議，因此是自治的。

分布式賬本的定義很廣。盡管區(qū)塊鏈的開發(fā)者主要是將它用于比特幣系統(tǒng)，分布式賬本架構(gòu)卻可以支持各種系統(tǒng)。金融服務中的分布式賬本系統(tǒng)一般是許可型的，因此自主性不強，可以搭配不同程度的靈活性和管控。

分布式賬本架構(gòu)可以提高風險管理

基于分布式賬本的防詐騙系統(tǒng)有多個互相協(xié)同的數(shù)據(jù)庫，可以有效地打擊詐騙。這個系統(tǒng)會記錄交易歷史的機密記錄，用于參考和驗證，但是不會泄露給系統(tǒng)中每個人（與開放的區(qū)塊鏈交易不同）。而且這個系統(tǒng)會存儲和更新授權(quán)證書，驗證交易發(fā)送和接收者。

目前銀行和金融機構(gòu)在內(nèi)部都有自己的風險管理系統(tǒng)，并參考黑名單和制裁名單上的一般信息。因此單個銀行就需要開發(fā)強大的風險管理系統(tǒng)，而這會造成系統(tǒng)無法統(tǒng)一，風險控制與操作流程也就大相徑庭。而分布式系統(tǒng)就可以幫助國際市場上的每個人，不僅僅是大型銀行，還有缺乏高科技風險管理系統(tǒng)的小型銀行。

銀行系統(tǒng)常常出現(xiàn)大量“誤報信息”，把交易當作可疑的或者詐騙的。但是大多數(shù)這種交易只是丟失了部分信息，而且在重新提交前都更正了。這種誤報的比例讓銀行職員開始忽視這種警報的危害性。分布式賬本系統(tǒng)可以由主要的權(quán)益人進行管理，比如央行和大型商業(yè)銀行。長期以來，SWIFT這樣的央行機構(gòu)是否符合這樣的系統(tǒng)需要，一直存在爭議性。事實上，具有ISO標準格式的分布式系統(tǒng)可以自主運行，或者完全可以只采用主要參與者支持的少數(shù)骨干人員。

各種方法協(xié)同合作

央行在探索一種混合系統(tǒng)，由單個機構(gòu)管理數(shù)據(jù)記錄；同時采用分布式賬本系統(tǒng)，保證網(wǎng)絡(luò)安全和真實性。這個系統(tǒng)適用于很多場景——全球性、地區(qū)性、當?shù)?、國?nèi)，這樣多個國家的中央機構(gòu)就可以開發(fā)去中心化共享系統(tǒng)的附加層。

盡管需要一定時間去搭建基于定制版分布式賬本的國際匯款系統(tǒng)，而且會產(chǎn)生大量成本；而且私鑰的內(nèi)部沖突與漏洞意味著理論上沒有哪種系統(tǒng)完全可以阻止設(shè)計精妙的網(wǎng)絡(luò)攻擊。然而兩者混合的系統(tǒng)就可以發(fā)現(xiàn)詐騙或洗錢交易，并更快度的做出修補。

區(qū)塊鏈概念股：萬向錢潮、恒寶股份、國民技術(shù)、新開普、新國都、海立美達、恒生電子、飛天誠信、御銀股份、贏時勝。