数字货币面临重大安全威胁

七国集团官员最近认可了央行数字货币（CBDC）的原则，超过80个国家已启动与CBDC相关的倡议，看来CBDC得到广泛部署只是时间问题。CBDC是中央银行货币的一种数字化形式，可供公众使用；本质上，它可以覆盖那些在本国中央银行实施交易，拥有储蓄账户的个人和公司。

巴哈马、中国和尼日利亚的中央银行都已经实施了早期CBDC计划，预计未来会有更多国家加入该行列。如果成功应用的话，CBDC能够帮助政策制定者实现在支付效率、金融普惠、银行和支付竞争力、数字支付时代中央银行资金的安全访问等方面的目标。

然而，与任何其他数字支付系统一样，CBDC可能会受到网络安全攻击、账户泄露、数据和盗窃、造假以及与量子计算相关的更深远的挑战。为了让公民有信心地采用CBDC，他们必须增强对CBDC安全的信心。更重要的是，如果不仔细考虑和投资强大的网络安全战略，CBDC就无法成功实施。

决策者应关注网络安全方面的最佳实践，如美国国家标准与技术研究所（NIST）发布的最佳实践和微软的STERID模型。本文总结了世界经济论坛发布的新白皮书《CBDC技术考虑》的要点，并阐述了有关CBDC网络安全的其他必要注意事项。

在未来几十年中，我们如何保证CBDC安全性？我们在下文讨论了其网络安全的四个主要方面：

凭证被盗和丢失

资金的使用和转移需要CBDC准入证书。该凭证可以采用易于传输的密钥短语（即使在纸上）或存储私钥的硬件凭证的形式。在任何形式下，凭证的盗窃和丢失都将构成重大威胁，这意味着账户资金和数据可能会遭到破坏。

被盗情形可以发生在物理或虚拟的情况下，尤其是设有密码短语时。考虑到现代网络攻击者的各种手段，可以使用社会工程学、边信道攻击和恶意软件等技术来从CBDC用户的设备中提取凭证。此外，如果密码短语或硬件证书因火灾/水灾或自然灾害而丢失/损坏，CBDC用户不应直接丢失其所有资金和数据。因此，系统应具有嵌入式认证恢复机制。

如果CBDC基于区块链技术，它可以采用多重签名（“multi-sig”）钱包，其中至少有两个受信任的关联方拥有该钱包的凭证（可能是中央银行本身和/或家庭成员或最终用户的其他联系人）。多重签名钱包的缺点是它们对用户不友好，因为发起任何一笔转账都需要与至少其他一方协调。即使在双重验证（2FA）被广泛使用的今天，这种安全性和可用性之间的权衡在网上银行仍然很常见。如果CBDC基于传统技术，特许权威方则可以直接根据新凭证来更新某个数据库条目。

拥有特许角色的用户

值得关注的是中央银行或内部政府工作人员、执法机构和其他机构可能被允许采取特许行为，如未经用户同意冻结或提取CBDC账户中的资金。这些权力还必须符合当今受监管支付系统的合规程序。尽管向某些人提供特许权可能是CBDC的一项功能要求，但它可能会帮助一些内部人士恶意攻击该系统。与其他类型的信息安全一样，中央银行和任何相关中介机构应制定并实施网络安全风险管理计划，多方机制，如多重签名钱包或其他保护措施，可能会使发动此类攻击变得困难。

如果中央银行基于区块链技术运营，且区块链节点包括有权验证交易或宣布交易无效的非中央实体，则恶意验证方节点可能构成安全威胁。它们还可以接受或拒绝违背央行意愿的操作，从而破坏中央银行的货币权威和独立性。因此，除非绝对必要，一般不建议向非中央银行授予节点交易验证权。

系统完整性和“双重支付”

根据使用的共识协议，具有特许权的非中央银行节点可以宣布交易无效，这从本质上防止网络接受该交易，并对CBDC用户形成拒绝服务型攻击，对其交易进行审查。

“双重支付”攻击也可以通过与非央行节点合谋实施，这是一种造假行为，意味