2018年11月12日,中央网信办主管的《网络传播》杂志发表8篇区块链稿件,从多个角度介绍区块链行业的发展。作为重要主管机构,此次的区块链稿件具有重要参考作用。
组稿第8篇是360行业安全研究中心主任裴智勇编写,题目是“防范安全漏洞 促进实际应用”。本文的核心内容是介绍360公司对区块链安全的理解和研究方向。
文章原文可以从以下链接获得:
[http://www.cac.gov.cn/2018-11/12/c_1123701564.htm)
本文对文章中的重点内容进行摘要和分析:
"传统的网络安全漏洞,往往使区块链技术本身所构建的数学或逻辑意义上的安全性荡然无存。"
"作为一种全新的互联网技术,区块链的安全现状令人忧虑。目前区块链常面临私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等安全问题。"
上述这两段话是文章的核心观点,是一个很新颖的提法。区块链技术所构建的数学或逻辑意义上的安全性是什么?
猜测是指区块链技术最基本的安全特征:数据不可篡改、不可伪造。
数据之所以”不可篡改“,是由于区块链的底层数据结构中采用”哈希算法“对数据进行完整性记录,并采用”链式结构“和”共识机制“使完整性记录很难被篡改。从而使得任何想篡改数据的攻击者必须付出高昂的代价(通常需要付出超过全网历史算力的代价),以致于任何理性攻击者都不会执行这种攻击(用于攻击消耗的资源远远超过修改数据获得的收益)。
数据之所以”不可伪造“,是由于区块链中的基本数据结构”交易“采用”公钥加密算法“(通常是ECDSA)签名,由于公钥加密算法的特殊性质,任何人在不持有密钥的情况下是无法伪造签名的。
上述两种优良特性是区块链技术受到广泛认可的重要原因。然而,如同本文所述,这些优良特性是建立在一系列假设之上。例如:
数据不可篡改的基础是:区块链网络是分布式的,不存在一个中心节点控制绝大部分算力。然而,现实中情况恰恰相反。以比特币为例,目前绝大部分算力都集中在矿场和矿机生产者手中。2018年11月16日,比特币(BTC)的衍生品”BCH“的社区发生算力大乱斗,在这样1个市值32亿美元的生态中,两个巨人(持有大部分算力)挥枪乱射,最终一个巨人借助外力(矿机生产商比特大陆持有的BTC算例)赢得这场战斗。这样的结果,让区块链数据不可篡改的特性蒙上了阴影。
数据不可伪造的基础是:用户持有的区块链账号的密钥(公钥加密算法中的私钥)没有泄露。然而,在现实世界,用户持有的密钥是很容易被窃取的。网络上爆出目前已经出现了一种可以通过窃取“剪切板内容”获得用户区块链密钥的木马。
从以上两点可以看出,360提出的“传统网络安全漏洞会让区块链优势荡然无存”的论调并不是空穴来风,充分显示了区块链作为一种初级阶段的技术对普通用户仍然是非常不友好的。
当然,从区块链研究者的角度来看,这种论调主要是从360核心业务自然延伸出的观点。有实际意义,却并不是区块链安全的重点。比较,对于一个无法安全保存密钥的“小白用户”,谈论任何安全问题都是没有意义的。区块链安全研究的重点还是在区块链平台安全性、智能合约安全性、密码技术安全性层面。
"从区块链技术本身来说,目前发现的安全漏洞主要集中在智能合约上"
"就目前来说,真正对区块链应用系统威胁最大的主要是应用系统存在的传统安全漏洞,如源代码漏洞、业务逻辑漏洞、网站安全漏洞、App安全漏洞等,但这些问题目前还没有得到足够重视。"
"360公司即将推出区块链智能合约语言Solidity的源代码检测工具,促进区块链技术在各个领域的安全应用。"
区块链是未来分布式计算的基础设施,类似于目前互联网中的“服务器”(提供网络服务的高性能计算机)。智能合约则是运行在区块链上的应用程序。智能合约的安全性直接关系到最广大用户的利益,这一定是未来安全的研究热点。
目前,已经出现了许多专门研究智能合约安全的团度,包括“安比实验室”、“慢雾实验室”,他们作为创业团队已经在这个领域做出了许多有意义的研究。现在,360的入场将让智能合约安全领域的竞争迅速进入白热化。如何在巨头的侵袭下生存下来,区块链安全创业公司能否在这种竞争中胜出,这是一个值得观察的有趣课题。
网友评论