區塊鏈安全細分領域的重要原因是零距離體會到幾個現象:
- 公鏈的世界自帶金融屬性,裡面到處都是錢(幣);
- 這個世界還沒國家背書,不像銀行,出事了,國家力量會搞定;
- 幣被盜了,溯源很難,只要攻擊者稍微認真點,你找不到他。
這個世界,私鑰就是身份,誰拿到私鑰誰都可以獲取裡面的財富,這個世界不管私鑰最原始持有者,這不是這個世界需要思考的事。當然未來肯定會有所不同,這點在 EOS 生態裡已經看到,通過裡面特殊的共識機制來凍結甚至歸還丟失的財富。其實在 EOS 之前,就有交易所的 KYC 及 AML(反洗錢) 這些機制來進行這種風險對抗,以及之後搞起的 BTI(區塊鏈威脅情報),AML 是 BTI 的一個重要模塊。這些都試圖在這個世界裡尋找些安全感。
除了金融屬性,區塊鏈,被大量提及的另一個屬性是“去中心化”,這似乎導致,試圖要在這裡面做某種決策都是件非常艱難的事。但這個世界是微妙且多變的,艱難的也不一定會艱難,英明的決策還是會得到社區的普遍支持,只要它看起來真的很對,大不了直接來個硬分叉,社區該分裂的分裂,不用擔心分裂出去的能真的幹成。比如現在的門羅幣。
在區塊鏈的世界裡,除了大量的技術革新、經濟革新,還有大量相比中心化世界初級得多的政治鬥爭。
這個世界有提倡“代碼即法律”,也有自己的“憲法”,自己的治理機制。在攻擊者的眼裡甚至會認為,可以憑本事發現的代碼漏洞(比如某智能合約漏洞)拿到的幣,為什麼說是違法的?如果代碼即法律,這種行為反而應該得到認可,同時促進了代碼加強質量與安全。
從安全角度來看,這個世界就是這樣的一種世界,一個嚴重缺乏安全感的世界。這是攻擊者的一個大機會,也是做安全的一個大機會。經常說:安全在這個世界已經是必選項,無論你通過什麼方式做安全,你都無法忽略它的存在。但安全在許多其他領域是很容易被忽略的,或者說裡面的所謂安全市場很難形式市場規模,甚至很多安全是刻意被創造出來的,這種安全生意無法持久,持久不了就會導致安全研究顯得成就感過低。一個缺乏成就感的事,很難誕生出偉大的創意。
這個世界的安全可以簡單分為兩大類型:傳統體系的安全攻防與區塊鏈自身體系的安全攻防。對於傳統安全人員來說,需要突破的門檻是區塊鏈自身體系的安全攻防,但傳統體系的安全攻防也不能忽略,很多時候往往也很重要。這兩大類型是一體,否則做不好這個世界的安全。從這可以看出,要做好這個世界的安全,當前確實會很有門檻,但未來的世界會如現在的 Web 世界如此的方便,如此的無感知,如此的自然而然,大多數安全人員只需僅關注偏向業務層面的安全就好,其他的都有分工明確的團隊來聚焦解決。
同樣,這個世界的黑客(攻擊者)也分為兩大類型:傳統體系的黑客與區塊鏈自身體系的黑客。可以大概這樣理解:現在這個世界發生的攻擊事件,只要特別涉及到區塊鏈技術的,比如:智能合約漏洞、假充值、雙花、51% 等等,大多都是區塊鏈本身的相關技術人員動了些邪念,這些人是區塊鏈自身體系的黑客。而這些之外的,都可以粗暴地認為是傳統體系的黑客的行為,比如:釣魚、業務漏洞、木馬植入、社會工程學等等。
從做好安全上來說,傳統體系也好、區塊鏈自身體系也好,都很重要。千里之堤潰於蟻穴,在區塊鏈世界毫不誇張。
區塊鏈技術不是獨立的存在,所以做安全需要覆蓋的也必須是方方面面,為了提高效率,也會用到雲計算、大數據、人工智能等技術資源。
閱讀更多 中亞國際區塊鏈研究院 的文章
