以下內容整理自月光沙龍第30期分享嘉賓,墨子實驗室苗知秋博士的專題分享。
一:區塊鏈的安全現狀
區塊鏈從2009年出現,現在為止差不多十年了,目前來說已經進入了一個高危期,如果是關注區塊鏈,發現一些媒體可能隔段時間就會出現一個類似的安全事件播報,比如說哪個交易所遭殃了,或者是哪個人被盜了。
對於黑客來說,區塊鏈時代實際上也是黑客的一個饕餮盛宴,因為最典型的一個就是現在區塊鏈行業產生了很多暴發戶,對於黑客來說,這絕對是屬於掛在嘴上的肥肉。有些東西從遙不可及到觸手可及了,以前資產沒有數字化的時候,你的很多資產黑客是根本碰不著的,比如你的房產、汽車,或者說是放在銀行裡面的錢,這個黑客是碰不著的,對他們來說是可望而不可即的。
但當你的資產變成了數字資產並放在區塊鏈上面,這對黑客來說不光是可以看得見,在一定情況下,它還能摸得著這個。
如果你私鑰洩露了,或者被別人給偷去了,那麼資產就一點都不安全了,所以說安全是有條件的。在出現了這麼多次安全事件之後,區塊鏈產業安全意識也在覺醒了,你不具備一定的安全能力或者安全等級的話,直接進入實際產業環境下面的話,是非常危險的。
二:安全問題分類
我們對於這段時間區塊安全的研究,把它大概分成這麼幾類:
1:底層安全問題
2:上層安全問題
3:產業鏈相關安全問題:錢包、交易所、礦池
三:區塊鏈安全的歷史淵源
區塊鏈安全問題來源它的歷史,區塊鏈去仔細的研究它的技術組成,發現區塊鏈實際上是一些非常傳統非常成熟的技術的集合。
我們可以把區塊鏈大體上可以分成兩塊,第一塊它最基礎的就是一個P2P網絡,像比特幣。從以太坊開始,開始引入智能合約的概念。為了實現智能合約,就引入了虛擬機。因為傳統的P2P網絡只能用來做記賬,沒法執行智能合約。目前的區塊鏈,分佈式存儲和分佈式計算是它兩大核心功能。
區塊的安全跟傳統的安全有一些共性的問題,這是由於它的父母遺傳給他的,區塊鏈安全它實際是一個技術礦,它包含了各種各樣的技術,當區塊鏈它在採用技術的時候,它用了什麼技術,它獲得了技術帶來的能力,同時它也繼承了技術的缺點。
所以它是個技術框,同時它也是個問題框。
四:區塊鏈安全新的問題
同時它也有一些個性的問題,因為區塊鏈的應用場景,跟以前的技術是不一樣的。
1什麼是智能合約的安全?
這個問題好多人各有各樣的說法,但是以太坊創始人的這句話還是比較切合問題的本質,
小V:“事實上,智能合約安全的定義取決於合約的實際實現與設計意圖之間的差異。”
這也是很多安全問題的根源就,就是說你實際做到的跟你以為的是不是一回事。說到轉賬的問題,你以為它是一個原子操作,但實際上說它並不是源頭,中間出現了差異,這個時候就會造成了一個安全問題。
比如說我們說一下 The Dao攻擊事件:話說當年有一個組織目標很宏大,想成立一個去中心化的自治組織,就是DAO縮寫。為了成立這個組織,他就向社區募資,募到一大筆錢之後,都存在智能合約裡,但是有一天他發現錢被別人都給轉走了。
他後來追查,發現合約的世界是這樣的,你既可以往裡面投錢,也可以取錢出來。
2交易所安全問題
交易所其實是安全事件最多的地方,第一目標明顯,有錢;第二交易所基本上都是中心化的交易所,系統架構都是用傳統的系統架構,所以說黑客要對交易所發起攻擊的時候,不需要去發明什麼新的技術,就用傳統技術去攻擊就行了。
多視角下的區塊鏈安全——底層開發者
對於底層開發者來說,我們認為最重要的是要重視歷史的教訓,因為已經出現過的這些問題,你就不應該再犯了。這不是能力問題,而是態度問題,大家就不會相信你了。
多視角下的區塊鏈安全——應用開發
底層還需要有專門的安全團隊,或者聘請第三方安全團隊進行安全審計。大家可能認為在安全上花錢是比較貴,但實際上來說與你造成的損失來比這個已經算不上什麼了,因為我們見識過好多的事件,損失都有百萬千萬級別的。
對於應用開發者來說,要習慣去中心化思維,你要知道你現在已經不是在一個pc上,或者在一個手機上開發程序了,你是在一個良莠不齊的純分佈式環境前面進行開發的,所以說你開發的思維方式一定要改變,一定要知道自己是在去中心化,一個分佈式環境性的開發,而不是在一個機器上開發,所以這個時候就說腦子裡面要多很多根弦,時時刻刻想到你的程序,會不會遇到這種安全問題。
五:法律無情,代碼更無情。
大家都說法律不行,但實際上法律有些時候還是不外乎人情,你可以講理,你錢丟了,你可以拿出你的各種證明,你的證件丟了,你可以去證明去補辦,但是對於區塊鏈來說,你私鑰丟了,就不是你的了。
六:關於墨子實驗室
我們實驗室2018年成立,現在提供七大類28種安全服務。
目前我們已經做到了智能合約的源代碼審計,大部分是自動化的方式,最終肯定還是要有人來做人工做確認。交易所的代碼設計,然後是礦池安全審計。
風險評估這一塊也是包括跟前面不一樣的地方,從代碼的角度來來閱讀來整理那裡面的邏輯,看有沒有安全問題,這個就是說你只是給我產品,然後我可以模擬攻擊。
關於墨子的介紹就到這裡,謝謝大家。
關於月光沙龍
這是一群熱愛前沿科技的人,多維視角理解前沿科技。
獨行快,眾行遠。
月光沙龍關注重視前沿科技的發展,推動科技的融合落地應用,跨界互聯,推動生產關係的變革。
活動舉辦時間
我們每個月都會舉辦一次沙龍活動,活動的通知和活動精華內容整理都會通過公眾號發佈。
歡迎關注月光沙龍公眾號:
活動直播回放
請掃碼觀看,或在【一直播】APP搜索ID:316717686
