【信息安全】朋友圈故事版區(qū)塊鏈的真相?��!
發(fā)布時(shí)間:2019-11-13
最近的朋友圈被一個(gè)“高大上”的詞匯刷屏了:區(qū)塊鏈��。
事實(shí)上�����,區(qū)塊鏈技術(shù)已經(jīng)出現(xiàn)很多年了��,但新技術(shù)普及需要正確的引導(dǎo)��,近年來(lái)比特幣�����、空氣幣等虛擬貨幣炒作亂象����,影響了大眾對(duì)區(qū)塊鏈技術(shù)的理解和觀念。
10月24日���,中共中央政治局就區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀和趨勢(shì)進(jìn)行了集體學(xué)習(xí)���。學(xué)習(xí)時(shí)強(qiáng)調(diào),區(qū)塊鏈技術(shù)的集成應(yīng)用在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用�。我們要把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新的重要突破口,明確主攻方向���,加大投入力度�����,著力攻克一批關(guān)鍵核心技術(shù)��,加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展�����。
那區(qū)塊鏈究竟是啥�?為何中央領(lǐng)導(dǎo)人要集體學(xué)習(xí)?
超越數(shù)控本期【信息安全】將從概念理解�、應(yīng)用場(chǎng)景、安全等方面深入介紹一下區(qū)塊鏈技術(shù)
簡(jiǎn)單來(lái)說(shuō)���,區(qū)塊鏈就是一個(gè)很大很大的“賬本”���。
比如,你和小王做一筆買賣�,如果只有一個(gè)賬本,交易有被篡改的風(fēng)險(xiǎn)���;但區(qū)塊鏈讓每一筆交易都記在無(wú)數(shù)個(gè)小賬本上�,共同構(gòu)成一個(gè)超級(jí)大賬本����。如此一來(lái),全世界都知道你倆之間有這筆交易了����,想抵賴?沒(méi)門��!
有啥好處呢����?最大好處,就是建立了互聯(lián)網(wǎng)時(shí)代的信用機(jī)制��。
互聯(lián)網(wǎng)上充斥著大量真?zhèn)坞y辨的信息�,如果沒(méi)有辦法建立起信任,就沒(méi)辦法進(jìn)行交易�����,電商��、社交�、內(nèi)容等很多信息互聯(lián)網(wǎng)商業(yè)模式也無(wú)從談起。
說(shuō)到底��,區(qū)塊鏈就是一種無(wú)需信任積累的信用建立范式���,任何互不了解的個(gè)體通過(guò)一定的合約機(jī)制����,不再需要一個(gè)中間方,就可以達(dá)成信用共識(shí)��。
1. 區(qū)塊鏈發(fā)展到哪個(gè)階段了���?
全球資本市場(chǎng)上�����,目前95%以上區(qū)塊鏈融資事件處于種子輪�、天使輪及A輪階段���,B輪及以后只占3%���,說(shuō)明產(chǎn)業(yè)依舊處于早期階段。隨著應(yīng)用場(chǎng)景加快落地�,預(yù)計(jì)在3年到5年內(nèi)才會(huì)更快發(fā)展。
2. 我國(guó)在區(qū)塊鏈領(lǐng)域處于什么水平�����?
2017年、2018年我國(guó)公開(kāi)的區(qū)塊鏈專利數(shù)量連續(xù)兩年蟬聯(lián)全球第一���。今年上半年�����,我國(guó)公開(kāi)的區(qū)塊鏈專利數(shù)量為3547項(xiàng),已超2018年公開(kāi)的全年專利總量2435項(xiàng)�����。我國(guó)區(qū)塊鏈產(chǎn)業(yè)將提前進(jìn)入商用時(shí)代��。這首先得益于技術(shù)能力的進(jìn)步����,系統(tǒng)性能和數(shù)據(jù)保護(hù)等進(jìn)一步成熟;其次是開(kāi)放技術(shù)引發(fā)群體加速創(chuàng)新�����;第三是與行業(yè)標(biāo)桿合作刺激了滾雪球效應(yīng)�����。
區(qū)塊鏈技術(shù)具有分布式、難以篡改��、可追溯����、開(kāi)放性、算法式信任等突出特點(diǎn)��,在數(shù)字金融����、公共服務(wù)以及民生領(lǐng)域等都有廣闊的應(yīng)用前景。
在金融領(lǐng)域�����,區(qū)塊鏈技術(shù)部分業(yè)務(wù)場(chǎng)景已從概念驗(yàn)證逐步邁向業(yè)務(wù)實(shí)踐——包括供應(yīng)鏈金融����、跨境支付、資產(chǎn)證券化��、證券結(jié)算等�,區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)用潛力可期。
1. 區(qū)塊鏈電子發(fā)票
優(yōu)點(diǎn)
按需使用���,無(wú)需定期往返稅務(wù)局領(lǐng)購(gòu)發(fā)票
免費(fèi)用票���,降低了企業(yè)財(cái)務(wù)成本
用戶自行申請(qǐng)開(kāi)票�,減少企業(yè)人力投入
去年8月份深圳開(kāi)出全國(guó)首張區(qū)塊鏈電子發(fā)票以來(lái)���,區(qū)塊鏈電子發(fā)票陸續(xù)落地餐飲��、商超零售、金融��、軌道交通���、物業(yè)����、電商等多個(gè)場(chǎng)景����,接入企業(yè)超7600家,開(kāi)票數(shù)量突破1000萬(wàn)張����,開(kāi)票金額超70億元��。
2. 供應(yīng)鏈金融
上海銀行與螞蟻金服“雙鏈通”區(qū)塊鏈平臺(tái)合作供應(yīng)鏈融資項(xiàng)目于今年10月份落地���,讓小微企業(yè)融資時(shí)間成本從3個(gè)月變成1秒。
浙商銀行推出基于區(qū)塊鏈技術(shù)的應(yīng)收款鏈平臺(tái)�����,實(shí)現(xiàn)了應(yīng)收款的簽發(fā)���、承兌��、保兌�、支付�、轉(zhuǎn)讓、質(zhì)押�����、兌付等功能����,有效盤活了應(yīng)收賬款。
從安全角度來(lái)看����,區(qū)塊鏈相應(yīng)安全問(wèn)題可分為六類���。
1. 密碼學(xué)
密碼學(xué)是區(qū)塊鏈最底層的支撐技術(shù),包含了哈希算法��、數(shù)字簽名��、隨機(jī)數(shù)等��,如果這些密碼學(xué)技術(shù)存在問(wèn)題或者漏洞���,那么基于此的整個(gè)區(qū)塊鏈構(gòu)建的信任將會(huì)坍塌。
雖然目前密碼學(xué)技術(shù)已經(jīng)頗為成熟���,存在巨大漏洞的可能性比較小���,但是仍然不排除一些項(xiàng)目存在問(wèn)題。2017年7月15日����,具有“物聯(lián)網(wǎng)世界第一幣”之稱IOTA收到了麻省理工學(xué)院附屬的學(xué)術(shù)研究組DCI的郵件,提醒IOTA團(tuán)隊(duì)�,IOTA的哈希算法Curl-P存在弱點(diǎn)����,DCI可以對(duì)該系統(tǒng)進(jìn)行成功的攻擊,竊取用戶資金���。雖然IOTA隨后對(duì)DCI的郵件進(jìn)行了質(zhì)疑和反駁��,到目前為止�����,也沒(méi)有用戶因?yàn)榇寺┒炊l(fā)生資金被盜的情況��,但這一事件引起了大家對(duì)IOTA和其他項(xiàng)目在密碼學(xué)技術(shù)安全上的關(guān)注�����。
2. 用戶私鑰的生成�����、使用與保護(hù)
用戶參與區(qū)塊鏈的憑證是一對(duì)公私鑰����,每個(gè)人通過(guò)區(qū)塊鏈產(chǎn)生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰�,因此私鑰的生成、試用與保護(hù)問(wèn)題就非常重要���。今年7月�,EOS就因私鑰生成工具存在安全隱患�,創(chuàng)建的私鑰被黑客發(fā)現(xiàn)漏洞,并實(shí)施“彩虹”攻擊����,導(dǎo)致賬戶數(shù)字資產(chǎn)被盜,造成上千萬(wàn)數(shù)字資產(chǎn)損失�。
比如,發(fā)生在2019年1月15日的Cryptopia交易所被盜事件���。黑客在1月13日到17日的5天時(shí)間�,陸續(xù)將76000個(gè)ETH從錢包中轉(zhuǎn)移�。而交易所方面沒(méi)有任何反應(yīng)�����,并對(duì)用戶聲明:黑客擁有私鑰����,可以隨意從任何Cryptopia錢包中提取資金�。種種跡象看來(lái)���,很可能的原因是C網(wǎng)簡(jiǎn)單的把私鑰存儲(chǔ)在某個(gè)服務(wù)器上�,而黑客通過(guò)黑掉該服務(wù)器���,導(dǎo)致C網(wǎng)無(wú)法從服務(wù)器獲取私鑰����?���?梢钥吹剑珻網(wǎng)在管理私鑰方面的混亂和隨意�,導(dǎo)致了悲劇的發(fā)生。這次事件再次提醒了廣大交易所與用戶���,對(duì)私鑰管理要存在敬畏之心����,確保100%安全的保護(hù)私鑰是區(qū)塊鏈?zhǔn)澜缱罨镜姆▌t�����。
3. 節(jié)點(diǎn)系統(tǒng)安全漏洞
這一問(wèn)題歸屬于傳統(tǒng)安全范疇,比如區(qū)塊鏈節(jié)點(diǎn)不能存在緩沖區(qū)溢出等傳統(tǒng)的安全漏洞��。另外區(qū)塊鏈節(jié)點(diǎn)的實(shí)現(xiàn)要能忠實(shí)地正確實(shí)現(xiàn)區(qū)塊鏈的共識(shí)協(xié)議����;節(jié)點(diǎn)不能暴露不該暴露的API接口,導(dǎo)致黑客可以無(wú)障礙的獲取一些節(jié)點(diǎn)關(guān)鍵信息����。無(wú)論是以太坊還是EOS都曾經(jīng)被爆出過(guò)比較嚴(yán)重的安全漏洞。這一部分安全也是至關(guān)重要的����。
比如,2019年1月�,EOS公鏈上的一系列競(jìng)猜類游戲遭到了新型交易阻塞攻擊事件。中招應(yīng)用包括EOS.Win��、FarmEOS���、影骰、LuckBet�����、GameBet、EOSDice�����、STACK DICE等熱門DAPP�����。不同于以往頻發(fā)的隨機(jī)數(shù)或交易回滾攻擊等合約層的攻擊行為�����,這是一種利用底層公鏈缺陷而發(fā)起的攻擊行為��。深入分析后發(fā)現(xiàn)����,這是存在于主網(wǎng)層的致命拒絕服務(wù)漏洞,攻擊者發(fā)起大量垃圾延遲交易導(dǎo)致EOS全網(wǎng)超級(jí)節(jié)點(diǎn)(BP)無(wú)法打包其它正常交易����,即通過(guò)阻斷打包正常用戶的交易進(jìn)而癱瘓EOS網(wǎng)絡(luò)。
由于該漏洞本質(zhì)上屬于底層主網(wǎng)問(wèn)題���,任何DApp游戲����,只要依賴如賬號(hào)余額或時(shí)間等相關(guān)鏈上因素產(chǎn)生隨機(jī)數(shù),都存在被攻擊的可能���。這也是為什么在一月份出現(xiàn)大量EOS的DApp被攻擊的原因�。EOS漏洞事件頻出�����,很多都是由于開(kāi)發(fā)人員不嚴(yán)謹(jǐn)導(dǎo)致的�����,據(jù)了解��,很多DApp背后只有1-2個(gè)程序員���,連完整的測(cè)試人員都不存在��,在這種情況下��,漏洞出現(xiàn)的可能性就非常大�,更可能被攻擊。
4. 底層共識(shí)協(xié)議
由目前市場(chǎng)上主流的區(qū)塊鏈共識(shí)協(xié)議有以下幾種���,POW、POS�、DPOS、PBFT��。底層共識(shí)協(xié)議決定了區(qū)塊鏈整個(gè)架構(gòu)是否可信��,能不能真正做到形成一個(gè)具有共識(shí)的區(qū)塊鏈?����,F(xiàn)在真正被證明安全的共識(shí)協(xié)議并不多���,因?yàn)楣沧R(shí)協(xié)議本身無(wú)論從理論�����、還是從技術(shù)實(shí)現(xiàn)上都不簡(jiǎn)單���。而經(jīng)過(guò)長(zhǎng)時(shí)間驗(yàn)證的共識(shí)協(xié)議是比較安全的,比如像比特幣的POW�����。 共識(shí)協(xié)議有一個(gè)不可能實(shí)現(xiàn)的三角關(guān)系:安全、去中心化和效率���,這三者只能同時(shí)實(shí)現(xiàn)兩樣�。如果追求效率���,要么犧牲去中心化���,要么犧牲安全。
理論上���,基于底層共識(shí)協(xié)議創(chuàng)建的所有數(shù)字貨幣都是存在51%算力攻擊風(fēng)險(xiǎn)��。今年上半年��,就有至少4種數(shù)字貨幣分別受到了51%算力攻擊��,分別是Monacoin ��、Bitcoin Gold����、Verge和Electroneum,給用戶造成數(shù)千萬(wàn)美元損失�����。
5. 智能合約
智能合約是一套以數(shù)字形式定義的承諾(promises)�,包括合約參與方可以在上面執(zhí)行這些承諾的協(xié)議��。任何參與方都能在應(yīng)用層創(chuàng)建合約��,也就是所謂的DAPP(去中心化應(yīng)用)����。這也是目前出現(xiàn)安全問(wèn)題最多的地方。
智能合約安全隱患包含了三個(gè)方面:第一����,有沒(méi)有漏洞。合約代碼中是否有常見(jiàn)的安全漏洞��。第二����,是否可信。沒(méi)有漏洞的智能合約���,未必就安全����,合約要保證公平可信。 第三��,符合一定規(guī)范和流程��。由于合約的創(chuàng)建要求以數(shù)字形式來(lái)進(jìn)行定義承諾�����,所以如果合約的創(chuàng)建過(guò)程不夠規(guī)范�����,就容易留下巨大的隱患��。
目前市場(chǎng)上很多智能合約均存在安全漏洞問(wèn)題�����,比如����,6月3日�,安比實(shí)驗(yàn)室(SECBIT)發(fā)現(xiàn)Ethereum上出現(xiàn)81個(gè)合約帶有相同錯(cuò)誤�,ERC20 Token合約中的transferFrom函數(shù)存在巨大隱患,一旦部署后出現(xiàn)問(wèn)題����,將造成不可挽回的損失;6月6日�,安比實(shí)驗(yàn)室(SECBIT)發(fā)現(xiàn)ERC20代幣合約FXE由于業(yè)務(wù)邏輯實(shí)現(xiàn)漏洞,任何人都可以隨意轉(zhuǎn)出他人賬戶中的Token���,Token隨時(shí)面臨徹底歸零風(fēng)險(xiǎn)。
6. 激勵(lì)機(jī)制設(shè)計(jì)
智能合約要完成協(xié)作�,通常是要設(shè)計(jì)相應(yīng)的經(jīng)濟(jì)激勵(lì)機(jī)制。經(jīng)濟(jì)激勵(lì)是區(qū)塊鏈技術(shù)里面非常有突破性的一個(gè)概念���。一個(gè)真正健康有活力的區(qū)塊鏈生態(tài)����,需要一個(gè)很好的激勵(lì)機(jī)制��。但是經(jīng)濟(jì)激勵(lì)設(shè)計(jì)得不夠安全�����,可能生態(tài)就無(wú)法建設(shè)起來(lái),比如典型的類龐氏游戲���,這一點(diǎn)大家要警惕�。
區(qū)塊鏈技術(shù)是一種有精神的��、自帶正確價(jià)值觀的技術(shù)����,區(qū)塊鏈精神是公平、公信�、公正、共治����、可問(wèn)責(zé)。這體現(xiàn)在區(qū)塊鏈上的協(xié)議和合約可以被機(jī)器忠實(shí)地執(zhí)行��;區(qū)塊鏈上的交易公開(kāi)透明���,交易狀態(tài)經(jīng)過(guò)全網(wǎng)的節(jié)點(diǎn)共同確認(rèn)�,形成共識(shí)�;區(qū)塊鏈上的交易可追溯��、可審計(jì)���。對(duì)于技術(shù)人員來(lái)說(shuō),區(qū)塊鏈實(shí)際上是一個(gè)全新的����、開(kāi)放的平臺(tái)。這個(gè)平臺(tái)強(qiáng)調(diào)開(kāi)放����、共贏、創(chuàng)新�����,按貢獻(xiàn)來(lái)獲取激勵(lì)�,大家都是按照共識(shí)來(lái)發(fā)展�����。所以���,區(qū)塊鏈平臺(tái)里面大部分都是開(kāi)源的平臺(tái)����,這些平臺(tái)并沒(méi)有屬于某一家公司。
參考資料
[1]經(jīng)濟(jì)日?qǐng)?bào)《區(qū)塊鏈都不知道��,還好意思刷朋友圈�����,看完這篇終于有底氣了》
[2]創(chuàng)業(yè)邦《鏈圈必讀一文看懂區(qū)塊鏈安全6大分類3大問(wèn)題》
網(wǎng)站首頁(yè) > 新聞中心 > 行業(yè)新聞
