LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 新闻观点 > 大咖对话:区块链技术应用落地,存在什么安全问题?

大咖对话:区块链技术应用落地,存在什么安全问题?

2020-08-11 新基建 来源:火星财经
黄永彬,邓永凯,徐刚大咖对话:区块链技术应用落地,存在什么安全问题?


近日,《耳朵财经》完成了新一轮区块链长征活动,本次活动邀请到了零时科技CEO 邓永凯、区块链专利联盟秘书长 黄永彬、云链科技CEO 徐刚三位嘉宾与耳朵财经记者小玲儿共同进行了《区块链技术应用落地,存在什么安全问题?》的大咖对话。

以下为对话内容:

问题1:区块链的一大特性是不可更改,能永久保存。在追求数据上链的同时,也容易造成大量垃圾数据攻击堵塞区块链,使有效信息和信息延迟无法被处理。请问各位嘉宾如何看待这一现象?

零时科技CEO 邓永凯:

首先简单说一下,区块链的特性:数据不可篡改,而且永久保存。这个话题让我想到看过的一个文章,文章里面当时有一句话说:

如果我们不谨慎的话,大多数公共区块链将沦落到《机器人总动员》中地球的命运,注定将成为废弃的古代垃圾资源库:不是物理垃圾,而是垃圾数据,无关紧要,不合时宜且已被弃置的数据。

当时看到这句话很有感触,比特币限制区块的大小,就是不鼓励大家在链上插入非交易数据。

但ETH、EOS这些竞争者怎么干?

它们会改变区块的大小,也可以随机往链上存储一些备注数据,而且目前这些其实已经产生了明显的影响。比如EOS,打开区块浏览器会发现你的账户里存在大量垃圾广告信息,而且这种信息无法删除,永久留痕。长此以往它就失去了公链真正的功能和意义。

所以现在很多区块链应用都基于联盟链的机制来做,因为它的接入受限制。联盟链可以接受一些相对大体系的数据,但写入数据需经过授权才行。根据我们审计的一些联盟链的应用,目前应用中的大部分链上也不会存储原始数据。

只把跟交易相关以及需要验证的重要数据存储在链上,所以公开的区块链的链上数据插入以及垃圾数据的插入,目前也是一个比较大的风险和问题。

区块链专利联盟秘书长 黄永彬:

大家都知道,水能载舟,亦能覆舟。技术是无罪的,关键是大家想怎么用。我们联盟顾问方主任的团队主要做一些大陆互联网数据的全方位监控,例如P2P、第三方支付、区块链等数据的全程监控。

最近方主任在互联网大会上表示,随着互联网时代的发展,这些数据的成本越来越低。现在每天都会产生超过过去几十年甚至几百年的信息总和,其中90%以上都是垃圾信息。

为什么会有垃圾信息呢?主要是人类具有欺骗性,这些都是我们人类自己制造的麻烦。

区块链是分布式的数据库账本技术,该技术方案致力追求在缺乏互相信任的分布式网络环境下,实现交易的安全性、公允性,达成数据的高度一致性,防篡改、防作恶、可追溯。

我们要合理利用区块链技术进行信息溯源,同时在保证实名制的情况下,我们是可以有效杜绝垃圾信息,而后保证数据不会篡改,以发挥信息该有的价值。

云链科技CEO 徐刚:

针对区块链上数据永久保存,但同时会造成大量的垃圾数据堵塞区块链的问题,我个人认为最主要的原因是底层技术的发展还不够成熟。

这类比互联网也是一样,在互联网初期,最早出现的信息都是0101。而现在整个计算机码还是这样,再后来是邮箱发信息,最后到数字、视频、语音以及各方面发展到如今的状态。

我认为技术发展是本质原因。目前数据上链肯定存在,也存在很多垃圾数据。比如现在很多数据对个人或机构来说,90%的信息无用。这90%的信息,我们称之为垃圾信息,但这可能对其他人有用。

正因为各式各样的信息充斥在一起才形成了互联网,所以我们在互联网上什么都能搜到。如果要想把区块链未来做成跟互联网一样的生态,底层发展还有待提高,路程还远。

与此同时,这也意味着机会还有很多。就线下的情况来看,有一些链只能做一些交易的信息存储,现在已经出来的包括EOS可存储一些备注信息。

最近内容存储的链也出来了,这是向前发展的过程。我认为应进行选择,例如摒弃一些不好的、有害于社会的信息。

未来还需大家统一数字身份的问题。如果未来底层统一,可能就是公链之争。公链支撑底层,可能每个人在区块链世界中都会有一个数字身份,就是ID。在这个前提下,所有的上面信息都是由一个个ID形成,根据区块链特性,它可以进行溯源,也可有效防止一些垃圾信息。

如果你的垃圾信息确实有害,可溯源到你,当然这可能需要很长一段时间的发展。就目前而言,这还属于发展较早期,这些数据的问题可以考虑,但不必过多纠结。

因为现实面临的问题是大家觉得存在链上还不如存在互联网上方便,所以这有一个发展过程。

这个问题目前受底层限制,但未来则并不一定。未来如果区块链底层成熟,可能这问题也会随之消失。我们往前看,比如在2000年无法想象用一个手机就可以打车,这就是技术的发展。

有可能区块链发展五年或十年后这些问题就都不是问题,它速度也会像互联网一样快捷、方便及舒适,但又具备整个区块链底层的特征:分布式,永不篡改。

问题2:目前现有的共识机制并不完美,但还未能设计出更安全且更快的共识机制,为了最大限度保证应用项目的安全, 那么在选择共识机制时,需考虑哪些因素?

零时科技CEO 邓永凯:

其实这个问题涉及区块链的不可能三角问题,不可能三角是指区块链的去中心化、安全性及可扩展性三者不能同时满足,或是三者只能选择其二。

从本质上来说,我之前也给大家提过这可能是一个不严谨的说法。因为区块链不一定是没有办法满足这三点或是不一定去掉其中一个,另外两个就可以很完美,它并非如此。

举例来说,比特币用的是PoW工作量证明共识,它的安全性最好,但性能较差。以太坊目前是PoW,可能后面会转PoS,但以太坊在安全性上仅次于比特币。EOS是DPoS共识,它的性能相对较好,但牺牲了去中心化,故它的攻击成本相对于以太坊和比特币就低。

万事不会十全十美,鱼和熊掌也不能兼得。但可能在区块链技术应用落地时,针对不同的应用场景需选择不同的共识来做技术支撑。

所以在设计区块链应用时,具体还得分析你当前的应用场景是什么,是考虑安全性,还是可扩展性,根据不同的需求选择不同的共识算法以满足设计需求。

区块链专利联盟秘书长 黄永彬:

区块链技术目前还处于早期阶段,共识机制如PoW工作量证明、PoS股权证明、DPoS授权股权证明、Paxos、PBFT(实用拜占庭容错算法)、dBFT、DAG(有向无环图),为了最大限度保证应用项目的安全,那么在选择共识机制时,应该参考各机制优缺点做出权衡:

PoW优点:结果能被快速验证,系统承担的节点量大,作恶成本高进而保证矿工的自觉遵守性。缺点:需要消耗大量的算法,达成共识的周期较长。

PoS优点:缩短达成共识所需的时间,比工作量证明更加节约能源。缺点:本质上仍然需要网络中的节点进行挖矿运算,转账真实性较难保证。

DPoS优点:缩小参与验证和记账节点的数量,从而达到秒级的共识验证。缺点:无法摆脱对于代币的依赖,不能完美解决区块链在商业中的应用问题。

作为参考,我们专利联盟使用的PoW+VDPOS机制,目前该区块链系统已经通过第三批网信办备案,并已经申请国内国际发明专利,我们自主研发的区块链基础平台将在VDPoS共识的基础上进行分片,进一步提高区块链的TPS。

我们使用多主链+多子链的混合架构,为全球第一个使用此种混合架构的区块链。根据整个区块链的资源利用情况自动对超级节点进行分片,形成多主链并行出块模式,充分利用网络资源和超级节点资源,极大的提高出块速度,增加区块链的垂直扩展性;同时在主链之上可以根据应用的使用情况,启动多条子链,以支持更多的联盟成员DApp业务数据上链,增加区块链的水平扩展性。

云链科技CEO 徐刚:

我们首先剖析一下这个问题,应用项目如何选择共识机制,这有待研究。

什么意思呢?做应用项目,就目前来说,全球能供选择的区块链本就不多。区块链发展还需结合互联网来说,互联网开始发展时,表明互联网阶段好的发展是有千万级别的应用出现。

区块链目前几乎没有千万级别的应用在链上运行,除了所谓的交易类型,有交易的数据,其他的没有。就底层来说,PoW、PoS,DPoS也都是一个发展过程。

如何选择需看你做什么应用,目前可供选择的并不多,并且如果你想以安全为前提,PoW可能最安全,它最安全但也最不适合做链上应用。

平衡点需要寻找,我们在应用的过程中,其实有很多应用目前已逐步开始落地,包括从上到下都在重视这一块,看你到底是要用哪个。

之前我们给别人做底层优化时也加了区块链,但并不是说你全部都要上链。链上的应用是靠你选择,到底是注重用区块链,还是它哪个特性,例如是溯源防伪还是分布式或是交易。

以特点来选择,合适才最好。当然在整个行业中,是用的最多的。

从安全性上说,肯定PoW是整个区块链中最正统的,其他都是探究行业的进步。相信未来肯定会寻到一个平衡点,包括上面提到的不可能三角。不可能三角是根据自己的实际情况在其中寻求一个平衡或侧重点。

未来公链之争肯定会更加激烈,因为这属于整个底层基建。想做好应用就需选择合适的底层,只要发展是朝前走的就行。

问题3:在区块链技术应用落地项目中,各位嘉宾认为应该如何做好安全问题的风险防范?

零时科技CEO 邓永凯:


其实在区块链技术应用落地项目中,大部分应用的安全问题都出在两个方面,一是链本身的安全,以及基于链上开发的应用的业务安全问题。

例如上图中的联盟链,其实也是一个常见的区块链技术的应用落地,那它的安全就大概分为链安全和业务安全两个方向。

链安全是怎么接口RPC,还有数据通信、数据存储,以及刚提到共识的安全问题,最重要是合约安全与源代码的安全问题。

业务安全问题分为应用安全、中间件安全,以及底层的服务器安全,还有它的生产网络的安全。比如APP的客户端安全、用户认证、数据接口及信息泄露等,还有平时用的一些中间件和服务器。它本身也会存在各种各样的漏洞,包括网络问题,这些都算业务安全。

上图已经列举比较详细,但可能不同的应用会有一些针对应用本身较特殊的一些安全问题。

根据我们平时对一些区块链应用项目的安全审计,链本身的问题大多数是集中在合约和RPC接口上,还有源码上的一些逻辑问题,但最重要的是合约安全问题加PC问题。

业务可能每一个点都是短板,因为安全是一个面的问题,而不是各个点的问题。如果你面上做的很好,就像木桶原理,你只要有一个短板就可能满盘皆输。所以安全在区块链技术应用里是比较重要的一个环节。

区块链专利联盟秘书长 黄永彬:

针对区块链落地项目安全问题的风险防范有两个建议:

首先是大家关注的数字货币钱包安全,刚才邓总也建议使用官方推荐的钱包软件,坚决不使用不明厂商开发或是社交网络中来源不明钱包软件。如果是中大型企业可以使用我们联盟伙伴库神之类的硬件钱包,尽量根据实际业务需求进行软硬结合配置。

另外,关注代码安全,像零时科技应该也对外做代码审计,我们专利联盟的自有链也找了相应的权威机构做了专业的代码审计。


该图是我们专利联盟一起对外推的安全测评体系,主要是在底层系统,业务功能等层面鼓励联盟伙伴做一些安全专项测评,进行安全方面的查缺补漏。

如果不能及时发现和修复安全漏洞,用户的核心数据与资产极有可能会被黑客攻击窃取。我建议大家多多对代码进行查缺补漏,尤其是智能合约要保持定期的维护和更新。

云链科技CEO 徐刚:

应用落地项目的安全,从技术角度上来讲,上面两位嘉宾讲的多是关于技术方面,包括代码的安全、合约安全、通讯、中间件和服务器等。我认为技术很重要,因为所有的东西都是人设计的,这就会有比你技术更高的人发现漏洞,并攻破。技术层面的防护是依据你的团队水平。

项目应用落地,可以用安全工具,或者邀请相应的机构进行检测。我想跟大家分享应用上多半是没有交易的,那我们现在交易的通证,数字货币有通证,如果没有,那么知名钱包被盗的原因多是什么呢?

我们也有钱包,我们知道有些知名钱包会传出数字货币被盗的情况,那么80%~90%以上最终查出来原因是因为用户自己不小心泄露了私钥或密码,亦或是被亲人朋友看到私钥并拿走,另外还有被钓鱼网站给钓鱼。

所以在应用中,还需看自己在技术上做好安全防护,以及注意细节,例如应用代码审计、合约审计。特别是公链需注意的点更多,它的安全级别也更高。很多基于别的公链和联盟链开发的东西,需输入合约,那可能很多就败在合约的漏洞上。所以其实我的建议是从技术员和运用人员注意细节以保证安全,但事实上没有绝对的安全。

问题4:邓总,想问问在零时的数据库中,有关区块链应用方面的安全多半问题出在哪?有具体的事例吗?

零时科技CEO 邓永凯:

区块链应用的安全其实比较多,且是方方面面的。像徐总说的除了技术安全问题之外,还有一些其他运营管理上的安全问题。

首先在我们的数据库里经常会碰到的安全事件,例如智能合约安全。这个可能大家都屡见不鲜了,前段时间智能合约的安全问题频发,损失惨重。大家调侃智能合约一行代码价值一个亿,其实一点也不假,例如经典的lendf.me事件。

因为智能合约的重入攻击导致损失惨重,然后还有BEC美链,因为智能合约的溢出漏洞,导致美链的代币价值一夜归零,这事件较远。

比较最近的就上个月这个事件大家都可能听过,就是Defi也算是一个热点。以太坊平台的Defi,4月份发生的重入攻击事件导致损失2400万美元,这其实也是智能合约里代码层面的设计问题。这类问题比较典型且易出现。

另外,常出问题的是交易平台及项目方应用,例如交易平台和项目方经常会出现被盗,其实你也不知道他是不是真的被盗,反正媒体说是被盗,且官方也说遭到黑客攻击被盗了。

在这种情况下确实很多情况是真的被盗了。这有几个原因,第一个是员工的安全意识比较差。之前龙网被盗,就是完全因为一个员工的安全意识差,他从网络上下载了一个量化交易的软件,而软件其实是一个钓鱼恶意软件下载到电脑上后,会在电脑后台默认启动,然后扫描你的网络。因为它已进入内网控制员工机器就可以访问到你内网中很多内部的资源和应用平台。这个恶意软件从内网找到了交易平台的私钥,导致资产被转走。

第二个是因为平台的安全防护措施比较差,一方面因为运维不到位,还有是功能开发可能没有做好,未能从代码层面做到安全防护。通过测试,黑客的攻击手段可以进入平台后端,或是控制服务器从而导致损失资产数字货币,所以区块链应用的安全需求较高。

在上线时,尽量通过第三方安全机构进行代码安全审计,包括应用平台的黑盒安全测试,先于黑客发现一些缺陷和安全漏洞,真正做到居安思危,以攻促防,减少安全事件的发生以及资产的损失。

很多安全事件和安全漏洞可能大家不太明白,比如智能合约的重入攻击可能听过,但具体的使用原理涉及到技术问题,包括一些黑客的攻击手段,大家可能觉得神秘或不可揣测。

如果大家对这块感兴趣,可以关注我们团队,也可以加我微信,而后我们私下沟通,谢谢!

问题5:想问问秘书长,有什么和安全相关的专利,可以给大家普及下吗?

区块链专利联盟秘书长 黄永彬:

我估计会上有许多比特币的忠实信仰者,对于这些比特币忠实信仰者来说,可能会感觉区块链专利本来就是一个伪命题。但目前区块链技术已经作为中国新基建的一环,它跟5G、人工智能一样,区块链技术,专利,标准到应用层面已经到了大国博弈的阶段。

我们先看下近期全球区块链专利的状况,截止到2019年12月31日,国外区块链专利主要的申请国家为美国、韩国、英国、日本、德国、法国、瑞士。国外的区块链专利主要申请地是美国,其次是世界专利权组织,然后是欧洲。

截止到2019年12月31日,中国的区块链专利申请量已经超越美国,成为世界第一。

国外各国央行,IBM、Intel、VISA之类主要专利申请方向为金融支付安全领域,如私钥安全,支付安全,数字货币保护等。

下面着重讲下国内区块链安全相关专利的状况。以国内代表为例:

1.中国人民银行拥有全球央行最多区块链专利。其中,中国人民银行关于数字货币的专利申请,申请人是中国人民银行数字货币研究所,申请数量为43件。中国人民银行印制科学技术研究所22件。从专利申请时间来看,主要集中在2016年和2017年。2018年和2019年专利申请数量有所下降。

纵观中国中央人民银行申请的数字货币相关专利中,每年的侧重点都有所不同。2016年的核心是【数字货币芯片卡】,申请专利数量13项,其中数字货币芯片卡用于数字货币在中央银行与商业银行之间构建有效沟通的情况下的存储、兑换、支付。

2017年的核心是【数字货币钱包】,申请专利数量18项,从【数字货币芯片卡】变为【数字货币钱包】,与之对应的是参与角色的不同,出现了现有银行体系下不存在的几个角色,包括数字货币钱包终端,钱包服务商,数字货币发行登记机构。

2018年的核心是【基于XX条件出发的数字货币管理方法和系统】。其中,2018年申请的专利,已经从基础工具转向了系统业务,主要内容有基于贷款利率、经济状态、流向主体、试点条件触发的数字货币管理方法和系统。这些都是针对数字货币流转过程中涉及到的金融机构设计的。

2.腾讯自2015年开始进行区块链技术的自主研发,涉及领域金融、税务、公益、游戏、法务、供应链和医疗等。其中,具体实施的应用,例如2018年8月全国首张区块链电子发票在深圳市开出。

腾讯为其提供底层技术支持,实现了区块链电子发票的从无到有,并逐步完善的过程。目前,其区块链电子发票涉及银行、出租车、地铁、旅游、地产、零售商超、金融保险、酒店餐饮、停车服务等行业。

3.阿里巴巴的区块链专利主要来源于蚂蚁金服,区块链的本质就是建立可信的价值网络。下面列举部分阿里巴巴区块链的主要应用项目。

为了追踪假冒食品的来源,阿里巴巴和普华永道等企业合作,利用区块链技术,建立可以追踪食品溯源的服务。

其次,阿里巴巴在跨境电商领域,也使用了区块链技术,通过区块链技术可以追溯到商品的原产地、出货、运输、报关等全方面的信息。

最后,阿里巴巴现在的公益项目,也使用了区块链技术。通过区块链技术,捐赠人可以查询到慈善捐赠物资的全部动向,增加了透明性和公开性。

区块链的属性与金融行业具有天然耦合性,金融行业也是应用区块链技术最早的行业。金融安全方向的专利布局数量是区块链技术各应用方向专利布局数量占比最大的方向,反映出金融安全方向是区块链技术应用最重要的方向之一。

区块链技术具备分布式、防篡改、高透明和可追溯的特性,非常符合整个金融系统的业务需求,因此目前已在支付清算、信贷融资、金融交易、证券、保险、租赁等细分领域落地应用。在金融方向,专利申请量排名靠前三个公司:平安科技189件,瑞策科技136件,腾讯科技79件。平安科技在金融方向的专利布局呈现领先地位,反映出平安科技在“区块链+金融方向“的技术研发有明显优势。

此外,金融安全方向的专利申请人和发明人的数量增加,反映出金融安全方向的创新主体在增加,越来越多的企业与科研机构着手在金融安全技术领域布局相关区块链专利,创造出更多样的金融、科技产品,以推动这一领域的快速发展。

这是我们专利联盟和工信部赛迪,中国市场信息调查业协会,中国区块链生态联盟,达瓴智库,腾讯,趣链等一起发布的《2019-2020中国区块链专利白皮书》部分内容,可供大家参考研究。

其中各城市排行中北京、深圳、杭州、上海遥遥领先,西安排第九,申请量173件,也是非常优秀。目前西安像纸贵之类的区块链企业,也申请了非常多的区块链专利。像零时科技也申请了追溯地址相关的专利,他们的核心技术保护意识也是比较前瞻的。




问题6:徐总,公司在提供技术开发时,有遇到过什么较大的安全问题吗,以及是如何解决的?

云链科技CEO 徐刚:

提供技术开发可能跟你自营技术还不一样。比如你自己运营一个项目,那你是技术人员。

我们给很多大型企业做底层改造时,他们不懂区块链技术,但这最终还得掌握在自己手中。所以你就面临很多提供技术之外的问题,例如对员工进行技术培训。技术培训不像我们在区块链行业有三四年,而他们都是新手,这中间会有很多问题。

因此,首先,我们在提供技术的同时,会有一套方案。所有项目上线前都会进行自己的安全检测。

其次,我们跟第三方也有合作。第三方做的东西,如果你赞同他的技术角度,而IT人员对自己的东西非常信任,所以很多问题基本上像bug或漏洞很难检测出来。我们找第三方检测机构专门再做一遍检测。后面上线就需要预防各方面,比如上面嘉宾也提到他有预防措施或软件可以应用。

最重要的安全事件发生一定要预演,就像我们现在帮别人做运维,他们很多是没有技术团队的,那整个运营在我们手中,因此要做预演。

把可能会出现的一些安全问题罗列出来,根据每一个项目和应用的不同,它可能会出现的安全问题都预演一遍,而后拿出预演解决方案,这非常重要。

技术上的安全是一定的,而我们在生活当中要多注意。像我上面所说,你自己的安全方案,第三方的检测,问题预演就已经足够。但在数字货币方面一定要注意,选择市场上时间较长和较出名的存储方案。

我就自身经验分享一下,如果你自己做好了防护,还出现被盗的情况,这可能跟技术有关,比如制作钱包的技术人员。这是我的一个经验

如果你本身不作恶,像去中心化钱包很难被盗。因为提到区块链,大家都会想到安全,既然你本身就是安全的东西,你还怕安全,这肯定有问题,所以这可能是人本身的问题。

本文来源:新基建
原文标题:大咖对话:区块链技术应用落地,存在什么安全问题?

—-

编译者/作者:新基建

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...