“黑客”這個詞,相信大家再熟悉不過了。自從互聯網誕生以來,黑客就成了以高超手段盜取用戶信息的代名詞。然而,現在黑客也越來越與時俱進了:美國甲骨文公司旗下的PeopleSoft軟件公司,不久前就發生了黑客襲擊事件。按照常理來說,一般用戶系統被侵入后,都會發生數據泄露。
數據泄露……咦,這怎么聽起來有點像Facebook?
小扎:老子國會都道完歉了好嗎!你還有完沒完!
話說這黑客侵入系統以后,轉了一圈,竟然沒動數據!
啥情況?
緊接著,這個叫PeopleSoft的公司發現自己的電費突然開始猛增。原來,這名黑客利用這家公司的CPU挖了611個門羅幣,價值22多萬美元!
這個“笑話”似乎告訴我們,未來世界最值錢的可能不是數據,而是算力哦!
看來,這傳統意義上的數據安全,在區塊鏈的世界要被重新定義了。那么針對于區塊鏈,會存在哪些層面的安全問題?目前又有哪些可以解決得措施?
今天,小探請到了位于硅谷的丹華資本董事總經理JudyYan,來給大家講講區塊鏈世界的安全問題。
區塊鏈:我招誰惹誰了?
話說區塊鏈自從出現以來,關于區塊鏈安全問題產生的奇葩故事就不少。除了交易所被盜,許多區塊鏈項目自身的Bug也層出不窮。作為區塊鏈投資人的Judy,對這些故事可謂如數家珍。
最著名的黑客攻擊事件要數TheDAO。早在2016年,這個平臺被盜了高達1.5個億美金的ETH。攻擊者利用了遞歸調用splitDAO函數這一技術層面的漏洞,這起事件同時也暴露了智能合約安全性的早期缺陷。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,6月11日,Bakkt比特幣月度期貨合約日交易額為1294萬美元,同比上升120%,未平倉合約量為1236萬美元,同比下降3%。[2020/6/12]
而去年ParityMultisig電子錢包版本1.5的漏洞被發現,使得攻擊者從三個高安全的多重簽名合約中竊取到超過15萬ETH。而這個漏洞竟然是工程師一不小心在編程時寫了一個不閉合的函數。
而另一個項目IOTA前一階段被詬病大跌的原因是底層最關鍵的哈希加密函數不工作。
就在今年三月,BEC爆出ERC20協議安全漏洞,攻擊者利用整數溢出BUG,可無限生成代幣,直接導致BEC幣值跳水,幾乎歸零。
如此種種的事件的發生,讓人們不得不重新面對區塊鏈的安全問題。
據Judy回憶,菩提去年在Qtum上進行合約部署時,雖然當時有很多人質疑Qtum能不能上線,合約部署是否會使得運行機制癱瘓等問題,但是Judy只問了菩提和量子一個最簡單問題:
用戶會不會丟了資產?
這個問題聽著很簡單,實際上反映了所有區塊鏈都是建立在安全信任的基礎上,吞吐量等問題都可以被犧牲,慢慢改進;但如果丟了數字資產,整個系統就不會再有人使用。
“安全,是唯一不能犧牲的因素。”
在Judy看來,公鏈的安全、智能合約的安全、云安全這三個層面都是未來最值得關注的區塊鏈安全層面。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,5月26日,Bakkt比特幣月度期貨合約單日交易額為3505萬美元,同比增長185%,未平倉合約量為757萬美元,同比下降6%。[2020/5/27]
其實在做區塊鏈安全的項目有很多。比如:Zeppelin是一個社區驅動項目,它構建了安全智能合約的開源架構,目的在于實現安全智能合約的開發。目前有很多優質的海外區塊鏈項目都采用了Zeppelin的智能合約安全服務。
Quantstamp是一家智能合約的安全審計平臺,而且還是為數不多的、被YC錄取的區塊鏈公司哦!小探也在之前名為《錯過了區塊鏈第一波淘金熱?這家公司“賣鏟子”被YC相中》的文章中介紹過。
區塊鏈公司Axoni不是一家專門做智能合約安全的公司。但他們最近也在專注與形式化驗證技術。開發了專門服務于形式化驗證的智能合約語言Axlong。
其中,Certik是一家用形式化驗證為智能合約和區塊鏈應用提供安全性服務的公司。形式化應用?這個聽起來好像很有故事!在講故事之前,咱們先看看為什么智能合約和公鏈容易出現安全問題?
公鏈、智能合約的安全誰能承包?
我們先來看智能合約為什么容易出現安全問題。
第一,不可逆性:智能合約一旦發布在區塊鏈上,合約的源代碼是無法被修改的。
第二,代碼開源:在平時不公開源代碼的情況下都能被黑客攻擊,更何況大多數區塊鏈項目的代碼都是開源的。開源只會讓黑客的攻擊將變得更加容易。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,4月2日,Bakkt比特幣月度期貨合約單日交易額為1874萬美元,環比上升85%,未平倉合約量為502萬美元,環比上升11%。[2020/4/3]
第三,成本高:如果將智能合約放在區塊鏈上進行不斷的安全測試,資產的不斷轉換會是一筆很大的開銷。
第四,思維設限:即使開發者會預想智能合約在哪些情況下會遭攻擊,再針對這些情景測試,但黑客的厲害之處在于,可以從程序員預想之外的路徑下手。
由于智能合約在安全上存在的這四個方面問題,從而導致區塊鏈上的數字資產很容易被黑客掠奪。
對于公鏈上產生的問題,Judy用了一個清晰明了的比方來說明。
Judy認為,區塊鏈,尤其是在智能合約出現之后,是個兩層的結構。其中一層為公鏈,在其上運行智能合約。由于公鏈是一種開源的架構,智能合約的開發者每個人都可以在上面可以寫一段腳本。
然而,這也是問題存在的根源:由于每個開發者動能用,所以在公鏈上書寫腳本時,往往會帶來意想不到的“副作用”。
這是什么意思呢?Judy給小探舉了個例子:
“假如我要在以太坊上寫一個智能合約,我寫這段智能合約的目的是A,但是我并不會預料出當A完成時,同時會出現副作用B,而B很有可能會使得公鏈系統癱瘓掉。”
那有沒有辦法提前得知是否會出現副作用B而避免悲劇的發生呢?
獨家 | 嘉楠耘智區塊鏈CEO:目前已經在挖礦的礦工在減半前的算力優勢比較明顯:金色財經報道,今日,嘉楠耘智區塊鏈CEO邵建良接受記者采訪,面對“這次疫情對整個礦業(對礦工,礦商)會有什么影響?如果疫情持續,是否會影響礦業“決戰”減半前的最后一個豐水期?”問題時表示,對于礦工和礦商來說,原本正常的業務計劃都因為疫情的原因產生了一定的困難。主要是因為員工的復工和物流的運輸都受到了疫情的阻礙。
如果疫情不能夠在短期內結束,確實會產生一定的影響,但是礦業相對于其他行業來說,自動化程度比較高,受到的影響比較有限。目前已經在挖礦的礦工相對來說比較穩妥,在減半前的算力優勢比較明顯。新增算力因為疫情的原因相信也會有所推遲。[2020/2/7]
還真有!Certik使用的形式化驗證就是目前解決這一問題的最佳方式。
什么是形式化驗證呢?
根據CertiK聯合創始人顧榮輝教授的講述,形式化驗證就是:用邏輯語言來描述規范,通過嚴謹的數學推演來檢查給定的系統是否滿足要求。
簡而言之,形式化驗證的作用就是讓你只完成A的目的,而不會產生副作用B。
Judy認為,對于形式化驗證,我們要從兩個維度來看。
在傳統維度上,形式化驗證是一個統計學的概率問題。
比如說,如果你能計算出在執行A目的時90%的可能性系統不會出問題,那么對于一個手機應用APP的研發可能就足夠了。換句話說,傳統維度上大家只需要做“計算題”算出安全運行的概率就可以了。
獨家 | BTC資金連續兩日凈流出,24小時凈流出18.41億元:根據AICoin數據顯示,24小時資金凈流入排名中ETH排名第一, 24小時凈流入2.64億元人民幣;LTC24小時資金凈流入排名第二,24小時凈流入2.02億元人民幣;PAX24小時金凈流入排名第三,24小時凈流入1.99億元人民幣。TRX 24小時資金凈流入排名第四,24小時資金凈流入1.95億元人民幣;XMR24小時資金凈流入排名第五,24小時資金凈流入1.42億元人民幣。BTC連續兩日凈流出,24小時凈流出18.41億元人民幣。[2020/2/4]
但是在區塊鏈的世界,我們需要的,是確確實實100%地確定我們在執行A目的時,不會有副作用B產生,底層系統不會受到任何因素的影響。那么顯然需要我們進行完備性驗證。
怎么保證100%不會出錯呢?有兩種辦法:用人工檢查來證明,或者用算法證明。目前雖然有許多做人工驗證的區塊鏈項目,但是耗時多,成本高——畢竟在現在的人才市場上,有能力、有意愿免費為你檢查的白帽黑客很有限。
那么算法證明又怎樣呢?我們來看看CertiK是怎么做的。
具體來看,CertiK的驗證過程體現了化整為零的解題思想,將一個難以證明的大問題拆分為許多容易證明的小問題,然后再將證明過的小問題重新組合回分解之前的較難的大問題,并且保證其中從端到端的正確性。
在這個過程中,這些小問題都將發送給整個社區,社區的開發者們可以利用CertiK提供的方法,也可以運用自己的算法來證明這些問題。一旦某個問題通過多方獨立的開發者的驗證,那么其便可以用來作為建立其他理論的依據,從而形成互助協作的技術機制和良好的社區氛圍。
CertiK背后的團隊陣容也十分強大:CertiK的聯合創始人顧榮輝從清華大學本科畢業,耶魯大學的博士,現為哥倫比亞大學計算機系助理教授。
另一位聯合創始人邵中,是形式化驗證的最有成就的科學家,耶魯大學計算機系的主任和ThomasL.Kempner冠名教授,有20余年的安全領域經驗。
未來:如何保證云上的安全?
說完了如何保證公鏈和智能合約的安全,我們來看一看目前區塊鏈世界十分流行的云安全。
在講云安全之前,Judy首先從目前最炙手可熱的DPOS(delegatedProofofStake)講起。
我們都知道POW和POS是區塊鏈的兩種共識機制。那么共識機制DPOS相比較于這兩種共識機制其特點如何呢?
首先,應用DPOS時,社區成員不必再同話語權極大的曠工打交道了,省了不少事。
其次,DPOS上的應用開發進度更快。雖然整個系統犧牲了“去中心化”,但是提高了scalability,從而讓DPOS公鏈上可以做出更多DAPP。
“DPOS在2018年的發展一定會更快,”Judy評論道。
然而這么高效的系統,不是沒有問題。由于在DPOS上存在中心化的交易,交易所首先可能會成為黑客們攻擊的對象。尤其是超級節點的存在,很可能最先成為攻擊的靶子。而這些超級節點大多在云服務器上運行。那么對于整個平臺來說,如何保證云安全就顯得格外重要了。
那么有沒有什么辦法可以保證云安全?還真有!
小探認識的InfinityStones就是一家給節點做安全維護的區塊鏈公司。
《復仇者聯盟3》開始上映,大家對InfinityStone一定不陌生。這家公司做的也像漫威一樣炫酷!
具體看來,InfinityStones率先認識到了計算機安全在dpos區塊鏈世界中的重要“基石”作用。如果這些超級節點被惡意攻擊,那么節點上運行的智能合約可能被阻塞甚至篡改。
而區塊鏈軟件的開源和開放的特性使得很多傳統的安全手段無法達到有效的防護。針對這些痛點,InfinityStones提出了自己的加密計算解決方案,已經在多個云計算平臺上部署。InfinityStones平臺上運行的操作系統和編譯過程都由公司定制開發,所有敏感數據的存儲和傳輸都將加密。并且,7x24小時的不間斷監控和預警系統,讓所有系統層的安全漏洞都能在第一時間內被發現和修補。
有了這顆定心丸,云上的安全問題看來也不難解決了!
在采訪的最后,Judy談到,相比較于傳統行業,區塊鏈的安全維護會更加具有挑戰。
“例如,我們使用BankofAmerica的網絡賬戶時,這背后的計算都是閉源的,開放給客戶的內容是很小的一部分。并且,BOA所遵循的一套算法很少有人能知道,所以維護其安全相對比較容易。然而區塊鏈就不同了。由于區塊鏈是一個透明的實際,代碼會公開,所以其安全維護的挑戰性也會更大。”
想聽更多關于區塊鏈安全的話題?
硅谷密探繼今年一月在舊金山成功舉辦區塊鏈大會后,今年6月26日-27日將在圣荷塞再次舉辦盛況更加空前的BlockchainConnectConference!在此次大會上,區塊鏈安全領域的重量級嘉賓將對區塊鏈安全問題再次進行深入探討。
來源鏈接:None
本文來源于非小號媒體平臺:
硅谷區塊鏈
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626813.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
美國銀行再噴加密貨幣,稱其缺乏透明度妨礙抓壞人
幣換天下繁星計劃正式啟動,并將于2019年5月22上線新版端口APP,千種產品,物美價廉。根據電商的起源發展來看當前種類多,價格低,不一定就會造成人人需要,人人買單的結果.
1900/1/1 0:00:005月8日凌晨0:00至5月15日23:00活動期間,參與交易XGP/BTC和XGP/USDT的用戶將按活動期間個人XGP交易量,排在前10名的用戶可以獲得大賽獎勵.
1900/1/1 0:00:00韓國加密貨幣交易所Korbit宣布將不再支持五種加密貨幣的交易,分別是:Dash、Monero、Zcash、Augur和Steem.
1900/1/1 0:00:00尊敬的BITKER用戶:BITKER將于2019年4月18日17點正式開放: ?MAID/USDT ?MAID/BTC ?MAID/ETH交易對.
1900/1/1 0:00:00Hacktocreate,除了這個之外,我們確實都是普通人。而且具備「Hacktocreate」能力的人,這個世界也很多很多.
1900/1/1 0:00:005月20日,新華網受權發布《中共中央、國務院發布關于深化改革加強食品安全工作的意見》。互鏈脈搏觀察,意見有提到,推進“互聯網食品”監管.
1900/1/1 0:00:00