泛濫的安全漏洞面前,區塊鏈安全該從何解釋區塊鏈
區塊鏈的本質在于建立多方信任,而落到技術上,就是處在區塊鏈中間層的共識算法。
網絡安全圈子里最熱門的話題之一就是區塊鏈安全了,區塊鏈是一種基于加密技術的低成本、高安全、可定制和封裝的去中心化信任解決工具,也是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術在互聯網時代的創新應用模式。區塊鏈架構提供了無需中間人就能通過共識來享有信任的功能。簡單講,區塊鏈還能確保供應鏈完整性、管理合約,甚至作為金融交易的平臺。
目前,區塊鏈應用已延伸到物聯網、智能制造、供應鏈管理、數字資產交易等多個領域。比如說,阿卡邁技術公司目前就在打造區塊鏈驅動的在線支付網絡。其副總裁兼CTO表示:“區塊鏈本身就是種安全技術,融入了多種安全原則。”然而伴隨區塊鏈自然發展的道路上,還有安全問題。區塊鏈面臨著算法安全性、協議安全性、使用安全性、實現安全性和系統安全性的風險與挑戰。黑客通過大數據和人工智能能高科技手段,掃描區塊鏈這些方面的漏洞,借此進行詐騙、傳銷等。
比特幣交易所被黑的消息常會震撼到任何人都可以設立節點的開放網絡。
區塊鏈不僅僅是一陣炒作熱潮,即便不是萬靈丹,區塊鏈的益處也是真實有效的。理論上,區塊鏈的基礎概念就是抗攻擊的。學術視角上看,區塊鏈只要實現恰當,就非常難以被黑,其應用前景相當明朗。
但即便區塊鏈是黑客難以攻克的堡壘,它也不是完全無法突破的。
就比如看PoW和PoS,它們安全嗎?
區塊鏈的本質在于建立多方信任,而落到技術上,就是處在區塊鏈中間層的共識算法。
現在最主流的共識算法,一種是以比特幣為代表的挖礦機制(PoW),另一種是投票機制(PoS)。
簡單地說:
PoW的機制是誰的算力大就信任誰;
PoS的機制是誰的比特幣多就信任誰。
理論上講,某個人或群體擁有比特幣網絡51%的算力,或者具有支配51%算力的能力,就能對比特幣網絡發起攻擊。
PoW 面臨51%攻擊問題。由于PoW 依賴于算力,當攻擊者具備算力優勢時,找到新的區塊的概率將會大于其他節點,這時其具備了撤銷已經發生的交易的能力。需要說明的是,即便在這種情況下,攻擊者也只能修改自己的交易而不能修改其他用戶的交易(攻擊者沒有其他用戶的私鑰)。
在PoS 中,攻擊者在持有超過51%的Token 量時才能夠攻擊成功,這相對于PoW 中的51%算力來說,更加困難。
在PBFT 中,惡意節點小于總節點的1/3 時系統是安全的。總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,將會造成該系統的價值歸零,這時攻擊者除了破壞之外,并沒有得到其他有價值的回報。
對于區塊鏈項目的設計者而言,應該了解清楚各個共識機制的優劣,從而選擇出合適的共識機制或者根據場景需要,設計新的共識機制。
攻擊者很難拿下比特幣區塊鏈網絡,就是因為這個網絡包含了太多參與節點。小型加密貨幣就比較脆弱,比如 Bitcoin Gold,5月的時候攻擊者就以51%攻擊的形式卷走了價值1800萬美元的加密貨幣。
這都是因為企業區塊鏈項目的參與者數量通常遠遠少于公共加密貨幣平臺。網絡規模越小,攻擊者需要黑的節點數量就越少。
但也對公共區塊鏈項目的攻擊已經非常普遍了。
Carbon Black 的研究表明,今年上半年就已有價值11億美元的加密貨幣被盜。網絡犯罪的增長驅動了能寫惡意代碼的程序員數量的上升,而暗網給了他們售賣惡意代碼的完美市場。罪犯從這些攻擊中獲得的專業技能,以及暗網上涌現的各種工具,都可以被利用來攻擊企業項目。
大多數加密貨幣攻擊都沒針對核心區塊鏈技術,罪犯只是瞄準了防護不周的交易所和沒好好保護自己錢包個人及公司。發起中間人攻擊都可以將加密貨幣交易轉移到罪犯自己的錢包中。
邁克菲最近一份關于區塊鏈的安全報告中稱,很多此類問題都源于終端用戶安全或區塊鏈實現上的問題,并非區塊鏈加密協議自身的問題。企業區塊鏈項目也有可能出現實現問題,即便這些項目不像公共鏈那樣有著寬泛的攻擊界面。
毫無疑問,區塊鏈因其核心的安全加密數據庫而將會對網絡安全產生深遠影響。而且,這一數據庫還是透明而不可更改的,另外最重要的是,該數據庫具有彈性。所以我們更加需要探尋區塊鏈健康發展之道。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
