前华为首席区块链专家:没有安全,谈什么区块链?

黄连金,中国电子学会区块链专家委员,前华为首席区块链专家、美国分布式商业应用创始人、联合国旗下世界区块链组织(WBO)首席技术专家。曾经为美国联邦政府、金融机构、和公用事业公司提供金融、人工智能、区块链、安全等方面的专家咨询。

采编|林可

受访者|黄连金

导语

最近,EOS不断曝出的安全漏洞引起了人们对区块链安全的忧虑。

许多业内人士认为,相比互联网,区块链在理念和架构上更加安全可信,因为分布式记账既能保证数据流的完整一致,又具备数据不可篡改等天然优势,能保障数据安全可靠。正是基于此,很多人激动地认为,区块链技术将带来一场革命,颠覆古典互联网以及传统行业。

但事实上,区块链并不是完全安全。越是功能强大的智能合约,就越是逻辑复杂,也越容易出现逻辑上的漏洞。比如号称区块链3.0、代表公链最高技术水准的EOS,被曝出了十多个安全漏洞。EOS攻击者可以利用这些漏洞,发布包含恶意代码的“智能合约”,控制区块链网络中的所有节点,从而可以任意篡改数据。

不仅是EOS,拥有25万名开发者的以太坊也并不安全。以太坊运行3年来,至少发现了21个安全漏洞。2016年6月17日,由于以太坊的智能合约存在着重大缺陷,拥有1亿美元资产的区块链众筹项目TheDAO遭到攻击,导致300多万以太币资产被分离出TheDAO的资产池。这只是以太坊被攻击事件的其中一例。

每天,全球有不计可数的黑客在密集地攻击各种区块链项目,并以此获利。近两年来,频繁发生的数字货币被盗和交易所安全事件,以及The DAO、BEC、SocialChain、Hexagon被黑客攻击,再到最近EOS曝出史诗级漏洞,不断将区块链安全问题推上了风口浪尖,以至于公众质疑区块链是否真正安全。

中国电子学会区块链专家委员黄连金认为,安全问题是阻碍区块链发展的主要瓶颈。而IDF极安客实验室联合创始人万涛的观点更激进:“如果不顾安全大谈区块链都是‘耍流氓’;如果以安全的名义去鼓吹区块链,却没有实质的行动,则属厚颜无耻。”

前不久,国家工信部等主管部门更发声明确肯定了区块链的意义和前景,让业内人士对区块链的未来充满信心,但由于漏洞频出以及屡屡出现的黑客攻击事件,又让许多人有所顾虑而停滞不前。

区块链为什么会沦为黑客的狩猎森林?区块链的信仰者如何面对安全问题?作为中国区块链的先驱,黄连金曾长期在中美两国研究互联网安全问题,他的冷静思考与专业分析,也许能帮你答疑解惑。

Q&A

Q1

《链研所》:区块链未来的发展趋势是怎样的?

黄连金:第一,区块链+传统技术。区块链本质上是一个虚拟数据网络,一旦数据上链,就可以通过区块链安全技术、密码学原理,实现价值互联网的转变。如果价值互联网要与实体经济相结合,则需要运用物联网、人工智能、大数据等技术。

第二,区块链+落地场景。区块链不是去中心化,而是去中介化。我认为保险是最容易被区块链颠覆的。现在,很多国家的区块链保险项目,本质上是保险辅助。一旦产生理赔,就通过智能合约将钱转给保险受益者。目前,很多大型银行在花大量的资源去研究区块链项目。

区块链必须在主权的国家才能获得发展。在主权国家发展区块链,不能把政府去掉,一定要把政府监管作为重要的节点,接入区块链生态。区块链未来的发展,必定要和实体经济相结合,并将区块链技术落地到各种应用场景中去。

第三,公有链和联盟链的结合。不管是比特币还是以太坊,回归事物本质,其实就是价值互联网。它是一个公开透明的平台,能帮助信任度不够或利益点不一致的个体或组织,重建信任、达成合作。

Q2

《链研所》:您对现有的公链状况有什么看法?

黄连金:现在的公有链,第一代是比特币,它引入了共识算法,带来了思想的创新,但是其功能有限。后来有了第二代公有链,也即是构建智能合约的以太坊,但它引发了不少安全的问题。现在出现了许多号称区块链3.0的公有链,包括EOS,ADA,PENTA等。

看公有链,主要看共识算法。如果既不安全又不公平,那么这条公有链肯定是有问题的,因为它违反了区块链共识算法的公正原则。另外,对公有链而言,隐私保护也非常重要。第一代、第二代公有链,数据都是公开的,有一定的匿名性,但安全方面未来还要提升。

总的来讲,目前区块链有两个重要的问题:一是性能,性能还要提高,现在每秒钟交易速度不是很高,比特币是3-5TPS,以太坊是15-25TPS;二是安全,现在比特币用的加密技术,就是签名和哈希,但它没有把内容进行加密。从A账户到B账户,比特币交易的数量非常清楚。

Q3

《链研所》:刚刚您说到公有链和联盟链的结合,可以详细说一下结合的好处吗?

黄连金通过联盟链、公有链来重构我们B2B、B2C、C2C、C2B之间的关系。联盟链的节点很少,但公有链有几万个节点,比特币有四万节点,以太坊有三万节点。节点众多,也会造成了一系列安全问题。

未来用的算法会从单PoS模式转换为PoW+PoS混合模式。联盟链不会去挖矿,也不会浪费算力,可以用dBFT和Raft算法建立起一套严谨的共识机制。虽然可能会存在一定的安全问题,但可以锚定一个公有链去保护它,这是联盟链与公有链结合的一个好处。

联盟链可以改变现在B2B的商业模式,让原来因为信任问题不可能完成的生意变成可能。联盟链与公有链的结合会更加优化B2B+B2C的商业模式。

未来,人与人之间的关系、企业与企业之间的关系,企业与政府之间的关系,甚至政府与政府之间的关系都会向多中心化转变,基于新信任基础的商业模式和技术进行重构。当然,这需要一个循序渐进的过程,现在的技术还远远达不到。

与纯粹公有链的项目相比,我更看好联盟链项目,或者联盟链与公有链相结合的项目。

Q4

《链研所》:与数据库交易相比,区块链有什么好处?

黄连金:数据库交易只要在数据里面写个记录即可完成,一旦数据库被黑,数据就有很大的危险性,或者存在被人篡改的可能性。而区块链不一样,比如你把钱从A转到B,你的钱包就是用你的私钥进行签名,一旦产生签名的行为,用户没法抵赖转账的行为。

这样,转账行为就产生了一个共识,所有的节点都接收了这个信息,看到了这笔交易。钱包还有一个功能是广播,线下交易必须在网络环境下完成,交易的信息才能被广播出去,经过所有节点一致同意,产生所谓的共识,交易的信息就会被放在链上。

区块链的特点是完整性,数据不可篡改。每个数据都签名了,别人很难篡改数据。如果想更改这个交易信息,整条链上的信息都要更改。所以越前面的区块越安全,越后面的区块越不安全。

Q5

《链研所》:关于智能合约的安全问题,您有什么看法?

黄连金:现在很多区块链项目都是不安全的。第一次爆发安全事件的是智能合约The DAO。The DAO的程序里面用了递归语句,但是初始化没有设置好就去重复调用那个递归语句。黑客发现这个漏洞,偷走了6000万美金,整个项目完蛋了。

智能合约一旦部署了,它就自动执行,除非你把停止的逻辑写进去。有安全漏洞的话,黑客可以继续偷钱。对于区块链落地来说,智能合约是最重要的一个环节,而安全和隐私性又是智能合约的最重要因素之一。

Q6

《链研所》:如何去分析一个项目是否安全,有没有衡量标准?

黄连金:如果我们要分析一个项目是否安全,可以用传统安全三要素(CIA)去分析,也就是保密性,完整性,可用性。

保密性之于区块链,不管第一代还是第二代的区块链,在保密性方面都是不行的,隐私的保护也不够。所以出现了所谓的第三代区块链,它们在保密性上面进行了加强。

完整性之于区块链,就是数据不可篡改数据签名之后,没有当事人的私钥,其他人很难进行篡改。黑客再有能耐,也是攻击不进来的。

可用性之于区块链,是说在一定响应时间秒级之内能够使用重点强调的不是能用,而是快速反应。

目前来说,在区块链拓展技术上,还存在问题。第一代的区块链的处理速度、可交易次数是远远不够的。要达到百万级的TPS,才能变成真正可用的区块链。

Q7

《链研所》:我们都知道区块链上每个用户都是匿名的,大数据库时代,如果掌握足够的信息,是否依然可能捕捉到一些用户痕迹?

黄连金:区块链技术给信息安全提供了很好的保障,这些都是区块链安全的属性,imtoken等区块链钱包都有地址,但从公钥无法推测出私钥,所以具有一定的匿名性。但是从私钥就可以比较容易地推出公钥,但是无法从这个地址推出用户信息。

以这种角度来说,区块链技术有一定的匿名性,但属于一种伪匿名性,因为交易的帐户地址和内容是公开的。运用大数据行为方法可以追溯到个人,这个已经有案例。2014年,日本有一个Mt.Gox交易所倒闭,因为有一个黑客把比特币偷走,日本警方通过大数据分析推断出这个人的信息,今年年初把他抓捕归案。

Q8

《链研所》:企业如何控制区块链项目的安全性?

黄连金:安全的控制有8个要点,共分为5层,每一层都需要一些安全的考虑,如果某一层的安全没有考虑到,你的区块链项目落地就会有问题。1.身份管理。区块链跟实体经济结合肯定要考虑身份管理;2.应用层源代码安全检查。目前有统计,80%的源代码都有安全问题;3.智能合约安全检查;4.节点的安全加固;5.数据加密;6.数据传输的加密;7.DDOS;8.私钥

以上为区块链8个至关重要的安全点,如果这八个做好,区块链项目90%还是安全的。

Q9

《链研所》:企业区块链应用的未来蓝海在哪?

黄连金:我们常说以太坊是比特币的技术升级,但无论是区块链1.0 的比特币还是区块链2.0的以太坊,从商业模式上都不是企业级而是私人级的一个产品。真正企业级的区块链应用仍在少数。

区块链3.0时代,B2B将是主流

而3.0时代,B2B将是主流,这需要将公有链与联盟链、私有链进行融合升级,公有链可以锚定某些资产。价值互联网会把云计算、人工智能、公有链和私有链结合起来,市场规模将远超目前的比特币或以太坊市场。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180614G1MQ9600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券