世界经济论坛：央行数字货币需警惕四大网络安全威胁

CBDC项目要想取得成功，必须充分考虑并进行完备的网络安全策略投资。

随着七国集团（G7）官员批准了针对央行数字货币（CBDC）的13项公共政策原则，80多个国家发起了与CBDC相关的某种形式倡议，CBDC的广泛部署似乎只是时间问题。作为一种可供公众使用的数字形式央行货币，从本质上讲，CBDC由能够在本国央行进行交易和开立储蓄账户的个人和公司组成。巴哈马、中国和尼日利亚都已经开展了早期CBDC项目，未来估计还会有更多的同类项目。如果这些项目能够取得成功，CBDC将可以帮助政策制定者实现诸多目标，例如支付效率、金融包容性、银行和支付竞争力以及在数字支付时代拥有安全的央行货币等。

然而，与其他数字支付系统一样，CBDC也容易遭受到网络安全攻击、账户和数据泄露或盗窃以及伪造等问题，甚至还面临着与量子计算相关的更深远挑战。公众只有对CBDC的安全性充满信心，才会放心地使用CBDC。因此，CBDC项目要想取得成功，就必须充分考虑并进行完备的网络安全策略投资。决策者应关注网络安全最佳实践，比如美国国家标准与技术研究院（NIST）和微软“STRIDE”模型发布的最佳实践。本文不仅总结了世界经济论坛新白皮书《CBDC技术考量》（CBDC Technology Considerations）中的要点，还列出了有关CBDC网络安全的其他必要注意事项。

如何确保CBDC在未来几十年内的安全性？接下来，我们将讨论CBDC网络安全的四个主要方面：

1、凭证盗窃与丢失

资金获取和转账均需提供CBDC访问凭证。此类凭证可以是密码形式（即便是采用书面形式也能够轻松传达），也可以是存储私钥的硬件令牌。无论采用何种方式，由于凭证盗窃和丢失而造成的威胁都非常严重，因为这意味着账户资金和数据可能会受到损害。

盗窃可以是物理盗窃，也可以是虚拟盗窃，尤其是在使用密码凭证的情况下。现代攻击者利用社会工程、旁路攻击和恶意软件等从CBDC用户的设备中盗取凭证。此外，密码或硬件令牌可能会由于火灾、水灾或自然灾害而丢失或损坏，但不能因为这些问题就导致CBDC用户丢失所有资金和数据。因此，CBDC系统应具内置有凭证恢复机制。

如果CBDC以区块链技术为基础，它可能会使用多重签名钱包，其中至少有两个其他受信任方持有该钱包的凭证（可能是央行本身、家庭成员或终端用户的其他联系人）。然而，多重签名钱包也存在缺点，其用户友好性较差，任何转账皆需至少与另一方进行协调。当前，即使是在2FA极为常见的网上银行中，这种安全性与易用性的权衡也非常普遍。但如果CBDC以传统技术为基础，特权机构仅需通过新的凭证便能轻松简单地实现数据库条目的更新。

2、特权用户

令人担忧的一点是，央行或政府内部人员、执法人员以及其他代理人可能享有一些特权，例如未经用户同意便冻结或提取用户CBDC账户中的资金，而这些特权符合当今受监管支付系统中的合规程序。尽管这些角色可能是CBDC的功能需求，但也存在内部人员利用特权滥用CBDC系统的可能性。与其他类型的信息安全一样，央行以及任何参与其中的中介机构均应设有并执行涵盖此类特权的网络安全风险管理计划。多方机制，如多重签名钱包或其他保护措施所采用的机制，可能会增加此类攻击的难度。

如果CBDC在区块链技术上运作，其中节点包括有权验证或使交易无效的非央行实体，那么恶意验证器节点可能会构成安全威胁，还可能通过接受或拒绝违背央行意图的交易来破坏央行的货币权威性和独立性。因此，除非绝对必要，一般不建议非央行节点拥有交易验证权。

3、系统完整性与“双花攻击”

根据所使用的共识协议，具有特权的非央行节点可以宣布交易无效，从根本上阻止交易为网络所接受，给CBDC用户带来拒绝服务攻击并对其交易进行审查。

非央行节点的勾结也可能引起“双花”攻击，一种CBDC遭到多次非法使用的伪造形式。这些节点还可能将分布式账本“分叉”，创建与央行不一致的交易账本跟踪和视图。CBDC终端用户可能会在多个地方使用其钱包中的资金，这也构成了数字伪造风险。如果CBDC具有离线能力，双花风险会更高，这取决于其所使用的技术。在这种情况下，双花交易无需通常在线进行的高安全性验证流程即可发送至离线实体。

当CBDC用户处于离线状态时，可通过设置支出限制和交易频率来减少此类攻击的影响。此外，一旦正在执行交易的设备恢复“在线”状态，合规软件便可以同步离线期间发生的交易。

4、量子计算

最终，量子计算将影响所有金融服务，因为它可以破坏用于保护存储和传输数据访问、机密性和完整性的主要数据加密方法和密码原语，CBDC也不例外。因此，在CBDC技术设计过程中，我们必须考虑新兴量子计算机的威胁，它可能会对保护CBDC账户的密码机制造成损害。就央行而言，针对即将到来的量子计算，应考虑由某些密码原语导致的易损性。再者，未来的量子计算机可能会在不被发现的情况下破解CBDC系统中的密码机制。

网络安全、技术弹性和完备的技术管理，是CBDC技术设计中最重要的几个元素。如果未实行健全的网络安全策略并充分考虑到上述风险，可能会危及公众数据和资金、CBDC项目的成功、央行声誉以及公众对CBDC的广泛看法。根据过去在网络安全故障方面的经验，网络安全不仅仅是“将坏人拒之门外”或最大限度减少未经授权的帐户访问，它必须是全面的且考虑到了所有风险，确保系统按设计运行并保持完整性。只有这样，CBDC才能成功实现其目标。