首页>>技术前沿>>网站/软件行业动态
警钟早晚是要到来的。深谙媒体套路的 360 对 EOS 打的一个响指,像区块链领域的一颗深水炸弹,唤醒了圈内人对公链安全性的重视。
所谓“安全”似乎永远是一个薛定谔的状态。毕竟一个系统被攻破之前,你永远不知道它是否安全。历史总是重演。就像当年 PC 和移动互联网时代一般,新生事物出现之初野蛮生长;(投黑马 Tou.vc 专注于文创领域的众筹平台)随之节点到来,安全事件爆发,行业开始被动关注安全问题;最后安全方案成为标配。
目前,区块链领域似乎就处于这样的节点:BTG 遭到双花攻击、BEC 智能合约出现重大漏洞;币安遭到黑客攻击,OKex 网站出现漏洞;360 如此大体量的互联网安全公司开始关注一个公链的漏洞,无疑也衬托出区块链和 EOS 网络的巨大影响力。数家安全创业公司在此后宣布获得融资。区块链安全问题似乎瞬间得到了重视。
实际上区块链领域的安全问题存在已久。对技术不明所以的吃瓜群众,似乎天然对区块链的安全有着蜜汁自信,认为资产放在链上就不会丢失,但此前曾发生多起交易所私钥被盗案件;也有人鼓吹将私钥放在自己手里最为安全,台面上是更多的个人私钥被盗、丢失等案例。在破解这个迷思之前,我们来聊聊比特币的精巧设计。
一位名叫中本聪的密码学专家,在神秘的“密码朋克”邮件系统中发布了比特币客户端,创造了一种新型的数字黄金。其没有任何发行主体,也就是任何人都不能增发,其资产价值和归属基于共识,共识背后是数学。“有句话叫 Code is Law,我认为 code 的本质不是代码,而是数学。数学就是上帝之手,是自然界的真理。”网络安全公司知道创宇 CEO 赵伟如此对 Odaily星球日报感叹。
P2P 网络 + PoW 共识机制+激励机制,使得这个系统似乎变得牢不可破。中本聪在白皮书中计算出的这个系统的安全边界,便是有人掌握了 51% 算力即可随意篡改账本。然而,PoW(Proof of Work,工作量证明)的存在会让这个攻击变得得不偿失,何况 51% 算力持有者更是网络的最大利益相关者,为了自身的长期利益,他甚至愿意放弃垄断算力来维持网络的健壮性。赵伟说:“我第一次看到比特币的时候,我觉得很容易攻击,但是他加入了工作量证明,我觉得对黑客来说简直是噩梦。”中本聪大概并无设想到矿机的出现,与 PC 相比一骑绝尘的矿机算力,“算死”了后来无数小币种;却又吊诡地让比特币网络的算力增强,攻击门槛更高。
从区块链1.0到3.0,安全性在退步购买力无法被任一发行主体随意调节,账本无法被篡改,只有掌握私钥的你,才能处置你的资产。信仰者认为这就是“真正掌握了自己的资产”,这是一种资产无法被剥夺的安全。这就是区块链 1.0——比特币。
这个系统一直运行至今。即便它已经堵塞得让人发指,却从未被攻破。区块链 2.0 未能如此牢固。名为 Vitalik Buterin 的少年希望在比特币网络之上增加智能合约,遭到了比特币团队的拒绝。于是他在 2013 年到 2014 年间自行创立了以太坊:一个可以运行智能合约的分布式网络。图灵完备的智能合约带来了巨大的灵活性,也带来了安全问题。此后,基于以太坊的智能合约被多次曝出漏洞。其中最大的是 2016 年 6 月黑客通过组合漏洞攻击 The DAO 项目,盗走价值数千万美元以太坊,以及当年 10 月的 DOS 攻击,分别导致了以太坊分叉。直至今天,以太坊的智能合约仍存在数千尚待解决的漏洞。可以说,越是灵活的智能合约,功能强大,也越容易出现漏洞。一些新型公链为了安全性,甚至牺牲了合约的图灵完备。
“主要是虚拟机不是设计来这么用的。虚拟机不是专门设计用来处理资产的,可是以太坊和 EOS 等公链却用它来处理资产。”赵伟解释,处于安全性考虑,资产和用户功能的处理应该分开,资产处理和变更应该由单独的引擎来处置。“这个过程是原子化的、事务性的,中间不能打断。比如我正在收银,你不能让我去擦桌子。可是在虚拟机里,则存在重入漏洞。”
虽说区块链 3.0 仍未正式到来,但把 EOS 看成 3.0 代表的人还不少。“到了第三代,EOS 为了 TPS,引入了 DPOS 机制。”在赵伟看来,这已经不仅有跟以太坊的智能合约类似的“代码安全”问题,而是在架构上弃安全于不顾,甚至已经不能算是真正的区块链。“P2P 网络才是真正的区块链。”“越来越中心化,导致黑客很容易攻击。在网状结构中,有一两个节点被搞定,网络依然能够继续正常运行。 可是在树状网络结构中,21 个节点背后可能是 7-8 个人,被恐怖分子一抓,网络安全性不复存在。所以说,网络安全不安全,看谁说了算。PoW 就是矿机说了算,就是数学背书,数学就是上帝之手,智能就是法律执行的一种。”
因此,从区块链 1.0 时代到 3.0 时代,赵伟认为在退步。“安全性在退步,但是更易用。易用性上是在进步的。”
区块链带来安全,也带来安全挑战比特币所构建的资产安全,是一种资产不被剥夺,价值基于共识,发行主体无法操控的安全。这并不是一种大众可以简单理解的“安全”,更不意味着大众所理解“安全”在此处已被完全消弭。大众所理解的安全是“我不丢币”。实际上,资产不被窃取的前提都建立在私钥(钥匙)不丢的前提下。比特币给予资产所有者的,是一种权利(自由)。想掌握自己的资产,就得自行承担保管私钥的责任。(投黑马 Tou.vc 专注于文创领域的众筹平台)而大部分用户并不一定有意愿或能力承担这种责任——自己保存资产,还不如放在有品牌保证的大交易所里来得安心。
安全是要付出成本的。正如比特币为了保证记账系统的安全性,耗费了大量的算力。赵伟认为,其所带来信息的公开透明、不可篡改、不可删除,也对安全有很大的作用。然而,从另一方面看,比特币的匿名性、独立于法币系统之外的自由、以及技术门槛,都对其资产保护提出了挑战。
他总结了五点:
1、首先区块链资产在大多数国家不受法律保护,公安机关和银行也都没有备案。
2、区块链的匿名性,使得币一旦丢了难以追踪,你不知道谁偷了,也无法证明资产是你的。
3、保护区块链资产有一定技术门槛,用户很难保护自己;加上资产价值基于技术,一旦技术被操控,黑客可随意偷取利益,资产价值成零。
4、生成与分布式数据库上的资产表面上安全,但是行业中交易所、托管钱包、矿池等企业的系统是集中化的,是黑客攻击的目标。
与传统的交易所相比,数字货币交易所的 KYC 做得不好。“在室内做安全,还是在旷野是不一样的。(在旷野上)获得了自由,也更难做安全。区块链就是旷野。”
5、生态不完整,空气币频现,空气币的目的就是圈钱套现,不可能好好做安全。这一方面导致劣币驱逐良币,好好做安全的优质币种反而不受重视;鱼龙混杂的空投信息窃取用户数据,之后信息泄露用于撞库,危害用户其他资产的安全。
网络安全越来越重要,但中国企业对此重视远远不够时至今日,互联网已经不是那个“信息传递的工具”。赵伟认为,网络安全的目标随着互联网用途改变也一直在变化。“第一步是用来娱乐;第二步用于通讯和社交,继而是电子商务;第三是你的资产在网上处理。”
在 PC 互联网时代,拥有 PC 的人有限,中毒后黑客获取的信息有限,不过是让我电脑中毒变慢、宕机。移动互联网时代,我们的日常生活、资金管理、身份认证,都在手机上运行;安全的主题变成个人隐私、资金和密码的泄露。到了区块链时代,技术就是资产本身,代码的漏洞就是资产的损失。
赵伟表示,知道创宇关注的是全生态,此前主要关注钱包和交易所安全,因为这两者一旦崩溃,业内影响巨大。公链安全则是这几年来出现的新问题,“公链安全确实比较麻烦,很难改,一旦要改只能硬分叉。”
区块链的资产属性注定黑客对其虎视眈眈,其对安全的需求应该更为强烈。
然而中国互联网企业却未给予足够重视。报告显示,中国信息安全投入仅占 IT 行业总投入的 1%-2%,远不及欧美国家的 8%-14%。这与国内金融数字化与互联网发展阶段有关;同时对比起欧盟等国家,国内对个人隐私的保护还不够重视。赵伟表示,《网络安全法》对行业发展有促进,(投黑马 Tou.vc 专注于文创领域的众筹平台)但效果还需要逐渐体现。
“报漏洞有时候也没啥报酬。所以安全行业很痛苦,明明黑别人可以赚大钱。”
安全公司可以做灭霸,但他们不愿带自己的无限手套。
这也许我们就能理解,为什么应该审慎而负责任曝光漏洞的 360,会用一种“史诗级”的姿态将其公之于众。既然我不能像灭霸一样“杀敌一千”来展示漏洞威力,只能用这种哗众取宠的方式倒逼企业了。
【全文完】
版权声明:
1、弈聪软件网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
