世界經濟論壇報告：新型央行數字貨幣面臨四項主要的網路安全威脅

DinK發表於2021-12-09

七國集團官員最近認可了央行數字貨幣（CBDC）的原則，超過80個國家已啟動與CBDC相關的倡議，看來CBDC得到廣泛部署只是時間問題。CBDC是中央銀行貨幣的一種數字化形式，可供公眾使用；本質上，它可以覆蓋那些在本國中央銀行實施交易，擁有儲蓄賬戶的個人和公司。巴哈馬、中國和奈及利亞的中央銀行都已經實施了早期CBDC計劃，預計未來會有更多國家加入該行列。如果成功應用的話，CBDC能夠幫助政策制定者實現在支付效率、金融普惠、銀行和支付競爭力、數字支付時代中央銀行資金的安全訪問等方面的目標。

然而，與任何其他數字支付系統一樣，CBDC可能會受到網路安全攻擊、賬戶洩露、資料和盜竊、造假以及與量子計算相關的更深遠的挑戰。為了讓公民有信心地採用CBDC，他們必須增強對CBDC安全的信心。更重要的是，如果不仔細考慮和投資強大的網路安全戰略，CBDC就無法成功實施。決策者應關注網路安全方面的最佳實踐，如美國國家標準與技術研究所（NIST）釋出的最佳實踐和微軟的STERID模型。本文總結了世界經濟論壇釋出的新白皮書《CBDC技術考慮》的要點，並闡述了有關CBDC網路安全的其他必要注意事項。

在未來幾十年中，我們如何保證CBDC安全性？我們在下文討論了其網路安全的四個主要方面：

憑證被盜和丟失

資金的使用和轉移需要CBDC准入證書。該憑證可以採用易於傳輸的金鑰短語（即使在紙上）或儲存私鑰的硬體憑證的形式。在任何形式下，憑證的盜竊和丟失都將構成重大威脅，這意味著賬戶資金和資料可能會遭到破壞。

被盜情形可以發生在物理或虛擬的情況下，尤其是設有密碼短語時。考慮到現代網路攻擊者的各種手段，可以使用社會工程學、邊通道攻擊和惡意軟體等技術來從CBDC使用者的裝置中提取憑證。此外，如果密碼短語或硬體證書因火災/水災或自然災害而丟失/損壞，CBDC使用者不應直接丟失其所有資金和資料。因此，系統應具有嵌入式認證恢復機制。

如果CBDC基於區塊鏈技術，它可以採用多重簽名（“multi-sig”）錢包，其中至少有兩個受信任的關聯方擁有該錢包的憑證（可能是中央銀行本身和/或家庭成員或終端使用者的其他聯絡人）。多重簽名錢包的缺點是它們對使用者不友好，因為發起任何一筆轉賬都需要與至少其他一方協調。即使在雙重驗證（2FA）被廣泛使用的今天，這種安全性和可用性之間的權衡在網上銀行仍然很常見。如果CBDC基於傳統技術，特許權威方則可以直接根據新憑證來更新某個資料庫條目。

擁有特許角色的使用者

值得關注的是中央銀行或內部政府工作人員、執法機構和其他機構可能被允許採取特許行為，如未經使用者同意凍結或提取CBDC賬戶中的資金。這些權力還必須符合當今受監管支付系統的合規程式。儘管向某些人提供特許權可能是CBDC的一項功能要求，但它可能會幫助一些內部人士惡意攻擊該系統。與其他型別的資訊保安一樣，中央銀行和任何相關中介機構應制定並實施網路安全風險管理計劃，多方機制，如多重簽名錢包或其他保護措施，可能會使發動此類攻擊變得困難。

如果中央銀行基於區塊鏈技術運營，且區塊鏈節點包括有權驗證交易或宣佈交易無效的非中央實體，則惡意驗證方節點可能構成安全威脅。它們還可以接受或拒絕違背央行意願的操作，從而破壞中央銀行的貨幣權威和獨立性。因此，除非絕對必要，一般不建議向非中央銀行授予節點交易驗證權。

系統完整性和“雙重支付”

根據使用的共識協議，具有特許權的非中央銀行節點可以宣佈交易無效，這從本質上防止網路接受該交易，並對CBDC使用者形成拒絕服務型攻擊，對其交易進行審查。

“雙重支付”攻擊也可以通過與非央行節點合謀實施，這是一種造假行為，意味著CBDC被非法消費多次。這些節點還可以選擇“分岔”分散式賬本，以建立不同於中央銀行交易賬簿的交易路徑和檢視。CBDC終端使用者可以試圖在多場景花銷他們錢包裡的資金，這也構成了數字造假。如果相關CBDC支援離線消費，則雙重支付風險將更高，具體取決於其使用的運營技術；在這種情況下，雙重支付交易記錄可能傳送給線下經濟實體，而無需通過通常線上執行的高安全性驗證流程。

通過限制CBDC使用者的離線費用並規定其交易頻率，可以降低此攻擊造成的破壞力。此外，一旦正在進行交易的裝置重新“上線”，合規軟體可以同步離線時發生的任何約定交易。

量子計算

量子計算最終將影響所有金融服務，因為它破壞了主要的資料加密方法和密碼學原語，這些加密方法和密碼學原語是用於保護所儲存和傳輸資料的訪問路徑、保密性和完整性的。CBDC也不例外。因此，在技術設計過程中，我們必須考慮到量子計算機的威脅，量子計算機可以破壞用於保護CBDC帳戶的密碼學。例如，中央銀行應該考慮到某些原語面臨量子計算的脆弱性。此外，未來的量子計算機可以在不被發現的情況下破壞CBDC系統的加密。

網路安全、技術彈性和健全的技術治理是CBDC技術設計中需要考慮的最重要因素。如果我們不實施強有力的網路安全戰略，不考慮上述風險，公民的資料和資金可能會受到破壞，CBDC計劃可能難以成功實施，這將危及中央銀行的聲譽，並影響公眾對新貨幣的看法。根據過去網路安全實踐失敗的經驗，安全標準不僅是“不允許壞人進入”或儘量減少未經授權訪問帳戶；其應全面並考慮所有風險，以確保系統在設計時按預期執行，保持其完整性且不受損。只有這樣，CBDC才能成功實現其目標。