更多精彩 >

当谈到区块链安全,我们一般会谈论什么?

2018-09-13 09:32:29   来源:人民创投  作者: 

摘要:宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。


宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。


——《三体》


当我们谈论“区块链安全”的时候,我们到底在谈论什么?


去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。


区块链系统的安全性并不单取决于区块链算法本身,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的问题就多得多。而根据木桶理论,一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。


密码!密码!


在区块链的世界里,每一个人的身份都不过是一段数字,密码学上称之为密钥,一旦有人获取了你的密钥,他就可以冒充你的身份从事任何事情,包括花光你的每一分钱。


密钥的安全性如何呢?以ECDSA算法为例,每一个密钥由256位01组成,要是随机猜测的话,猜对的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046。


根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。


不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?


如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。


但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。


51%攻击


丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。


区块链的世界里也是如此,谁掌握了51%的话语权,谁就可以肆意更改自己的交易记录,发动“双花”攻击。不同的共识机制对于话语权的定义有所不同,在PoW中为算力,而在PoS中则是持有Token的数量。


51%攻击绝不是天方夜谭。以比特币为例,随着金钱的腥味吸引了无数科技厂家入场,挖矿变成了职业玩家的战场,排名前三的矿场垄断了全网接近半的算力。在Crypto51的网站上,我们可以找到对各种数字货币发起51%攻击所需要的成本,对价值3.5亿美元的Bytecoin发动一个小时算力攻击,成本仅需要257美元,这些数字并没有想象中的遥不可及。


阻止51%攻击的最后一道防线,便是攻击成功很可能导致数字货币的价值归零,从长远角度看攻击者反而会蒙受巨大的损失。可是,Verge再三受到攻击,比特黄金也难以幸免,频频发生的51%攻击面前,最后一道防线显得疲弱无力。


智能合约


智能合约的出现使得区块链有了无穷无尽的可能性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。


根据BCSEC的统计数据,2018年上半年区块链行业因智能合约漏洞而引发的经济损失高达11.6亿美元,占区块链安全问题的54.66%,成为区块链安全的头号重灾区。


2016年6月,攻击者利用区块链业界此前最大的众筹项目TheDAO智能合约中splitDAO函数的一个漏洞,将资金从The DAO项⽬的资产池中源源不断地分离出来,转移到自己的子DAO中,在短短的三个小时内,300多万以太币被转出The DAO资产池,以太坊也因为这件事故被迫分叉。


Code is Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。


如果需要升级智能合约,就要把当前的智能合约进行快照,然后在部署新的智能合约之后把旧合约的快照转移到新合约,这个过程会影响用户对于项目的信心。在发现漏洞之时,究竟是壮士断腕部署新的合约,还是置之不理希望能一直隐瞒下去,是每一个项目开发者将会面临的两难选择。


“黑帽子”和“白帽子”


值得庆幸是,区块链安全问题引来的越来越多人的关注。当黑客,也就是“黑帽子”们在利用漏洞攫取利润之时,一些安全专家和技术极客站到一起,成为了区块链安全的维护者和捍卫者,他们努力提前发现漏洞并通知项目方,以防被“黑帽子”利用,他们就是区块链界的“白帽子”。


2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。


2018年5月29号,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。


一度充斥着“造富神话”的数字货币市场趋凉,以区块链技术为噱头的泡沫渐渐消逝,安全的问题也一步步凸显出来。安全是技术发展的根基,一行代码葬送一个项目的事情频频发生,向我们敲响了警钟。只有在安全问题上防微杜渐慎之又慎,被寄予厚望的区块链技术才能越走越远。


猜你喜欢

人道主义援助:区块链技术如何帮助难民?

资讯区块链人道主义

区块链,应该被用于更多的人道主义救援中去。

6分钟前

像可溯这样无限拖延、失信,又不立案的,可怎么办?

资讯区块链P2P网贷

现在出借人组成借委会、还有个自媒体人也建了好几个维权群。借委会竟然说平台没有自融。这迹象看起来就是维...

45分钟前

比特币惊现拒绝服务漏洞,可造成比特币网络崩溃?

资讯比特币区块链

近期,开发人员发现BitcoinCore软件中存在着一个异常严重的漏洞,这促使开发者在本周三发布了一...

47分钟前

扒一扒上市公司的假账“套路”

资讯区块链假账

前两天我们给大家扒了《IPO的秘密:闯关上市得砸多少钱?》,其中聊到保荐承销等中介费用,最后是从IP...

49分钟前

警方通报大志集团案细节:旗下安捷财富未发现真实借贷标的

资讯区块链安捷财富

新金融探案9月20日消息,合肥市公安局庐阳分局官方微博“庐阳公安”发布情况通报,公开了大志集团涉嫌非...

52分钟前

玉红:“价值投资是傻逼” 没错,我就是李笑来说的那个傻逼

区块链

《火讯琅琊榜》第三期首次开启“双阁主”模式,以“寻路区块链”为主题,继续带你探索区块链发展之路。

2018-07-10

比特币短期整理,蓄势待发 说牛市来了你信吗?

资讯区块链行情币圈

不可否认,币圈存在巨大的泡沫,但是在积累泡沫的同时却隐藏着巨大的机会。格林斯潘曾说过,”泡沫是很难确...

2018-07-10

前摩根高管庞华栋:区块链可能是避免下一场世界级金融危机的钥匙

区块链

《火讯琅琊榜》第三期首次开启“双阁主”模式,以“寻路区块链”为主题,继续带你探索区块链发展之路。

2018-07-10

交易所上币投票制度研究报告 | 链塔智库

区块链观点深度

近期,火币HADAX把超级节点分成了两类,赋予的权利大小也不一样,引来了很多超级节点的不满,再一次把...

2018-07-10

深扒币圈“雌雄双盗”,韭菜的记忆只有7秒

资讯区块链数字货币

现如今再看币圈,就好比一场连续剧,演员都是“币圈大佬”,隔空对骂、泄露录音、深扒发家史,公众坐在台下...

2018-07-10

多国加快监管立法步伐,区块链正日益脱虚向实!

西班牙资讯区块链

当前区块链技术仍处于发展的早期,应用场景仍待设想、实现和验证。在各国监管之后潮水落去裸泳者露出,对于...

2018-07-10

挖币赚的钱不抵电费,小矿主恐慌停机

资讯区块链电费

“挖币赚的钱都抵不上电费了。”很多小型矿主对此忧心忡忡。他们关闭矿机,以求自保。

2018-07-10

新闻业携手以太坊,假消息遇到新对手?

商业资讯区块链

讨论为新闻编辑室推出区块链平台之前,有一件事我必须要与民间媒体公司的联合创始人兼沟通负责人Matt ...

2018-07-10

币圈吸血大蚂蟥:你盯着分红平台币,平台币盯着你的筹码

资讯区块链平台币

最近以FCoin为首的一系列分红交易平台,对传统老牌交易所造成了极大的冲击。不论是交易量还是用户活跃...

2018-07-10

EOS RAM 半个月暴涨50倍!及时上车还是隔岸观火?

资讯区块链EOS RAM

这半个月以来,币圈最火的概念莫过于EOS RAM。

2018-07-10

财链社(www.bcpress.com)专业的全球区块链财经媒体与社群,链接区块链、物联网、大数据、人工智能,致力于成为最有深度的区块链全产业链分析家,为区块链创业者及投资者提供最好的产品和服务。

清华大学信息科学技术研究院副院长邢春晓:区块链数字经济

清华大学信息科学技术研究院副院长邢春晓在会上表示:“数字化的信息、知识已经成为新的战略要素,并已与实...

全国社保基金原副理事长王忠民:区块链赋能实体经济

全国社保基金原副理事长王忠民在会上以“区块链赋能实体经济”进行了演讲。他用了四个逻辑对区块链在实体经...

蔡维德:链满天下是中国的大机会

英国伦敦大学区块链研究中心顾问蔡维德在会上以“数字社会、链满天下”为主题做了演讲。蔡维德认为,201...

方军:通证经济所用到的四个基本特性

观察了以太坊带来的变化后,区块链特征以及与这些特征相关的应用已经较为清晰地展现在我们面前。这四个基础...

邓维:区块链技术在券商PB业务的创新应用

随着区块链技术的不断发展和成熟,其与具体证券业务的应用融合在不断加深和拓展,应用范围大致可以从交易前...

一起寻找“全球链改优秀项目”!

一起寻找“全球链改优秀项目”!

2018年9月10日,由中国通信工业协会区块链专业委员会、区块链改革全国联席会议作为指导,全球链改节...

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行,第六站厦门将在本周六(9月8日)...

区动智慧,链接未来-区块链如何赋能实体经济

区动智慧,链接未来-区块链如何赋能实体经济

自区块链概念流入国内,吸引大量人才进入到这个行业,随着区块链掀起的火热风潮,它被视为本世纪最大的风口...

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

“2018国际数字经济博览会”将于9月20日-22日在石家庄国际会展中心隆重举办。本次峰会邀请到了诸...

嘉楠耘智推出7nm矿机新品,算力翻倍

嘉楠耘智推出7nm矿机新品,算力翻倍

据中关村在线消息,目前首批由台积电代工生产的7nm芯片已完成交货。