区块链信息服务安全规范研制启动,行业大咖分享观点
国家标准《信息安全技术区块链信息服务安全规范》制定启动会于10月19日召开,将区块链安全问题提升至政府层面。
区块链遇到的主要安全问题有哪些?怎么解决呢?区块链应用实施项目如何防范风险? 《链信》采访了多位国内外区块链行业从业者,分享了他们的观点。
吴思进,杭州复美科技有限公司创始人兼CEO、中国联通区块链顾问;
Kevin Jeong,韩国区块链项目联合创始人兼首席执行官;
李哲,区块链咨询公司分析师。
《链信》:区块链技术仍处于早期阶段。在行业发展过程中,区块链遇到的主要安全问题有哪些以及如何解决?
吴思进:目前区块链的安全主要涉及三个方面:代码安全问题、隐私安全问题和私钥托管安全问题。其中,代码安全问题可以分为两类:一类是平台自身系统的安全,另一类是用户编写的合约的安全。事实上,要彻底解决平台安全问题是不可能的。目前还没有一家公司具备这样的实力。我们需要做的是,一旦平台出现漏洞,我们需要时间达成共识并实施修复。
区块链是一个公共数据库,任何交易都是公开、透明、可验证的。但很多时候,我们并不希望出现这样的情况。目前,隐私安全主要可以通过环签名和零知识证明两种方法来解决。
区块链最突出的问题是私钥丢失和被盗。一种方法是授权另一个私钥来转移资产,但是这个私钥的权限比较低。完成资产交接需要1个月时间。如果发现资产转移违法,可以使用原始私钥实时转移资产。资金已转移。另一个更好的解决方案是多重签名机制,将资产放置在多重签名地址上,这将提高系统的安全性。并且这两种方法可以结合起来使系统更加安全。
郑春恒:随着我们提高区块链的性能,矿工(或者区块生产者)获得数据审核权的中心化风险将会增加。抗审查的区块链第二层协议将是答案。我们是基于以太坊的第二层协议。通过使用roll-up、roll-up等技术,我们可以在不改变以太坊本身的安全性和数据可用性的情况下,给出更高水平的互操作性、可扩展性和功能性。和可用性。任何人都可以按需部署第 2 层解决方案,以满足其特定的可扩展性需求。
李哲:从DApp角度来看,近年来的安全问题主要是黑客攻击,有溢出攻击、随机数问题、重放攻击、假币攻击、虚假转账通知、拒绝服务攻击、敏感权限、私钥泄露等、事务回滚攻击、内联反射攻击、混淆同名事务等。整体方法的演变遵循系统攻击-程序逻辑漏洞-程序算法漏洞-综合攻击。今天的黑客也会使用多种方法的组合。逐一尝试每种攻击方法。从交易所的角度来看,最常见的攻击方式是黑客通过获取私钥、恶意代码等方式入侵平台热钱包,此外还有DDoS攻击、欺诈交易、利用交易代码漏洞等。
《联信》:为了最大限度地保障应用项目的安全,在选择共识机制时需要考虑哪些因素?另外,共识机制实际上涉及到区块链的不可能三角问题。您如何看待区块链的不可能三角问题?
吴思进:简单来说,目前还没有一个系统能够实现去中心化、可扩展性和安全性。然而,这并不意味着未来不可能。未来的区块链一定会实现这三个安全特性。目前我们正在朝这个方向努力,并取得了一些成果。例如,平行链架构非常接近于解决这个不可能三角:实现方法是将业务逻辑和数据分离。安全性在不同的平行链之间共享。
至于共识问题,基本可以分为三类:POW(物理算力)、POS(金融算力)、投票(各种BFT算法)。共识有一个共同的目标,就是防止历史数据被篡改。
POW和POS一般应用于公链中,是公链系统的主流共识算法。它们具有去中心化的优点,但都有一个重要的缺点,那就是数据可能会回滚。基于投票的共识有很多,比如:pbft等。它们的实现原理是相似的。唯一的区别是信息复杂度不同。当节点数量比较少时,差别不大,但节点数量超过100个的情况下,传输的信息量可以明显减少。
郑春恒:与其试图解决区块链的不可能三角问题,不如更多地关注已经优化且稳定的现有区块。
连锁功能得到扩展。比特币和以太坊花了5年多的时间来实施各自的共识机制来保护数千个分布良好的节点,但创建一条扩展链更容易实现。区块链第二层协议可能是补充区块链三难困境的一种选择。
《链信》:针对目前的技术缺陷,区块链应用实施项目中我们应该如何防范风险?
吴思进:技术总是在发展的过程中。在实际应用中,许多技术都需要一定的妥协。比如合同存在漏洞,合同管理机制就非常重要。当存在漏洞时,如何识别并按照预定程序进行修复,以最大程度地减少损失。这种方式有点中心化,但在技术不成熟的情况下,还是需要谨慎对待。否则一旦出现问题就无能为力,会造成更大的损失和恐慌。
郑春恒:首先要明白区块链是一种不同于互联网服务的技术。在区块链技术的应用过程中,除了独立的网页浏览器外,还必须加载钱包程序(如)。还有与您现有的互联网服务不同的额外网络费用。即使你能接受以上所有成本,这个区块链应用也必须有一个“必须使用”的理由,否则最终就会成为一个“未被使用的应用”。
李哲:从代码层面来说,安全审计可以在一定程度上防范风险。现在很多项目都关注这一点。例如,一些公链会邀请多家第三方安全公司进行定期审计,很多应用项目上线前也会进行安全审计。另一方面,从用户角度来看,个人也需要提高安全意识,尤其是加强私钥管理、警惕钓鱼网站、使用冷钱包等。
《联欣》:未来,随着我国《安规》标准的制定和出台,对行业将产生哪些意义和影响?
吴思进:现在业界都说他们的系统非常安全。至于为什么它们是安全的,很难令人信服。如果《安全规定》颁布了,那么至少可以说你的系统符合《安全规定》,是比较安全的。 《安全守则》颁布后,行业内的企业一定会进行研究,使自己的系统符合《安全守则》,最终促进行业系统的整体安全。
李哲:区块链技术的发展过程极客味道浓厚,异构性较高。目前,区块链技术在基础设施设计、智能合约部署、数据隐私保护、治理、合规监管、安全等方面缺乏全球标准体系。然而,区块链技术的标准化程度较低,客观上限制了其在各种场景下的大规模应用。为了推动区块链技术的应用,需要制定共同、通用的区块链标准。而且,区块链作为一项新兴技术,制定通用标准就相当于制定基础设施的准入标准,甚至标准都会影响“区块链+”未来的发展。
这份《安全规范》标准重点关注了区块链信息服务的安全风险,这也是区块链行业发展所迫切需要的。安全性是区块链的基石。区块链是解决信任的机器。如果不安全,信任就不可能实现。尤其是现在区块链广泛应用于金融、政务场景,资产安全、数据安全显得尤为重要。可以预见,《安全规范》的制定和未来实施将对规范区块链技术、提高区块链项目整体安全性能产生积极影响。如果底层技术的安全性得到质的提升,那么其之上的应用项目的安全性也会得到提升,有利于区块链技术的推广和应用。