新聞中心
最近的朋友圈被一個“高大上”的詞匯刷屏了:區塊鏈。
事實上,區塊鏈技術已經出現很多年了,但新技術普及需要正確的引導,近年來比特幣、空氣幣等虛擬貨幣炒作亂象,影響了大眾對區塊鏈技術的理解和觀念。
10月24日,中共中央政治局就區塊鏈技術發展現狀和趨勢進行了集體學習。學習時強調,區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用。我們要把區塊鏈作為核心技術自主創新的重要突破口,明確主攻方向,加大投入力度,著力攻克一批關鍵核心技術,加快推動區塊鏈技術和產業創新發展。
那區塊鏈究竟是啥?為何中央領導人要集體學習?
超越數控本期【信息安全】將從概念理解、應用場景、安全等方面深入介紹一下區塊鏈技術
簡單來說,區塊鏈就是一個很大很大的“賬本”。
比如,你和小王做一筆買賣,如果只有一個賬本,交易有被篡改的風險;但區塊鏈讓每一筆交易都記在無數個小賬本上,共同構成一個超級大賬本。如此一來,全世界都知道你倆之間有這筆交易了,想抵賴?沒門!
有啥好處呢?最大好處,就是建立了互聯網時代的信用機制。
互聯網上充斥著大量真偽難辨的信息,如果沒有辦法建立起信任,就沒辦法進行交易,電商、社交、內容等很多信息互聯網商業模式也無從談起。
說到底,區塊鏈就是一種無需信任積累的信用建立范式,任何互不了解的個體通過一定的合約機制,不再需要一個中間方,就可以達成信用共識。
1. 區塊鏈發展到哪個階段了?
全球資本市場上,目前95%以上區塊鏈融資事件處于種子輪、天使輪及A輪階段,B輪及以后只占3%,說明產業依舊處于早期階段。隨著應用場景加快落地,預計在3年到5年內才會更快發展。
2. 我國在區塊鏈領域處于什么水平?
2017年、2018年我國公開的區塊鏈專利數量連續兩年蟬聯全球第一。今年上半年,我國公開的區塊鏈專利數量為3547項,已超2018年公開的全年專利總量2435項。我國區塊鏈產業將提前進入商用時代。這首先得益于技術能力的進步,系統性能和數據保護等進一步成熟;其次是開放技術引發群體加速創新;第三是與行業標桿合作刺激了滾雪球效應。
區塊鏈技術具有分布式、難以篡改、可追溯、開放性、算法式信任等突出特點,在數字金融、公共服務以及民生領域等都有廣闊的應用前景。
在金融領域,區塊鏈技術部分業務場景已從概念驗證逐步邁向業務實踐——包括供應鏈金融、跨境支付、資產證券化、證券結算等,區塊鏈技術在金融領域的應用潛力可期。
1. 區塊鏈電子發票
優點
按需使用,無需定期往返稅務局領購發票
免費用票,降低了企業財務成本
用戶自行申請開票,減少企業人力投入
去年8月份深圳開出全國首張區塊鏈電子發票以來,區塊鏈電子發票陸續落地餐飲、商超零售、金融、軌道交通、物業、電商等多個場景,接入企業超7600家,開票數量突破1000萬張,開票金額超70億元。
2. 供應鏈金融
上海銀行與螞蟻金服“雙鏈通”區塊鏈平臺合作供應鏈融資項目于今年10月份落地,讓小微企業融資時間成本從3個月變成1秒。
浙商銀行推出基于區塊鏈技術的應收款鏈平臺,實現了應收款的簽發、承兌、保兌、支付、轉讓、質押、兌付等功能,有效盤活了應收賬款。
從安全角度來看,區塊鏈相應安全問題可分為六類。
1. 密碼學
密碼學是區塊鏈最底層的支撐技術,包含了哈希算法、數字簽名、隨機數等,如果這些密碼學技術存在問題或者漏洞,那么基于此的整個區塊鏈構建的信任將會坍塌。
雖然目前密碼學技術已經頗為成熟,存在巨大漏洞的可能性比較小,但是仍然不排除一些項目存在問題。2017年7月15日,具有“物聯網世界第一幣”之稱IOTA收到了麻省理工學院附屬的學術研究組DCI的郵件,提醒IOTA團隊,IOTA的哈希算法Curl-P存在弱點,DCI可以對該系統進行成功的攻擊,竊取用戶資金。雖然IOTA隨后對DCI的郵件進行了質疑和反駁,到目前為止,也沒有用戶因為此漏洞而發生資金被盜的情況,但這一事件引起了大家對IOTA和其他項目在密碼學技術安全上的關注。
2. 用戶私鑰的生成、使用與保護
用戶參與區塊鏈的憑證是一對公私鑰,每個人通過區塊鏈產生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰,因此私鑰的生成、試用與保護問題就非常重要。今年7月,EOS就因私鑰生成工具存在安全隱患,創建的私鑰被黑客發現漏洞,并實施“彩虹”攻擊,導致賬戶數字資產被盜,造成上千萬數字資產損失。
比如,發生在2019年1月15日的Cryptopia交易所被盜事件。黑客在1月13日到17日的5天時間,陸續將76000個ETH從錢包中轉移。而交易所方面沒有任何反應,并對用戶聲明:黑客擁有私鑰,可以隨意從任何Cryptopia錢包中提取資金。種種跡象看來,很可能的原因是C網簡單的把私鑰存儲在某個服務器上,而黑客通過黑掉該服務器,導致C網無法從服務器獲取私鑰。可以看到,C網在管理私鑰方面的混亂和隨意,導致了悲劇的發生。這次事件再次提醒了廣大交易所與用戶,對私鑰管理要存在敬畏之心,確保100%安全的保護私鑰是區塊鏈世界最基本的法則。
3. 節點系統安全漏洞
這一問題歸屬于傳統安全范疇,比如區塊鏈節點不能存在緩沖區溢出等傳統的安全漏洞。另外區塊鏈節點的實現要能忠實地正確實現區塊鏈的共識協議;節點不能暴露不該暴露的API接口,導致黑客可以無障礙的獲取一些節點關鍵信息。無論是以太坊還是EOS都曾經被爆出過比較嚴重的安全漏洞。這一部分安全也是至關重要的。
比如,2019年1月,EOS公鏈上的一系列競猜類游戲遭到了新型交易阻塞攻擊事件。中招應用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等熱門DAPP。不同于以往頻發的隨機數或交易回滾攻擊等合約層的攻擊行為,這是一種利用底層公鏈缺陷而發起的攻擊行為。深入分析后發現,這是存在于主網層的致命拒絕服務漏洞,攻擊者發起大量垃圾延遲交易導致EOS全網超級節點(BP)無法打包其它正常交易,即通過阻斷打包正常用戶的交易進而癱瘓EOS網絡。
由于該漏洞本質上屬于底層主網問題,任何DApp游戲,只要依賴如賬號余額或時間等相關鏈上因素產生隨機數,都存在被攻擊的可能。這也是為什么在一月份出現大量EOS的DApp被攻擊的原因。EOS漏洞事件頻出,很多都是由于開發人員不嚴謹導致的,據了解,很多DApp背后只有1-2個程序員,連完整的測試人員都不存在,在這種情況下,漏洞出現的可能性就非常大,更可能被攻擊。
4. 底層共識協議
由目前市場上主流的區塊鏈共識協議有以下幾種,POW、POS、DPOS、PBFT。底層共識協議決定了區塊鏈整個架構是否可信,能不能真正做到形成一個具有共識的區塊鏈。現在真正被證明安全的共識協議并不多,因為共識協議本身無論從理論、還是從技術實現上都不簡單。而經過長時間驗證的共識協議是比較安全的,比如像比特幣的POW。 共識協議有一個不可能實現的三角關系:安全、去中心化和效率,這三者只能同時實現兩樣。如果追求效率,要么犧牲去中心化,要么犧牲安全。
理論上,基于底層共識協議創建的所有數字貨幣都是存在51%算力攻擊風險。今年上半年,就有至少4種數字貨幣分別受到了51%算力攻擊,分別是Monacoin 、Bitcoin Gold、Verge和Electroneum,給用戶造成數千萬美元損失。
5. 智能合約
智能合約是一套以數字形式定義的承諾(promises),包括合約參與方可以在上面執行這些承諾的協議。任何參與方都能在應用層創建合約,也就是所謂的DAPP(去中心化應用)。這也是目前出現安全問題最多的地方。
智能合約安全隱患包含了三個方面:第一,有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二,是否可信。沒有漏洞的智能合約,未必就安全,合約要保證公平可信。 第三,符合一定規范和流程。由于合約的創建要求以數字形式來進行定義承諾,所以如果合約的創建過程不夠規范,就容易留下巨大的隱患。
目前市場上很多智能合約均存在安全漏洞問題,比如,6月3日,安比實驗室(SECBIT)發現Ethereum上出現81個合約帶有相同錯誤,ERC20 Token合約中的transferFrom函數存在巨大隱患,一旦部署后出現問題,將造成不可挽回的損失;6月6日,安比實驗室(SECBIT)發現ERC20代幣合約FXE由于業務邏輯實現漏洞,任何人都可以隨意轉出他人賬戶中的Token,Token隨時面臨徹底歸零風險。
6. 激勵機制設計
智能合約要完成協作,通常是要設計相應的經濟激勵機制。經濟激勵是區塊鏈技術里面非常有突破性的一個概念。一個真正健康有活力的區塊鏈生態,需要一個很好的激勵機制。但是經濟激勵設計得不夠安全,可能生態就無法建設起來,比如典型的類龐氏游戲,這一點大家要警惕。
區塊鏈技術是一種有精神的、自帶正確價值觀的技術,區塊鏈精神是公平、公信、公正、共治、可問責。這體現在區塊鏈上的協議和合約可以被機器忠實地執行;區塊鏈上的交易公開透明,交易狀態經過全網的節點共同確認,形成共識;區塊鏈上的交易可追溯、可審計。對于技術人員來說,區塊鏈實際上是一個全新的、開放的平臺。這個平臺強調開放、共贏、創新,按貢獻來獲取激勵,大家都是按照共識來發展。所以,區塊鏈平臺里面大部分都是開源的平臺,這些平臺并沒有屬于某一家公司。
參考資料
[1]經濟日報《區塊鏈都不知道,還好意思刷朋友圈,看完這篇終于有底氣了》
[2]創業邦《鏈圈必讀一文看懂區塊鏈安全6大分類3大問題》
