2018年的區塊鏈市場風起云涌,各類項目如雨后春筍層出不窮,區塊鏈是一個新興的行業,我們尚且在小的人際圈子都懂得頭部效應的道理,面對區塊鏈市場的巨大紅利,誰敢佛系入場?前期蛋糕會越來越小,這是一種潛在的共識。所以說搶占先機就是當下市場的狀況。
從歷史的規律看,凡是一個新興的行業,都是一路摸爬滾打過來的,不可能一蹴而就。在這個發展過程中傳統的行業大多面臨的是發展、需求、普及的問題。而區塊鏈除了發展、需求、普及之外還面臨一個更加嚴峻的問題,毫無疑問那就是——安全。
馬云講:今天的區塊鏈不是五年后的區塊鏈,更不是十年后的區塊鏈。不可否認,在區塊鏈項目競爭如此激烈的環境下,大多數團隊都把注意力集中在技術的整合、共識機制的創建和項目的可落地這些地方。雖然安全沒有被忽略,但目前的安全性還處于很薄弱的狀態,
比如:對于區塊鏈中的共識算法,是否能實現并保障真正的安全,需要更嚴格的證明和時間的考驗。采用的非對稱加密算法可能會隨著數據、密碼學和計算技術的發展而變的越來越脆弱,未來可能具有一定的破解性。
此外,區塊鏈上包含賬戶安全的私鑰是否容易竊取仍待進一步探索。關于私鑰我們要理解一個問題,也是得益于《誰掌握了私鑰,誰就是比特幣的主人》這篇文章,私鑰的重要性好比打開你財產的鑰匙,鏈上的安全行為在目前來看還沒有破解的辦法(共識機制),是普遍安全的。
而在私鑰生成的那一刻,是需要通過網絡錢包、和手機轉入的,也就是說私鑰的存在是用鏈外的鑰匙來打開鏈內的鎖,鏈外的安全性也是一個隱患。
51%攻擊這個問題,一直以來還沒有完美的辦法來解決。而真實的區塊鏈網絡是自由開放的,所以,理論上,區塊鏈上無法阻止擁有足夠多計算資源的節點任何操作。在現實情況下,發起51%攻擊是具有一定可行性的。
當然,擁有足夠的算力并不會迅速破壞整個體系——至少不是短時間內,但可能會導致系統混亂。量子計算機的研發可能會讓不可逆變為可逆,當然我們只是在假設。
縱觀人類其實大多數時間都處于博弈的狀態,買菜講價是在博弈、工作競爭也是在博弈、商業談判也是在博弈,而博弈的結果要么讓一方無力反擊,要么達到雙方都認同的平衡。
比特幣的誕生顯然已經超出了這種平衡,而世界范圍內對比特幣是否有價值的爭論從未停止過,如何證明比特幣沒有價值,那就把比特幣的核心——安全,擊垮。中國有矛和盾的故事,放到區塊鏈時代同樣契合,區塊鏈安全之盾能否抵御未來之矛,誰都不敢下定義。
近日、作為歷史上最成功的ICO項目——EOS,被360的伏爾甘(Vulcan)團隊爆出巨大的BUG,EOS的市值在短時間內迅速跳水,市值蒸發數十億。從市場的反應來看,EOS的漏洞打破了整體市場的微妙處境,當大家都樂樂呵呵的打算著項目上線、落地,卻不料EOS的安全直接引起了市場的強烈反應,從EOS主導了幾天的輿論導向來看,沒有人不重視這個問題。
人們開始變得敏感,紛紛把項目幣兌換成狩獵幣(USDT之類的)。從長遠來看這是短期內的壞事,因為還蒙在鼓里的韭菜大多不明所以的被割了。從長期來看卻是又推動了區塊鏈的整體發展。
這一事件也表明在區塊鏈技術價值被人們肯定追捧的同時,其技術安全也開始引發關注。市場對區塊鏈的態度由盲目狂熱趨向理性客觀,在判斷項目的價值之前會將安全問題放在首位了,所以我說推動了區塊鏈的整體發展。因為這一事件,以后需要項目方通過切實可行的實際行動去逐漸消解,以求提升市場對區塊鏈技術應用前景和安全的信心。
針對EOS此次的被稱為“史詩級的漏洞”大致上可分析為:
由21個超級節點組成的EOS,任何一個超級節點遭到攻擊,那么對整個EOS的沖擊都是毀滅性的。360認為,在攻擊中,攻擊者會構造并發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,并觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等)被遠程控制。
攻擊者可以“為所欲為”,如竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易;獲取EOS網絡參與節點系統中的其他金融和隱私數據,例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。攻擊者也可以將EOS網絡中的節點變為僵尸網絡中的一員,發動網絡攻擊或變成免費“礦工”,挖取其他數字貨幣。好在及時的修復,并完成了安全層面的加強才得以暫時的解決,看來360說是史詩級,看來也不為過。
在《王峰十問》對話360創始人周鴻祎時,王峰問道:你認為區塊鏈企業自身應該采取哪些措施,加強區塊鏈的安全性?
周鴻祎:區塊鏈領域里面,我認為真正的安全問題其實還沒出來。通過這次披露EOS漏洞,我們希望是讓大家能夠重視區塊鏈安全問題。在網絡安全行業里,有兩種情況是最可怕的,一種是做沙漠里的鴕鳥,知道不改,還有一種是知道了不爆出來,最后被人利用,這兩個才是最可怕的。我最近還在提一個概念,叫“大安全”,簡單說,就是網絡安全的影響已經從最初簡單的信息安全,演變到現在,從線上到線下,都會受到網絡攻擊的威脅,并且新威脅越來越多。區塊鏈作為這兩年新火起來的技術,它遇到的安全威脅,我也把它歸到新威脅里面。
作為國內或者說是世界范圍內頂尖的安全團隊首腦周鴻祎談的問題,在充分的理解了之后,我的兩點感受:
一、區塊鏈的安全仍然像一把達摩克利斯之劍懸在頭頂
二、區塊鏈的安全發展會進入快車道。
這兩句話并不矛盾,就像我前面講到的矛與盾一樣,你創造我毀滅,你毀滅我創造,又回到了一種看不見的博弈狀態。這就是區塊鏈時代的安全哲學。
在區塊鏈的發展中我們常常以POW共識和POS共識為基礎算法,然而POW和POS共識的弊端也是一個共識的話題,在此基礎上,許多項目瞄準了將POW和POS共識的優點結合,比如DPOS,但DPOS被廣泛的認為去中心化程度不夠,因此在眾多共識中我發現了Skycoin創建的Obelisk共識。
Obelisk的核心是信任,然而信任與鏈上的安全是脫離不了的。Skywire網絡是疏性連接的,節點之間可以隨機或者根據信任互相訂閱,每個節點被賦予了兩種身份:發布者和訂閱者,即節點可以訂閱、接收其他節點的信息,也可以向訂閱自己的節點發布或者轉發自己收到的數據,同時,如果某個直接相連的節點發布了惡意或者不恰當的信息,可以將其拉黑,切斷和它的直接聯系。
Obelisk在信息傳播途徑上建立了公共廣播頻道,這樣的網絡結構不同于比特幣系統的網絡結構,比特幣系統中,每個節點發布的消息都要全網廣播,所有節點接收,在Obelisk中,節點只接收自己訂閱的節點信息。在Obelisk中,所有節點都可以發布消息,下游節點對收到消息進行校驗之后繼續向下游轉發,達到消息在全網絡的傳播。這個過程中,每個節點的ID只向與之連接的節點公開,這樣就保證了節點的隱私,不過,通過消息的轉發,同樣可以收到沒有訂閱的節點發出的消息。
在這種疏性連接的網狀網絡中,每個節點的行為都會記錄在個人區塊鏈中,公開透明,一旦作惡立刻會被發現,與其直接相連的節點會取消訂閱,弱化該節點的網絡連接,同時信任度高的節點就會擁有更過的訂閱者,對這個系統的影響力越大。我們可以這樣理解,信任度低的網絡連接弱,信任度高的網絡連接強。這種網絡關系的強弱對信息的接受影響不大,即使一個節點至于幾個節點直接相連,隨著信息傳遞范圍的擴大,最終也會收到信息,但是它會影響出塊。
因為,在出塊過程中,信任度高的節點收到的信息是全面的,而且傳播的會更廣,信任度低的節點可能無法接收到所有的交易信息,傳播也有限,作為接受出塊信息的共識節點,會對自己收到的哈希數據進行統計,選擇相同數據最多的那個儲存(交易信息相同的區塊具有相同的數據哈希),而這個哈希數據必然是信任度最高、傳播最廣的。
可以夸張一點的講,我們正在往區塊鏈的一個新的轉折點——安全共識時代邁進,在這個時代,一個好的共識,可以在未來的競爭中占領安全、技術、便捷高地,未來已來。
