據市場上不完全統計,2011-2018年期間,區塊鏈因安全事件導致的金額損失高達31億美元。值得注意的是,從2017年開始區塊鏈安全事件損失金額呈現一個指數級上升趨勢,僅2018年發展以來它的損失已達到19億美元,安全問題已經成為區塊鏈發展的核心關鍵。除了安全問題,區塊鏈密碼算法、簽名標準、底層技術框架、行業應用、測評認證等方面行業尚未達成統一共識,可交互和可操作性缺失,碎片化發展嚴重。11月28日,由Odaily星球日報與36Kr集團共同主辦的2018P.O.DNewBlockTrend新區勢峰會在北京舉行。會上,Odaily星球日報高級分析師李雪婷、工信部互聯網金融安全技術重點實驗室主任吳震、中國民生投資集團新業態研究中心副主任劉燕、中國電子信息產業發展研究院賽迪全球公有鏈技術評估負責人蒲松濤、Cobo高級副總裁李堯展開了一場關于《區塊鏈技術標準建設》的圓桌討論。圓桌主要討論了:1.區塊鏈安全的主要風險點,產生風險的原因;2.區塊鏈技術標準的維度、可量化的指標;3.目前我國區塊鏈測評方面取得的進展;4.區塊鏈存儲方案,如何確定安全指標,建立安全指標體系;5.第三方驗證機構的發展概況;6.區塊鏈標準建設中仍需改善的問題。以下是圓桌討論實錄:
李雪婷:大家好我是Odaily星球日報分析師李雪婷,是這場圓桌討論的主持人,我首先介紹一下我們圓桌討論的背景,我們知道區塊鏈在供應鏈管理、跨境支付、版權管理等分布式信任管理中有不錯的應用前景,但在安全存儲等數字資產管理方面仍然存在很多問題。今天非常榮幸地邀請到幾位嘉賓,跟我們一起來探討區塊鏈技術標準建設這個話題,再次感謝幾位嘉賓,接下來我們以問答的形式來進行。首先第一個問題是關于區塊鏈一些安全事件,我們有統計到2017年區塊鏈安全數據是15起,2018年是75起,增長率大概是373%這樣的一個比例,從這個數據上來看是非常驚人的。我先請教一下吳主任,目前區塊鏈安全的一些風險點主要在哪些方面,產生這些風險點的原因是什么?吳震:區塊鏈作為一種特定信息系統,既包含信息系統所擁有的風險點,例如說P2P網絡攻擊等等,同時區塊鏈安全又有自己的特點。我感覺主要是表現在三個方面:第一個是密碼算法、第二個是共識機制、第三個是智能合約。密碼算法既有算法的選擇,也有密鑰全生命周期的管理,安全也是比較大的隱患。共識機制是區跨鏈技術的核心,但很多共識機制無論邏輯上還是實現上都存在較多的隱含。智能合約方面,有大量開源的APP應用,一直是黑客攻擊的重災區。從總體看,區塊鏈既有邏輯上的風險,也有實現上的風險,很多代碼實現質量不高,目前已發生的攻擊多出現在實現層面。李雪婷:吳主任從密碼算法、共識機制、智能合約等技術層面來講了這個問題。我想請問一下蒲總,您從公有鏈的角度、從業務層面分析一下目前的風險點主要包括哪些方面?蒲松濤:剛才你也提到2018年的安全事件比2017年多很多,不僅是因為本身具有的安全風險,有可能是因為市場更活躍、關注度更高以及黑客帶來的安全問題。從用戶、項目方面來講,不同的層面有不同的層級,大概的安全問題可以分為三大類,鏈穩定性的問題、數字貨幣的丟失的問題以及智能合約存在的漏洞問題。后兩個問題更重要,今年也有發生過有公有鏈遭受到攻擊的,包括近期有一條公有鏈出現了長時間沒有出塊的問題。像錢包丟失的問題,是區別于傳統互聯網領域問題的。關于智能合約的問題,今年上半年我有跟360相關的朋友交流過,發現問題特別多。李雪婷:那蒲總提到錢包丟失的問題,我想請教一下李總,您能從錢包這個角度大概分享一下錢包安全方面有哪些風險點?李堯:我非常同意前兩位的觀點,我們觀察市場發現,最主要的損失還是來自數字資產的損失,我們先將數字資產進行定義,從20世紀90年代開始,人類科技向虛擬化和數字化兩個方向發展,變得更加地數字形態化,不僅包括數字貨幣,我們提到的數字IP、虛擬產品,還有商業化的信息流都歸為數字資產。從錢包行業來看,在區塊鏈的世界中,密鑰即資產,密鑰的生成、分發、存儲、更新甚至到銷毀都會出現重大問題。比如說銷毀,用戶只是普通的刪除,但是在BIP32協議下,黑客通過你的子私鑰和主公鑰,就可以直接拿到你的主私鑰,進而轉移你的全部資產。所以對密鑰的管理非常重要,這也是我們做錢包公司重要原因,幫助用戶守護資產。同時我們也發現除了安全問題以外,由于不像標準建設比較完善的傳統互聯網公司,區塊鏈行業很多標準都沒有形成,很多創業公司造成了大量的資源浪費,沒能得到有效的統一,導致事故經常發生。所以第一是要對密鑰進行管理,第二是要大家一起去探討這個事情。李雪婷:剛剛三位從技術和業務層面來分析了安全風險點,比如說51%的攻擊、智能合約這些,大概跟互聯網的一些安全風險特別像。我想請問一下劉主任,有沒有一些風險點是區塊鏈獨有的?劉燕:區塊鏈本身是技術,剛才提到了很多技術漏洞造成的投資者和參與方的損失,這些問題的解決所需要的工作不僅僅在技術層面。不能忽略的是公司治理的問題,比如說相應的信息披露問題。在傳統金融行業中,當投資者參與一個項目的時候,兩者之間是有契約關系的,對雙方所履行的責任、資金的用途都有非常清晰的標準,也有相應的金融中介機構來負責相關事項。反觀區塊鏈發展到今天,2018年是白皮書發表的第十年,區塊鏈正與我們的生活發生融合,過程中必然會與我們傳統的規則、法律、制度相融合,也應該有更合理、更健全的治理機制相融合,以保證對參與方和投資者切身利益的保護。盡管區塊鏈產生的初期是完全出于去中心化的機制設計,實際業務融合過程中,在業務場景方面,傳統存在的機制還是有很大的意義。我個人認為安全問題也不是單純技術層面的問題。李雪婷:劉主任提到傳統機制、標準問題,很多人都不太了解區塊鏈技術標準,這個技術標準有沒有一些維度或者可量化的指標,請吳主任給我們普及一下。吳震:談到技術標準,首先是可行性,另外是必要性。從可行性來說,目前區塊鏈技術發展處于早期,很多東西處于探索的階段,所以現在定的一些標準如果過于嚴格會對這個行業產生一定的限制作用。從必要性來說,為什么會有標準,以通信行業為例,它的標準比較完善、健全,包括ITU等等。因為沒有一個企業業務可以囊括整個通信行業,各家企業間需要相互協作、互相理解,于是標準制定就成了整個行業的呼吁。除非假定一個企業能力很強,比如說蘋果,可以做到自成一體,所有東西都可以在企業內部做隨意調整,那它可以不用標準。對應區塊鏈來說,第一整個區塊鏈需要一些定義和參考架構的標準,大家因此可以達成共識;第二應該有監管的標準,因為監管是行業和外部的接口,但至于監管怎么用是監管的事;第三是安全方面的標準,包括整體的安全要求和測評標準。大家知道安全不可能做到100%,但參考標準對行業安全有推動意義。李雪婷:如果一些定義和標準可以達成共識的話,對行業的良性發展可以起到一個指引性的作用。剛才吳主任提到測評,從區塊鏈測評方面來講,目前我國取得哪些進展?蒲松濤:在回答您的問題之前,我接著吳主任的話簡單講一講。我認為行業里大家關注的并不是組織或者國家制定的標準,更關注的是事實的標準。前幾年我們在研究云計算的時候大家在討論一個新的技術,討論Docker是什么?華為認為Docker就是標準,現在的事實也是這樣。回到區塊鏈行業,代幣的標準是什么?代幣的標準就是ERC-20。如果發展到一定程度、有影響力,就會成為事實標準。我們看到很多底層架構就是以比特幣為標準做的。關于測評,現在的區塊鏈領域,大概有四類標準:密碼相關的、技術架構方面的、面向應用的、測評的。測評這塊主要是各個組織去設定相關標準去做評級,國內有很多機構做測評,每個機構都有自己的一套標準,但行業內沒有一個統一的標準體系,大概是這樣一個情況。李雪婷:各家都有一個標準體系的話,會不會產生碎片化,從而阻礙行業的共同發展?蒲松濤:我認為不會。一件產品出來以后,各家測評機構通過各自的標準體系對產品進行測評,并頒發相應證書,對行業不會帶來多大的影響。李雪婷:對于測評劉主任有沒有補充的內容?劉燕:測評推進整個行業往前發展需要跨越比較大的門檻。目前存在的挑戰有很多,比如說技術本身是不是成熟的問題。判定一個行業的技術是否成熟,需要產生被這個行業大多數應用方接受的技術標準,以及需要標準在產業端落地、實施方面的龍頭型企業來進行標準的實施。目前而言,還沒有達到成熟階段。一項成熟的技術能夠和產業、場景相融合,并推進在各個場景中落地的實現。技術和標準的發展是相輔相成非常動態的過程,一方面需要找到適合區塊鏈的應用場景,為產業端生產找到突破點,另一方面也需要在實施過程中形成一定的技術標準。需要一定的技術標準來評判一個項目是不是區塊鏈項目,同時保證我們在鏈上的數字資產的安全,保證鏈運行過程中的效率提升。李雪婷:劉主任剛才說到鏈上數字資產安全,我想問一下李總,關于數字資產存儲方案,這個方案是怎么去確定一些安全指標來建立安全指標體系的?李堯:剛才三位說的標準我比較同意。我們觀察到行業的技術鑒定非常初步,初創企業需要一個行業標準,這樣對行業監管和企業自身行為規范有極大的幫助。另外我想談一談在行業內目前不規范的標準,比如說助記詞的格式,在不同平臺上出現的標準存在多種形式,有的用英文字母,有的用漢字表示,應該要進行統一規范化。再比如行業數據為什么會被盜,我分享一個案例,去中心化漏洞平臺DVP此前檢測到,有超過600家交易所使用存在漏洞的已被廢棄的開源程序,該漏洞可使攻擊者繞過交易所原本的限制,違規修改信息,或在未授權的情況下刪除交易所的數據。就是沒有一個好的基礎協議選擇標準,這對用戶來講是非常可怕的。那什么是好的標準的維度?在我們看來這個標準能達到在共識機制安全的標準、算法安全的標準、網絡安全的標準、應用層面的安全標準以及合約安全標準這六個層面的統一,對行業有促進意義,就也是我們Cobo錢包希望推動的標準。李雪婷:好的,大家都是從行業的角度來講標準建設,我想再問一下吳主任標準建設有什么進展?吳震:首先已經在制定區塊鏈參考架構的國家標準,現在正在立項和起草過程中,會對區塊鏈的術語、參考架構、角色、功能模塊進行定義。我們國家互聯網應急中心也牽頭成立了一個區塊鏈平臺安全技術要求的標準,現在也完成了草案,正在征求意見。我們中心在ITU也牽頭了一個區塊鏈版權國際標準的制定工作。總的來說,框架性標準是有的,但是區塊鏈應用的標準目前還處于早期,也不成熟,暫時也不是特別迫切。李雪婷:好的,剛才提到測評,據我了解到這個標準制定除了評價指標體系,還需要第三方驗證機構,蒲總對第三方驗證機構的發展有何看法?蒲松濤:其實任何行業的發展除了行業自身提供技術產品之外都需要第三方的負責,包括投融資的服務等,這些都需要。對于區塊鏈來講,第三方機構的介入是非常有必要的。至少我了解到的,工信部下屬的科研單位,實際上都在技術測評等方面提供一些服務。李雪婷:各位嘉賓都介紹了目前區塊鏈行業標準建設的進展,我想請教一下各位,在區塊鏈標準建設當中有沒有存在一些問題目前是沒有辦法攻克,或者是仍需改善的?吳震:處于市場上形成的符合實際情況的標準比較有生命力。比如說大家都知道的TCP/IP協議,出現地比較早,雖然存在不足但迅速占領了市場。非市場形成的標準因為缺乏支持容易被束之高閣。實際上標準制定上來說不存在什么問題,問題是制定的標準能否達成共識、能否落地使用。劉燕:我個人覺得技術標準制定和技術本身發展之間需要達到一個動態的平衡。區塊鏈技術尚處于早期階段,它的發展還需要從各個維度不停地去提升其基礎功能。區塊鏈不是一個單一的技術,加密、算法、共識機制設計,激勵機制設計等所有底層技術的成熟,和各個領域的科學家對于某個方面的突破,都會推進技術的發展。如果標準制定得覆蓋面過廣,可能會限制技術的發展。我們希望技術標準可以防范一些比如說數據上的重大風險,對應用場景或者一些敏感性數據上,采取一些類似于沙盒監管的措施,既在中間把控嚴重的漏洞風險,也符合現階段技術發展的特征,給技術發展留有比較健康的推動力。蒲松濤:我非常同意這兩位的發言,我覺得有兩個問題是值得去探討的。第一個問題是,技術標準制定的必要性,當前整個區塊鏈行業十分活躍,過早制定標準是有影響的;第二個問題是,標準制定后是否有效,如何讓大家接受你的標準?特別像我負責的公有鏈的研究,每一條鏈都有自己的模式,協議做出來了,各個公有鏈團隊會不會認可就是問題。技術標準制定的必要性、制定的標準是否能推廣出來。我覺得有四個方向值得研究:1.哪些是我們現在緊缺的、必須制定的標準。我覺得最重要的是術語,這是最基本、最底層的。參考架構也很必要,更多是對于新初創團隊,這是必需的。2.發展空間。各個測評機構、團隊、組織都有自己的測評體系,這方面的標準可以有自由發展的空間,基于測評的沙盒也是有可能的。3.遷移。區塊鏈里很多都是傳統行業中有的技術,在傳統行業里都是有國標的。據我所知,應該是在國秘算法有19項,電子簽名大概有20項,這些標準能不能遷移到區塊鏈中來。圍繞著密碼應用的體系相對比較健全,密碼的安全大概有10項左右的國家標準,包括密碼應用的接口大概有20項國家標準,這些怎么遷移到區塊鏈行業。4.值得探索的。剛才也提到像區塊鏈的行業應用相關的標準,包括各家行業組織也沒有提出標準,將來真有可能形成事實的行業標準,變成行標、國標。李堯:簡單說下我的感受。鏈分為聯盟鏈、私有鏈、公有鏈,聯盟鏈和私有鏈一般不涉及到分布式節點,是公司治理而非社區治理,因此標準容易制定。公有鏈的標準多元復雜,鏈本身也在不斷演變,不斷突破,例如比特幣的閃電協議,未來可能實現毫秒級到賬,以及以太坊的雷電協議等都會極大地提高支付效率。同時對于區塊鏈的共識機制也在不斷演進,從POW到POS、DPOS等,當這些公鏈技術和標準非常完善統一后,再反推到聯盟鏈和私有鏈,會是比較好的嘗試,從企業端來看,也會更效率化一點。李雪婷:四位嘉賓從不同角度對區塊鏈技術標準建設進行了一些展望,確實區塊鏈標準化建設能打通應用通道、防范應用風險,對區塊鏈應用落地有積極作用。但現在由于區塊鏈處于發展的早期,過早嚴格地制定一些標準可能會限制技術的發展。技術標準的建設不是一蹴而就的,是慢慢推進的。我們期待區塊鏈技術標準建設在團體層面和行業層面的共同努力下來推進,從而促進行業的良性發展。今天非常感謝四位精彩的講解,由于時間原因我們圓桌論壇先到這里,再次感謝四位嘉賓。
南京江北新區數據DNA計劃將推動區塊鏈與產業互聯融合:6月18日,南京江北新區科技創新局聶永軍局長發布了江北新區數據DNA計劃。該計劃旨在促進江北新區數據開放共享和應用,推動數據向各行業滲透,實現區塊鏈與產業的互聯融合。(中國江蘇網)[2020/6/19]
動態 | 銀保監會發布銀行保險業發展指導意見 其中鼓勵運用區塊鏈等技術:1月4日,銀保監會發布關于推動銀行業和保險業高質量發展的指導意見,意見中指出,銀行保險機構銀行保險機構要夯實信息科技基礎,建立適應金融科技發展的組織架構、激勵機制、運營模式,做好相關技術、數據和人才儲備。充分運用人工智能、大數據、云計算、區塊鏈、生物識別等新興技術,改進服務質量,降低服務成本,強化業務管理。[2020/1/4]
聲音 | 李銀科:區塊鏈最大的應用場景是結合自身技術特點去創造的新場景:工信部中國電子商會區塊鏈專委會秘書長李銀科在接受采訪時表示,就技術而言,區塊鏈是一個去中心化的分布式賬本,也可以理解為數據庫。若不和大數據、人工智能、物聯網、云計算等技術融合應用,單一解決問題的能力非常有限。所謂落地就是賦能實體經濟,在現有互聯網場景和傳統經濟場景中適合區塊鏈的很多。但目前由于技術上基于高并發商用的缺陷,區塊鏈并沒有比互聯網技術做得更好,即便是做為信任機器也并不比中心化設施更有號召力和吸引力。所以我認為,落地不能一哄而上,落地在現有場景充其量叫做改良或優化,區塊鏈最大的應用場景是結合自身技術特點去創造的新場景,在那里才有革命性的顛覆。(金融1號院)[2019/12/24]
聲音 | 車好多集團CEO:區塊鏈技術能夠讓二手車的品質更有公信力:金色財經報道,車好多集團CEO楊浩涌在接受記者采訪時表示,區塊鏈技術最大的特點就是“不可更改”,因此可以將車輛的所有數據保留,這樣對二手車、新車的所有消費者來說都是重大利好。區塊鏈技術能夠讓二手車的品質更有公信力,尤其對于志在開拓海外市場的二手車交易平臺。[2019/12/19]
動態 | IBM將利用區塊鏈等技術幫助利福尼亞州抵御干旱災害:據cryptocoinspy報道,IBM希望利用物聯網傳感器和區塊鏈技術將加利福尼亞州的降水數據等記錄在IBM的區塊鏈平臺上,并允許農民和監管機構訪問這些數據,以幫助抵御該州的干旱災害。[2019/2/12]
作者:jolestar最近流行一個說法是幣圈涼了,無幣區塊鏈代表未來。一直以來對區塊鏈技術有幾種看法:只有比特幣,沒有區塊鏈.
1900/1/1 0:00:00提到迪拜,除了大膽的建筑、街頭的超跑、帥氣的王子,你還會想到什么?其實,迪拜還是全球前沿科技的應用中心.
1900/1/1 0:00:00本文來自:哈希派,作者:不碎,星球日報經授權轉發。11月23日下午4點,BCHSV再次追平BCHABC的區塊高度,雙方算力不相上下.
1900/1/1 0:00:00網絡欺詐手段里最“古老”的策略之一,就是注冊一個和官方網站拼寫非常相似的域名,使其看起來看官方網站完全一樣,并以此欺騙那些嘗試登陸官方網站的用戶.
1900/1/1 0:00:00編者按:本文翻譯自TokenDaily,作者:SaifedeanAmmous&SoonaAmhaz.
1900/1/1 0:00:00BTC數據日報*分析師觀點*昨日BTC圍繞4300點小幅震蕩。昨日反映內部BTC價值的基礎指標新增地址較前日略有增長.
1900/1/1 0:00:00