獨家 | 拿什么來保護我的通證？_POS

“黑客”這個詞，相信大家再熟悉不過了。自從互聯網誕生以來，黑客就成了以高超手段盜取用戶信息的代名詞。然而，現在黑客也越來越與時俱進了：美國甲骨文公司旗下的PeopleSoft軟件公司，不久前就發生了黑客襲擊事件。按照常理來說，一般用戶系統被侵入后，都會發生數據泄露。

數據泄露……咦，這怎么聽起來有點像Facebook？

小扎：老子國會都道完歉了好嗎！你還有完沒完！

話說這黑客侵入系統以后，轉了一圈，竟然沒動數據！

啥情況？

緊接著，這個叫PeopleSoft的公司發現自己的電費突然開始猛增。原來，這名黑客利用這家公司的CPU挖了611個門羅幣，價值22多萬美元！

這個“笑話”似乎告訴我們，未來世界最值錢的可能不是數據，而是算力哦！

看來，這傳統意義上的數據安全，在區塊鏈的世界要被重新定義了。那么針對于區塊鏈，會存在哪些層面的安全問題？目前又有哪些可以解決得措施？

今天，小探請到了位于硅谷的丹華資本董事總經理JudyYan,來給大家講講區塊鏈世界的安全問題。

區塊鏈：我招誰惹誰了？

話說區塊鏈自從出現以來，關于區塊鏈安全問題產生的奇葩故事就不少。除了交易所被盜，許多區塊鏈項目自身的Bug也層出不窮。作為區塊鏈投資人的Judy，對這些故事可謂如數家珍。

最著名的黑客攻擊事件要數TheDAO。早在2016年，這個平臺被盜了高達1.5個億美金的ETH。攻擊者利用了遞歸調用splitDAO函數這一技術層面的漏洞，這起事件同時也暴露了智能合約安全性的早期缺陷。

獨家 | 鏈上交易量較前日上升99.49%:據歐科云鏈OKLink數據顯示，BTC 24h鏈上活躍地址數總計839329，較前日上升3.85%；鏈上交易量總計836150.32BTC，較前日上升99.49%；鏈上交易筆數總計271271，較前日上升26.45%；BTC鏈上活躍度上升。

截至上午10時，全網算力約為91.33EH/s，較前日上升0.15EH/s，全網算力呈上升趨勢。[2020/5/26]

而去年ParityMultisig電子錢包版本1.5的漏洞被發現，使得攻擊者從三個高安全的多重簽名合約中竊取到超過15萬ETH。而這個漏洞竟然是工程師一不小心在編程時寫了一個不閉合的函數。

而另一個項目IOTA前一階段被詬病大跌的原因是底層最關鍵的哈希加密函數不工作。

就在今年三月，BEC爆出ERC20協議安全漏洞，攻擊者利用整數溢出BUG，可無限生成代幣，直接導致BEC幣值跳水，幾乎歸零。

如此種種的事件的發生，讓人們不得不重新面對區塊鏈的安全問題。

據Judy回憶，菩提去年在Qtum上進行合約部署時，雖然當時有很多人質疑Qtum能不能上線，合約部署是否會使得運行機制癱瘓等問題，但是Judy只問了菩提和量子一個最簡單問題：

用戶會不會丟了資產？

這個問題聽著很簡單，實際上反映了所有區塊鏈都是建立在安全信任的基礎上，吞吐量等問題都可以被犧牲，慢慢改進；但如果丟了數字資產，整個系統就不會再有人使用。

獨家 | QuestGroup創始人曲鳴：云算力產品已經較為金融化:在今晚由算力互聯主辦，金色財經獨家支持直播的2020礦業新勢力AMA上，QuestGroup創始人曲鳴表示，目前看來，云算力產品已經比較金融化了。對于公司而言，在產品設計的邏輯上具備很強的金融思維是非常關鍵的，并且是圍繞如何讓客戶持續性的獲得盡可能多的盈利來展開。現有產品除了交固定周期的算力費與電費來獲得數字資產以外，還有很多其他方式，例如算力租賃，礦機租賃，算力合約甚至算力的交易所都是金融化之后的產物。對于新入場的創業者，我認為找到最合適自己的機會入場是最好的，此時新入場的創業者可以通過自己的專業知識與技能儲備，自有行業相關資產評估，投資資金體量以及融資能力以及核心團隊擅長點來結合一定的需求展開。[2020/2/25]

“安全，是唯一不能犧牲的因素。”

在Judy看來，公鏈的安全、智能合約的安全、云安全這三個層面都是未來最值得關注的區塊鏈安全層面。

其實在做區塊鏈安全的項目有很多。比如：Zeppelin是一個社區驅動項目，它構建了安全智能合約的開源架構，目的在于實現安全智能合約的開發。目前有很多優質的海外區塊鏈項目都采用了Zeppelin的智能合約安全服務。

Quantstamp是一家智能合約的安全審計平臺，而且還是為數不多的、被YC錄取的區塊鏈公司哦！小探也在之前名為《錯過了區塊鏈第一波淘金熱？這家公司“賣鏟子”被YC相中》的文章中介紹過。

獨家 | 經濟學家金巖石：刪除分紅條款不能改變Libra的性質:針對“Libra白皮書刪除將利息用于分紅給初期投資者的內容”一事，獨立經濟學家金巖石在接受金色財經采訪時指出：初始白皮書的分紅條款與Libra的頂層設計有沖突，因為任何“幣”都沒有分紅，是“幣”就不應該分紅；數字貨幣的合理性之一是降低交易費用，而分紅條款的設置必然提高交易費用，與數字貨幣的功能直接沖突；刪除分紅條款使Libra更接近于“幣”，卻不能改變Libra的性質：A數字游戲；B數字資產；信用貨幣是國家制度創造的金融商品，在傳統貨幣三大職能的基礎上，增加了兩大功能：A財政赤字貨幣化；B居民行為透明化。所以，Libra無法替代法定貨幣。[2019/12/13]

區塊鏈公司Axoni不是一家專門做智能合約安全的公司。但他們最近也在專注與形式化驗證技術。開發了專門服務于形式化驗證的智能合約語言Axlong。

其中，Certik是一家用形式化驗證為智能合約和區塊鏈應用提供安全性服務的公司。形式化應用？這個聽起來好像很有故事！在講故事之前，咱們先看看為什么智能合約和公鏈容易出現安全問題？

公鏈、智能合約的安全誰能承包？

我們先來看智能合約為什么容易出現安全問題。

第一，不可逆性：智能合約一旦發布在區塊鏈上，合約的源代碼是無法被修改的。

第二，代碼開源：在平時不公開源代碼的情況下都能被黑客攻擊，更何況大多數區塊鏈項目的代碼都是開源的。開源只會讓黑客的攻擊將變得更加容易。

獨家 | 極豆資本合伙人王秦：熊市考驗投資方分散風險和挑選項目能力:針對近期以太坊價格跳水的現象，金色財經就此事獨家采訪到極豆資本合伙人王秦，在關于“以太坊暴跌投資機構怎樣防御風險”這一問題上，他表示：“大浪褪去，才知道誰在裸泳。在牛市時候，空氣幣都能得到很高的估值，這種情況是不持續的。熊市到來，是考驗投資方分散風險和挑選項目能力的重要時機。投資方一方面要堅持對好項目、好團隊的投入，注重項目的核心競爭力、團隊的技術實力和運營能力，果斷舍棄虛有其表的項目。一方面，要做好打持久戰的準備，把戰線拉長，多關注上下游企業。其實整個區塊鏈行業，除了項目方以外，還有很多在做扎實基本功的企業，譬如交易系統開發、項目安全性評測、計算平臺支持等等。這些服務型企業在熊市時很好掉頭，依然具有競爭力，也是投資方可以考慮的對象。”[2018/8/22]

第三，成本高：如果將智能合約放在區塊鏈上進行不斷的安全測試，資產的不斷轉換會是一筆很大的開銷。

第四，思維設限：即使開發者會預想智能合約在哪些情況下會遭攻擊，再針對這些情景測試，但黑客的厲害之處在于，可以從程序員預想之外的路徑下手。

由于智能合約在安全上存在的這四個方面問題，從而導致區塊鏈上的數字資產很容易被黑客掠奪。

對于公鏈上產生的問題，Judy用了一個清晰明了的比方來說明。

Judy認為，區塊鏈，尤其是在智能合約出現之后，是個兩層的結構。其中一層為公鏈，在其上運行智能合約。由于公鏈是一種開源的架構，智能合約的開發者每個人都可以在上面可以寫一段腳本。

金色獨家 Higgs Block 科技公司CEO陳慶：市政廳會議將不會給美國關于加密貨幣法律帶來立竿見影的影響:針對美國證券交易委員會（SEC）將于北京時間6月14日凌晨兩點在佐治亞州亞特蘭大州立大學舉行一次市民會議一事，金色財經邀請Higgs Block 科技公司CEO陳慶對此作出解讀，陳慶表示：美國證券交易委員會（SEC）、美國商品期貨交易委員會（CFTC）于2018年2月6日于美國參議院會會晤，這個市政廳會議廣泛地討論了加密貨幣以及如果有這種需要的話，這些機構如何配合監管。SEC主席，Jay Clayton比較堅定地認為所有的ICO都是證券。在SEC4月26日召開的會議是為爭取“通證權益”而進行的重要一步。討論標志著SEC成員新的態度和開放度。SEC的部門負責人 William Hinman向聽眾保證，代表們正在試圖更加開放的看待此類問題，并且來審視一下到底哪些項目會表現出以功能為基礎的行為，而不是證券類的。從我們的角度來看，關于如何去給加密貨幣和TOKEN分類以及監管ICO投資過程的困惑是6月13日開展此次討論的主要原因，這次會議也將開啟讓問題更加明朗的后續步伐。SEC的比特幣和ICO會議將幫助政府明確在被加密貨幣社區廣泛討論的一些緊迫的法律問題方面的立場。我們判斷，并且已經注意到，這場市政廳會議是關于加密貨幣、ICO以及監管等問答的模擬大會，市政廳會議將不會給美國關于加密貨幣法律帶來立竿見影的影響，到目前為止只有一項明文的相關法律，那就是禁止美國人交易委內瑞拉石油幣，也就是特朗普通過簽署今年3月份的行政命令而確定的一項法律。[2018/6/13]

然而，這也是問題存在的根源：由于每個開發者動能用，所以在公鏈上書寫腳本時，往往會帶來意想不到的“副作用”。

這是什么意思呢？Judy給小探舉了個例子：

“假如我要在以太坊上寫一個智能合約，我寫這段智能合約的目的是A，但是我并不會預料出當A完成時，同時會出現副作用B，而B很有可能會使得公鏈系統癱瘓掉。”

那有沒有辦法提前得知是否會出現副作用B而避免悲劇的發生呢？

還真有！Certik使用的形式化驗證就是目前解決這一問題的最佳方式。

什么是形式化驗證呢？

根據CertiK聯合創始人顧榮輝教授的講述，形式化驗證就是：用邏輯語言來描述規范，通過嚴謹的數學推演來檢查給定的系統是否滿足要求。

簡而言之，形式化驗證的作用就是讓你只完成A的目的，而不會產生副作用B。

Judy認為，對于形式化驗證，我們要從兩個維度來看。

在傳統維度上，形式化驗證是一個統計學的概率問題。

比如說，如果你能計算出在執行A目的時90%的可能性系統不會出問題，那么對于一個手機應用APP的研發可能就足夠了。換句話說，傳統維度上大家只需要做“計算題”算出安全運行的概率就可以了。

但是在區塊鏈的世界，我們需要的，是確確實實100%地確定我們在執行A目的時，不會有副作用B產生，底層系統不會受到任何因素的影響。那么顯然需要我們進行完備性驗證。

怎么保證100%不會出錯呢？有兩種辦法：用人工檢查來證明,或者用算法證明。目前雖然有許多做人工驗證的區塊鏈項目，但是耗時多，成本高——畢竟在現在的人才市場上，有能力、有意愿免費為你檢查的白帽黑客很有限。

那么算法證明又怎樣呢？我們來看看CertiK是怎么做的。

具體來看，CertiK的驗證過程體現了化整為零的解題思想，將一個難以證明的大問題拆分為許多容易證明的小問題，然后再將證明過的小問題重新組合回分解之前的較難的大問題，并且保證其中從端到端的正確性。

在這個過程中，這些小問題都將發送給整個社區，社區的開發者們可以利用CertiK提供的方法，也可以運用自己的算法來證明這些問題。一旦某個問題通過多方獨立的開發者的驗證，那么其便可以用來作為建立其他理論的依據，從而形成互助協作的技術機制和良好的社區氛圍。

CertiK背后的團隊陣容也十分強大：CertiK的聯合創始人顧榮輝從清華大學本科畢業，耶魯大學的博士，現為哥倫比亞大學計算機系助理教授。

另一位聯合創始人邵中，是形式化驗證的最有成就的科學家，耶魯大學計算機系的主任和ThomasL.Kempner冠名教授，有20余年的安全領域經驗。

未來：如何保證云上的安全？

說完了如何保證公鏈和智能合約的安全，我們來看一看目前區塊鏈世界十分流行的云安全。

在講云安全之前，Judy首先從目前最炙手可熱的DPOS（delegatedProofofStake)講起。

我們都知道POW和POS是區塊鏈的兩種共識機制。那么共識機制DPOS相比較于這兩種共識機制其特點如何呢？

首先，應用DPOS時，社區成員不必再同話語權極大的曠工打交道了，省了不少事。

其次，DPOS上的應用開發進度更快。雖然整個系統犧牲了“去中心化”，但是提高了scalability，從而讓DPOS公鏈上可以做出更多DAPP。

“DPOS在2018年的發展一定會更快，”Judy評論道。

然而這么高效的系統，不是沒有問題。由于在DPOS上存在中心化的交易，交易所首先可能會成為黑客們攻擊的對象。尤其是超級節點的存在，很可能最先成為攻擊的靶子。而這些超級節點大多在云服務器上運行。那么對于整個平臺來說，如何保證云安全就顯得格外重要了。

那么有沒有什么辦法可以保證云安全？還真有！

小探認識的InfinityStones就是一家給節點做安全維護的區塊鏈公司。

《復仇者聯盟3》開始上映，大家對InfinityStone一定不陌生。這家公司做的也像漫威一樣炫酷！

具體看來，InfinityStones率先認識到了計算機安全在dpos區塊鏈世界中的重要“基石”作用。如果這些超級節點被惡意攻擊，那么節點上運行的智能合約可能被阻塞甚至篡改。

而區塊鏈軟件的開源和開放的特性使得很多傳統的安全手段無法達到有效的防護。針對這些痛點，InfinityStones提出了自己的加密計算解決方案，已經在多個云計算平臺上部署。InfinityStones平臺上運行的操作系統和編譯過程都由公司定制開發，所有敏感數據的存儲和傳輸都將加密。并且，7x24小時的不間斷監控和預警系統，讓所有系統層的安全漏洞都能在第一時間內被發現和修補。

有了這顆定心丸，云上的安全問題看來也不難解決了！

在采訪的最后，Judy談到，相比較于傳統行業，區塊鏈的安全維護會更加具有挑戰。

“例如，我們使用BankofAmerica的網絡賬戶時，這背后的計算都是閉源的，開放給客戶的內容是很小的一部分。并且，BOA所遵循的一套算法很少有人能知道，所以維護其安全相對比較容易。然而區塊鏈就不同了。由于區塊鏈是一個透明的實際，代碼會公開，所以其安全維護的挑戰性也會更大。”

想聽更多關于區塊鏈安全的話題？

硅谷密探繼今年一月在舊金山成功舉辦區塊鏈大會后，今年6月26日-27日將在圣荷塞再次舉辦盛況更加空前的BlockchainConnectConference！在此次大會上，區塊鏈安全領域的重量級嘉賓將對區塊鏈安全問題再次進行深入探討。

來源鏈接：None

本文來源于非小號媒體平臺：

硅谷區塊鏈

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626813.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

美國銀行再噴加密貨幣，稱其缺乏透明度妨礙抓壞人

Tags：區塊鏈POSCERTTIK區塊鏈技術專業BitcoinPoScertikTikky Inu

非小號