新聞中心
網(wǎng)站首頁 > 新聞中心 > 行業(yè)新聞
最近的朋友圈被一個(gè)“高大上”的詞匯刷屏了:區(qū)塊鏈。
事實(shí)上,區(qū)塊鏈技術(shù)已經(jīng)出現(xiàn)很多年了,但新技術(shù)普及需要正確的引導(dǎo),近年來比特幣、空氣幣等虛擬貨幣炒作亂象,影響了大眾對(duì)區(qū)塊鏈技術(shù)的理解和觀念。
10月24日,中共中央政治局就區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀和趨勢進(jìn)行了集體學(xué)習(xí)。學(xué)習(xí)時(shí)強(qiáng)調(diào),區(qū)塊鏈技術(shù)的集成應(yīng)用在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用。我們要把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新的重要突破口,明確主攻方向,加大投入力度,著力攻克一批關(guān)鍵核心技術(shù),加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。
那區(qū)塊鏈究竟是啥?為何中央領(lǐng)導(dǎo)人要集體學(xué)習(xí)?
超越數(shù)控本期【信息安全】將從概念理解、應(yīng)用場景、安全等方面深入介紹一下區(qū)塊鏈技術(shù)
簡單來說,區(qū)塊鏈就是一個(gè)很大很大的“賬本”。
比如,你和小王做一筆買賣,如果只有一個(gè)賬本,交易有被篡改的風(fēng)險(xiǎn);但區(qū)塊鏈讓每一筆交易都記在無數(shù)個(gè)小賬本上,共同構(gòu)成一個(gè)超級(jí)大賬本。如此一來,全世界都知道你倆之間有這筆交易了,想抵賴?沒門!
有啥好處呢?最大好處,就是建立了互聯(lián)網(wǎng)時(shí)代的信用機(jī)制。
互聯(lián)網(wǎng)上充斥著大量真?zhèn)坞y辨的信息,如果沒有辦法建立起信任,就沒辦法進(jìn)行交易,電商、社交、內(nèi)容等很多信息互聯(lián)網(wǎng)商業(yè)模式也無從談起。
說到底,區(qū)塊鏈就是一種無需信任積累的信用建立范式,任何互不了解的個(gè)體通過一定的合約機(jī)制,不再需要一個(gè)中間方,就可以達(dá)成信用共識(shí)。
1. 區(qū)塊鏈發(fā)展到哪個(gè)階段了?
全球資本市場上,目前95%以上區(qū)塊鏈融資事件處于種子輪、天使輪及A輪階段,B輪及以后只占3%,說明產(chǎn)業(yè)依舊處于早期階段。隨著應(yīng)用場景加快落地,預(yù)計(jì)在3年到5年內(nèi)才會(huì)更快發(fā)展。
2. 我國在區(qū)塊鏈領(lǐng)域處于什么水平?
2017年、2018年我國公開的區(qū)塊鏈專利數(shù)量連續(xù)兩年蟬聯(lián)全球第一。今年上半年,我國公開的區(qū)塊鏈專利數(shù)量為3547項(xiàng),已超2018年公開的全年專利總量2435項(xiàng)。我國區(qū)塊鏈產(chǎn)業(yè)將提前進(jìn)入商用時(shí)代。這首先得益于技術(shù)能力的進(jìn)步,系統(tǒng)性能和數(shù)據(jù)保護(hù)等進(jìn)一步成熟;其次是開放技術(shù)引發(fā)群體加速創(chuàng)新;第三是與行業(yè)標(biāo)桿合作刺激了滾雪球效應(yīng)。
區(qū)塊鏈技術(shù)具有分布式、難以篡改、可追溯、開放性、算法式信任等突出特點(diǎn),在數(shù)字金融、公共服務(wù)以及民生領(lǐng)域等都有廣闊的應(yīng)用前景。
在金融領(lǐng)域,區(qū)塊鏈技術(shù)部分業(yè)務(wù)場景已從概念驗(yàn)證逐步邁向業(yè)務(wù)實(shí)踐——包括供應(yīng)鏈金融、跨境支付、資產(chǎn)證券化、證券結(jié)算等,區(qū)塊鏈技術(shù)在金融領(lǐng)域的應(yīng)用潛力可期。
1. 區(qū)塊鏈電子發(fā)票
優(yōu)點(diǎn)
按需使用,無需定期往返稅務(wù)局領(lǐng)購發(fā)票
免費(fèi)用票,降低了企業(yè)財(cái)務(wù)成本
用戶自行申請(qǐng)開票,減少企業(yè)人力投入
去年8月份深圳開出全國首張區(qū)塊鏈電子發(fā)票以來,區(qū)塊鏈電子發(fā)票陸續(xù)落地餐飲、商超零售、金融、軌道交通、物業(yè)、電商等多個(gè)場景,接入企業(yè)超7600家,開票數(shù)量突破1000萬張,開票金額超70億元。
2. 供應(yīng)鏈金融
上海銀行與螞蟻金服“雙鏈通”區(qū)塊鏈平臺(tái)合作供應(yīng)鏈融資項(xiàng)目于今年10月份落地,讓小微企業(yè)融資時(shí)間成本從3個(gè)月變成1秒。
浙商銀行推出基于區(qū)塊鏈技術(shù)的應(yīng)收款鏈平臺(tái),實(shí)現(xiàn)了應(yīng)收款的簽發(fā)、承兌、保兌、支付、轉(zhuǎn)讓、質(zhì)押、兌付等功能,有效盤活了應(yīng)收賬款。
從安全角度來看,區(qū)塊鏈相應(yīng)安全問題可分為六類。
1. 密碼學(xué)
密碼學(xué)是區(qū)塊鏈最底層的支撐技術(shù),包含了哈希算法、數(shù)字簽名、隨機(jī)數(shù)等,如果這些密碼學(xué)技術(shù)存在問題或者漏洞,那么基于此的整個(gè)區(qū)塊鏈構(gòu)建的信任將會(huì)坍塌。
雖然目前密碼學(xué)技術(shù)已經(jīng)頗為成熟,存在巨大漏洞的可能性比較小,但是仍然不排除一些項(xiàng)目存在問題。2017年7月15日,具有“物聯(lián)網(wǎng)世界第一幣”之稱IOTA收到了麻省理工學(xué)院附屬的學(xué)術(shù)研究組DCI的郵件,提醒IOTA團(tuán)隊(duì),IOTA的哈希算法Curl-P存在弱點(diǎn),DCI可以對(duì)該系統(tǒng)進(jìn)行成功的攻擊,竊取用戶資金。雖然IOTA隨后對(duì)DCI的郵件進(jìn)行了質(zhì)疑和反駁,到目前為止,也沒有用戶因?yàn)榇寺┒炊l(fā)生資金被盜的情況,但這一事件引起了大家對(duì)IOTA和其他項(xiàng)目在密碼學(xué)技術(shù)安全上的關(guān)注。
2. 用戶私鑰的生成、使用與保護(hù)
用戶參與區(qū)塊鏈的憑證是一對(duì)公私鑰,每個(gè)人通過區(qū)塊鏈產(chǎn)生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰,因此私鑰的生成、試用與保護(hù)問題就非常重要。今年7月,EOS就因私鑰生成工具存在安全隱患,創(chuàng)建的私鑰被黑客發(fā)現(xiàn)漏洞,并實(shí)施“彩虹”攻擊,導(dǎo)致賬戶數(shù)字資產(chǎn)被盜,造成上千萬數(shù)字資產(chǎn)損失。
比如,發(fā)生在2019年1月15日的Cryptopia交易所被盜事件。黑客在1月13日到17日的5天時(shí)間,陸續(xù)將76000個(gè)ETH從錢包中轉(zhuǎn)移。而交易所方面沒有任何反應(yīng),并對(duì)用戶聲明:黑客擁有私鑰,可以隨意從任何Cryptopia錢包中提取資金。種種跡象看來,很可能的原因是C網(wǎng)簡單的把私鑰存儲(chǔ)在某個(gè)服務(wù)器上,而黑客通過黑掉該服務(wù)器,導(dǎo)致C網(wǎng)無法從服務(wù)器獲取私鑰。可以看到,C網(wǎng)在管理私鑰方面的混亂和隨意,導(dǎo)致了悲劇的發(fā)生。這次事件再次提醒了廣大交易所與用戶,對(duì)私鑰管理要存在敬畏之心,確保100%安全的保護(hù)私鑰是區(qū)塊鏈?zhǔn)澜缱罨镜姆▌t。
3. 節(jié)點(diǎn)系統(tǒng)安全漏洞
這一問題歸屬于傳統(tǒng)安全范疇,比如區(qū)塊鏈節(jié)點(diǎn)不能存在緩沖區(qū)溢出等傳統(tǒng)的安全漏洞。另外區(qū)塊鏈節(jié)點(diǎn)的實(shí)現(xiàn)要能忠實(shí)地正確實(shí)現(xiàn)區(qū)塊鏈的共識(shí)協(xié)議;節(jié)點(diǎn)不能暴露不該暴露的API接口,導(dǎo)致黑客可以無障礙的獲取一些節(jié)點(diǎn)關(guān)鍵信息。無論是以太坊還是EOS都曾經(jīng)被爆出過比較嚴(yán)重的安全漏洞。這一部分安全也是至關(guān)重要的。
比如,2019年1月,EOS公鏈上的一系列競猜類游戲遭到了新型交易阻塞攻擊事件。中招應(yīng)用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等熱門DAPP。不同于以往頻發(fā)的隨機(jī)數(shù)或交易回滾攻擊等合約層的攻擊行為,這是一種利用底層公鏈缺陷而發(fā)起的攻擊行為。深入分析后發(fā)現(xiàn),這是存在于主網(wǎng)層的致命拒絕服務(wù)漏洞,攻擊者發(fā)起大量垃圾延遲交易導(dǎo)致EOS全網(wǎng)超級(jí)節(jié)點(diǎn)(BP)無法打包其它正常交易,即通過阻斷打包正常用戶的交易進(jìn)而癱瘓EOS網(wǎng)絡(luò)。
由于該漏洞本質(zhì)上屬于底層主網(wǎng)問題,任何DApp游戲,只要依賴如賬號(hào)余額或時(shí)間等相關(guān)鏈上因素產(chǎn)生隨機(jī)數(shù),都存在被攻擊的可能。這也是為什么在一月份出現(xiàn)大量EOS的DApp被攻擊的原因。EOS漏洞事件頻出,很多都是由于開發(fā)人員不嚴(yán)謹(jǐn)導(dǎo)致的,據(jù)了解,很多DApp背后只有1-2個(gè)程序員,連完整的測試人員都不存在,在這種情況下,漏洞出現(xiàn)的可能性就非常大,更可能被攻擊。
4. 底層共識(shí)協(xié)議
由目前市場上主流的區(qū)塊鏈共識(shí)協(xié)議有以下幾種,POW、POS、DPOS、PBFT。底層共識(shí)協(xié)議決定了區(qū)塊鏈整個(gè)架構(gòu)是否可信,能不能真正做到形成一個(gè)具有共識(shí)的區(qū)塊鏈。現(xiàn)在真正被證明安全的共識(shí)協(xié)議并不多,因?yàn)楣沧R(shí)協(xié)議本身無論從理論、還是從技術(shù)實(shí)現(xiàn)上都不簡單。而經(jīng)過長時(shí)間驗(yàn)證的共識(shí)協(xié)議是比較安全的,比如像比特幣的POW。 共識(shí)協(xié)議有一個(gè)不可能實(shí)現(xiàn)的三角關(guān)系:安全、去中心化和效率,這三者只能同時(shí)實(shí)現(xiàn)兩樣。如果追求效率,要么犧牲去中心化,要么犧牲安全。
理論上,基于底層共識(shí)協(xié)議創(chuàng)建的所有數(shù)字貨幣都是存在51%算力攻擊風(fēng)險(xiǎn)。今年上半年,就有至少4種數(shù)字貨幣分別受到了51%算力攻擊,分別是Monacoin 、Bitcoin Gold、Verge和Electroneum,給用戶造成數(shù)千萬美元損失。
5. 智能合約
智能合約是一套以數(shù)字形式定義的承諾(promises),包括合約參與方可以在上面執(zhí)行這些承諾的協(xié)議。任何參與方都能在應(yīng)用層創(chuàng)建合約,也就是所謂的DAPP(去中心化應(yīng)用)。這也是目前出現(xiàn)安全問題最多的地方。
智能合約安全隱患包含了三個(gè)方面:第一,有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二,是否可信。沒有漏洞的智能合約,未必就安全,合約要保證公平可信。 第三,符合一定規(guī)范和流程。由于合約的創(chuàng)建要求以數(shù)字形式來進(jìn)行定義承諾,所以如果合約的創(chuàng)建過程不夠規(guī)范,就容易留下巨大的隱患。
目前市場上很多智能合約均存在安全漏洞問題,比如,6月3日,安比實(shí)驗(yàn)室(SECBIT)發(fā)現(xiàn)Ethereum上出現(xiàn)81個(gè)合約帶有相同錯(cuò)誤,ERC20 Token合約中的transferFrom函數(shù)存在巨大隱患,一旦部署后出現(xiàn)問題,將造成不可挽回的損失;6月6日,安比實(shí)驗(yàn)室(SECBIT)發(fā)現(xiàn)ERC20代幣合約FXE由于業(yè)務(wù)邏輯實(shí)現(xiàn)漏洞,任何人都可以隨意轉(zhuǎn)出他人賬戶中的Token,Token隨時(shí)面臨徹底歸零風(fēng)險(xiǎn)。
6. 激勵(lì)機(jī)制設(shè)計(jì)
智能合約要完成協(xié)作,通常是要設(shè)計(jì)相應(yīng)的經(jīng)濟(jì)激勵(lì)機(jī)制。經(jīng)濟(jì)激勵(lì)是區(qū)塊鏈技術(shù)里面非常有突破性的一個(gè)概念。一個(gè)真正健康有活力的區(qū)塊鏈生態(tài),需要一個(gè)很好的激勵(lì)機(jī)制。但是經(jīng)濟(jì)激勵(lì)設(shè)計(jì)得不夠安全,可能生態(tài)就無法建設(shè)起來,比如典型的類龐氏游戲,這一點(diǎn)大家要警惕。
區(qū)塊鏈技術(shù)是一種有精神的、自帶正確價(jià)值觀的技術(shù),區(qū)塊鏈精神是公平、公信、公正、共治、可問責(zé)。這體現(xiàn)在區(qū)塊鏈上的協(xié)議和合約可以被機(jī)器忠實(shí)地執(zhí)行;區(qū)塊鏈上的交易公開透明,交易狀態(tài)經(jīng)過全網(wǎng)的節(jié)點(diǎn)共同確認(rèn),形成共識(shí);區(qū)塊鏈上的交易可追溯、可審計(jì)。對(duì)于技術(shù)人員來說,區(qū)塊鏈實(shí)際上是一個(gè)全新的、開放的平臺(tái)。這個(gè)平臺(tái)強(qiáng)調(diào)開放、共贏、創(chuàng)新,按貢獻(xiàn)來獲取激勵(lì),大家都是按照共識(shí)來發(fā)展。所以,區(qū)塊鏈平臺(tái)里面大部分都是開源的平臺(tái),這些平臺(tái)并沒有屬于某一家公司。
參考資料
[1]經(jīng)濟(jì)日?qǐng)?bào)《區(qū)塊鏈都不知道,還好意思刷朋友圈,看完這篇終于有底氣了》
[2]創(chuàng)業(yè)邦《鏈圈必讀一文看懂區(qū)塊鏈安全6大分類3大問題》
