2018年的区块链市场风起云涌,各类项目如雨后春笋层出不穷,区块链是一个新兴的行业,我们尚且在小的人际圈子都懂得头部效应的道理,面对区块链市场的巨大红利,谁敢佛系入场?前期蛋糕会越来越小,这是一种潜在的共识。所以说抢占先机就是当下市场的状况。
从历史的规律看,凡是一个新兴的行业,都是一路摸爬滚打过来的,不可能一蹴而就。在这个发展过程中传统的行业大多面临的是发展、需求、普及的问题。而区块链除了发展、需求、普及之外还面临一个更加严峻的问题,毫无疑问那就是——安全。
马云讲:今天的区块链不是五年后的区块链,更不是十年后的区块链。不可否认,在区块链项目竞争如此激烈的环境下,大多数团队都把注意力集中在技术的整合、共识机制的创建和项目的可落地这些地方。虽然安全没有被忽略,但目前的安全性还处于很薄弱的状态,
比如:对于区块链中的共识算法,是否能实现并保障真正的安全,需要更严格的证明和时间的考验。采用的非对称加密算法可能会随着数据、密码学和计算技术的发展而变的越来越脆弱,未来可能具有一定的破解性。
此外,区块链上包含账户安全的私钥是否容易窃取仍待进一步探索。关于私钥我们要理解一个问题,也是得益于《谁掌握了私钥,谁就是比特币的主人》这篇文章,私钥的重要性好比打开你财产的钥匙,链上的安全行为在目前来看还没有破解的办法(共识机制),是普遍安全的。
而在私钥生成的那一刻,是需要通过网络钱包、和手机转入的,也就是说私钥的存在是用链外的钥匙来打开链内的锁,链外的安全性也是一个隐患。
51%攻击这个问题,一直以来还没有完美的办法来解决。而真实的区块链网络是自由开放的,所以,理论上,区块链上无法阻止拥有足够多计算资源的节点任何操作。在现实情况下,发起51%攻击是具有一定可行性的。
当然,拥有足够的算力并不会迅速破坏整个体系——至少不是短时间内,但可能会导致系统混乱。量子计算机的研发可能会让不可逆变为可逆,当然我们只是在假设。
纵观人类其实大多数时间都处于博弈的状态,买菜讲价是在博弈、工作竞争也是在博弈、商业谈判也是在博弈,而博弈的结果要么让一方无力反击,要么达到双方都认同的平衡。
比特币的诞生显然已经超出了这种平衡,而世界范围内对比特币是否有价值的争论从未停止过,如何证明比特币没有价值,那就把比特币的核心——安全,击垮。中国有矛和盾的故事,放到区块链时代同样契合,区块链安全之盾能否抵御未来之矛,谁都不敢下定义。
近日、作为历史上最成功的ICO项目——EOS,被360的伏尔甘(Vulcan)团队爆出巨大的BUG,EOS的市值在短时间内迅速跳水,市值蒸发数十亿。从市场的反应来看,EOS的漏洞打破了整体市场的微妙处境,当大家都乐乐呵呵的打算着项目上线、落地,却不料EOS的安全直接引起了市场的强烈反应,从EOS主导了几天的舆论导向来看,没有人不重视这个问题。
人们开始变得敏感,纷纷把项目币兑换成狩猎币(USDT之类的)。从长远来看这是短期内的坏事,因为还蒙在鼓里的韭菜大多不明所以的被割了。从长期来看却是又推动了区块链的整体发展。
这一事件也表明在区块链技术价值被人们肯定追捧的同时,其技术安全也开始引发关注。市场对区块链的态度由盲目狂热趋向理性客观,在判断项目的价值之前会将安全问题放在首位了,所以我说推动了区块链的整体发展。因为这一事件,以后需要项目方通过切实可行的实际行动去逐渐消解,以求提升市场对区块链技术应用前景和安全的信心。
针对EOS此次的被称为“史诗级的漏洞”大致上可分析为:
由21个超级节点组成的EOS,任何一个超级节点遭到攻击,那么对整个EOS的冲击都是毁灭性的。360认为,在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。攻击者也可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。好在及时的修复,并完成了安全层面的加强才得以暂时的解决,看来360说是史诗级,看来也不为过。
在《王峰十问》对话360创始人周鸿祎时,王峰问道:你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?
周鸿祎:区块链领域里面,我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。我最近还在提一个概念,叫“大安全”,简单说,就是网络安全的影响已经从最初简单的信息安全,演变到现在,从线上到线下,都会受到网络攻击的威胁,并且新威胁越来越多。区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。
作为国内或者说是世界范围内顶尖的安全团队首脑周鸿祎谈的问题,在充分的理解了之后,我的两点感受:
一、区块链的安全仍然像一把达摩克利斯之剑悬在头顶
二、区块链的安全发展会进入快车道。
这两句话并不矛盾,就像我前面讲到的矛与盾一样,你创造我毁灭,你毁灭我创造,又回到了一种看不见的博弈状态。这就是区块链时代的安全哲学。
在区块链的发展中我们常常以POW共识和POS共识为基础算法,然而POW和POS共识的弊端也是一个共识的话题,在此基础上,许多项目瞄准了将POW和POS共识的优点结合,比如DPOS,但DPOS被广泛的认为去中心化程度不够,因此在众多共识中我发现了Skycoin创建的Obelisk共识。
Obelisk的核心是信任,然而信任与链上的安全是脱离不了的。Skywire网络是疏性连接的,节点之间可以随机或者根据信任互相订阅,每个节点被赋予了两种身份:发布者和订阅者,即节点可以订阅、接收其他节点的信息,也可以向订阅自己的节点发布或者转发自己收到的数据,同时,如果某个直接相连的节点发布了恶意或者不恰当的信息,可以将其拉黑,切断和它的直接联系。
Obelisk在信息传播途径上建立了公共广播频道,这样的网络结构不同于比特币系统的网络结构,比特币系统中,每个节点发布的消息都要全网广播,所有节点接收,在Obelisk中,节点只接收自己订阅的节点信息。在Obelisk中,所有节点都可以发布消息,下游节点对收到消息进行校验之后继续向下游转发,达到消息在全网络的传播。这个过程中,每个节点的ID只向与之连接的节点公开,这样就保证了节点的隐私,不过,通过消息的转发,同样可以收到没有订阅的节点发出的消息。
在这种疏性连接的网状网络中,每个节点的行为都会记录在个人区块链中,公开透明,一旦作恶立刻会被发现,与其直接相连的节点会取消订阅,弱化该节点的网络连接,同时信任度高的节点就会拥有更过的订阅者,对这个系统的影响力越大。我们可以这样理解,信任度低的网络连接弱,信任度高的网络连接强。这种网络关系的强弱对信息的接受影响不大,即使一个节点至于几个节点直接相连,随着信息传递范围的扩大,最终也会收到信息,但是它会影响出块。
因为,在出块过程中,信任度高的节点收到的信息是全面的,而且传播的会更广,信任度低的节点可能无法接收到所有的交易信息,传播也有限,作为接受出块信息的共识节点,会对自己收到的哈希数据进行统计,选择相同数据最多的那个储存(交易信息相同的区块具有相同的数据哈希),而这个哈希数据必然是信任度最高、传播最广的。
可以夸张一点的讲,我们正在往区块链的一个新的转折点——安全共识时代迈进,在这个时代,一个好的共识,可以在未来的竞争中占领安全、技术、便捷高地,未来已来。
