NER:安全计算的未来:区块链比传统应用更安全,最大的问题仍出在人和运营上 | 星球日报P.O.D大会_区块链

2018年9月5日,由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在主题为“安全计算的未来”圆桌论坛上,WXY创始人于迪作为主持人,和特邀嘉宾ARPA联合发起人章磊、Points创始人张佳辰、Taxa创始人TFGuo、TRIASCTO魏明、Netta和FractalNets联合创始人杨子江共同探讨区块链安全的若干问题。

核心问题:区块链安全问题都分为哪些?原本用互联网中心化手段解决的安全问题,未来有可能用区块链解决,两者是否会有一些矛盾?彼此之间会如何存续和合作?整个区块链体系有很多安全解决方案,它们彼此之间该如何协调?如何统一?主要观点:安全计算问题涉及各方各面,主要包括区块链软件自身的安全、存储的安全、数据交易的隐私安全等。在实现上则有多种,包括用芯片以及可信环境来构造的软硬件架构,也有纯软件协议。相比之下,芯片保护更安全,软件方案则更直观透明,较易增信。区块链安全比传统的安全更加高效和安全。区块链安全的效率能让损耗从过去10的5-6次方这样,到现在只需要10这样一个计算量,实现的效果是一样的。更安全是因为它里面有很多钱;而且是去中心化的系统,不像传统那种钱丢了还能再找回来,这个丢了就是丢了,所以它的安全级别即使是最基本的要求也很高。区块链安全也沿袭了传统PC和移动的安全,最大的问题一般出在人以及运营上。我们不能寄希望于普通开发者有很高的安全知识,所以每个底层项目应该定制自己的安全协议。你一定要用最成熟的东西,这才是安全的。区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注增量市场,以及现在中心化系统还没有形成垄断,非常需要去中心化补充的一些地方。————————————以下为论坛讨论整理,enjoy:区块链安全问题都分为哪些?主持人——于迪我先自我介绍一下,我是WXY集团的创始人于迪,WXY主要做区块链领域的品牌管理、投行、投资业务。今天我想问在座专家的第一个问题是,区块链领域安全问题频出,大家认为,这些安全问题都分为哪些?哪些是底层的?哪些是运营层面的?以及大家各自在解决什么问题?TRIASCTO——魏明大家好。TRIAS做的是基于TEE的公链,主打功能是防篡改、防数据泄露。一般政府和企业,可能会买像BAT还有安全公司的防篡改系统。这些系统必定会有帐号体系,也就是所谓的上帝,这也是客户想要的。但有个中心化的管理员就意味着很容易被篡改。所以我们先做了防篡改系统。第二个是数据泄露。一开始我们没想要做这个,因为它并不像大家关心的像钱包那么直接。当时我们想的就是想拿防篡改系统去做数据存证和追溯。但当时我们接触的要做数据上云的几个大医院,面临一个问题,那就是大家都不想把自己珍贵的医疗数据跟别人分享,他们不信任任何一个公有云。哪怕中间有数据交换区的私有云,他们也不太认可。他很容易怀疑交换方到他那儿干了不该干的事,比如把他运营的私人信息偷偷发给别人去做分析。所以这块业务,我们做了一个相当于数据交换区的硬件,让整个环境有TEE这样的安全措施进行保护。另外,企业的终端也全部用了我们做的智能合约,这样就能保证他所有的程序执行透明,第三方也很难再在上面加脚本。Taxa创始人——TFGuoTaxa是一个Layer2的链下网络,使用的也是TEE技术。通过我们平台,去中心化应用将能在Layer2运行强隐私的智能合约。隐私领域的缺失在一定程度上限制了公有链的大规模应用,因此Taxa想在链下解决这个问题。Netta和FractalNets联合创始人西密歇根大学计算机教授——杨子江大家好。Netta用的这种机制和现在的区块链机制很不一样,比如我们现在做的高并发,速度在3000个节点下已达到10万TPS。能做到这一点是因为,我们做了数据流程而不是普通的数据和链,那么保证它的安全性就非常重要。对于安全性我们是这么理解的。首先区块链本身就是一个软件项目,那么它也有其他软件所面临的问题,比如bug很多。比尔盖茨曾经问过一个问题,他说你们认为人类有史以来所创造的最复杂的东西是什么?很多人说宇宙飞船,很多人说高铁、航空母舰,他说都不是,实际上是软件,软件是人造物中最复杂的东西,以至于没有人能够保证它的正确性。看看现在的工业软件,每天有7个错误,为什么不把这些错误剔除呢?因为它太复杂了。我们可以用各种各样的工具不断测试它,但这只能证明软件的错误性,不是它永远正确的保证。现在很流行形式化验证。但形式化验证就能保证程序的正确吗?你能从数学上证明程序的正确性吗?实际上这不可能,因为你不能用一个算法证明另外一个算法的正确性。这是所有软件面临的一个问题。那么区块链软件和其它软件的区别在什么地方?我认为是,因为它里面有很多的钱,所以绝大多数区块链项目都更加注重安全。我们要做更多的测试、验证,尽量减少它的错误。Points创始人——张佳辰大家好。Points想要实现的是个基于区块链的安全多方计算协议,这个协议支持什么应用场景呢?可能和许多更加从底层出发的项目不同,我们针对很具体的应用场景,比如第一个应用场景是个人信用的评分和评价。这个场景有几个和数据安全相关的问题,第一个是存储安全。Points想的是,通过加密和数据混淆的方法,可以让这个数据即使受到了攻击,也不会暴露原始数据。第二个是数据交换。要怎样可以让真实数据在各个孤岛之间流动起来呢?我们想的是,是不是能更多的从设备端本身收集更真实的原始数据,以及通过交叉验证核实数据的真实性。更大胆的想法是,怎样可以在不暴露原始数据的情况下,让几十个、几百个甚至上千个数据源进行综合性数据计算协作。譬如说计算一个人的个人信用分,会使用到包括教育、收入以及行为等等多元数据。那么要怎样能在不暴露原始数据的情况下实现数据共享使用?这就是Points想要解决的问题。现在我们已经接入了10亿多用户相关的ID验证数据,以及覆盖5亿用户的信用变量部分的数据,所以说是比较注重场景落地的一个项目。与许多用硬件架构,包括芯片以及可信环境来构造安全多方计算协议的项目比,我们使用的是纯软件算法。尽管硬件方案有很多优点,但是从增加信任的角度讲,软件的方案能方便地让一个普通程序员,或者普通用户观测具体是哪些代码在执行。如果在芯片层进行计算的话,那么对于普通的生态伙伴和用户来说,在理解上会稍微困难一些。所以我们选择用一种更加直观透明的方案。ARPA联合发起人——章磊大家好!我是OasisLabs的联合发起人章磊。OasisLabs也是做安全隐私计算的。之前一些嘉宾也介绍到了商业的数据交换的安全问题,如何让兼具高价值和高隐私性的数据进行交易流通。我们也用了MPC技术,刚才很多嘉宾提到很多点都非常棒,我想说明的是,我们的优势是什么呢?我们要做到的是任何函数,任何方程都能够在这个空间当中进行编译和计算。并且,计算结果是可以被验证的,这个验证从数学的角度出发,可以验证它用原始方程做了计算,诚实输出结果,也没有盗取用于计算的数据。这点在一个Blockchain的项目里面是非常重要的,因为任何人都可以加入你的计算网络去赚取计算费用,它有特别强的动机去你,所以怎么很方便的去证明你的确做了这件事情,是非常重要的。我们主要就是解决这样一个问题。区块链和互联网安全会如何存续和合作?主持人——于迪好,大家刚刚提到了各自解决的问题。这里我有一个问题,在古典互联网时代也存在数据和隐私的问题,那时是靠一些中心化的方式来解决。未来有可能用区块链这种去中心化的手段来实现,两者是否有一些矛盾?彼此之间该如何去延续、合作?我不知道各位是怎么看待这个问题,以及在大家各自的项目中是如何协调这样一些矛盾的?Taxa创始人——TFGuo我们从两部分来说,一般来说安全分为两个部分:保全价值的安全和创造价值的安全。我们之前说的智能合约安全属于保全价值的安全。大家都知道,安全是一个木桶原理,你整个系统的安全取决于它的最短板,这些板可能包括底层的密码学算法、整个公有链的架构、上层智能合约的应用,以及运营方面人的因素。当然了,区块链安全也沿袭了传统PC和移动安全,最大的安全一般出在人以及运营的安全。这部分智能合约的安全,要比传统应用的安全更加安全,因为它离钱实在太近了,而且它是去中心化的系统,不像传统那种钱丢了还能找回来,这个丢了就是丢了。在这个领域,确实我们是有更高的要求。这个是保全价值的部分。然后再说创造价值,传统安全是个性能指标,区块链则多了一个功能指标,也就是说原来不能做的事,现在可以做了。尽管现在的智能合约只能处理一些公开透明的数据,但经过研究,我们能够让一些数据在隐私状态下放进智能合约里,这势必带来更多的应用场景,这个是属于区块链中创造价值的部分。而Taxa主要瞄准的就是后者,我们能让智能合约执行一些保证隐私的业务逻辑。Points创始人——张佳辰刚才主持人问我们说,怎么看区块链和中心化系统巨头之间的关系。这个让我想到了另外一个问题,是这样的,先说结论,我觉得选择的切入点特别重要,不是所有切入点是一样的。我们可以从哪里得到启发呢?大家都知道中国电商的发展速度,包括它取代线下渠道的速度和程度,是世界上其他国家都没有见到过的。这是为什么呢?当然有很多是中国电商企业的聪明才智。另外也是因为中国的传统线下零售非常薄弱的,这一点在风投、互联网企业大批涌入线下,投资新零售可以看出。它们的零售坪效有很多问题,因此中国线下零售从来也没有出现过像好市多那样的巨头。所以,今天我们来看区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注那些增量的市场,以及现在中心化系统还没有形成垄断,非常需要去中心化系统补充的这样一些地方。我们做了Points,很多人问我说,你做这个项目,你不觉得蚂蚁金服、芝麻信用分已经很好了吗?但是很多人不知道的是,即使到今天中国银行征信也只覆盖了3.8亿人,而中国有14亿人,蚂蚁金服也仅仅覆盖4亿用户,中国的征信用户只覆盖5亿人,这当中还有非常多的残缺。这对于像我们的股东中诚征信这样的企业来说,也非常想看到一个去中心化的系统,对它进行补充和完善。医药研究也是一个我非常看好的SMPC的方向,因为中国的CRO在之前也非常不完善,现在在进行大量重建。在这样一些蓝海的地方,我相信会更易让初创企业和那些已经拥有数据的机构协作起来,重新创造一个平台。ARPA联合发起人——章磊MPC这个技术本来由少数几个教授在开发,现在变成了一个上百人全球协同发展。它的效率是让损耗从过去10的5-6次方这样,现在你只需要10这样一个计算量就可以达到同样的效果。所以说它是既安全又高效的。这些研究MPC的学者都集中在欧洲、比利时、以色列等地。包括两个泰斗大师,他们的PHD都在我们社区里面给我们做密码学的贡献,所以我们会走的更加底层一点,去修改密码学的协议,提升底层的效率,让它变得更加实用和商用。这个趋势越来越明显,在今年全美最大的密码学会议上,我们看到一半的议题都是关于这个方向的,所以我们很快就能看到,这个方向技术的落地,以及它和区块链非常自然的结合发展。区块链安全解决方案之间该如何协调?主持人——于迪下一个问题,在区块链领域里面有个常用的比喻,就是如果把每一个公链当做一个国家来看的话,在这个公链上就会有很多城市,我在上面再加一个比喻,就是安全应该是这个国家的国防部队。那么各国国防部队怎么去解决安全问题,更重要的是这条公链自有的安全平台、系统,还是说众多的国家去建立一个集合的多国部队、联合部队,共同解决区块链安全问题?因为在整个区块链体系中会有越来越多的安全解决方案,它们彼此之间该去如何协调?如何统一?TRIASCTO——魏明我说说我的想法,至少我现在看到的所有公链项目,包括我们自己做的,我觉得还不能成其为国防军在给自己搞安全,这是实情。从现在实际链的运行情况看,如果你想靠一个组织把这件事情担起来的话,我觉得还是比较难的。做安全一家很难,我建议联合起来做,分工合作。Taxa创始人——TFGuo我给大家举一个例子,OpenSSL(开放式安全套接层协议)是互联网安全的基石,已经跨越了很多平台,无论是操作系统还是硬件,这种安全底层已经有了一个成熟的统一标准。我们不能寄希望于普通开发者有很高的安全知识,所以项目更多的,是要自己定制一些有关安全的底层协议,你一定要用最成熟的东西,这才是安全的。与其自己写,不如去用一些经过实战检验的。我觉得从安全角度,最底层的安全一定要有统一的标准。Netta和FractalNets联合创始人——杨子江对这个问题,你可能推论出大家建一个联合部队就好,用一个通用的工具解决所有问题,这恰恰是不对的,每一个公链都应该有自己的解决方案。这有两个原因:你要不停的发现里面的错误,这就意味着你要有大量的计算,大量的代价放在里面,这就是为什么测试在软件里占了50%的成本。测试是非常重要的一个过程,针对于每个特定项目,你要根据项目特点来设计你的测试,挖掘里面的漏洞,才是最有用的。换言之,你不能够用一个通用的工具,去做所有的测试。当然它里面的技术可能是通用的。每个项目对安全性的要求是不一样的。比如一个软件用在自动驾驶里面,自动驾驶软件的错误是会致命的;但如果你用一个微软的操作系统,它出错了,你把机器重启一下就可以了。所以每个软件对安全的要求是不一样,在这之上,你付出的代价也不一样。对于自动驾驶来说,安全问题是要不惜代价解决的。Points创始人——张佳辰安全也可以从横向和纵深两个维度来看。举一个现实世界中的例子,每个国家都会有自己的军队,他们有不同的分层,包括片警、武警、国防军;上升到联合国则可能有安理会、维和部队等,在不同的层面解决不同的问题。同时,在相似的层面当中,安全保障这件事本身是要有专人承担的,因此我们对自己的目标是,对通用的问题给出可配置的方案。ARPA联合发起人——章磊我觉得大家需要分清两点,安全包括了网络安全、数据安全以及隐私安全,所以我们说安全的时候要知道,我们指的是哪些。回到主持人的话题,我们OasisLabs是做安全隐私计算的一个底层协议,它能用在任何一个Blockchain上,让它从0到1具备隐私计算能力,那么对于需要这种功能的人来说,他就多了一个选择。举个实际例子,之前我们没有办法把我们个人隐私数据放到网上交易,我们也没有办法把现实当中的个人数据和一个虚拟的Blockchain锚定,因为这太不安全了。但有了隐私计算这个问题就能得到解决。

美国、英国联合申明在支持安全创新的同时加强跨司法辖区稳定币监管:7月1日消息,美国财政部表示,美国和英国官员讨论了加密货币和金融创新。美国和英国致力于继续合作以支持安全创新并加强跨司法管辖区稳定币的监管成果,称最近发生的事件凸显了稳定币和加密资产交易和借贷平台在数字资产生态系统中的关键作用、其治理和运营的差异,以及强有力的跨境监管合作的必要性。英国和美国的与会者还考虑到,随着各自政策和监管议程的进展,未来有机会进一步讨论更广泛的加密资产监管举措和考虑。[2022/7/1 1:45:11]

Curve Finance:受突发部署影响,安全审计报告未能及时发布:8月14日,去中心化交易所1inch于推特发问:“Curve Finance DAO和代币的安全审计报告在哪?”

Curve Finance项目方就此回复表示:“Trail of Bits尚未发布我们的安全审计报告,Quantstamp的报告应该很快就能完成。很抱歉,今天的代币部署并不在我们的计划内,受此影响审计报告未能及时发布。”

注:今日早间,匿名开发者(推特账户@0xc4ad)先于Curve团队在智能合约上部署代币CRV。Curve团队最初表示对此持怀疑态度,但这似乎是具有正确代码、数据和管理密钥的可接受的部署。由于最近DAO和代币越来越受欢迎,Curve最终不得不采用了推特用户0xc4ad的Curve DAO和代币。[2020/8/14]

动态 | 1inch交易所1月前曾向bZx团队披露FlashLoan的安全漏洞 但遭遇冷处理:去中心化交易所1inch.exchange发布官方博客文章表示,曾于今年1月向于本月连续遭到两次套利操纵攻击的DeFi贷款协议bZx团队披露其FlashLoan功能的安全漏洞。1inch.exchange表示,当时来自bZx协议中3个资金池中的250万美元用户资金可能被恶意攻击者在一次操纵交易中盗取,并准备智能合约来执行白帽攻击以保护用户资金。但在进行交易1weiDAI的概念验证以确保漏洞的真实性,并联系bZx团队希望其立即停止智能合约后,bZx花了4个小时的时间处理该问题,并又花12个小时弥补该漏洞,并拒绝在构建补丁的过程中停止智能合约的建议,随后bZx曾表示愿意聘请1inch.exchange团队进行Flashloan的安全审计服务,但希望把每周2000美元的审计报价压低至1500美元。1inch.exchange认为,bZx团队在处理安全漏洞的反应是在冒着用户资金被盗的风险下,避免负面关注,并有一定的掩饰该安全漏洞的行为。同时,1inch.exchange声明,由于忙于构建1x.ag,所以该团队并不是本月bZx价格操纵攻击的幕后黑手。(链闻)[2020/2/21]

声音 | White&Case:区块链可成为提高房地产交易效率,透明度和安全性的工具:据Blocktribune消息,全球律师事务所White&Case发布了一份报告,报告说明区块链数据库可以成为提高房地产交易效率,透明度和安全性的工具。报告显示土地登记处区块链数据库的三大好处: 1.目前是分散的,可以创建和维护单个权威财产记录,从而消除了分散系统中重复和多个条目的需要 2.保留完整透明的财产记录,大大降低了欺诈和人为错误的可能性,因为对财产记录的任何更改都需要事先经过网络中的区块链“矿工”验证 3.近乎即时的更新,消除了与标题转让相关的法律不确定性。[2018/11/4]

爱沙尼亚总统:敦促政府对网络安全采取行动:爱沙尼亚总统科斯提·卡尔吉拉德星期三说,政府正在寻求联合国安理会的席位,并计划推动世界各国政府在建立网络安全规范和监测威胁方面发挥更大的作用。[2018/4/6]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-5:794ms