从区块链1.0到3.0,安全性在退步
购买力无法被任一发行主体随意调节,账本无法被篡改,只有掌握私钥的你,才能处置你的资产。信仰者认为这就是“真正掌握了自己的资产”,这是一种资产无法被剥夺的安全。
这就是区块链 1.0——比特币。
这个系统一直运行至今。即便它已经堵塞得让人发指,却从未被攻破。
区块链 2.0 未能如此牢固。
名为 Vitalik Buterin 的少年希望在比特币网络之上增加智能合约,遭到了比特币团队的拒绝。于是他在 2013 年到 2014 年间自行创立了以太坊:一个可以运行智能合约的分布式网络。
图灵完备的智能合约带来了巨大的灵活性,也带来了安全问题。此后,基于以太坊的智能合约被多次曝出漏洞。其中最大的是 2016 年 6 月黑客通过组合漏洞攻击 The DAO 项目,盗走价值数千万美元以太坊,以及当年 10 月的 DOS 攻击,分别导致了以太坊分叉。直至今天,以太坊的智能合约仍存在数千尚待解决的漏洞。可以说,越是灵活的智能合约,功能强大,也越容易出现漏洞。一些新型公链为了安全性,甚至牺牲了合约的图灵完备。
“到了第三代,EOS 为了 TPS,引入了 DPOS 机制。,这已经不仅有跟以太坊的智能合约类似的“代码安全”问题,而是在架构上弃安全于不顾,甚至已经不能算是真正的区块链。“P2P 网络才是真正的区块链。”
“越来越中心化,导致黑客很容易攻击。
因此,从区块链 1.0 时代到 3.0 时代,“安全性在退步,但是更易用。易用性上是在进步的。”
区块链带来安全,也带来安全挑战
比特币所构建的资产安全,是一种资产不被剥夺,价值基于共识,发行主体无法操控的安全。这并不是一种大众可以简单理解的“安全”,更不意味着大众所理解“安全”在此处已被完全消弭。
大众所理解的安全是“我不丢币”。实际上,资产不被窃取的前提都建立在私钥(钥匙)不丢的前提下。比特币给予资产所有者的,是一种权利(自由)。想掌握自己的资产,就得自行承担保管私钥的责任。而大部分用户并不一定有意愿或能力承担这种责任——自己保存资产,还不如放在有品牌保证的大交易所里来得安心。
网络安全越来越重要,但中国企业对此重视远远不够
时至今日,互联网已经不是那个“信息传递的工具”。
网络安全的目标随着互联网用途改变也一直在变化。“第一步是用来娱乐;第二步用于通讯和社交,继而是电子商务;第三是你的资产在网上处理。”
在 PC 互联网时代,拥有 PC 的人有限,中毒后黑客获取的信息有限,不过是让我电脑中毒变慢、宕机。移动互联网时代,我们的日常生活、资金管理、身份认证,都在手机上运行;安全的主题变成个人隐私、资金和密码的泄露。到了区块链时代,技术就是资产本身,代码的漏洞就是资产的损失。
区块链的资产属性注定黑客对其虎视眈眈,其对安全的需求应该更为强烈。
然而中国互联网企业却未给予足够重视。报告显示,中国信息安全投入仅占 IT 行业总投入的 1%-2%,远不及欧美国家的 8%-14%。
这与国内金融数字化与互联网发展阶段有关;同时对比起欧盟等国家,国内对个人隐私的保护还不够重视。
安全公司可以做灭霸,但他们不愿带自己的无限手套。
这也许我们就能理解,为什么应该审慎而负责任曝光漏洞的 360,会用一种“史诗级”的姿态将其公之于众。既然我不能像灭霸一样“杀敌一千”来展示漏洞威力,只能用这种哗众取宠的方式倒逼企业了。
从安全的角度,如何看待目前的区块链行业,比如交易所、公链、钱包等,他们的安全级别跟传统互联网产品比怎么样
现在的区块链虽然速度快,但在安全上绝对是倒退的。不过,应用和用户体验上,以太坊和 EOS 是进步,你不能老把保险箱扛着。
在区块链技术之上,则是矿机、矿池、交易所、冷热钱包等,其实没有什么特别,为了用户体验,他们都是很中心化的。他们就算想改,但为了资金沉淀、速度、用户体验等,都不可能用分布式架构。
这时候安全性不再只是区块链的安全,而是区块链生态的安全。比如矿机矿池容易被 DDos,被入侵、被修改地址;交易所的安全又分为技术、业务、商业、合规性安全;钱包有分中心化和去中心化,冷热之分,需要保护私钥。
安全是木桶,任何一环短板都会带来问题。
公链分好多种,从不同的维度看,有不同分类。包括从网络构建看,是不是 P2P 的平等网络;从共识机制角度,有工作量证明,有权益证明。
区块链本身就是一个流水账账本,个人保留自己的数据是不合适的,数据不能保留在本机上,都是在线上。
现在很多的区块链已经不像第一代的区块链。P2P 网络才是区块链,后来为了应用追求 TPS 改变了网络结构,带来了新问题。我认为跑智能合约的链不适合作为资产(价值存储),而是通证。
现在资产属性在变化,所以安全防护在变化。我们做安全尽可能做到比敌人先一步,但是很难,所以往往是慢一步,案例见多了,你可能也就知道。
有人认为把数据放在区块链比原来更安全,因为不会丢失、也不可篡改,你怎么理解这种安全?分布式架构比集中式安全在哪? 此外是私钥的保存,你怎么看待把安全责任交给平台和让用户承担两种模式?
区块链不是一个复杂的技术,不是改变生产力,而是改变生产关系。区块链技术拥有几个特性:匿名、不可篡改、不可删除,这本身就促进了安全性。理念上改变的是共识机制。
因此,这里涉及到两方面的安全性,一方面是非洲小政府,一旦政府倒台了,货币没有了为其背书的机构,这是购买力方面的安全,能确保你真正拥有你的资产安全,这是一种自由。比特币通过共识机制实现了这种数字黄金式的自由。
你拿到这种自由之后,就有黑客的风险,面临的安全风险。如何储存实际上要看你的技术水平和资产大小。对于普通人来说,交给专业机构才是更安全的。因为:
1、资产丢了以后没有办法恢复,这是比特币的匿名的特性。这导致你的身份和你的币权是脱节的。
2、区块链就是你自己是你自己的主人,没有办法国家保护。
3、数字货币本身又面临着黑客攻击问题。
4、虚拟资产还有继承问题。
5、很难存储。冷钱包稍微安全一点,但很容易丢,电池会漏液。丢了我还帮客户恢复。
