比特币:CBC100 | 黄连金:区块链安全的9个主要问题_DEFI

区块链安全一直是区块链发展进程中至关重要的议题。如何设置更完善的KYC和AML系统、如何防止私钥被盗、如何实现去中心化数字身份确认等等,都是我们需要日益关切的问题。

本期《CBC100》邀请到黄连金老师为我们解析区块链安全中的9个主要问题。

1.?智能合约

智能合约是区块链中最重要的技术之一,其特征是可以锁定大量资产且在发布后不可更改,但智能合约是开源的,如果被黑客研究出代码的漏洞,则会出现资产流失等问题。在整个区块链发展中,大部分的安全事件都与智能合约漏洞有关,由于智能合约的安全问题而造成的资产损失量不可小觑。

在智能合约的安全审查中,需要关注是谁写的、是否通过第三方审计、是谁将其发布上链、合约地址的私钥由谁掌握以及是否可以升级等方面。智能合约的编程需要遵循开源的最佳实践。例如云安全联盟大中华区最近发布的《智能合约安全指南》白皮书和机械工业出版社的《区块链安全技术指南》的第三章内容。

2.?数字钱包

数字钱包是数字货币和区块链应用的入口,且包含了私钥。

区块链的数字资产是链上资产,而拥有这些数字资产的人就是私钥的掌握者。也可以将钱包理解成是存储私钥的地方而非数字资产的地方,因为谁拥有了私钥,谁就拥有了该私钥地址下所有的数字资产。因此,如何保护私钥的安全是区块链安全问题中研究的重要领域。

不同类型的数字钱包,其安全需求是不同的。因此,我们需要了解各类型钱包的情况以及私钥、公钥和密码、签名等之间的关系,这样才能更全面的解决钱包安全问题。关于钱包安全的问题,大家可以参考云安全联盟大中华区最近发布的《数字钱包安全开发与应用实践》

3.?共识算法

区块链如果作为计算平台,那么它有别于其他计算平台的主要特征是共识算法。不同的节点或者服务器对于一个交易进行确认,决定这个交易是否发生、发生的顺序,交易是否合理、是否双化的算法就是共识算法。共识算法有很多种类。有传统数据库的共识算法,例如RAFT,?PAXOS,这两种算法的主要特征是Crush?Tolerant也就是可以容许出现宕机,当其中一台机器宕机,还有别的机器在运作,可以用?RAFT或者PAXOS作为底层的共识算法保证分布式系统的正常运行。但是当这些传统算法遇到恶意节点时,传统的共识算法就会失效。因此需要能够容错的算法,例如比特币的POW算法,就可以防止一些恶意节点,其可以容纳49%的恶意节点;同时还有在联盟链中通常使用的拜占庭容错,可以容纳少于33%的节点错误。而以太坊2.0使用的权益证明和EOS上的DPOS也可以容许一定量的节点错误。

在共识算法安全问题的研究中可以从四个不同角度进行思考:

1.在网络质量方面研究其安全性和活性。安全性即不会双化,而活性则是指所有合理的交易都会被记录在链上。

2.最终确认性。有些共识算法没有最终确认,例如POW是基于概率的确认性,而拜占庭容错确认则为最终确认。因此从这个角度看其安全和活性,所用的假设都不一样。

3.区块链不同类型私有链、公链、联盟链的共识算法都不一样,应用场景也不同,其中安全性和活性也都不一样。

4.从Game?Theoretical博弈论的角度考虑算法安全性和活性。

目前共识算法的安全性和活性的研究在学术界和区块链初创企业都获得广泛的重视。作为云安全联盟区块链安全工作组的成员单位,北京大学正在这方面展开研究。

4.?交易所

价值交换和价值实现的地方,因此也常收到黑客的攻击。云安全联盟对于经常出现的交易所安全问题进行分析,在2020年12月发布了《数字货币交易所Top10安全风险》可以作为从业者和用户的参考。

5.?DAPP和?DeFi

DAPP就是去中心化的应用。今年大部分去中心化应用都出自DeFi。

去中心化金融很火,但却频发Rug-Pull即项目跑路等问题,当然除此之外也存在自身通证设计的安全问题。DeFi项目需要注意三方面的安全,第一就是智能合约的安全,第二就是通证经济设计方面的安全,第三就是监管的安全。智能合约的安全前面已经提到过。这里就说一下通证经济和监管的安全。如果通证经济没有设计好,会造成死亡螺旋的问题。就是你价格越低,参与的人越少,然后逐渐的就价格就归零了,或者趋近于零,这就是死亡螺旋,你怎么样去避免死亡螺旋,促进价格和生态可持续的发展,这个其实是通证经济与DAO设计的一个关键。或者因为通证经济设计参数方面有漏洞,可以被黑客利用。总体来说DeFi的90%的项目,因为有可能会因为共识不够,通证经济设计不合理,可能技术还可以,但是最后还是要靠生态,靠通证经济,因为它是多学科的领域,其中某个领域没做好,最后可能不能成功偃旗息鼓。DeFi第三方面的安全:是监管安全。现在DeFi生态还小,监管还没有开始。但是到某个程度就要受监管,那么有些如果不符合监管的话,整个生态会受到打击,所以这个风险就严重了。比如去中心化交易所EtherDelta项目被美国政府罚款是一个例子。需要注意的是DeFi项目最终都一定要符合本地的监管,所以首先项目需要有自律的精神,绝对不能够去做非法的一些事情。DeFi要能够真正地进行发展,一定要有行业的自律,现在国内有一些DeFi的仿盘,内在还是中心化的,不是去中心化,有可能会圈钱跑路的,所以大家要小心,保证好项目的安全工作,及时规避风险。

6.?去中心化数字身份

数字身份是保障数字经济安全的信任基石,业界目前的数字身份体系一般都

是中心化的,区块链作为解决可信问题的分布式技术,给数字身份自治的场景打开了天窗,比如减少云计算中心化身份数据大量聚合的泄露风险,在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。去中心化数字身份的标准是W3C正在开发的一系列标准,包括DID数据模型,DID方法,DID通讯等等。利用DID标准来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题,开源组织云安全联盟在2020年9月发布了《用户自治数字身份安全白皮书》可以作为参考。

7.?网络安全

区块链中点对点网络的安全非常重要。数据隐私保护,点对点传输的数据如何进行加密并保证数据通畅和不被篡改。在加密过程中,是否可以用零知识证明,或同态加密、多方安全计算等。北京理工大学作为云安全联盟区块链安全的成员单位正在这方面展开研究。

8.?数据层

区块链数据层次包括链上和链下的数据,数据的保密性,完整性和可用性是数据安全需要关注的问题。区块链本身的不可篡改的安全属性在区块链数据的完整性方面作出非常好的保证。但是在数据保密性和可用性方面,需要做进一步的研究。对于区块链数据进行分类和安全与隐私方面的需求进行分析是利用区块链发挥数据价值的必要条件。云安全联盟区块链安全工作组成员单位武汉大学在这方面正在开展研究。

9.?AM和数字货币溯源技术层

通过大数据研究的方法,对可疑、非法、、恐怖主义融资等不正常交易进行标注,并提供给政府相关部门协助进行整治。关于这方面的内容,建议大家看一下,云安全联盟最近发布的《数字货币溯源技术白皮书》。

总而言之,在这9个方面中,智能合约是使得区块链能够真正用于实践的工具,但在安全方面却一直未受到重视;而钱包作为各方面应用的入口,安全问题也绝对不容小觑。而对于共识算法而言,安全性和活性格外重要。交易所安全事件同样频频发生,因此解决交易所安全问题以及DAPP、去中心化数字身份,网路层次和数据层次和AML安全问题同样刻不容缓。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

SHIB比特币:12.23午间行情分析_MAC

导语:悲伤唤不回流逝的时光,只要我们总结跌倒的原因,把孕育的勇气树起,告别迷惘的昨天,拥抱美好的今天,微笑面对明天,不管是从辉煌成功中走出,还是在失败中奋起,漫漫远方路.

[0:15ms0-2:951ms