服务热线: 400-618-2877(售前) / 400-653-1096 (售后)

【信息安全】朋友圈故事版区块链的真相?!

发布时间:2019-11-13

最近的朋友圈被一个“高大上”的词汇刷屏了:区块链。
事实上,区块链技术已经出现很多年了,但新技术普及需要正确的引导,近年来比特币、空气币等虚拟货币炒作乱象,影响了大众对区块链技术的理解和观念。
10月24日,中共中央政治局就区块链技术发展现状和趋势进行了集体学习。学习时强调,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。我们要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一批关键核心技术,加快推动区块链技术和产业创新发展。
那区块链究竟是啥?为何中央领导人要集体学习?
超越数控本期【信息安全】将从概念理解、应用场景、安全等方面深入介绍一下区块链技术



简单来说,区块链就是一个很大很大的“账本”。
比如,你和小王做一笔买卖,如果只有一个账本,交易有被篡改的风险;但区块链让每一笔交易都记在无数个小账本上,共同构成一个超级大账本。如此一来,全世界都知道你俩之间有这笔交易了,想抵赖?没门!
有啥好处呢?最大好处,就是建立了互联网时代的信用机制。
互联网上充斥着大量真伪难辨的信息,如果没有办法建立起信任,就没办法进行交易,电商、社交、内容等很多信息互联网商业模式也无从谈起。
说到底,区块链就是一种无需信任积累的信用建立范式,任何互不了解的个体通过一定的合约机制,不再需要一个中间方,就可以达成信用共识。
1. 区块链发展到哪个阶段了?
全球资本市场上,目前95%以上区块链融资事件处于种子轮、天使轮及A轮阶段,B轮及以后只占3%,说明产业依旧处于早期阶段。随着应用场景加快落地,预计在3年到5年内才会更快发展。
2. 我国在区块链领域处于什么水平?
2017年、2018年我国公开的区块链专利数量连续两年蝉联全球第一。今年上半年,我国公开的区块链专利数量为3547项,已超2018年公开的全年专利总量2435项。我国区块链产业将提前进入商用时代。这首先得益于技术能力的进步,系统性能和数据保护等进一步成熟;其次是开放技术引发群体加速创新;第三是与行业标杆合作刺激了滚雪球效应。



区块链技术具有分布式、难以篡改、可追溯、开放性、算法式信任等突出特点,在数字金融、公共服务以及民生领域等都有广阔的应用前景。
在金融领域,区块链技术部分业务场景已从概念验证逐步迈向业务实践——包括供应链金融、跨境支付、资产证券化、证券结算等,区块链技术在金融领域的应用潜力可期。
1. 区块链电子发票
优点
按需使用,无需定期往返税务局领购发票
免费用票,降低了企业财务成本
用户自行申请开票,减少企业人力投入
去年8月份深圳开出全国首张区块链电子发票以来,区块链电子发票陆续落地餐饮、商超零售、金融、轨道交通、物业、电商等多个场景,接入企业超7600家,开票数量突破1000万张,开票金额超70亿元。
2. 供应链金融
上海银行与蚂蚁金服“双链通”区块链平台合作供应链融资项目于今年10月份落地,让小微企业融资时间成本从3个月变成1秒。
浙商银行推出基于区块链技术的应收款链平台,实现了应收款的签发、承兑、保兑、支付、转让、质押、兑付等功能,有效盘活了应收账款。



从安全角度来看,区块链相应安全问题可分为六类。
1. 密码学
密码学是区块链最底层的支撑技术,包含了哈希算法、数字签名、随机数等,如果这些密码学技术存在问题或者漏洞,那么基于此的整个区块链构建的信任将会坍塌。
虽然目前密码学技术已经颇为成熟,存在巨大漏洞的可能性比较小,但是仍然不排除一些项目存在问题。2017年7月15日,具有“物联网世界第一币”之称IOTA收到了麻省理工学院附属的学术研究组DCI的邮件,提醒IOTA团队,IOTA的哈希算法Curl-P存在弱点,DCI可以对该系统进行成功的攻击,窃取用户资金。虽然IOTA随后对DCI的邮件进行了质疑和反驳,到目前为止,也没有用户因为此漏洞而发生资金被盗的情况,但这一事件引起了大家对IOTA和其他项目在密码学技术安全上的关注。
2. 用户私钥的生成、使用与保护
用户参与区块链的凭证是一对公私钥,每个人通过区块链产生交互行为的前提就是他拥有安全的私钥、并且能保管好自己的私钥,因此私钥的生成、试用与保护问题就非常重要。今年7月,EOS就因私钥生成工具存在安全隐患,创建的私钥被黑客发现漏洞,并实施“彩虹”攻击,导致账户数字资产被盗,造成上千万数字资产损失。
比如,发生在2019年1月15日的Cryptopia交易所被盗事件。黑客在1月13日到17日的5天时间,陆续将76000个ETH从钱包中转移。而交易所方面没有任何反应,并对用户声明:黑客拥有私钥,可以随意从任何Cryptopia钱包中提取资金。种种迹象看来,很可能的原因是C网简单的把私钥存储在某个服务器上,而黑客通过黑掉该服务器,导致C网无法从服务器获取私钥。可以看到,C网在管理私钥方面的混乱和随意,导致了悲剧的发生。这次事件再次提醒了广大交易所与用户,对私钥管理要存在敬畏之心,确保100%安全的保护私钥是区块链世界最基本的法则。
3. 节点系统安全漏洞
这一问题归属于传统安全范畴,比如区块链节点不能存在缓冲区溢出等传统的安全漏洞。另外区块链节点的实现要能忠实地正确实现区块链的共识协议;节点不能暴露不该暴露的API接口,导致黑客可以无障碍的获取一些节点关键信息。无论是以太坊还是EOS都曾经被爆出过比较严重的安全漏洞。这一部分安全也是至关重要的。
比如,2019年1月,EOS公链上的一系列竞猜类游戏遭到了新型交易阻塞攻击事件。中招应用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等热门DAPP。不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者发起大量垃圾延迟交易导致EOS全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪EOS网络。
由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。这也是为什么在一月份出现大量EOS的DApp被攻击的原因。EOS漏洞事件频出,很多都是由于开发人员不严谨导致的,据了解,很多DApp背后只有1-2个程序员,连完整的测试人员都不存在,在这种情况下,漏洞出现的可能性就非常大,更可能被攻击。
4. 底层共识协议
由目前市场上主流的区块链共识协议有以下几种,POW、POS、DPOS、PBFT。底层共识协议决定了区块链整个架构是否可信,能不能真正做到形成一个具有共识的区块链。现在真正被证明安全的共识协议并不多,因为共识协议本身无论从理论、还是从技术实现上都不简单。而经过长时间验证的共识协议是比较安全的,比如像比特币的POW。 共识协议有一个不可能实现的三角关系:安全、去中心化和效率,这三者只能同时实现两样。如果追求效率,要么牺牲去中心化,要么牺牲安全。
理论上,基于底层共识协议创建的所有数字货币都是存在51%算力攻击风险。今年上半年,就有至少4种数字货币分别受到了51%算力攻击,分别是Monacoin 、Bitcoin Gold、Verge和Electroneum,给用户造成数千万美元损失。
5. 智能合约
智能合约是一套以数字形式定义的承诺(promises),包括合约参与方可以在上面执行这些承诺的协议。任何参与方都能在应用层创建合约,也就是所谓的DAPP(去中心化应用)。这也是目前出现安全问题最多的地方。
智能合约安全隐患包含了三个方面:第一,有没有漏洞。合约代码中是否有常见的安全漏洞。第二,是否可信。没有漏洞的智能合约,未必就安全,合约要保证公平可信。 第三,符合一定规范和流程。由于合约的创建要求以数字形式来进行定义承诺,所以如果合约的创建过程不够规范,就容易留下巨大的隐患。
目前市场上很多智能合约均存在安全漏洞问题,比如,6月3日,安比实验室(SECBIT)发现Ethereum上出现81个合约带有相同错误,ERC20 Token合约中的transferFrom函数存在巨大隐患,一旦部署后出现问题,将造成不可挽回的损失;6月6日,安比实验室(SECBIT)发现ERC20代币合约FXE由于业务逻辑实现漏洞,任何人都可以随意转出他人账户中的Token,Token随时面临彻底归零风险。
6. 激励机制设计
智能合约要完成协作,通常是要设计相应的经济激励机制。经济激励是区块链技术里面非常有突破性的一个概念。一个真正健康有活力的区块链生态,需要一个很好的激励机制。但是经济激励设计得不够安全,可能生态就无法建设起来,比如典型的类庞氏游戏,这一点大家要警惕。



区块链技术是一种有精神的、自带正确价值观的技术,区块链精神是公平、公信、公正、共治、可问责。这体现在区块链上的协议和合约可以被机器忠实地执行;区块链上的交易公开透明,交易状态经过全网的节点共同确认,形成共识;区块链上的交易可追溯、可审计。对于技术人员来说,区块链实际上是一个全新的、开放的平台。这个平台强调开放、共赢、创新,按贡献来获取激励,大家都是按照共识来发展。所以,区块链平台里面大部分都是开源的平台,这些平台并没有属于某一家公司。


参考资料
[1]经济日报《区块链都不知道,还好意思刷朋友圈,看完这篇终于有底气了》
[2]创业邦《链圈必读一文看懂区块链安全6大分类3大问题》
 

超越科技股份有限公司    版权所有        备案号:鲁ICP备15033357号-3