最近的朋友圈被一個“高大上”的詞匯刷屏了:區(qū)塊鏈。
事實上,區(qū)塊鏈技術(shù)已經(jīng)出現(xiàn)很多年了,但新技術(shù)普及需要正確的引導,近年來比特幣、空氣幣等虛擬貨幣炒作亂象,影響了大眾對區(qū)塊鏈技術(shù)的理解和觀念。
10月24日,中共中央政治局就區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀和趨勢進行了集體學習。學習時強調(diào),區(qū)塊鏈技術(shù)的集成應用在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用。我們要把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新的重要突破口,明確主攻方向,加大投入力度,著力攻克一批關(guān)鍵核心技術(shù),加快推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。
那區(qū)塊鏈究竟是啥?為何中央領(lǐng)導人要集體學習?
超越數(shù)控本期【信息安全】將從概念理解、應用場景、安全等方面深入介紹一下區(qū)塊鏈技術(shù)
簡單來說,區(qū)塊鏈就是一個很大很大的“賬本”。
比如,你和小王做一筆買賣,如果只有一個賬本,交易有被篡改的風險;但區(qū)塊鏈讓每一筆交易都記在無數(shù)個小賬本上,共同構(gòu)成一個超級大賬本。如此一來,全世界都知道你倆之間有這筆交易了,想抵賴?沒門!
有啥好處呢?最大好處,就是建立了互聯(lián)網(wǎng)時代的信用機制。
互聯(lián)網(wǎng)上充斥著大量真?zhèn)坞y辨的信息,如果沒有辦法建立起信任,就沒辦法進行交易,電商、社交、內(nèi)容等很多信息互聯(lián)網(wǎng)商業(yè)模式也無從談起。
說到底,區(qū)塊鏈就是一種無需信任積累的信用建立范式,任何互不了解的個體通過一定的合約機制,不再需要一個中間方,就可以達成信用共識。
1. 區(qū)塊鏈發(fā)展到哪個階段了?
全球資本市場上,目前95%以上區(qū)塊鏈融資事件處于種子輪、天使輪及A輪階段,B輪及以后只占3%,說明產(chǎn)業(yè)依舊處于早期階段。隨著應用場景加快落地,預計在3年到5年內(nèi)才會更快發(fā)展。
2. 我國在區(qū)塊鏈領(lǐng)域處于什么水平?
2017年、2018年我國公開的區(qū)塊鏈專利數(shù)量連續(xù)兩年蟬聯(lián)全球第一。今年上半年,我國公開的區(qū)塊鏈專利數(shù)量為3547項,已超2018年公開的全年專利總量2435項。我國區(qū)塊鏈產(chǎn)業(yè)將提前進入商用時代。這首先得益于技術(shù)能力的進步,系統(tǒng)性能和數(shù)據(jù)保護等進一步成熟;其次是開放技術(shù)引發(fā)群體加速創(chuàng)新;第三是與行業(yè)標桿合作刺激了滾雪球效應。
區(qū)塊鏈技術(shù)具有分布式、難以篡改、可追溯、開放性、算法式信任等突出特點,在數(shù)字金融、公共服務(wù)以及民生領(lǐng)域等都有廣闊的應用前景。
在金融領(lǐng)域,區(qū)塊鏈技術(shù)部分業(yè)務(wù)場景已從概念驗證逐步邁向業(yè)務(wù)實踐——包括供應鏈金融、跨境支付、資產(chǎn)證券化、證券結(jié)算等,區(qū)塊鏈技術(shù)在金融領(lǐng)域的應用潛力可期。
1. 區(qū)塊鏈電子發(fā)票
優(yōu)點
按需使用,無需定期往返稅務(wù)局領(lǐng)購發(fā)票
免費用票,降低了企業(yè)財務(wù)成本
用戶自行申請開票,減少企業(yè)人力投入
去年8月份深圳開出全國首張區(qū)塊鏈電子發(fā)票以來,區(qū)塊鏈電子發(fā)票陸續(xù)落地餐飲、商超零售、金融、軌道交通、物業(yè)、電商等多個場景,接入企業(yè)超7600家,開票數(shù)量突破1000萬張,開票金額超70億元。
2. 供應鏈金融
上海銀行與螞蟻金服“雙鏈通”區(qū)塊鏈平臺合作供應鏈融資項目于今年10月份落地,讓小微企業(yè)融資時間成本從3個月變成1秒。
浙商銀行推出基于區(qū)塊鏈技術(shù)的應收款鏈平臺,實現(xiàn)了應收款的簽發(fā)、承兌、保兌、支付、轉(zhuǎn)讓、質(zhì)押、兌付等功能,有效盤活了應收賬款。
從安全角度來看,區(qū)塊鏈相應安全問題可分為六類。
1. 密碼學
密碼學是區(qū)塊鏈最底層的支撐技術(shù),包含了哈希算法、數(shù)字簽名、隨機數(shù)等,如果這些密碼學技術(shù)存在問題或者漏洞,那么基于此的整個區(qū)塊鏈構(gòu)建的信任將會坍塌。
雖然目前密碼學技術(shù)已經(jīng)頗為成熟,存在巨大漏洞的可能性比較小,但是仍然不排除一些項目存在問題。2017年7月15日,具有“物聯(lián)網(wǎng)世界第一幣”之稱IOTA收到了麻省理工學院附屬的學術(shù)研究組DCI的郵件,提醒IOTA團隊,IOTA的哈希算法Curl-P存在弱點,DCI可以對該系統(tǒng)進行成功的攻擊,竊取用戶資金。雖然IOTA隨后對DCI的郵件進行了質(zhì)疑和反駁,到目前為止,也沒有用戶因為此漏洞而發(fā)生資金被盜的情況,但這一事件引起了大家對IOTA和其他項目在密碼學技術(shù)安全上的關(guān)注。
2. 用戶私鑰的生成、使用與保護
用戶參與區(qū)塊鏈的憑證是一對公私鑰,每個人通過區(qū)塊鏈產(chǎn)生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰,因此私鑰的生成、試用與保護問題就非常重要。今年7月,EOS就因私鑰生成工具存在安全隱患,創(chuàng)建的私鑰被黑客發(fā)現(xiàn)漏洞,并實施“彩虹”攻擊,導致賬戶數(shù)字資產(chǎn)被盜,造成上千萬數(shù)字資產(chǎn)損失。
比如,發(fā)生在2019年1月15日的Cryptopia交易所被盜事件。黑客在1月13日到17日的5天時間,陸續(xù)將76000個ETH從錢包中轉(zhuǎn)移。而交易所方面沒有任何反應,并對用戶聲明:黑客擁有私鑰,可以隨意從任何Cryptopia錢包中提取資金。種種跡象看來,很可能的原因是C網(wǎng)簡單的把私鑰存儲在某個服務(wù)器上,而黑客通過黑掉該服務(wù)器,導致C網(wǎng)無法從服務(wù)器獲取私鑰??梢钥吹剑珻網(wǎng)在管理私鑰方面的混亂和隨意,導致了悲劇的發(fā)生。這次事件再次提醒了廣大交易所與用戶,對私鑰管理要存在敬畏之心,確保100%安全的保護私鑰是區(qū)塊鏈世界最基本的法則。
3. 節(jié)點系統(tǒng)安全漏洞
這一問題歸屬于傳統(tǒng)安全范疇,比如區(qū)塊鏈節(jié)點不能存在緩沖區(qū)溢出等傳統(tǒng)的安全漏洞。另外區(qū)塊鏈節(jié)點的實現(xiàn)要能忠實地正確實現(xiàn)區(qū)塊鏈的共識協(xié)議;節(jié)點不能暴露不該暴露的API接口,導致黑客可以無障礙的獲取一些節(jié)點關(guān)鍵信息。無論是以太坊還是EOS都曾經(jīng)被爆出過比較嚴重的安全漏洞。這一部分安全也是至關(guān)重要的。
比如,2019年1月,EOS公鏈上的一系列競猜類游戲遭到了新型交易阻塞攻擊事件。中招應用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等熱門DAPP。不同于以往頻發(fā)的隨機數(shù)或交易回滾攻擊等合約層的攻擊行為,這是一種利用底層公鏈缺陷而發(fā)起的攻擊行為。深入分析后發(fā)現(xiàn),這是存在于主網(wǎng)層的致命拒絕服務(wù)漏洞,攻擊者發(fā)起大量垃圾延遲交易導致EOS全網(wǎng)超級節(jié)點(BP)無法打包其它正常交易,即通過阻斷打包正常用戶的交易進而癱瘓EOS網(wǎng)絡(luò)。
由于該漏洞本質(zhì)上屬于底層主網(wǎng)問題,任何DApp游戲,只要依賴如賬號余額或時間等相關(guān)鏈上因素產(chǎn)生隨機數(shù),都存在被攻擊的可能。這也是為什么在一月份出現(xiàn)大量EOS的DApp被攻擊的原因。EOS漏洞事件頻出,很多都是由于開發(fā)人員不嚴謹導致的,據(jù)了解,很多DApp背后只有1-2個程序員,連完整的測試人員都不存在,在這種情況下,漏洞出現(xiàn)的可能性就非常大,更可能被攻擊。
4. 底層共識協(xié)議
由目前市場上主流的區(qū)塊鏈共識協(xié)議有以下幾種,POW、POS、DPOS、PBFT。底層共識協(xié)議決定了區(qū)塊鏈整個架構(gòu)是否可信,能不能真正做到形成一個具有共識的區(qū)塊鏈?,F(xiàn)在真正被證明安全的共識協(xié)議并不多,因為共識協(xié)議本身無論從理論、還是從技術(shù)實現(xiàn)上都不簡單。而經(jīng)過長時間驗證的共識協(xié)議是比較安全的,比如像比特幣的POW。 共識協(xié)議有一個不可能實現(xiàn)的三角關(guān)系:安全、去中心化和效率,這三者只能同時實現(xiàn)兩樣。如果追求效率,要么犧牲去中心化,要么犧牲安全。
理論上,基于底層共識協(xié)議創(chuàng)建的所有數(shù)字貨幣都是存在51%算力攻擊風險。今年上半年,就有至少4種數(shù)字貨幣分別受到了51%算力攻擊,分別是Monacoin 、Bitcoin Gold、Verge和Electroneum,給用戶造成數(shù)千萬美元損失。
5. 智能合約
智能合約是一套以數(shù)字形式定義的承諾(promises),包括合約參與方可以在上面執(zhí)行這些承諾的協(xié)議。任何參與方都能在應用層創(chuàng)建合約,也就是所謂的DAPP(去中心化應用)。這也是目前出現(xiàn)安全問題最多的地方。
智能合約安全隱患包含了三個方面:第一,有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二,是否可信。沒有漏洞的智能合約,未必就安全,合約要保證公平可信。 第三,符合一定規(guī)范和流程。由于合約的創(chuàng)建要求以數(shù)字形式來進行定義承諾,所以如果合約的創(chuàng)建過程不夠規(guī)范,就容易留下巨大的隱患。
目前市場上很多智能合約均存在安全漏洞問題,比如,6月3日,安比實驗室(SECBIT)發(fā)現(xiàn)Ethereum上出現(xiàn)81個合約帶有相同錯誤,ERC20 Token合約中的transferFrom函數(shù)存在巨大隱患,一旦部署后出現(xiàn)問題,將造成不可挽回的損失;6月6日,安比實驗室(SECBIT)發(fā)現(xiàn)ERC20代幣合約FXE由于業(yè)務(wù)邏輯實現(xiàn)漏洞,任何人都可以隨意轉(zhuǎn)出他人賬戶中的Token,Token隨時面臨徹底歸零風險。
6. 激勵機制設(shè)計
智能合約要完成協(xié)作,通常是要設(shè)計相應的經(jīng)濟激勵機制。經(jīng)濟激勵是區(qū)塊鏈技術(shù)里面非常有突破性的一個概念。一個真正健康有活力的區(qū)塊鏈生態(tài),需要一個很好的激勵機制。但是經(jīng)濟激勵設(shè)計得不夠安全,可能生態(tài)就無法建設(shè)起來,比如典型的類龐氏游戲,這一點大家要警惕。
區(qū)塊鏈技術(shù)是一種有精神的、自帶正確價值觀的技術(shù),區(qū)塊鏈精神是公平、公信、公正、共治、可問責。這體現(xiàn)在區(qū)塊鏈上的協(xié)議和合約可以被機器忠實地執(zhí)行;區(qū)塊鏈上的交易公開透明,交易狀態(tài)經(jīng)過全網(wǎng)的節(jié)點共同確認,形成共識;區(qū)塊鏈上的交易可追溯、可審計。對于技術(shù)人員來說,區(qū)塊鏈實際上是一個全新的、開放的平臺。這個平臺強調(diào)開放、共贏、創(chuàng)新,按貢獻來獲取激勵,大家都是按照共識來發(fā)展。所以,區(qū)塊鏈平臺里面大部分都是開源的平臺,這些平臺并沒有屬于某一家公司。
參考資料
[1]經(jīng)濟日報《區(qū)塊鏈都不知道,還好意思刷朋友圈,看完這篇終于有底氣了》
[2]創(chuàng)業(yè)邦《鏈圈必讀一文看懂區(qū)塊鏈安全6大分類3大問題》