新聞中心
最近的(de)朋友圈被一個(gè)“高(gāo)大(dà)上”的(de)詞彙刷屏了(le):區(qū)塊鏈。
事實上,區(qū)塊鏈技術已經出現很多(duō)年了(le),但新技術普及需要正确的(de)引導,近年來(lái)比特币、空氣币等虛拟貨币炒作亂象,影(yǐng)響了(le)大(dà)衆對(duì)區(qū)塊鏈技術的(de)理(lǐ)解和(hé)觀念。
10月(yuè)24日,中共中央政治局就區(qū)塊鏈技術發展現狀和(hé)趨勢進行了(le)集體學習(xí)。學習(xí)時(shí)強調,區(qū)塊鏈技術的(de)集成應用(yòng)在新的(de)技術革新和(hé)産業變革中起著(zhe)重要作用(yòng)。我們要把區(qū)塊鏈作爲核心技術自主創新的(de)重要突破口,明(míng)确主攻方向,加大(dà)投入力度,著(zhe)力攻克一批關鍵核心技術,加快(kuài)推動區(qū)塊鏈技術和(hé)産業創新發展。
那區(qū)塊鏈究竟是啥?爲何中央領導人(rén)要集體學習(xí)?
超越數控本期【信息安全】将從概念理(lǐ)解、應用(yòng)場(chǎng)景、安全等方面深入介紹一下(xià)區(qū)塊鏈技術
簡單來(lái)說,區(qū)塊鏈就是一個(gè)很大(dà)很大(dà)的(de)“賬本”。
比如,你和(hé)小王做(zuò)一筆買賣,如果隻有一個(gè)賬本,交易有被篡改的(de)風險;但區(qū)塊鏈讓每一筆交易都記在無數個(gè)小賬本上,共同構成一個(gè)超級大(dà)賬本。如此一來(lái),全世界都知道你倆之間有這(zhè)筆交易了(le),想抵賴?沒門!
有啥好處呢(ne)?最大(dà)好處,就是建立了(le)互聯網時(shí)代的(de)信用(yòng)機制。
互聯網上充斥著(zhe)大(dà)量真僞難辨的(de)信息,如果沒有辦法建立起信任,就沒辦法進行交易,電商、社交、内容等很多(duō)信息互聯網商業模式也(yě)無從談起。
說到底,區(qū)塊鏈就是一種無需信任積累的(de)信用(yòng)建立範式,任何互不了(le)解的(de)個(gè)體通(tōng)過一定的(de)合約機制,不再需要一個(gè)中間方,就可(kě)以達成信用(yòng)共識。
1. 區(qū)塊鏈發展到哪個(gè)階段了(le)?
全球資本市場(chǎng)上,目前95%以上區(qū)塊鏈融資事件處于種子輪、天使輪及A輪階段,B輪及以後隻占3%,說明(míng)産業依舊(jiù)處于早期階段。随著(zhe)應用(yòng)場(chǎng)景加快(kuài)落地,預計在3年到5年内才會更快(kuài)發展。
2. 我國在區(qū)塊鏈領域處于什(shén)麽水(shuǐ)平?
2017年、2018年我國公開的(de)區(qū)塊鏈專利數量連續兩年蟬聯全球第一。今年上半年,我國公開的(de)區(qū)塊鏈專利數量爲3547項,已超2018年公開的(de)全年專利總量2435項。我國區(qū)塊鏈産業将提前進入商用(yòng)時(shí)代。這(zhè)首先得(de)益于技術能力的(de)進步,系統性能和(hé)數據保護等進一步成熟;其次是開放技術引發群體加速創新;第三是與行業标杆合作刺激了(le)滾雪(xuě)球效應。
區(qū)塊鏈技術具有分(fēn)布式、難以篡改、可(kě)追溯、開放性、算(suàn)法式信任等突出特點,在數字金融、公共服務以及民生領域等都有廣闊的(de)應用(yòng)前景。
在金融領域,區(qū)塊鏈技術部分(fēn)業務場(chǎng)景已從概念驗證逐步邁向業務實踐——包括供應鏈金融、跨境支付、資産證券化(huà)、證券結算(suàn)等,區(qū)塊鏈技術在金融領域的(de)應用(yòng)潛力可(kě)期。
1. 區(qū)塊鏈電子發票(piào)
優點
按需使用(yòng),無需定期往返稅務局領購(gòu)發票(piào)
免費用(yòng)票(piào),降低了(le)企業财務成本
用(yòng)戶自行申請開票(piào),減少企業人(rén)力投入
去年8月(yuè)份深圳開出全國首張區(qū)塊鏈電子發票(piào)以來(lái),區(qū)塊鏈電子發票(piào)陸續落地餐飲、商超零售、金融、軌道交通(tōng)、物(wù)業、電商等多(duō)個(gè)場(chǎng)景,接入企業超7600家,開票(piào)數量突破1000萬張,開票(piào)金額超70億元。
2. 供應鏈金融
上海銀行與螞蟻金服“雙鏈通(tōng)”區(qū)塊鏈平台合作供應鏈融資項目于今年10月(yuè)份落地,讓小微企業融資時(shí)間成本從3個(gè)月(yuè)變成1秒。
浙商銀行推出基于區(qū)塊鏈技術的(de)應收款鏈平台,實現了(le)應收款的(de)簽發、承兌、保兌、支付、轉讓、質押、兌付等功能,有效盤活了(le)應收賬款。
從安全角度來(lái)看,區(qū)塊鏈相應安全問題可(kě)分(fēn)爲六類。
1. 密碼學
密碼學是區(qū)塊鏈最底層的(de)支撐技術,包含了(le)哈希算(suàn)法、數字簽名、随機數等,如果這(zhè)些密碼學技術存在問題或者漏洞,那麽基于此的(de)整個(gè)區(qū)塊鏈構建的(de)信任将會坍塌。
雖然目前密碼學技術已經頗爲成熟,存在巨大(dà)漏洞的(de)可(kě)能性比較小,但是仍然不排除一些項目存在問題。2017年7月(yuè)15日,具有“物(wù)聯網世界第一币”之稱IOTA收到了(le)麻省理(lǐ)工學院附屬的(de)學術研究組DCI的(de)郵件,提醒IOTA團隊,IOTA的(de)哈希算(suàn)法Curl-P存在弱點,DCI可(kě)以對(duì)該系統進行成功的(de)攻擊,竊取用(yòng)戶資金。雖然IOTA随後對(duì)DCI的(de)郵件進行了(le)質疑和(hé)反駁,到目前爲止,也(yě)沒有用(yòng)戶因爲此漏洞而發生資金被盜的(de)情況,但這(zhè)一事件引起了(le)大(dà)家對(duì)IOTA和(hé)其他(tā)項目在密碼學技術安全上的(de)關注。
2. 用(yòng)戶私鑰的(de)生成、使用(yòng)與保護
用(yòng)戶參與區(qū)塊鏈的(de)憑證是一對(duì)公私鑰,每個(gè)人(rén)通(tōng)過區(qū)塊鏈産生交互行爲的(de)前提就是他(tā)擁有安全的(de)私鑰、并且能保管好自己的(de)私鑰,因此私鑰的(de)生成、試用(yòng)與保護問題就非常重要。今年7月(yuè),EOS就因私鑰生成工具存在安全隐患,創建的(de)私鑰被黑(hēi)客發現漏洞,并實施“彩虹”攻擊,導緻賬戶數字資産被盜,造成上千萬數字資産損失。
比如,發生在2019年1月(yuè)15日的(de)Cryptopia交易所被盜事件。黑(hēi)客在1月(yuè)13日到17日的(de)5天時(shí)間,陸續将76000個(gè)ETH從錢包中轉移。而交易所方面沒有任何反應,并對(duì)用(yòng)戶聲明(míng):黑(hēi)客擁有私鑰,可(kě)以随意從任何Cryptopia錢包中提取資金。種種迹象看來(lái),很可(kě)能的(de)原因是C網簡單的(de)把私鑰存儲在某個(gè)服務器上,而黑(hēi)客通(tōng)過黑(hēi)掉該服務器,導緻C網無法從服務器獲取私鑰。可(kě)以看到,C網在管理(lǐ)私鑰方面的(de)混亂和(hé)随意,導緻了(le)悲劇的(de)發生。這(zhè)次事件再次提醒了(le)廣大(dà)交易所與用(yòng)戶,對(duì)私鑰管理(lǐ)要存在敬畏之心,确保100%安全的(de)保護私鑰是區(qū)塊鏈世界最基本的(de)法則。
3. 節點系統安全漏洞
這(zhè)一問題歸屬于傳統安全範疇,比如區(qū)塊鏈節點不能存在緩沖區(qū)溢出等傳統的(de)安全漏洞。另外區(qū)塊鏈節點的(de)實現要能忠實地正确實現區(qū)塊鏈的(de)共識協議(yì);節點不能暴露不該暴露的(de)API接口,導緻黑(hēi)客可(kě)以無障礙的(de)獲取一些節點關鍵信息。無論是以太坊還(hái)是EOS都曾經被爆出過比較嚴重的(de)安全漏洞。這(zhè)一部分(fēn)安全也(yě)是至關重要的(de)。
比如,2019年1月(yuè),EOS公鏈上的(de)一系列競猜類遊戲遭到了(le)新型交易阻塞攻擊事件。中招應用(yòng)包括EOS.Win、FarmEOS、影(yǐng)骰、LuckBet、GameBet、EOSDice、STACK DICE等熱(rè)門DAPP。不同于以往頻(pín)發的(de)随機數或交易回滾攻擊等合約層的(de)攻擊行爲,這(zhè)是一種利用(yòng)底層公鏈缺陷而發起的(de)攻擊行爲。深入分(fēn)析後發現,這(zhè)是存在于主網層的(de)緻命拒絕服務漏洞,攻擊者發起大(dà)量垃圾延遲交易導緻EOS全網超級節點(BP)無法打包其它正常交易,即通(tōng)過阻斷打包正常用(yòng)戶的(de)交易進而癱瘓EOS網絡。
由于該漏洞本質上屬于底層主網問題,任何DApp遊戲,隻要依賴如賬号餘額或時(shí)間等相關鏈上因素産生随機數,都存在被攻擊的(de)可(kě)能。這(zhè)也(yě)是爲什(shén)麽在一月(yuè)份出現大(dà)量EOS的(de)DApp被攻擊的(de)原因。EOS漏洞事件頻(pín)出,很多(duō)都是由于開發人(rén)員(yuán)不嚴謹導緻的(de),據了(le)解,很多(duō)DApp背後隻有1-2個(gè)程序員(yuán),連完整的(de)測試人(rén)員(yuán)都不存在,在這(zhè)種情況下(xià),漏洞出現的(de)可(kě)能性就非常大(dà),更可(kě)能被攻擊。
4. 底層共識協議(yì)
由目前市場(chǎng)上主流的(de)區(qū)塊鏈共識協議(yì)有以下(xià)幾種,POW、POS、DPOS、PBFT。底層共識協議(yì)決定了(le)區(qū)塊鏈整個(gè)架構是否可(kě)信,能不能真正做(zuò)到形成一個(gè)具有共識的(de)區(qū)塊鏈。現在真正被證明(míng)安全的(de)共識協議(yì)并不多(duō),因爲共識協議(yì)本身無論從理(lǐ)論、還(hái)是從技術實現上都不簡單。而經過長(cháng)時(shí)間驗證的(de)共識協議(yì)是比較安全的(de),比如像比特币的(de)POW。 共識協議(yì)有一個(gè)不可(kě)能實現的(de)三角關系:安全、去中心化(huà)和(hé)效率,這(zhè)三者隻能同時(shí)實現兩樣。如果追求效率,要麽犧牲去中心化(huà),要麽犧牲安全。
理(lǐ)論上,基于底層共識協議(yì)創建的(de)所有數字貨币都是存在51%算(suàn)力攻擊風險。今年上半年,就有至少4種數字貨币分(fēn)别受到了(le)51%算(suàn)力攻擊,分(fēn)别是Monacoin 、Bitcoin Gold、Verge和(hé)Electroneum,給用(yòng)戶造成數千萬美(měi)元損失。
5. 智能合約
智能合約是一套以數字形式定義的(de)承諾(promises),包括合約參與方可(kě)以在上面執行這(zhè)些承諾的(de)協議(yì)。任何參與方都能在應用(yòng)層創建合約,也(yě)就是所謂的(de)DAPP(去中心化(huà)應用(yòng))。這(zhè)也(yě)是目前出現安全問題最多(duō)的(de)地方。
智能合約安全隐患包含了(le)三個(gè)方面:第一,有沒有漏洞。合約代碼中是否有常見的(de)安全漏洞。第二,是否可(kě)信。沒有漏洞的(de)智能合約,未必就安全,合約要保證公平可(kě)信。 第三,符合一定規範和(hé)流程。由于合約的(de)創建要求以數字形式來(lái)進行定義承諾,所以如果合約的(de)創建過程不夠規範,就容易留下(xià)巨大(dà)的(de)隐患。
目前市場(chǎng)上很多(duō)智能合約均存在安全漏洞問題,比如,6月(yuè)3日,安比實驗室(SECBIT)發現Ethereum上出現81個(gè)合約帶有相同錯誤,ERC20 Token合約中的(de)transferFrom函數存在巨大(dà)隐患,一旦部署後出現問題,将造成不可(kě)挽回的(de)損失;6月(yuè)6日,安比實驗室(SECBIT)發現ERC20代币合約FXE由于業務邏輯實現漏洞,任何人(rén)都可(kě)以随意轉出他(tā)人(rén)賬戶中的(de)Token,Token随時(shí)面臨徹底歸零風險。
6. 激勵機制設計
智能合約要完成協作,通(tōng)常是要設計相應的(de)經濟激勵機制。經濟激勵是區(qū)塊鏈技術裏面非常有突破性的(de)一個(gè)概念。一個(gè)真正健康有活力的(de)區(qū)塊鏈生态,需要一個(gè)很好的(de)激勵機制。但是經濟激勵設計得(de)不夠安全,可(kě)能生态就無法建設起來(lái),比如典型的(de)類龐氏遊戲,這(zhè)一點大(dà)家要警惕。
區(qū)塊鏈技術是一種有精神的(de)、自帶正确價值觀的(de)技術,區(qū)塊鏈精神是公平、公信、公正、共治、可(kě)問責。這(zhè)體現在區(qū)塊鏈上的(de)協議(yì)和(hé)合約可(kě)以被機器忠實地執行;區(qū)塊鏈上的(de)交易公開透明(míng),交易狀态經過全網的(de)節點共同确認,形成共識;區(qū)塊鏈上的(de)交易可(kě)追溯、可(kě)審計。對(duì)于技術人(rén)員(yuán)來(lái)說,區(qū)塊鏈實際上是一個(gè)全新的(de)、開放的(de)平台。這(zhè)個(gè)平台強調開放、共赢、創新,按貢獻來(lái)獲取激勵,大(dà)家都是按照(zhào)共識來(lái)發展。所以,區(qū)塊鏈平台裏面大(dà)部分(fēn)都是開源的(de)平台,這(zhè)些平台并沒有屬于某一家公司。
參考資料
[1]經濟日報《區(qū)塊鏈都不知道,還(hái)好意思刷朋友圈,看完這(zhè)篇終于有底氣了(le)》
[2]創業邦《鏈圈必讀一文看懂(dǒng)區(qū)塊鏈安全6大(dà)分(fēn)類3大(dà)問題》
