【信息安全】朋友圈故事版區(qū)塊鏈的真相���?��!
發(fā)布時間:2019-11-13
最近的朋友圈被一個“高大上”的詞匯刷屏了:區(qū)塊鏈���。
事實上,區(qū)塊鏈技術(shù)已經(jīng)出現(xiàn)很多年了,但新技術(shù)普及需要正確的引導(dǎo)�����,近年來比特幣���、空氣幣等虛擬貨幣炒作亂象,影響了大眾對區(qū)塊鏈技術(shù)的理解和觀念�����。
10月24日��,中共中央政治局就區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀和趨勢進(jìn)行了集體學(xué)習(xí)�。學(xué)習(xí)時強(qiáng)調(diào),區(qū)塊鏈技術(shù)的集成應(yīng)用在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用��。我們要把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新的重要突破口�����,明確主攻方向�����,加大投入力度,著力攻克一批關(guān)鍵核心技術(shù)��,加快推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展��。
那區(qū)塊鏈究竟是啥��?為何中央領(lǐng)導(dǎo)人要集體學(xué)習(xí)���?
超越數(shù)控本期【信息安全】將從概念理解���、應(yīng)用場景、安全等方面深入介紹一下區(qū)塊鏈技術(shù)
簡單來說�,區(qū)塊鏈就是一個很大很大的“賬本”。
比如�,你和小王做一筆買賣,如果只有一個賬本��,交易有被篡改的風(fēng)險���;但區(qū)塊鏈讓每一筆交易都記在無數(shù)個小賬本上�,共同構(gòu)成一個超級大賬本�����。如此一來,全世界都知道你倆之間有這筆交易了��,想抵賴��?沒門���!
有啥好處呢?最大好處��,就是建立了互聯(lián)網(wǎng)時代的信用機(jī)制��。
互聯(lián)網(wǎng)上充斥著大量真?zhèn)坞y辨的信息�,如果沒有辦法建立起信任,就沒辦法進(jìn)行交易���,電商�����、社交��、內(nèi)容等很多信息互聯(lián)網(wǎng)商業(yè)模式也無從談起����。
說到底,區(qū)塊鏈就是一種無需信任積累的信用建立范式�,任何互不了解的個體通過一定的合約機(jī)制,不再需要一個中間方�����,就可以達(dá)成信用共識��。
1. 區(qū)塊鏈發(fā)展到哪個階段了�?
全球資本市場上,目前95%以上區(qū)塊鏈融資事件處于種子輪�、天使輪及A輪階段,B輪及以后只占3%�����,說明產(chǎn)業(yè)依舊處于早期階段�����。隨著應(yīng)用場景加快落地��,預(yù)計在3年到5年內(nèi)才會更快發(fā)展���。
2. 我國在區(qū)塊鏈領(lǐng)域處于什么水平�����?
2017年�、2018年我國公開的區(qū)塊鏈專利數(shù)量連續(xù)兩年蟬聯(lián)全球第一。今年上半年����,我國公開的區(qū)塊鏈專利數(shù)量為3547項,已超2018年公開的全年專利總量2435項�����。我國區(qū)塊鏈產(chǎn)業(yè)將提前進(jìn)入商用時代��。這首先得益于技術(shù)能力的進(jìn)步�����,系統(tǒng)性能和數(shù)據(jù)保護(hù)等進(jìn)一步成熟���;其次是開放技術(shù)引發(fā)群體加速創(chuàng)新;第三是與行業(yè)標(biāo)桿合作刺激了滾雪球效應(yīng)�����。
區(qū)塊鏈技術(shù)具有分布式、難以篡改����、可追溯、開放性�����、算法式信任等突出特點��,在數(shù)字金融��、公共服務(wù)以及民生領(lǐng)域等都有廣闊的應(yīng)用前景���。
在金融領(lǐng)域�����,區(qū)塊鏈技術(shù)部分業(yè)務(wù)場景已從概念驗證逐步邁向業(yè)務(wù)實踐——包括供應(yīng)鏈金融���、跨境支付、資產(chǎn)證券化����、證券結(jié)算等�����,區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)用潛力可期����。
1. 區(qū)塊鏈電子發(fā)票
優(yōu)點
按需使用����,無需定期往返稅務(wù)局領(lǐng)購發(fā)票
免費(fèi)用票,降低了企業(yè)財務(wù)成本
用戶自行申請開票���,減少企業(yè)人力投入
去年8月份深圳開出全國首張區(qū)塊鏈電子發(fā)票以來,區(qū)塊鏈電子發(fā)票陸續(xù)落地餐飲�����、商超零售�、金融、軌道交通��、物業(yè)����、電商等多個場景����,接入企業(yè)超7600家�,開票數(shù)量突破1000萬張,開票金額超70億元�����。
2. 供應(yīng)鏈金融
上海銀行與螞蟻金服“雙鏈通”區(qū)塊鏈平臺合作供應(yīng)鏈融資項目于今年10月份落地�,讓小微企業(yè)融資時間成本從3個月變成1秒。
浙商銀行推出基于區(qū)塊鏈技術(shù)的應(yīng)收款鏈平臺�����,實現(xiàn)了應(yīng)收款的簽發(fā)����、承兌、保兌�����、支付����、轉(zhuǎn)讓����、質(zhì)押���、兌付等功能��,有效盤活了應(yīng)收賬款�����。
從安全角度來看�,區(qū)塊鏈相應(yīng)安全問題可分為六類��。
1. 密碼學(xué)
密碼學(xué)是區(qū)塊鏈最底層的支撐技術(shù)����,包含了哈希算法��、數(shù)字簽名��、隨機(jī)數(shù)等����,如果這些密碼學(xué)技術(shù)存在問題或者漏洞�����,那么基于此的整個區(qū)塊鏈構(gòu)建的信任將會坍塌����。
雖然目前密碼學(xué)技術(shù)已經(jīng)頗為成熟��,存在巨大漏洞的可能性比較小���,但是仍然不排除一些項目存在問題�。2017年7月15日���,具有“物聯(lián)網(wǎng)世界第一幣”之稱IOTA收到了麻省理工學(xué)院附屬的學(xué)術(shù)研究組DCI的郵件����,提醒IOTA團(tuán)隊�����,IOTA的哈希算法Curl-P存在弱點����,DCI可以對該系統(tǒng)進(jìn)行成功的攻擊,竊取用戶資金��。雖然IOTA隨后對DCI的郵件進(jìn)行了質(zhì)疑和反駁���,到目前為止,也沒有用戶因為此漏洞而發(fā)生資金被盜的情況����,但這一事件引起了大家對IOTA和其他項目在密碼學(xué)技術(shù)安全上的關(guān)注。
2. 用戶私鑰的生成��、使用與保護(hù)
用戶參與區(qū)塊鏈的憑證是一對公私鑰����,每個人通過區(qū)塊鏈產(chǎn)生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰�,因此私鑰的生成、試用與保護(hù)問題就非常重要��。今年7月�����,EOS就因私鑰生成工具存在安全隱患���,創(chuàng)建的私鑰被黑客發(fā)現(xiàn)漏洞����,并實施“彩虹”攻擊����,導(dǎo)致賬戶數(shù)字資產(chǎn)被盜,造成上千萬數(shù)字資產(chǎn)損失���。
比如����,發(fā)生在2019年1月15日的Cryptopia交易所被盜事件�����。黑客在1月13日到17日的5天時間����,陸續(xù)將76000個ETH從錢包中轉(zhuǎn)移。而交易所方面沒有任何反應(yīng)�,并對用戶聲明:黑客擁有私鑰,可以隨意從任何Cryptopia錢包中提取資金�。種種跡象看來��,很可能的原因是C網(wǎng)簡單的把私鑰存儲在某個服務(wù)器上��,而黑客通過黑掉該服務(wù)器��,導(dǎo)致C網(wǎng)無法從服務(wù)器獲取私鑰���。可以看到����,C網(wǎng)在管理私鑰方面的混亂和隨意,導(dǎo)致了悲劇的發(fā)生����。這次事件再次提醒了廣大交易所與用戶,對私鑰管理要存在敬畏之心����,確保100%安全的保護(hù)私鑰是區(qū)塊鏈?zhǔn)澜缱罨镜姆▌t。
3. 節(jié)點系統(tǒng)安全漏洞
這一問題歸屬于傳統(tǒng)安全范疇��,比如區(qū)塊鏈節(jié)點不能存在緩沖區(qū)溢出等傳統(tǒng)的安全漏洞���。另外區(qū)塊鏈節(jié)點的實現(xiàn)要能忠實地正確實現(xiàn)區(qū)塊鏈的共識協(xié)議�����;節(jié)點不能暴露不該暴露的API接口��,導(dǎo)致黑客可以無障礙的獲取一些節(jié)點關(guān)鍵信息�����。無論是以太坊還是EOS都曾經(jīng)被爆出過比較嚴(yán)重的安全漏洞���。這一部分安全也是至關(guān)重要的。
比如���,2019年1月��,EOS公鏈上的一系列競猜類游戲遭到了新型交易阻塞攻擊事件���。中招應(yīng)用包括EOS.Win、FarmEOS���、影骰�����、LuckBet���、GameBet��、EOSDice���、STACK DICE等熱門DAPP。不同于以往頻發(fā)的隨機(jī)數(shù)或交易回滾攻擊等合約層的攻擊行為��,這是一種利用底層公鏈缺陷而發(fā)起的攻擊行為�。深入分析后發(fā)現(xiàn),這是存在于主網(wǎng)層的致命拒絕服務(wù)漏洞���,攻擊者發(fā)起大量垃圾延遲交易導(dǎo)致EOS全網(wǎng)超級節(jié)點(BP)無法打包其它正常交易��,即通過阻斷打包正常用戶的交易進(jìn)而癱瘓EOS網(wǎng)絡(luò)��。
由于該漏洞本質(zhì)上屬于底層主網(wǎng)問題���,任何DApp游戲,只要依賴如賬號余額或時間等相關(guān)鏈上因素產(chǎn)生隨機(jī)數(shù)�����,都存在被攻擊的可能。這也是為什么在一月份出現(xiàn)大量EOS的DApp被攻擊的原因���。EOS漏洞事件頻出�����,很多都是由于開發(fā)人員不嚴(yán)謹(jǐn)導(dǎo)致的,據(jù)了解��,很多DApp背后只有1-2個程序員�,連完整的測試人員都不存在,在這種情況下����,漏洞出現(xiàn)的可能性就非常大,更可能被攻擊�����。
4. 底層共識協(xié)議
由目前市場上主流的區(qū)塊鏈共識協(xié)議有以下幾種�����,POW�、POS�、DPOS�����、PBFT�����。底層共識協(xié)議決定了區(qū)塊鏈整個架構(gòu)是否可信�����,能不能真正做到形成一個具有共識的區(qū)塊鏈?��,F(xiàn)在真正被證明安全的共識協(xié)議并不多�����,因為共識協(xié)議本身無論從理論���、還是從技術(shù)實現(xiàn)上都不簡單。而經(jīng)過長時間驗證的共識協(xié)議是比較安全的��,比如像比特幣的POW。 共識協(xié)議有一個不可能實現(xiàn)的三角關(guān)系:安全�、去中心化和效率,這三者只能同時實現(xiàn)兩樣�。如果追求效率,要么犧牲去中心化���,要么犧牲安全�。
理論上���,基于底層共識協(xié)議創(chuàng)建的所有數(shù)字貨幣都是存在51%算力攻擊風(fēng)險。今年上半年��,就有至少4種數(shù)字貨幣分別受到了51%算力攻擊�,分別是Monacoin 、Bitcoin Gold���、Verge和Electroneum��,給用戶造成數(shù)千萬美元損失�����。
5. 智能合約
智能合約是一套以數(shù)字形式定義的承諾(promises)��,包括合約參與方可以在上面執(zhí)行這些承諾的協(xié)議����。任何參與方都能在應(yīng)用層創(chuàng)建合約,也就是所謂的DAPP(去中心化應(yīng)用)����。這也是目前出現(xiàn)安全問題最多的地方。
智能合約安全隱患包含了三個方面:第一�����,有沒有漏洞���。合約代碼中是否有常見的安全漏洞�����。第二�,是否可信�。沒有漏洞的智能合約,未必就安全��,合約要保證公平可信�����。 第三,符合一定規(guī)范和流程���。由于合約的創(chuàng)建要求以數(shù)字形式來進(jìn)行定義承諾����,所以如果合約的創(chuàng)建過程不夠規(guī)范�����,就容易留下巨大的隱患��。
目前市場上很多智能合約均存在安全漏洞問題�,比如����,6月3日,安比實驗室(SECBIT)發(fā)現(xiàn)Ethereum上出現(xiàn)81個合約帶有相同錯誤���,ERC20 Token合約中的transferFrom函數(shù)存在巨大隱患�,一旦部署后出現(xiàn)問題���,將造成不可挽回的損失��;6月6日�,安比實驗室(SECBIT)發(fā)現(xiàn)ERC20代幣合約FXE由于業(yè)務(wù)邏輯實現(xiàn)漏洞,任何人都可以隨意轉(zhuǎn)出他人賬戶中的Token����,Token隨時面臨徹底歸零風(fēng)險。
6. 激勵機(jī)制設(shè)計
智能合約要完成協(xié)作���,通常是要設(shè)計相應(yīng)的經(jīng)濟(jì)激勵機(jī)制����。經(jīng)濟(jì)激勵是區(qū)塊鏈技術(shù)里面非常有突破性的一個概念��。一個真正健康有活力的區(qū)塊鏈生態(tài)����,需要一個很好的激勵機(jī)制。但是經(jīng)濟(jì)激勵設(shè)計得不夠安全���,可能生態(tài)就無法建設(shè)起來�����,比如典型的類龐氏游戲�,這一點大家要警惕。
區(qū)塊鏈技術(shù)是一種有精神的���、自帶正確價值觀的技術(shù)���,區(qū)塊鏈精神是公平、公信���、公正����、共治��、可問責(zé)�����。這體現(xiàn)在區(qū)塊鏈上的協(xié)議和合約可以被機(jī)器忠實地執(zhí)行���;區(qū)塊鏈上的交易公開透明,交易狀態(tài)經(jīng)過全網(wǎng)的節(jié)點共同確認(rèn)��,形成共識;區(qū)塊鏈上的交易可追溯���、可審計�����。對于技術(shù)人員來說���,區(qū)塊鏈實際上是一個全新的、開放的平臺����。這個平臺強(qiáng)調(diào)開放、共贏����、創(chuàng)新,按貢獻(xiàn)來獲取激勵�,大家都是按照共識來發(fā)展。所以����,區(qū)塊鏈平臺里面大部分都是開源的平臺,這些平臺并沒有屬于某一家公司�����。
參考資料
[1]經(jīng)濟(jì)日報《區(qū)塊鏈都不知道,還好意思刷朋友圈�����,看完這篇終于有底氣了》
[2]創(chuàng)業(yè)邦《鏈圈必讀一文看懂區(qū)塊鏈安全6大分類3大問題》
網(wǎng)站首頁 > 新聞中心 > 行業(yè)新聞
