公有链很脆弱,私有链不够“去中心化”?解读2019年区块链安全现状

北京一哥 观点
2019-03-29 08:01:23

  

在不到两年的时间里,区块链从一个非常小众、鲜为人知且被广泛误解的支持加密货币的技术,一跃登上初创公司和企业成熟度曲线的巅峰。据 Deloitte 去年的调查,投资区块链的企业竟然高达 95%。
对区块链产生浓厚兴趣的不仅仅是金融或科技行业的参与者,医疗、物流、网络安全甚至农业也都在积极部署区块链试点项目和用例。根据最新的市场趋势,2019 年有望成为企业区块链之年。

 

然而,区块链技术还没有从一个艰难的开端中完全恢复过来。尽管被人们打上了“不可改变的”、“不能撤销的”、“最安全的”标签,但是,在包括以太坊和比特币在内的几个主要区块链网络上确实发生了几起重大骇客攻击事件。

区块链真的像我们所相信的那样安全吗?下面是 Andrew Amold 对区块链技术的安全性的思考。

 

公有链有多脆弱?
Coindesk 报告称,2018 年前 9 个月内,骇客从加密货币交易所和其他面向加密社区的平台窃取了逾 9.27 亿美元,而所有这些平台都在一定程度上利用了公有链。

 

去年,由公有链支持的 ICO(首次代币发行,Initial Coin Offerings)也遭到了沉重的打击。有一家初创公司在去年的活动中就遇到了重大的安全漏洞。一些用户的加密钱包被黑客洗劫。相当于 80 万美元的平台代币消失不见了,创始人不得不主动弥补损失和退款。

 

区块链前哨注:此事件见《KICKICO security breach. Issue under control, all KickCoins will be returned》(《KICKICO 安全漏洞:问题得到控制,所有 KickCoin 都将退还》):
https://medium.com/@kickico/kickico-security-breach-issue-under-control-all-kickcoins-will-be-returned-ebe65a491dec
GoldFinX 首席执行官 Philippe Bednarek 表示,“尽管 ICO 中骇客攻击和欺诈仍然很常见,但企业、安全专家和立法者正为杜绝这类案件而积极合作。区块链生态中的每个人都对维持最高安全性感兴趣,因此,业务各方面都涌现了新的创意解决方案。”为了给投资者提供额外的安全保障,Bednarek 的初创公司选择使用 PCO(受保护的代币发行,Protected Coin Offering),这是一种新的类别,即使在最坏的情况下也能为投资者提供资产保护。如果新法规或者恶意攻击影响了公司的运营,他们的商业计划会确立一个基本价值来保护代币发行。

 

“区块链作为一种技术,以及受其驱动的加密货币,在带来风险的同时,也带来了巨大的机遇。”Resistance 创始人 Anthony Khamsei 说,“为了降低风险,区块链公司需要将安全和隐私放在首位。此外,投资者和区块链用户应该花点时间了解区块链公司所使用的技术堆栈以及它的安全性。”例如,Anthony 的项目为其在去中心化的加密交换上进行的交易提供了一层隐私,减少了导致财物损失的安全漏洞的可能性。

《Hard Fork》最近的报告将会在这里派上用场。幕后的研究人员进行了一项大规模的调查,并针对安全漏洞对不同公司进行了调查,这些公司都参与处理加密货币和区块链技术。《Hard Fork》共向 13 家参与公司提交了 43 份 bug 报告。

不过值得注意的是,正如报告所示,公司系统中已识别的缺陷并不是重大漏洞。尽管如此,它们仍然是企业应该解决的有效安全问题。

 

私有链和半私有链会更安全吗?
目前,企业内部进行的大多数区块链项目都是所谓的“带权限的私有链”。与公有链不同的是,私有链只能由选定的用户组访问,这些用户有权在该账本上进行输入、验证、记录和交换数据。

 

当然,对于一个从未获准加入的“局外人”而言,这样的网络几乎不可能被攻陷的。但随着私有链的出现,另一个问题就出现了:为了提高隐私性和安全性,我们真的需要舍弃去中心化吗?

来自《麻省理工科技评论》(MIT Technology Review)的 Mike Orcutt 写道,私有链系统“可能会让它的所有者感到更安全,但它实际上只是给予了他们更多的控制权,这意味着无论其他网络参与者是否同意,他们都可以进行更改。”这类系统需要提出平衡机制,为不同的用户组授予不同级别的权限,并对验证者进行身份检查,以确保他们是自己所声称的那个人。

这就是为什么许多公司都在寻找两者兼备的方法——公有链的去中心化和私有链的额外安全性。由 IBM、Corda、Ripple 等主要厂商开发的联盟链,目前看来似乎是最好的安全选择。简而言之,它们为企业提供了访问集中式系统的权限,且系统本身又具有一定程度的加密可审计性和安全性。

其他企业也在考虑如何通过调整公有链来满足他们的安全需求。例如,以太坊区块链已经提供了一些机制,可以利用这些机制来确保网络参与者的隐私,包括环签名、隐身地址和存储公有链的私有数据。

 

区块链前哨注:有关上述提到的机制,可参阅《Privacy 3.0: Encryption Tools for the Decentralized Web》(《Privacy 3.0:用于去中心化 Web 的加密工具》):
https://media.consensys.net/privacy-3-0-encryption-tools-for-the-decentralized-web-aec2011d7f5a
总的来说,区块链领域正在朝着为公有链、私有链、联盟链网络定义技术粒度隐私层的新解决方案稳步发展。各家公司正在积极调查和修补已知漏洞,并采用新的机制来确保各方都受到保护,任何恶意的骇客都无法攻破并利用账本中的漏洞。


本文地址: https://www.xiguacaijing.com/news/guandian/2019/5326.html
声明:本文经授权发布,除注明来源外,均为西瓜财经用户投稿,不代表西瓜财经立场。转载请注明:西瓜财经(xiguacaijing.com)
提醒:投资有风险,入市需谨慎。若内容涉及投资建议,仅供参考勿作为投资依据。谨防以“区块链”名义进行非法集资。
赞助商