威尼斯官网-威尼斯官方网站登录-威尼斯官方网站登录注册

当我们谈论区块链时到底在谈论什么,当我们谈

原标题:当我们谈论区块链安全时,我们在谈论什么?

图片 1图片发自简书App

第0章 引言

宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。——《三体》

坐在电脑前,突然大脑陷入一片空白,当我们谈论区块链时,我们在谈论什么?

区块链是什么,如何简单易懂地介绍区块链?

图片 2

这些天来,给醉酒的人讲过比特币,给银行的行长讲过比特币,给石油公司的中层领导讲过比特币,给年轻人讲过,给五十多岁的人讲过

第1章 区块链要解决什么问题?

当我们谈论“区块链安全”的时候,我们到底在谈论什么?

给我妈妈讲过,给我弟弟讲过.......我给每一个谈论起这个话题的人都讲过,每讲一遍,我的脑海中对于一些概念的印象就逐渐加深。

区块链主要解决的是金融领域的问题。

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

突然,就在今天下午的六点三十分,我想到了这个标题。

如果你今年关注了一些金融领域的媒体的话,那你一定听说过一个很奇怪的词——FinTech,中文叫金融科技。这是个什么玩意?

区块链系统的安全性并不单取决于区块链算法本身,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的问题就多得多。而根据木桶理论,一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。

对于我及身边的人来说,区块链不是技术,而是机会,一个相对简单,相对公平,相对可控并且不求于人的机会。

京东金融CEO陈生强有以下表述:

密码!密码!

这个机会有可能帮助我获得物质财富,和精神满足。所以我义无反顾的投身其中,乐此不疲。

凡是以数据和技术为核心驱动力,能为金融行业提供服务、提高效率、降低成本的公司,都可以称之为金融科技公司。

在区块链的世界里,每一个人的身份都不过是一段数字,密码学上称之为密钥,一旦有人获取了你的密钥,他就可以冒充你的身份从事任何事情,包括花光你的每一分钱。

目前来说,这个圈子还算小众,因为小众,所以也会带来精神上的优越感,“你看,我懂的比你多”,大概就是这样的潜台词。

我读了大量,巨量,海量的区块链文章,我发现区块链最适合解决陈生强所讲的。区块链能为金融行业提供服务、提高效率、降低成本的技术。并且区块链就是以数据和技术为核心的。

密钥的安全性如何呢?以ECDSA算法为例,每一个密钥由256位01组成,要是随机猜测的话,猜对的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046,大概是1/1077。

争论一个话题不是我的强项,我也不热衷和人辩驳每一句话的疏漏及意义,所以谈论的结果是,我听的多,说的少,听的越多,说的越少。

更准确来说区块链能够让金融产品更透明、更低成本、更高效率、更安全,甚至是更自由地为用户提供服务。

根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。

随着对这个行业的了解逐渐加深,也开始进入了第一个瓶颈期,就是不知道该如何准确表达。

当然这里要提到的是陈生强在康奈尔大学的那次演讲,没有提到区块链。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?

世人都晓比特好,唯有比特忘不了。白皮书已经读了好几遍,自己也能深入浅出的解释其中的部分原理,但感觉火候还浅,可能是需要时间磨练?

第2章 区块链由什么组成?

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

财富的机会,自我意识的梳理,秀秀知识体系的优越性等等。这些词语正在侵蚀这一页纸。如何更真实的表达,就是我需要学习的。

上面提到金融科技是以数据和技术为核心驱动力,而区块链也是一样其关键的东西可以拆分为两块:一个是数据;另一个是技术。

但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。

当我们在谈论区块链时,我们在谈论什么?

区块链首先是一堆数据,更准确一点是一堆有序的数据。下面是引用《Bitcoin Master》一本里的一句话:

51%

图片 3图片发自简书App

区块链是由包含交易信息的区块从后向前有序链接起来的数据结构。它可以被存储在一个文件里,或是存储在一个简单数据库中。

丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

这种铸造的比特币,我还真有几个。

其次这些有序的数据往往会被分布式存储在很多地方,会非常充分地冗余存储。这是有别于传统的金融技术了。

区块链的世界里也是如此,谁掌握了51%的话语权,谁就可以肆意更改自己的交易记录,发动“双花”攻击。不同的共识机制对于话语权的定义有所不同,在PoW中为算力,而在PoS中则是持有Token的数量。

这些数据是什么就取决于你需要的金融服务了。比如比特币区块链的数据就是一个账本,里面登记了从第一枚比特币到现在的所有比特币的所有权和交易记录。如果你要使用区块链来做一款智能合约,那这堆有序的数据就至少需要包含产权登记和触发条件。

51%攻击绝不是天方夜谭。以比特币为例,随着金钱的腥味吸引了无数科技厂家入场,挖矿变成了职业玩家的战场,排名前三的矿场垄断了全网接近半的算力。在Crypto51的网站上,我们可以找到对各种数字货币发起51%攻击所需要的成本,对价值3.5亿美元的Bytecoin发动一个小时算力攻击,成本仅需要257美元,这些数字并没有想象中的遥不可及。

第3章 区块链的技术

图片 4

区块链由数据组成,那数据是怎么产生的呢,以及可以做什么样的操作呢?这就可以理解为区块链的技术。

来源:

区块链数据只对写入和阅读有效,无法做删除和修改操作。

截图时间:2018/9/12 9:08

因为数据就是存放在硬盘里,想删想改只要拥有硬盘的写权限即可。所以区块链就要通过一些技术手段来保证其数据无法删除和修改。其中最重要的就是一种叫“共识机制”的东西。

阻止51%攻击的最后一道防线,便是攻击成功很可能导致数字货币的价值归零,从长远角度看攻击者反而会蒙受巨大的损失。可是,Verge再三受到攻击,比特黄金也难以幸免,频频发生的51%攻击面前,最后一道防线显得疲弱无力。

所谓的“共识”可以理解为,哪个版本的区块链的数据库为有效的、正确的。

智能合约

就是说,每一个人可以拥有对自己硬盘的写入权限,你可以修改自己硬盘里存有的区块链数据,但你无法修改他人存储的备份。因为区块链数据是分布式的,充分冗余存储。就可以使用某种技术来保证大家共认的某个版本的数据是有效的和正确的,以踢除那些私下不按规矩去修改的数据备份。

智能合约的出现使得区块链有了无穷无尽的可能性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。

比特币区块链使用的是一种叫POW(工作量证明)的技术。约定一个数学题,谁先解出这个题,就拥有此次往区块链上添加一个区块的权力。而那些没有解出题的人是无法做写入的。当然完成比特币区块链的架构,还需要更多的技术,比如随机函数,hash函数,公私钥验证,椭圆加密曲线……这都是些技术细节,有兴趣的就可以自己去查阅。

根据 BCSEC 的统计数据,2018 年上半年区块链行业因智能合约漏洞而引发的经济损失高达11.6 亿美元,占区块链安全问题的 54.66%,成为区块链安全的头号重灾区。

第4章 一个区块链的简化模型

2016年6月,攻击者利用区块链业界此前最大的众筹项目TheDAO智能合约中splitDAO函数的一个漏洞,将资金从The DAO项⽬的资产池中源源不断地分离出来,转移到自己的子DAO中,在短短的三个小时内,300多万以太币被转出The DAO 资产池,以太坊也因为这件事故被迫分叉。

想象这么一个场景,有100个网络节点,且每个人的节点数据都是一样的,即完全冗余。并且所有的节点都是处在广域网中,换句话说这100个节点之间是不信任的,又不存在一个实体对这100个节点拥有绝对的仲裁权。

Code is Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

在这个场景中,采用什么样的算法(共识模型)能够提供一个可信任的环境,达到:

如果需要升级智能合约,就要把当前的智能合约进行快照,然后在部署新的智能合约之后把旧合约的快照转移到新合约,这个过程会影响用户对于项目的信心。在发现漏洞之时,究竟是壮士断腕部署新的合约,还是置之不理希望能一直隐瞒下去,是每一个项目开发者将会面临的两难选择。

每个节点交换数据过程不被篡改;

“黑帽子”和“白帽子”

交换历史记录不可被篡改;

值得庆幸是,区块链安全问题引来的越来越多人的关注。当黑客,也就是“黑帽子”们在利用漏洞攫取利润之时,一些安全专家和技术极客站到一起,成为了区块链安全的维护者和捍卫者,他们努力提前发现漏洞并通知项目方,以防被“黑帽子”利用,他们就是区块链界的“白帽子”。

每个节点的数据会同步到最新数据,且承认经过共识的最新数据;

2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。

基于少数服从多数的原则,整体节点维护的数据本身客观反映了交换历史。

2018年5月29号,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

这个场景及其共识模型就可以是一个简化区块链模型。区块链本质上就是解决这么一个场景的技术方案。

一度充斥着“造富神话”的数字货币市场趋凉,以区块链技术为噱头的泡沫渐渐消逝,安全的问题也一步步凸显出来。安全是技术发展的根基,一行代码葬送一个项目的事情频频发生,向我们敲响了警钟。只有在安全问题上防微杜渐慎之又慎,被寄予厚望的区块链技术才能越走越远。

(本节模型案例引用陈浩文章《如何用区块链构建一个价值流通网络》,原文请参考

参考资料:

第5章 结束语

  1. 工信部、起风财经《2018中国区块链产业白皮书》
  2. 腾讯安全、知道创宇《腾讯安全2018上半年区块链安全报告》
  3. 国家互联网金融安全技术专委员、上海圳链公司《2018区块链技术安全概述》
  4. Filippo Valsorda Exploiting ECDSA Failures in the Bitcoin Blockchain
  5. Nicolas T. Courtois Bitcoin Security: Cryptographic Risks
  6. Steve Giguere Blockchain security and the cryptocurrency boom, Part 1: Theory
  7. 360网络安全响应中心《360公司Vulcan(伏尔甘)团队披露区块链平台EOS严重漏洞》
  8. 慢雾科技《慢雾科技:区块链黑暗森林里的安全庇护所》
  9. 伍旭川、秦谊《The DAO 事件,区块链征途上的一场暴风雨》
  10. 安全牛《什么是智能合约漏洞?》
  11. odaily星球日报《2018年区块链技术安全服务行业报告》
  12. 算力分布参考自
  13. 51%攻击成本参考自
  14. 宇宙原子数参考自

区块链能够让金融产品更透明、更低成本、更高效率、更安全,甚至是更自由地为用户提供服务。

作者:黄玲丽

(想第一时间阅读我的比特币科谱文章,请关注我的公众号: 闪电HSL)

来源:微信公众号“人民创投(ID:renminct)”

本文来源于人人都是产品经理合作媒体@人民创投,作者@黄玲丽

题图来自 Pixabay,基于 CC0 协议返回搜狐,查看更多

责任编辑:

本文由威尼斯官方网站发布于互联网,转载请注明出处:当我们谈论区块链时到底在谈论什么,当我们谈

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。