世界經(jīng)濟論壇：央行數(shù)字貨幣需警惕四大網(wǎng)絡安全威脅

隨著七國集團（G7）官員批準了針對央行數(shù)字貨幣（CBDC）的13項公共政策原則，80多個國家發(fā)起了與CBDC相關的某種形式倡議，CBDC的廣泛部署似乎只是時間問題。作為一種可供公眾使用的數(shù)字形式央行貨幣，從本質上講，CBDC由能夠在本國央行進行交易和開立儲蓄賬戶的個人和公司組成。巴哈馬、中國和尼日利亞都已經(jīng)開展了早期CBDC項目，未來估計還會有更多的同類項目。如果這些項目能夠取得成功，CBDC將可以幫助政策制定者實現(xiàn)諸多目標，例如支付效率、金融包容性、銀行和支付競爭力以及在數(shù)字支付時代擁有安全的央行貨幣等。
然而，與其他數(shù)字支付系統(tǒng)一樣，CBDC也容易遭受到網(wǎng)絡安全攻擊、賬戶和數(shù)據(jù)泄露或盜竊以及偽造等問題，甚至還面臨著與量子計算相關的更深遠挑戰(zhàn)。公眾只有對CBDC的安全性充滿信心，才會放心地使用CBDC。因此，CBDC項目要想取得成功，就必須充分考慮并進行完備的網(wǎng)絡安全策略投資。決策者應關注網(wǎng)絡安全最佳實踐，比如美國國家標準與技術研究院（NIST）和微軟“STRIDE”模型發(fā)布的最佳實踐。本文不僅總結了世界經(jīng)濟論壇新白皮書《CBDC技術考量》（CBDC Technology Considerations）中的要點，還列出了有關CBDC網(wǎng)絡安全的其他必要注意事項。
如何確保CBDC在未來幾十年內(nèi)的安全性？接下來，我們將討論CBDC網(wǎng)絡安全的四個主要方面：
憑證盜竊與丟失
資金獲取和轉賬均需提供CBDC訪問憑證。此類憑證可以是密碼形式（即便是采用書面形式也能夠輕松傳達），也可以是存儲私鑰的硬件令牌。無論采用何種方式，由于憑證盜竊和丟失而造成的威脅都非常嚴重，因為這意味著賬戶資金和數(shù)據(jù)可能會受到損害。
盜竊可以是物理盜竊，也可以是虛擬盜竊，尤其是在使用密碼憑證的情況下?，F(xiàn)代攻擊者利用社會工程、旁路攻擊和惡意軟件等從CBDC用戶的設備中盜取憑證。此外，密碼或硬件令牌可能會由于火災、水災或自然災害而丟失或損壞，但不能因為這些問題就導致CBDC用戶丟失所有資金和數(shù)據(jù)。因此，CBDC系統(tǒng)應具內(nèi)置有憑證恢復機制。
如果CBDC以區(qū)塊鏈技術為基礎，它可能會使用多重簽名錢包，其中至少有兩個其他受信任方持有該錢包的憑證（可能是央行本身、家庭成員或終端用戶的其他聯(lián)系人）。然而，多重簽名錢包也存在缺點，其用戶友好性較差，任何轉賬皆需至少與另一方進行協(xié)調(diào)。當前，即使是在2FA極為常見的網(wǎng)上銀行中，這種安全性與易用性的權衡也非常普遍。但如果CBDC以傳統(tǒng)技術為基礎，特權機構僅需通過新的憑證便能輕松簡單地實現(xiàn)數(shù)據(jù)庫條目的更新。
特權用戶
令人擔憂的一點是，央行或政府內(nèi)部人員、執(zhí)法人員以及其他代理人可能享有一些特權，例如未經(jīng)用戶同意便凍結或提取用戶CBDC賬戶中的資金，而這些特權符合當今受監(jiān)管支付系統(tǒng)中的合規(guī)程序。盡管這些角色可能是CBDC的功能需求，但也存在內(nèi)部人員利用特權濫用CBDC系統(tǒng)的可能性。與其他類型的信息安全一樣，央行以及任何參與其中的中介機構均應設有并執(zhí)行涵蓋此類特權的網(wǎng)絡安全風險管理計劃。多方機制，如多重簽名錢包或其他保護措施所采用的機制，可能會增加此類攻擊的難度。
如果CBDC在區(qū)塊鏈技術上運作，其中節(jié)點包括有權驗證或使交易無效的非央行實體，那么惡意驗證器節(jié)點可能會構成安全威脅，還可能通過接受或拒絕違背央行意圖的交易來破壞央行的貨幣權威性和獨立性。因此，除非絕對必要，一般不建議非央行節(jié)點擁有交易驗證權。
系統(tǒng)完整性與“雙花攻擊”
根據(jù)所使用的共識協(xié)議，具有特權的非央行節(jié)點可以宣布交易無效，從根本上阻止交易為網(wǎng)絡所接受，給CBDC用戶帶來拒絕服務攻擊并對其交易進行審查。
非央行節(jié)點的勾結也可能引起“雙花”攻擊，一種CBDC遭到多次非法使用的偽造形式。這些節(jié)點還可能將分布式賬本“分叉”，創(chuàng)建與央行不一致的交易賬本跟蹤和視圖。CBDC終端用戶可能會在多個地方使用其錢包中的資金，這也構成了數(shù)字偽造風險。如果CBDC具有離線能力，雙花風險會更高，這取決于其所使用的技術。在這種情況下，雙花交易無需通常在線進行的高安全性驗證流程即可發(fā)送至離線實體。
當CBDC用戶處于離線狀態(tài)時，可通過設置支出限制和交易頻率來減少此類攻擊的影響。此外，一旦正在執(zhí)行交易的設備恢復“在線”狀態(tài)，合規(guī)軟件便可以同步離線期間發(fā)生的交易。
量子計算
最終，量子計算將影響所有金融服務，因為它可以破壞用于保護存儲和傳輸數(shù)據(jù)訪問、機密性和完整性的主要數(shù)據(jù)加密方法和密碼原語，CBDC也不例外。因此，在CBDC技術設計過程中，我們必須考慮新興量子計算機的威脅，它可能會對保護CBDC賬戶的密碼機制造成損害。就央行而言，針對即將到來的量子計算，應考慮由某些密碼原語導致的易損性。再者，未來的量子計算機可能會在不被發(fā)現(xiàn)的情況下破解CBDC系統(tǒng)中的密碼機制。
網(wǎng)絡安全、技術彈性和完備的技術管理，是CBDC技術設計中最重要的幾個元素。如果未實行健全的網(wǎng)絡安全策略并充分考慮到上述風險，可能會危及公眾數(shù)據(jù)和資金、CBDC項目的成功、央行聲譽以及公眾對CBDC的廣泛看法。根據(jù)過去在網(wǎng)絡安全故障方面的經(jīng)驗，網(wǎng)絡安全不僅僅是“將壞人拒之門外”或最大限度減少未經(jīng)授權的帳戶訪問，它必須是全面的且考慮到了所有風險，確保系統(tǒng)按設計運行并保持完整性。只有這樣，CBDC才能成功實現(xiàn)其目標。
文章轉載自財經(jīng)網(wǎng)