當(dāng)我們談?wù)搮^(qū)塊鏈安全時,我們在談?wù)撌裁矗?/h2>
3 評論 4150 瀏覽 22 收藏 11 分鐘

宇宙就是一座黑暗森林,每個文明都是帶槍的獵人,像幽靈般潛行于林間,輕輕撥開擋路的樹枝,竭力不讓腳步發(fā)出一點(diǎn)兒聲音,連呼吸都必須小心翼翼,他必須小心,因為林中到處都有與他一樣潛行的獵人,如果他發(fā)現(xiàn)了別的生命,能做的只有一件事,開槍消滅之?!度w》

當(dāng)我們談?wù)摗皡^(qū)塊鏈安全”的時候,我們到底在談?wù)撌裁矗?/p>

去中心化、不可篡改,這些堂而皇之的名詞從每一個人的嘴中蹦出來,仿佛區(qū)塊鏈的安全性是不證自明的真理;自詡學(xué)識淵博者還會搬出“茴”字的四種寫法,從SHA到ECC,聽者無不嘆服。區(qū)塊鏈仿佛從誕生的一刻起就被視為固若金湯的良藥。然而現(xiàn)實(shí)是殘酷的,無論是比特幣還是以太坊,黑客的身影無處不在,數(shù)字貨幣被盜的新聞屢見報端。

區(qū)塊鏈系統(tǒng)的安全性并不單取決于區(qū)塊鏈算法本身,從代碼實(shí)現(xiàn)到合約邏輯,再到配套設(shè)施,當(dāng)區(qū)塊鏈技術(shù)從白皮書中走出來,落地生根成為現(xiàn)實(shí)中的技術(shù)時,要面臨的問題就多得多。而根據(jù)木桶理論,一只木桶能盛多少水,并不取決于最長的那塊木板,而是取決于最短的那塊木板。

密碼!密碼!

在區(qū)塊鏈的世界里,每一個人的身份都不過是一段數(shù)字,密碼學(xué)上稱之為密鑰,一旦有人獲取了你的密鑰,他就可以冒充你的身份從事任何事情,包括花光你的每一分錢。

密鑰的安全性如何呢?以ECDSA算法為例,每一個密鑰由256位01組成,要是隨機(jī)猜測的話,猜對的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046,大概是1/1077。

根據(jù)估算,地球大約由1050個原子組成,而整個宇宙不過由1080個原子組成而已,猜中密鑰的概率和猜測宇宙中的一個原子的概率相差無幾。

不過在區(qū)塊鏈中,僅僅有密鑰是不夠的,為了能夠?qū)崿F(xiàn)賬戶之間相互轉(zhuǎn)賬,還需要根據(jù)密鑰生成公鑰和錢包地址,上面所說的ECDSA就是從密鑰生成公鑰的算法。公鑰,顧名思義,在向外轉(zhuǎn)賬時會被公開,那從公鑰推理出私鑰又有多難呢?

如果算法的實(shí)現(xiàn)不出紕漏的話,即便是最有效的攻擊方法,其難度依然是指數(shù)級的。

但是,這并不意味著我們可以高枕無憂了。2014年底爆發(fā)了一批網(wǎng)絡(luò)錢包失竊案件,究其原因,就是在隨機(jī)數(shù)生成器的實(shí)現(xiàn)沒有真正“隨機(jī)”。如今,量子計算機(jī)的崛起帶來了新的挑戰(zhàn),如果數(shù)千比特位量子計算機(jī)一旦問世,包括ECC在內(nèi)的諸多算法都可能淪為虛設(shè)。

51%

丘吉爾說,民主并不是什么好東西,但它是我們迄今為止所能找到的最好的。

區(qū)塊鏈的世界里也是如此,誰掌握了51%的話語權(quán),誰就可以肆意更改自己的交易記錄,發(fā)動“雙花”攻擊。不同的共識機(jī)制對于話語權(quán)的定義有所不同,在PoW中為算力,而在PoS中則是持有Token的數(shù)量。

51%攻擊絕不是天方夜譚。以比特幣為例,隨著金錢的腥味吸引了無數(shù)科技廠家入場,挖礦變成了職業(yè)玩家的戰(zhàn)場,排名前三的礦場壟斷了全網(wǎng)接近半的算力。在Crypto51的網(wǎng)站上,我們可以找到對各種數(shù)字貨幣發(fā)起51%攻擊所需要的成本,對價值3.5億美元的Bytecoin發(fā)動一個小時算力攻擊,成本僅需要257美元,這些數(shù)字并沒有想象中的遙不可及。

來源:https://www.crypto51.app,

截圖時間:2018/9/12 9:08

阻止51%攻擊的最后一道防線,便是攻擊成功很可能導(dǎo)致數(shù)字貨幣的價值歸零,從長遠(yuǎn)角度看攻擊者反而會蒙受巨大的損失??墒牵琕erge再三受到攻擊,比特黃金也難以幸免,頻頻發(fā)生的51%攻擊面前,最后一道防線顯得疲弱無力。

智能合約

智能合約的出現(xiàn)使得區(qū)塊鏈有了無窮無盡的可能性,卻也帶來了數(shù)不勝數(shù)的漏洞,以至于萊特幣創(chuàng)始人李啟威斥責(zé)以太坊為“黑客的天堂”,正所謂“成也蕭何,敗也蕭何”。

根據(jù) BCSEC 的統(tǒng)計數(shù)據(jù),2018 年上半年區(qū)塊鏈行業(yè)因智能合約漏洞而引發(fā)的經(jīng)濟(jì)損失高達(dá)11.6 億美元,占區(qū)塊鏈安全問題的 54.66%,成為區(qū)塊鏈安全的頭號重災(zāi)區(qū)。

2016年6月,攻擊者利用區(qū)塊鏈業(yè)界此前最大的眾籌項目TheDAO智能合約中splitDAO函數(shù)的一個漏洞,將資金從The DAO項?的資產(chǎn)池中源源不斷地分離出來,轉(zhuǎn)移到自己的子DAO中,在短短的三個小時內(nèi),300多萬以太幣被轉(zhuǎn)出The DAO 資產(chǎn)池,以太坊也因為這件事故被迫分叉。

Code is Law,和傳統(tǒng)軟件開發(fā)中的迭代更新不同,為了保證代碼的可信性,以太坊中的合約一旦部署就再沒有修改的可能。我們當(dāng)然不能期智能合約一旦發(fā)布就可以完美無瑕地運(yùn)行下去,一行有缺陷的代碼可能就會將整個合約推向萬劫不復(fù)之地。

如果需要升級智能合約,就要把當(dāng)前的智能合約進(jìn)行快照,然后在部署新的智能合約之后把舊合約的快照轉(zhuǎn)移到新合約,這個過程會影響用戶對于項目的信心。在發(fā)現(xiàn)漏洞之時,究竟是壯士斷腕部署新的合約,還是置之不理希望能一直隱瞞下去,是每一個項目開發(fā)者將會面臨的兩難選擇。

“黑帽子”和“白帽子”

值得慶幸是,區(qū)塊鏈安全問題引來的越來越多人的關(guān)注。當(dāng)黑客,也就是“黑帽子”們在利用漏洞攫取利潤之時,一些安全專家和技術(shù)極客站到一起,成為了區(qū)塊鏈安全的維護(hù)者和捍衛(wèi)者,他們努力提前發(fā)現(xiàn)漏洞并通知項目方,以防被“黑帽子”利用,他們就是區(qū)塊鏈界的“白帽子”。

2018年3月20日,慢霧科技披露以太坊黑色情人節(jié)盜幣事件,曝光長達(dá)兩年之久的自動化盜幣行為,其造成的損失達(dá)近5萬多枚以太幣及數(shù)量巨大的各類代幣。

2018年5月29號,360公司Vulcan(伏爾甘)團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經(jīng)驗證,其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼,即可以通過遠(yuǎn)程攻擊,直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

一度充斥著“造富神話”的數(shù)字貨幣市場趨涼,以區(qū)塊鏈技術(shù)為噱頭的泡沫漸漸消逝,安全的問題也一步步凸顯出來。安全是技術(shù)發(fā)展的根基,一行代碼葬送一個項目的事情頻頻發(fā)生,向我們敲響了警鐘。只有在安全問題上防微杜漸慎之又慎,被寄予厚望的區(qū)塊鏈技術(shù)才能越走越遠(yuǎn)。

參考資料:

  1. 工信部、起風(fēng)財經(jīng)《2018中國區(qū)塊鏈產(chǎn)業(yè)白皮書》
  2. 騰訊安全、知道創(chuàng)宇《騰訊安全2018上半年區(qū)塊鏈安全報告》
  3. 國家互聯(lián)網(wǎng)金融安全技術(shù)專委員、上海圳鏈公司《2018區(qū)塊鏈技術(shù)安全概述》
  4. Filippo Valsorda Exploiting ECDSA Failures in the Bitcoin Blockchain
  5. Nicolas T. Courtois Bitcoin Security: Cryptographic Risks
  6. Steve Giguere Blockchain security and the cryptocurrency boom, Part 1: Theory
  7. 360網(wǎng)絡(luò)安全響應(yīng)中心《360公司Vulcan(伏爾甘)團(tuán)隊披露區(qū)塊鏈平臺EOS嚴(yán)重漏洞》
  8. 慢霧科技《慢霧科技:區(qū)塊鏈黑暗森林里的安全庇護(hù)所》
  9. 伍旭川、秦誼《The DAO 事件,區(qū)塊鏈征途上的一場暴風(fēng)雨》
  10. 安全?!妒裁词侵悄芎霞s漏洞?》
  11. odaily星球日報《2018年區(qū)塊鏈技術(shù)安全服務(wù)行業(yè)報告》
  12. 算力分布參考自https://www.cbtc.com
  13. 51%攻擊成本參考自https://www.crypto51.app
  14. 宇宙原子數(shù)參考自https://www.zhihu.com/question/63852727/answer/213715847

 

作者:黃玲麗

來源:微信公眾號“人民創(chuàng)投(ID:renminct)”

本文來源于人人都是產(chǎn)品經(jīng)理合作媒體@人民創(chuàng)投,作者@黃玲麗

題圖來自 Pixabay,基于 CC0 協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App

評論
評論請登錄
  1. ??

    回復(fù)
  2. 連大雜燴都談不上

    來自廣東 回復(fù)