區(qū)塊鏈和分布式賬本技術是否能保護世界關鍵金融系統(tǒng)免受攻擊？

銀行進行國際支付和轉賬匯款需要使用代碼和識別碼組成的標準電子信息，這就是通用的金融語言。為了達到法律要求、驗證參與方、發(fā)現違規(guī)行為、防范任何可疑點和異常點，于是設置了許多審核手段、各種表格、各種流程和政策法規(guī)。執(zhí)行交易前需要核對各種特別的數據庫，比如黑名單中或者政府制裁名單的個人和團體。鑒于交易涉及數千億美元，因此設置如此多的管控手段也就不奇怪了。

然而就算配備了如此多的金融手段，后端有那么多人監(jiān)控著貨幣流向，黑客還是時不時成功盜走資金。

年初就發(fā)生了大宗盜竊案。孟加拉國央行孟加拉銀行（Bangladesh Bank）的賬戶丟失將近8100萬美元巨款，黑客使用了紐聯儲賬戶（New York Federal Reserve）。黑客原本計劃盜竊10億美元，只是紐聯儲僅憑一絲運氣，通過防護網阻止了大部分資金流失。

事情經過是這樣的。

驚天竊案

目前案件還在調查中，只是涉事方都在極力推卸責任。紐聯儲說他們發(fā)現并拒絕了大多數的詐騙請求。網絡罪犯假裝孟加拉銀行，總共向紐聯儲發(fā)送了35條信息，涉及金額高達10億美元，可是只有少數請求獲批。相對于紐聯儲每天8000億美元的國際匯款量，5800美元似乎相對不算多。

然而孟加拉銀行則說，轉賬請求的頻率很可疑，因此紐聯儲本該完全制止這次詐騙的。因為去年孟加拉銀行幾乎都是每個月申請兩次向機構轉賬，而這次確是一年內向個人轉賬35次的請求。

此外，銀行所有的SWIFT也遭到批評，因為它負責通信協議、軟硬件和安全網的管理。該機構每天處理大約10000家銀行和企業(yè)的2500萬次通訊。批評家說SWIFT完全沒有改善其網絡的安全環(huán)境，本該在網絡通訊安全技術方面加大投入的。

孟加拉銀行自身也有很多問題。有人說該銀行系統(tǒng)出現漏洞是因為松散的安全管控措施。黑客在發(fā)起攻擊前一個月就完成惡意軟件部署，有足夠時間做計劃和準備。銀行官員不會在網上監(jiān)控交易，檢查系統(tǒng)通訊的唯一方法是打印SWIFT網絡中收到的信息。黑客終止了打印功能，而第二天銀行發(fā)現紐聯儲和詐騙人的信息才進行了修復。

而且這次攻擊的時間把握的很準。黑客周四發(fā)送詐騙信息，而紐聯儲回復消息的時候，孟加拉銀行剛好是周五和周六的休息日。銀行修復打印功能，發(fā)現詐騙信息的時候，紐約又是周末。最后紐聯儲發(fā)現詐騙，再去阻止匯款的時候，轉入地菲律賓真在過中國新年。

完全是僥幸

一開始申請10億美元匯款的35條信息丟失了一些關鍵信息，因此紐聯儲拒絕了。于是黑客馬上修正之后重新發(fā)送請求。這次紐聯儲執(zhí)行了五筆交易，但人們說這完全是憑運氣。而匯款的目的地銀行恰巧在菲律賓的Jupiter Street，這個街道的名字與美國制裁的伊朗運油船和船務代理重名。

脆弱的全球網絡

現狀是，全球網絡，尤其是涉及匯款的網絡，一直是網絡罪犯的主要目標，而且他們的技術和組織形式都達到新高度。

而且這些罪犯擁有很多資源，甚至有流氓政府的支持，還有盜竊數百萬美元的足夠動機。銀行業(yè)老前輩們還說這個行業(yè)一直盛行一種文化，就算發(fā)生盜竊或者漏洞，也盡量保持緘默。但是為了發(fā)現和修補漏洞，就應該秉著開放、合作的態(tài)度，共享信息和著手調查。

孟加拉銀行盜竊案的罪犯很清楚系統(tǒng)情況，避開了最強的防護措施，攻擊了國際支付網絡的薄弱環(huán)節(jié)。之前黑客通過美國富國銀行（Wells Fargo）盜竊厄瓜多爾銀行1200萬美元，可能也是這些人的杰作。現在這兩家銀行正在打官司。

美國安全解決方案公司Symantec認為這個黑客組織可能是Lazarus，他們是2014年索尼影業(yè)（Sony Pictures）的攻擊者，而且得到朝鮮政府的支持。

區(qū)塊鏈和分布式賬本

區(qū)塊鏈是為了支撐去中心化虛擬貨幣系統(tǒng)——比特幣；但是世界金融體系卻是中心化的，采用政府發(fā)行的法幣。去中心化系統(tǒng)其實就是去信任的系統(tǒng)，因為沒有受信任機構的參與，而且由系統(tǒng)中編寫的邏輯和共識做出決策。

區(qū)塊鏈是不可篡改的、不可撤銷的交易歷史信息記錄，因此可以確定所有權并執(zhí)行比特幣交易。還能防止比特幣持有者重復支付。虛擬貨幣系統(tǒng)中的節(jié)點，或者說計算機會驗證比特幣交易，而不是由負責記賬的單個中心化機構進行驗證。區(qū)塊鏈保證比特幣系統(tǒng)是非許可型的，無需中央機構的授權或決議，因此是自治的。

分布式賬本的定義很廣。盡管區(qū)塊鏈的開發(fā)者主要是將它用于比特幣系統(tǒng)，分布式賬本架構卻可以支持各種系統(tǒng)。金融服務中的分布式賬本系統(tǒng)一般是許可型的，因此自主性不強，可以搭配不同程度的靈活性和管控。

分布式賬本架構可以提高風險管理

基于分布式賬本的防詐騙系統(tǒng)有多個互相協同的數據庫，可以有效地打擊詐騙。這個系統(tǒng)會記錄交易歷史的機密記錄，用于參考和驗證，但是不會泄露給系統(tǒng)中每個人（與開放的區(qū)塊鏈交易不同）。而且這個系統(tǒng)會存儲和更新授權證書，驗證交易發(fā)送和接收者。

目前銀行和金融機構在內部都有自己的風險管理系統(tǒng)，并參考黑名單和制裁名單上的一般信息。因此單個銀行就需要開發(fā)強大的風險管理系統(tǒng)，而這會造成系統(tǒng)無法統(tǒng)一，風險控制與操作流程也就大相徑庭。而分布式系統(tǒng)就可以幫助國際市場上的每個人，不僅僅是大型銀行，還有缺乏高科技風險管理系統(tǒng)的小型銀行。

銀行系統(tǒng)常常出現大量“誤報信息”，把交易當作可疑的或者詐騙的。但是大多數這種交易只是丟失了部分信息，而且在重新提交前都更正了。這種誤報的比例讓銀行職員開始忽視這種警報的危害性。分布式賬本系統(tǒng)可以由主要的權益人進行管理，比如央行和大型商業(yè)銀行。長期以來，SWIFT這樣的央行機構是否符合這樣的系統(tǒng)需要，一直存在爭議性。事實上，具有ISO標準格式的分布式系統(tǒng)可以自主運行，或者完全可以只采用主要參與者支持的少數骨干人員。

各種方法協同合作

央行在探索一種混合系統(tǒng)，由單個機構管理數據記錄；同時采用分布式賬本系統(tǒng)，保證網絡安全和真實性。這個系統(tǒng)適用于很多場景——全球性、地區(qū)性、當地、國內，這樣多個國家的中央機構就可以開發(fā)去中心化共享系統(tǒng)的附加層。

盡管需要一定時間去搭建基于定制版分布式賬本的國際匯款系統(tǒng)，而且會產生大量成本；而且私鑰的內部沖突與漏洞意味著理論上沒有哪種系統(tǒng)完全可以阻止設計精妙的網絡攻擊。然而兩者混合的系統(tǒng)就可以發(fā)現詐騙或洗錢交易，并更快度的做出修補。

區(qū)塊鏈概念股：萬向錢潮、恒寶股份、國民技術、新開普、新國都、海立美達、恒生電子、飛天誠信、御銀股份、贏時勝。