区块链技术的风险

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

区块链技术的风险

以太坊安全事件仿佛还历历在目,区块链头顶的安全乌云也挥之不去。区块链在为我们带来技术变革的同时是不是也会带来前所未有的挑战?

区块链是互联网时代通往第二纪元――信任纪元的革命,这场技术海啸必将彻底地颠覆未来金融的发展方向。区块链当然可以用来记账,但是其作用却不局限于记账。但所有技术最终都是哲学,区块链也是一样,任何科技都是一把双刃剑,有光明的一面,也必将有黑暗的一面;有机遇,但是更会充满挑战。

新技术的发展必将面对风险,区块链也一样。只要拥有“51%”的算力就可以进行协议攻击?性能问题将会极大限制区块链的应用场景?智能合约是潘多拉魔盒,它的出现只是噩梦的开始?区块链存在哪些安全隐患、技术风险,以及发展的瓶颈与陷入的困境。本文好似一盆冷水,能让我们更加冷静而理性地思考区块链技术。

安全隐患

区块链技术的安全隐患主要包含3方面:私钥丢失、错误的实现和协议被攻击。

秘钥安全

区块链技术的一大特点就是不可逆、不可伪造,但前提是私钥是安全的。秘钥安全问题看似老生常谈,其实在区块链世界里还有特别的意义。

与以往任何体系不同的是,私钥是每个用户自己生成并且自己负责保管的,理论上没有第三方的参与,所以私钥一旦丢失,便无法对账户的资产做任何操作。多重签名某种程度上能解决一部分问题,但实施起来非常复杂,而且要设计与之相配套的秘钥管理和使用体系。

对于普通大众用户,或没有太多技术经验的企业用户,天然会觉得补私钥可能和补身份证或者营业执照差不多,但事实上这根本就不可能,所以私钥的安全非常重要。但遗憾的是国际通用的多因素认证体系实施得并不好。

多因素体系最常见的维度包括:

第一,知识,知识指的是密码这类能被记忆的知识。

第二,资产,资产包括门禁卡、令牌、手机、密码键盘、智能卡等。

第三,本征,本征包括指纹、虹膜、DNA、声纹等。

使用一种维度因素的认证方式叫单因素认证,使用两种的叫作双因素认证。目前单因素认证早已经被业界认为是不安全的,所以??内基本和支付相关的应用除了密码以外,至少还要发一个验证码给手机,这就是对手机这一资产的因素验证。但进行大部分资产的因素验证并不具有理论上要求的

可信环境,或者称之为终端安全,这大大提高了私钥暴露的风险。比如,严格地说,大部分手机都不算可信的计算环境,但是因为太方便了,所以大家做了很多妥协。这在保护低价资产的时候还可以忍受,但使用区块链的往往都是些重要的业务。

那么本征因素怎么样呢?是不是三因素认证就会解决

这个问题呢?

很遗憾,安全业界对使用本征因素存在非常多的争议,主要的反对理由就是,本征类别的特征,大部分是生物特征,一旦泄露将很难更改。试想,一旦我们的指纹落入不法分子手里,我们将一生都会受其困扰,从以往的经验来看,这种事情的大规模发生只是早晚的问题。

小结两点:私钥的补发与管理与区块链的分布式是冲突的;私钥的认证需要的可信的计算环境在很大程度上是缺失的。

错误的实现

即便是理论上很完备的算法,也会有各种实现上的错误。由于区块链大量应用了各种密码学技术,属于算法高度密集工程,出现错误也在所难免。

历史上这类事情有很多,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说区块链整个大厦的基础将轰然倒塌,不

会有一个幸存者。即便我们乐观一点,假设没有人或机构存心搞鬼,也仍存在工程实现上的非主观缺陷。比如OpenSSL 的心脏滴血漏洞,相信有金融网站的人都经历过这个事件。这还是世界上最优秀的算法工程师做的被最广泛应用的加密算法库。我们如何能相信未来区块链使用这么多加密算法后还能独善其身呢?

假设基础类库和服务都没有问题,但能将其正确地整合到应用的中技术人员也是凤毛麟角。比如被曝没有正确生成随机数,导致严重的安全问题;以太坊DAO 合约漏洞致使业务还没有开展的时候,准备的钱已经不见了。更加可怕的事实是,技术风险已经超过业务风险成为区块链的主要风险。以往金融机构也是涉及业务风险和技术风险,虽然技术风险也很重要,机构也十分重视,但是整个体系的建设还是围绕着防范业务风险展开。但是从区块链现在最成熟的应用比特币来说,目前比特币交易所遭遇的最大的危机都来自于技术风险而不是业务风险。

曾经的世界最大交易所Mt.Gox的倒闭就是因为黑客攻击导致巨额资产损失。就在最近,世界知名交易所Bitfinex 也因为多重签名缺陷导致12万个比特币(6800万美元)的损失。所以我们有理由相信,未来,在区块链上,这种技术风险的防范一定是流程中的重中之重。

协议被攻击

比特币成功与它强大的算力基础分不开。目前其他的区块链应用的算力都还与比特币无法相比(目前1 600 000 000 Hash/s),其他区块链应用难以有足够的算力来保证系统的稳定性,理论上也越容易受到比如51%算力攻击这样的在基础协议层面的攻击。Krypton平台最近就遭到这种攻击,而且这种攻击方法被认为是一个有效的攻击以太坊的手段。这种事情并不是偶发,而是接连发生,如果“51%算力攻击”蔓延下去,那么区块链所标榜的“不可篡改”将不复存在,任何基于区块链的信任应用都将土崩瓦解。除了这种已知的攻击方法,我们预测,攻击协议的其他手段也会层出不穷。由于区块链本身的分布式特性导致其进行整体升级非常困难,所以一旦发现有效的攻击手段,可能在很长的一段时间内,对区块链系统都会造成持续不断的负面影响,那将是一种难以彻底清除的梦魇。

生态圈不成熟

区块链技术不能独立于其他关联技术而发展,这与云计算类似。亚马逊的云计算大规模商用的时候已经有了数十个服务。区块链目前还没有完整的生态社区,虽然目前有很多非常强大的公司联盟、开原组织的支持,但是生态体系的建设不是一朝一夕的事情。电动汽车再好也得有充电桩,区块链再好也得有一系列为其服务的基础设施,比如适用于区块链的数据库和存储方案,为区块链加速的网络服

相关文档
最新文档