区块链的安全共识时代
2018年的区块链市场风起云涌,各类项目如雨后春笋层出不穷,区块链是一个新兴的行业,我们尚且在小的人际圈子都懂得头部效应的道理,面对区块链市场的巨大红利,谁敢佛系入场?前期蛋糕会越来越小,这是一种潜在的共识,比之POW、POS共识应用要广泛。所以说抢占先机就是当下市场的状况。
从历史的规律看,凡是一个新兴的行业,都是一路摸爬滚打过来的,不可能一蹴而就。在这个发展过程中传统的行业大多面临的是发展、需求、普及的问题。而区块链除了发展、需求、普及之外还面临一个更加严峻的问题,毫无疑问那就是——安全。
马云讲:今天的区块链不是五年后的区块链,更不是十年后的区块链。不可否认,在区块链项目竞争如此激烈的环境下,大多数团队都把注意力集中在技术的整合、共识机制的创建和项目的可落地这些地方。虽然安全没有被忽略,但目前的安全性还处于很薄弱的状态,比如:对于区块链中的共识算法,是否能实现并保障真正的安全,需要更严格的证明和时间的考验。采用的非对称加密算法可能会随着数据、密码学和计算技术的发展而变的越来越脆弱,未来可能具有一定的破解性。
此外,区块链上包含账户安全的私钥是否容易窃取仍待进一步探索。关于私钥我们要理解一个问题,也是得益于《谁掌握了私钥,谁就是比特币的主人》这篇文章,私钥的重要性好比打开你财产的钥匙,链上的安全行为在目前来看还没有破解的办法(共识机制),是普遍安全的,而在私钥生成的那一刻,是需要通过网络钱包、和手机转入的,也就是说私钥的存在是用链外的钥匙来打开链内的锁,链外的安全性也是一个隐患。
51%攻击这个问题,一直以来还没有完美的办法来解决。而真实的区块链网络是自由开放的,所以,理论上,区块链上无法阻止拥有足够多计算资源的节点任何操作。在现实情况下,发起51%攻击是具有一定可行性的。当然,拥有足够的算力并不会迅速破坏整个体系——至少不是短时间内,但可能会导致系统混乱。量子计算机的研发可能会让不可逆变为可逆,当然我们只是在假设。从最近ZEN于美国东部时间6月2日早上10点43分遭受51%攻击,此次攻击涉及1.96万枚ZEN,价值约55万美元的事件来看,安全问题已经成为了区块链发展进程中绊脚石。
纵观人类其实大多数时间都处于博弈的状态,买菜讲价是在博弈、工作竞争也是在博弈、商业谈判也是在博弈,而博弈的结果要么让一方无力反击,要么达到双方都认同的平衡。比特币的诞生显然已经超出了这种平衡,而世界范围内对比特币是否有价值的争论从未停止过,如何证明比特币没有价值,那就把比特币的核心——安全,击垮。中国早年间流传了一个矛和盾的故事,放到区块链时代同样契合,区块链安全之盾能否抵御未来之矛,谁都不敢下定义。
还有,作为历史上最成功的ICO项目——EOS,被360的伏尔甘(Vulcan)团队爆出巨大的BUG,EOS的市值在短时间内迅速跳水,市值蒸发数十亿。从市场的反应来看,EOS的漏洞打破了整体市场的微妙处境,当大家都乐乐呵呵的打算着项目上线、落地,却不料EOS的安全直接引起了市场的强烈反应,从EOS主导了几天的舆论导向来看,没有人不重视这个问题。人们开始变得敏感,纷纷把项目币兑换成狩猎币(USDT之类的)。从长远来看这是短期内的坏事,因为还蒙在鼓里的韭菜大多不明所以的被割了。从长期来看却是又推动了区块链的整体发展。
这一事件也表明在区块链技术价值被人们肯定追捧的同时,其技术安全也开始引发关注。市场对区块链的态度由盲目狂热趋向理性客观,在判断项目的价值之前会将安全问题放在首位了,所以我说推动了区块链的整体发展。当然、因为这一事件,以后需要项目方通过切实可信的实际行动去逐渐消解,以求提升市场对区块链技术应用前景和安全的信心。
针对EOS此次的被称为“史诗级的漏洞”大致上可分析为:
由21个超级节点组成的EOS,任何一个超级节点遭到攻击,那么对整个EOS的冲击都是毁灭性的。360认为,在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。攻击者也可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。好在及时的修复,并完成了安全层面的加强才得以暂时的解决,看来360说是史诗级,看来也不为过。
在《王峰十问》对话360创始人周鸿祎时,王峰问道:你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?
周鸿祎:区块链领域里面,我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。我最近还在提一个概念,叫“大安全”,简单说,就是网络安全的影响已经从最初简单的信息安全,演变到现在,从线上到线下,都会受到网络攻击的威胁,并且新威胁越来越多。区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。
作为国内或者说是世界范围内顶尖的安全团队首脑周鸿祎谈的问题,在充分的理解了之后,我的两点感受:
一、区块链的安全仍然像一把达摩斯之剑悬在头顶
二、区块链的安全发展会进入快车道。
这两句话并不矛盾,就像我前面讲到的矛与盾一样,你创造我毁灭,你毁灭我创造,又回到了一种看不见的博弈状态。这就是区块链时代的安全哲学。