杭州都市網

近日,《耳朵財經》完成了第五期區塊鏈長征活動,本次活動邀請到了零時科技CEO鄧永凱、區塊鏈專利聯盟秘書長黃永彬、云鏈科技CEO徐剛三位嘉賓與耳朵財經記者小玲兒共同進行了《區塊鏈技術應用落地,存在什么安全問題?》的大咖對話。

以下為對話內容:

問題1:區塊鏈的一大特性是不可更改,能永久保存。在追求數據上鏈的同時,也容易造成大量垃圾數據攻擊堵塞區塊鏈,使有效信息和信息延遲無法被處理。請問各位嘉賓如何看待這一現象?

零時科技CEO鄧永凱:

首先簡單說一下,區塊鏈的特性:數據不可篡改,而且永久保存。這個話題讓我想到看過的一個文章,文章里面當時有一句話說:

如果我們不謹慎的話,大多數公共區塊鏈將淪落到《機器人總動員》中地球的命運,注定將成為廢棄的古代垃圾資源庫:不是物理垃圾,而是垃圾數據,無關緊要,不合時宜且已被棄置的數據。

當時看到這句話很有感觸,數字貨幣限制區塊的大小,就是不鼓勵大家在鏈上插入非交易數據。

但ETH、EOS這些競爭者怎么干?

它們會改變區塊的大小,也可以隨機往鏈上存儲一些備注數據,而且目前這些其實已經產生了明顯的影響。比如EOS,打開區塊瀏覽器會發現你的賬戶里存在大量垃圾廣告信息,而且這種信息無法刪除,永久留痕。長此以往它就失去了公鏈真正的功能和意義。

所以現在很多區塊鏈應用都基于聯盟鏈的機制來做,因為它的接入受限制。聯盟鏈可以接受一些相對大體系的數據,但寫入數據需經過授權才行。根據我們審計的一些聯盟鏈的應用,目前應用中的大部分鏈上也不會存儲原始數據。

只把跟交易相關以及需要驗證的重要數據存儲在鏈上,所以公開的區塊鏈的鏈上數據插入以及垃圾數據的插入,目前也是一個比較大的風險和問題。

區塊鏈專利聯盟秘書長黃永彬:

大家都知道,水能載舟,亦能覆舟。技術是無罪的,關鍵是大家想怎么用。我們聯盟顧問方主任的團隊主要做一些大陸互聯網數據的全方位監控,例如P2P、第三方支付、區塊鏈等數據的全程監控。

最近方主任在互聯網大會上表示,隨著互聯網時代的發展,這些數據的成本越來越低。現在每天都會產生超過過去幾十年甚至幾百年的信息總和,其中90以上都是垃圾信息。

為什么會有垃圾信息呢?主要是人類具有欺騙性,這些都是我們人類自己制造的麻煩。

區塊鏈是分布式的數據庫賬本技術,該技術方案致力追求在缺乏互相信任的分布式網絡環境下,實現交易的安全性、公允性,達成數據的高度一致性,防篡改、防作惡、可追溯。

我們要合理利用區塊鏈技術進行信息溯源,同時在保證實名制的情況下,我們是可以有效杜絕垃圾信息,而后保證數據不會篡改,以發揮信息該有的價值。

云鏈科技CEO徐剛:

針對區塊鏈上數據永久保存,但同時會造成大量的垃圾數據堵塞區塊鏈的問題,我個人認為最主要的原因是底層技術的發展還不夠成熟。

這類比互聯網也是一樣,在互聯網初期,最早出現的信息都是0101。而現在整個計算機碼還是這樣,再后來是郵箱發信息,最后到數字、視頻、語音以及各方面發展到如今的狀態。

我認為技術發展是本質原因。目前數據上鏈肯定存在,也存在很多垃圾數據。比如現在很多數據對個人或機構來說,90的信息無用。這90的信息,我們稱之為垃圾信息,但這可能對其他人有用。

正因為各式各樣的信息充斥在一起才形成了互聯網,所以我們在互聯網上什么都能搜到。如果要想把區塊鏈未來做成跟互聯網一樣的生態,底層發展還有待提高,路程還遠。

與此同時,這也意味著機會還有很多。就線下的情況來看,有一些鏈只能做一些交易的信息存儲,現在已經出來的包括EOS可存儲一些備注信息。

最近內容存儲的鏈也出來了,這是向前發展的過程。我認為應進行選擇,例如摒棄一些不好的、有害于社會的信息。

未來還需大家統一數字身份的問題。如果未來底層統一,可能就是公鏈之爭。公鏈支撐底層,可能每個人在區塊鏈世界中都會有一個數字身份,就是ID。在這個前提下,所有的上面信息都是由一個個ID形成,根據區塊鏈特性,它可以進行溯源,也可有效防止一些垃圾信息。

如果你的垃圾信息確實有害,可溯源到你,當然這可能需要很長一段時間的發展。就目前而言,這還屬于發展較早期,這些數據的問題可以考慮,但不必過多糾結。

因為現實面臨的問題是大家覺得存在鏈上還不如存在互聯網上方便,所以這有一個發展過程。

這個問題目前受底層限制,但未來則并不一定。未來如果區塊鏈底層成熟,可能這問題也會隨之消失。我們往前看,比如在2000年無法想象用一個手機就可以打車,這就是技術的發展。

有可能區塊鏈發展五年或十年后這些問題就都不是問題,它速度也會像互聯網一樣快捷、方便及舒適,但又具備整個區塊鏈底層的特征:分布式,永不篡改。

問題2:目前現有的共識機制并不完美,但還未能設計出更安全且更快的共識機制,為了最大限度保證應用項目的安全,那么在選擇共識機制時,需考慮哪些因素?

零時科技CEO鄧永凱:

其實這個問題涉及區塊鏈的不可能三角問題,不可能三角是指區塊鏈的去中心化、安全性及可擴展性三者不能同時滿足,或是三者只能選擇其二。

從本質上來說,我之前也給大家提過這可能是一個不嚴謹的說法。因為區塊鏈不一定是沒有辦法滿足這三點或是不一定去掉其中一個,另外兩個就可以很完美,它并非如此。

舉例來說,數字貨幣用的是PoW工作量證明共識,它的安全性最好,但性能較差。以太坊目前是PoW,可能后面會轉PoS,但以太坊在安全性上僅次于數字貨幣。EOS是DPoS共識,它的性能相對較好,但犧牲了去中心化,故它的攻擊成本相對于以太坊和數字貨幣就低。

萬事不會十全十美,魚和熊掌也不能兼得。但可能在區塊鏈技術應用落地時,針對不同的應用場景需選擇不同的共識來做技術支撐。

所以在設計區塊鏈應用時,具體還得分析你當前的應用場景是什么,是考慮安全性,還是可擴展性,根據不同的需求選擇不同的共識算法以滿足設計需求。

區塊鏈專利聯盟秘書長黃永彬:

區塊鏈技術目前還處于早期階段,共識機制如PoW工作量證明、PoS股權證明、DPoS授權股權證明、Paxos、PBFT實用拜占庭容錯算法、dBFT、DAG有向無環圖,為了最大限度保證應用項目的安全,那么在選擇共識機制時,應該參考各機制優缺點做出權衡:

PoW優點:結果能被快速驗證,系統承擔的節點量大,作惡成本高進而保證礦工的自覺遵守性。缺點:需要消耗大量的算法,達成共識的周期較長。

PoS優點:縮短達成共識所需的時間,比工作量證明更加節約能源。缺點:本質上仍然需要網絡中的節點進行挖礦運算,轉賬真實性較難保證。

DPoS優點:縮小參與驗證和記賬節點的數量,從而達到秒級的共識驗證。缺點:無法擺脫對于代幣的依賴,不能完美解決區塊鏈在商業中的應用問題。

作為參考,我們專利聯盟使用的PoW+VDPOS機制,目前該區塊鏈系統已經通過第三批網信辦備案,并已經申請國內國際發明專利,我們自主研發的區塊鏈基礎平臺將在VDPoS共識的基礎上進行分片,進一步提高區塊鏈的TPS。

我們使用多主鏈+多子鏈的混合架構,為全球第一個使用此種混合架構的區塊鏈。根據整個區塊鏈的資源利用情況自動對超級節點進行分片,形成多主鏈并行出塊模式,充分利用網絡資源和超級節點資源,極大的提高出塊速度,增加區塊鏈的垂直擴展性;同時在主鏈之上可以根據應用的使用情況,啟動多條子鏈,以支持更多的聯盟成員DApp業務數據上鏈,增加區塊鏈的水平擴展性。

云鏈科技CEO徐剛:

我們首先剖析一下這個問題,應用項目如何選擇共識機制,這有待研究。

什么意思呢?做應用項目,就目前來說,全球能供選擇的區塊鏈本就不多。區塊鏈發展還需結合互聯網來說,互聯網開始發展時,表明互聯網階段好的發展是有千萬級別的應用出現。

區塊鏈目前幾乎沒有千萬級別的應用在鏈上運行,除了所謂的交易類型,有交易的數據,其他的沒有。就底層來說,PoW、PoS,DPoS也都是一個發展過程。

如何選擇需看你做什么應用,目前可供選擇的并不多,并且如果你想以安全為前提,PoW可能最安全,它最安全但也最不適合做鏈上應用。

平衡點需要尋找,我們在應用的過程中,其實有很多應用目前已逐步開始落地,包括從上到下都在重視這一塊,看你到底是要用哪個。

之前我們給別人做底層優化時也加了區塊鏈,但并不是說你全部都要上鏈。鏈上的應用是靠你選擇,到底是注重用區塊鏈,還是它哪個特性,例如是溯源防偽還是分布式或是交易。

以特點來選擇,合適才最好。當然在整個行業中,是用的最多的。

從安全性上說,肯定PoW是整個區塊鏈中最正統的,其他都是探究行業的進步。相信未來肯定會尋到一個平衡點,包括上面提到的不可能三角。不可能三角是根據自己的實際情況在其中尋求一個平衡或側重點。

未來公鏈之爭肯定會更加激烈,因為這屬于整個底層基建。想做好應用就需選擇合適的底層,只要發展是朝前走的就行。

問題3:在區塊鏈技術應用落地項目中,各位嘉賓認為應該如何做好安全問題的風險防范?

零時科技CEO鄧永凱:

其實在區塊鏈技術應用落地項目中,大部分應用的安全問題都出在兩個方面,一是鏈本身的安全,以及基于鏈上開發的應用的業務安全問題。

例如上圖中的聯盟鏈,其實也是一個常見的區塊鏈技術的應用落地,那它的安全就大概分為鏈安全和業務安全兩個方向。

鏈安全是怎么接口RPC,還有數據通信、數據存儲,以及剛提到共識的安全問題,最重要是合約安全與源代碼的安全問題。

業務安全問題分為應用安全、中間件安全,以及底層的服務器安全,還有它的生產網絡的安全。比如APP的客戶端安全、用戶認證、數據接口及信息泄露等,還有平時用的一些中間件和服務器。它本身也會存在各種各樣的漏洞,包括網絡問題,這些都算業務安全。

上圖已經列舉比較詳細,但可能不同的應用會有一些針對應用本身較特殊的一些安全問題。

根據我們平時對一些區塊鏈應用項目的安全審計,鏈本身的問題大多數是集中在合約和RPC接口上,還有源碼上的一些邏輯問題,但最重要的是合約安全問題加PC問題。

業務可能每一個點都是短板,因為安全是一個面的問題,而不是各個點的問題。如果你面上做的很好,就像木桶原理,你只要有一個短板就可能滿盤皆輸。所以安全在區塊鏈技術應用里是比較重要的一個環節。

區塊鏈專利聯盟秘書長黃永彬:

針對區塊鏈落地項目安全問題的風險防范有兩個建議:

首先是大家關注的數字貨幣錢包安全,剛才鄧總也建議使用官方推薦的錢包軟件,堅決不使用不明廠商開發或是社交網絡中來源不明錢包軟件。如果是中大型企業可以使用我們聯盟伙伴庫神之類的硬件錢包,盡量根據實際業務需求進行軟硬結合配置。

另外,關注代碼安全,像零時科技應該也對外做代碼審計,我們專利聯盟的自有鏈也找了相應的權威機構做了專業的代碼審計。

該圖是我們專利聯盟一起對外推的安全測評體系,主要是在底層系統,業務功能等層面鼓勵聯盟伙伴做一些安全專項測評,進行安全方面的查缺補漏。

如果不能及時發現和修復安全漏洞,用戶的核心數據與資產極有可能會被黑客攻擊竊取。我建議大家多多對代碼進行查缺補漏,尤其是智能合約要保持定期的維護和更新。

云鏈科技CEO徐剛:

應用落地項目的安全,從技術角度上來講,上面兩位嘉賓講的多是關于技術方面,包括代碼的安全、合約安全、通訊、中間件和服務器等。我認為技術很重要,因為所有的東西都是人設計的,這就會有比你技術更高的人發現漏洞,并攻破。技術層面的防護是依據你的團隊水平。

項目應用落地,可以用安全工具,或者邀請相應的機構進行檢測。我想跟大家分享應用上多半是沒有交易的,那我們現在交易的通證,數字貨幣有通證,如果沒有,那么知名錢包被盜的原因多是什么呢?

我們也有錢包,我們知道有些知名錢包會傳出數字貨幣被盜的情況,那么80～90以上最終查出來原因是因為用戶自己不小心泄露了私鑰或密碼,亦或是被親人朋友看到私鑰并拿走,另外還有被釣魚網站給釣魚。

所以在應用中,還需看自己在技術上做好安全防護,以及注意細節,例如應用代碼審計、合約審計。特別是公鏈需注意的點更多,它的安全級別也更高。很多基于別的公鏈和聯盟鏈開發的東西,需輸入合約,那可能很多就敗在合約的漏洞上。所以其實我的建議是從技術員和運用人員注意細節以保證安全,但事實上沒有絕對的安全。

問題4:鄧總,想問問在零時的數據庫中,有關區塊鏈應用方面的安全多半問題出在哪?有具體的事例嗎?

零時科技CEO鄧永凱:

區塊鏈應用的安全其實比較多,且是方方面面的。像徐總說的除了技術安全問題之外,還有一些其他運營管理上的安全問題。

首先在我們的數據庫里經常會碰到的安全事件,例如智能合約安全。這個可能大家都屢見不鮮了,前段時間智能合約的安全問題頻發,損失慘重。大家調侃智能合約一行代碼價值一個億,其實一點也不假,例如經典的lendf.me事件。

因為智能合約的重入攻擊導致損失慘重,然后還有BEC美鏈,因為智能合約的溢出漏洞,導致美鏈的代幣價值一夜歸零,這事件較遠。

比較最近的就上個月這個事件大家都可能聽過,就是Defi也算是一個熱點。以太坊平臺的Defi,4月份發生的重入攻擊事件導致損失2400萬美元,這其實也是智能合約里代碼層面的設計問題。這類問題比較典型且易出現。

另外,常出問題的是交易平臺及項目方應用,例如交易平臺和項目方經常會出現被盜,其實你也不知道他是不是真的被盜,反正媒體說是被盜,且官方也說遭到黑客攻擊被盜了。

在這種情況下確實很多情況是真的被盜了。這有幾個原因,第一個是員工的安全意識比較差。之前龍網被盜,就是完全因為一個員工的安全意識差,他從網絡上下載了一個量化交易的軟件,而軟件其實是一個釣魚惡意軟件下載到電腦上后,會在電腦后臺默認啟動,然后掃描你的網絡。因為它已進入內網控制員工機器就可以訪問到你內網中很多內部的資源和應用平臺。這個惡意軟件從內網找到了交易平臺的私鑰,導致資產被轉走。

第二個是因為平臺的安全防護措施比較差,一方面因為運維不到位,還有是功能開發可能沒有做好,未能從代碼層面做到安全防護。通過測試,黑客的攻擊手段可以進入平臺后端,或是控制服務器從而導致損失資產數字貨幣,所以區塊鏈應用的安全需求較高。

在上線時,盡量通過第三方安全機構進行代碼安全審計,包括應用平臺的黑盒安全測試,先于黑客發現一些缺陷和安全漏洞,真正做到居安思危,以攻促防,減少安全事件的發生以及資產的損失。

很多安全事件和安全漏洞可能大家不太明白,比如智能合約的重入攻擊可能聽過,但具體的使用原理涉及到技術問題,包括一些黑客的攻擊手段,大家可能覺得神秘或不可揣測。

如果大家對這塊感興趣,可以關注我們團隊,也可以加我微信,而后我們私下溝通,謝謝!

問題5:想問問秘書長,有什么和安全相關的專利,可以給大家普及下嗎?

區塊鏈專利聯盟秘書長黃永彬:

我估計會上有許多數字貨幣的忠實信仰者,對于這些數字貨幣忠實信仰者來說,可能會感覺區塊鏈專利本來就是一個偽命題。但目前區塊鏈技術已經作為中國新基建的一環,它跟5G、人工智能一樣,區塊鏈技術,專利,標準到應用層面已經到了大國博弈的階段。

我們先看下近期全球區塊鏈專利的狀況,截止到2019年12月31日,國外區塊鏈專利主要的申請國家為美國、韓國、英國、日本、德國、法國、瑞士。國外的區塊鏈專利主要申請地是美國,其次是世界專利權組織,然后是歐洲。

截止到2019年12月31日,中國的區塊鏈專利申請量已經超越美國,成為世界第一。

國外各國央行,IBM、Intel、VISA之類主要專利申請方向為金融支付安全領域,如私鑰安全,支付安全,數字貨幣保護等。

下面著重講下國內區塊鏈安全相關專利的狀況。以國內代表為例:

1.中國人民銀行擁有全球央行最多區塊鏈專利。其中,中國人民銀行關于數字貨幣的專利申請,申請人是中國人民銀行數字貨幣研究所,申請數量為43件。中國人民銀行印制科學技術研究所22件。從專利申請時間來看,主要集中在2016年和2017年。2018年和2019年專利申請數量有所下降。

縱觀中國中央人民銀行申請的數字貨幣相關專利中,每年的側重點都有所不同。2016年的核心是【數字貨幣芯片卡】,申請專利數量13項,其中數字貨幣芯片卡用于數字貨幣在中央銀行與商業銀行之間構建有效溝通的情況下的存儲、兌換、支付。

2017年的核心是【數字貨幣錢包】,申請專利數量18項,從【數字貨幣芯片卡】變為【數字貨幣錢包】,與之對應的是參與角色的不同,出現了現有銀行體系下不存在的幾個角色,包括數字貨幣錢包終端,錢包服務商,數字貨幣發行登記機構。

2018年的核心是【基于XX條件出發的數字貨幣管理方法和系統】。其中,2018年申請的專利,已經從基礎工具轉向了系統業務,主要內容有基于貸款利率、經濟狀態、流向主體、試點條件觸發的數字貨幣管理方法和系統。這些都是針對數字貨幣流轉過程中涉及到的金融機構設計的。

2.騰訊自2015年開始進行區塊鏈技術的自主研發,涉及領域金融、稅務、公益、游戲、法務、供應鏈和醫療等。其中,具體實施的應用,例如2018年8月全國首張區塊鏈電子發票在深圳市開出。

騰訊為其提供底層技術支持,實現了區塊鏈電子發票的從無到有,并逐步完善的過程。目前,其區塊鏈電子發票涉及銀行、出租車、地鐵、旅游、地產、零售商超、金融保險、酒店餐飲、停車服務等行業。

3.阿里巴巴的區塊鏈專利主要來源于螞蟻金服,區塊鏈的本質就是建立可信的價值網絡。下面列舉部分阿里巴巴區塊鏈的主要應用項目。

為了追蹤假冒食品的來源,阿里巴巴和普華永道等企業合作,利用區塊鏈技術,建立可以追蹤食品溯源的服務。

其次,阿里巴巴在跨境電商領域,也使用了區塊鏈技術,通過區塊鏈技術可以追溯到商品的原產地、出貨、運輸、報關等全方面的信息。

最后,阿里巴巴現在的公益項目,也使用了區塊鏈技術。通過區塊鏈技術,捐贈人可以查詢到慈善捐贈物資的全部動向,增加了透明性和公開性。

區塊鏈的屬性與金融行業具有天然耦合性,金融行業也是應用區塊鏈技術最早的行業。金融安全方向的專利布局數量是區塊鏈技術各應用方向專利布局數量占比最大的方向,反映出金融安全方向是區塊鏈技術應用最重要的方向之一。

區塊鏈技術具備分布式、防篡改、高透明和可追溯的特性,非常符合整個金融系統的業務需求,因此目前已在支付清算、信貸融資、金融交易、證券、保險、租賃等細分領域落地應用。在金融方向,專利申請量排名靠前三個公司:平安科技189件,瑞策科技136件,騰訊科技79件。平安科技在金融方向的專利布局呈現領先地位,反映出平安科技在“區塊鏈+金融方向“的技術研發有明顯優勢。

此外,金融安全方向的專利申請人和發明人的數量增加,反映出金融安全方向的創新主體在增加,越來越多的企業與科研機構著手在金融安全技術領域布局相關區塊鏈專利,創造出更多樣的金融、科技產品,以推動這一領域的快速發展。

這是我們專利聯盟和工業和信息化部賽迪,中國市場信息調查業協會,中國區塊鏈生態聯盟,達瓴智庫,騰訊,趣鏈等一起發布的《2019-2020中國區塊鏈專利白皮書》部分內容,可供大家參考研究。

其中各城市排行中北京、深圳、杭州、上海遙遙領先,西安排第九,申請量173件,也是非常優秀。目前西安像紙貴之類的區塊鏈企業,也申請了非常多的區塊鏈專利。像零時科技也申請了追溯地址相關的專利,他們的核心技術保護意識也是比較前瞻的。

問題6:徐總,公司在提供技術開發時,有遇到過什么較大的安全問題嗎,以及是如何解決的?

云鏈科技CEO徐剛:

提供技術開發可能跟你自營技術還不一樣。比如你自己運營一個項目,那你是技術人員。

我們給很多大型企業做底層改造時,他們不懂區塊鏈技術,但這最終還得掌握在自己手中。所以你就面臨很多提供技術之外的問題,例如對員工進行技術培訓。技術培訓不像我們在區塊鏈行業有三四年,而他們都是新手,這中間會有很多問題。

因此,首先,我們在提供技術的同時,會有一套方案。所有項目上線前都會進行自己的安全檢測。

其次,我們跟第三方也有合作。第三方做的東西,如果你贊同他的技術角度,而IT人員對自己的東西非常信任,所以很多問題基本上像bug或漏洞很難檢測出來。我們找第三方檢測機構專門再做一遍檢測。后面上線就需要預防各方面,比如上面嘉賓也提到他有預防措施或軟件可以應用。

最重要的安全事件發生一定要預演,就像我們現在幫別人做運維,他們很多是沒有技術團隊的,那整個運營在我們手中,因此要做預演。

把可能會出現的一些安全問題羅列出來,根據每一個項目和應用的不同,它可能會出現的安全問題都預演一遍,而后拿出預演解決方案,這非常重要。

技術上的安全是一定的,而我們在生活當中要多注意。像我上面所說,你自己的安全方案,第三方的檢測,問題預演就已經足夠。但在數字貨幣方面一定要注意,選擇市場上時間較長和較出名的存儲方案。

我就自身經驗分享一下,如果你自己做好了防護,還出現被盜的情況,這可能跟技術有關,比如制作錢包的技術人員。這是我的一個經驗。

如果你本身不作惡,像去中心化錢包很難被盜。因為提到區塊鏈,大家都會想到安全,既然你本身就是安全的東西,你還怕安全,這肯定有問題,所以這可能是人本身的問題。