在貴陽國際數博會之後,EOS和打車鏈的話題刷爆了朋友圈。從數博會上玉紅的一句“EOS是最大的空氣幣”,到360安全發佈EOS安全漏洞,到陳偉星正式公佈區塊鏈打車應用,都引發了大論辯。
嘉賓簡介:
趙偉:北京知道創宇信息技術有限公司創始人/CEO,中國信息安全標準委員會委員、院士工作站特聘專家、工業與信息化軟件集成促進中心雲計算研究專家。
主持人:360之前公佈了EOS底層代碼的漏洞,目前為止,BM和EOS是不是真正解決了這個問題?漏洞是否已經完全修復?
趙偉:360沒有將漏洞在公網上線之後公佈,對EOS的生態更。如果公網上線之後公佈這樣的漏洞,就得EOS可能會馬上進行硬分叉。
現在這個bug目前僅進行了64位的系統修復,32位的系統還沒有修復。發現這個漏洞的專家是我們557小組的小夥伴,他們認為EOS不考慮32位系統的安全性。
在我們看來,32位的風險也是存在的,如果部署系統的時候出現錯誤,部署在32位系統上,風險還是存在的。
主持人:您曾表示BM本身對安全問題並不是一個專家,也發現BM對很多安全方面的術語和基礎的情況並不太瞭解,是這樣嗎?
趙偉:對,我們發現和BM在溝通的時候,偶爾會混淆一些安全方面的概念。這種安全概念是隻有真正的安全人員、從業者才要去了解的,一般的程序員他們是不太會了解這些安全規範和開發規範的。
本次發現的漏洞最早發現在2003年左右,當時非常多的系統都被這個漏洞攻破了,我們還對這種漏洞攻擊方法進行了研究。15年後,基本所有的程序員都已經瞭解這種漏洞了,但是BM還是犯了這個錯誤。其實前一段時間各個ERC20體系token被清零的漏洞,都是這種漏洞。
主持人:有人認為,一些人會出於對利益的追逐,從安全層面將EOS進行分叉,為什麼會有這樣的判斷?
所以,EOS沒有利用去中心化的技術構架,是非常容易被分叉的,所以很有可能是因為安全問題,導致很多分叉,並且也可能從安全的層面來進行分叉。
從我們的經驗來看,一個項目至少需要拿出營收的10%,投入在網絡安全方面。美國政府他們的網絡安全預算佔整個預算的30%-40%,主要的用途就是運維。
問題是,所有加密貨幣的所有者是用戶,沒有一箇中心化的管控,數字貨幣丟失由用戶負責。所以,區塊鏈項目對安全性的要求是很高的。
我們保護了挺多的數字貨幣交易所,可能做過一些小的傳統交易所的安全項目。我認為數字貨幣的交易所最大的不一樣,在技術方面是量化交易的需求很大,但是對量化交易的支持方面比較差。
在交易所方面,交易所安全分為很多層次,包括技術安全、業務安全、商業安全和合規性安全。
技術安全分為發幣階段、上幣階段、交易所本身的安全問題、持幣者的安全問題,共同組成了一個安全生態。這個生態現在還不是非常完整,問題包括內網的安全問題、內部合規流程性的安全問題、數據庫的安全問題,目前數字化交易所的安全問題依然較多。
主持人:DPoS的共識機制是否存在一種更安全的替代方案?
趙偉:EOS這種中心化的系統,安全方面需要花費非常巨大的精力、金錢。分佈式的去中心化的區塊鏈的技術,本來就是把安全作為算法,把每一個人都作為整個系統的一部分去保證安全性,這本省就是一種由創新的想法。對於我們安全界來說,區塊鏈的技術非常經典,在這麼多年來,很多安全高手、專家嘗試攻擊,也沒有成功過。
比特幣目前現在的這種模式,可以引入側鏈、閃電網絡或分片的技術,然後把資產上鍊。
一代區塊鏈的技術,面臨最大的安全問題,就是算力51%的攻擊;二代的智能合約,也同樣面對各種各樣的問題。
主持人:區塊鏈技術的核心價值是什麼?
趙偉:我自己創業很多年,第一次感受到一個技術跟以往截然不同。區塊鏈技術實際上是一個經濟、政治的綜合學科。我們第一次把權力和利益變得計算機化、可編程,利用分佈式賬本技術和智能合約技術,可以實踐算法、協調利益關係,來替代原來的紙質合約和賬本。
所以,我們在要使用這個新技術的時候,一定會發生混亂。區塊鏈技術在本質上也是一個新型的金融技術。這些金融技術實際上是有原罪的,所以我認為區塊鏈行業是一個高風險行業的原因。
為什麼那麼多創業者還是想去嘗試?為什麼我們還在不斷探討區塊鏈技術?為什麼那麼多媒體去關注這個技術?為什麼《政府報告》要把區塊鏈技術放到那麼重要的位置?為什麼那麼多領導也要組織學習,探討怎麼樣使用?這都是一個明確的信號:區塊鏈會改變整個社會。
所以,這種改變對原來的金融體系、貨幣體系和資產負債表都非常重要。事實上,我覺得現在在中國也有很好創業環境,至少大家是可以去嘗試的,這也是為什麼我們敢於去嘗試把這個技術用到實踐上來。
我也希望大家能去各自去嘗試各自的方法,甚至有更多人一起來嘗試推動我們的實驗,這也是我們做這個事情的初衷:告訴大家這是區塊鏈對於傳統社會的改變是非常有趣的。
所以,區塊鏈技術其實並沒有想象得那麼神秘,我覺得全社會目前對區塊鏈技術的認知和嘗試越來越清晰了:
1、通過去中心化的見證來做一個可被信任的賬本。
2、利用去中心化的結構創造可信任的合約。
3、接下來要去開發的,就是要用去中心化的安全技術,來保障每個人的隱私數據歸屬於個人,這也是未來數字時代最關鍵的東西,讓數字資產作為一種生產資料歸屬於個人。
主持人:EOS是不是一個漏洞百出的公鏈?
趙偉:也不是漏洞百出。安全的問題分兩層:
1、程序層。EOS這麼有錢,它可以請世界上最好的黑客幫它修復漏洞、尋找漏洞。
2、結構層。BM沒有真正使用分佈式共識的算法。程序上可能不是漏洞百出,但是結構上有問題,EOS就完蛋了。
主持人:你認為目前為止整個區塊鏈行業安全服務哪幾個方面出現會出現巨大的機會?
趙偉:鏈本身的安全。不同階段的區塊鏈需要安全是不一樣的。比如說1.0可能需要反DDOS,2.0可能需要智能合約審核,3.0是整個安全構架的優化。
所以首先是交易所的安全。因為交易所設計極其複雜,無論是技術安全、業務安全、商業安全還是合規性安全,都非常複雜,因此交易所的安全防護肯定也是一個很大的機會。
其次,個人用戶使用數字貨幣的安全。區塊鏈數字貨幣是去中心化的,沒有像中央銀行這樣的機構存在,用戶幣丟了就完全丟了,很難找回來。所以,對於個人的區塊鏈安全防護也是創業的機會。
主持人:區塊鏈行業中目前存在的亂象和泡沫如何解決?
趙偉:創業是一個長期投資的習慣,在這個過程中需要一個一個解決問題,一個一個去投資,一個一個去嘗試,不可能一個晚上就能解決所有問題。
區塊鏈行業共識的體系是混亂的,創業者們缺少一個共同的願景,紛紛選擇圈錢、暴富。當然這是客觀的現象,並不是區塊鏈的本質。
我認為區塊鏈的成功有四個核心的步驟:
1、加密貨幣,極有可能是比特幣,在不斷地被人質疑和認可之後,會成為世界貨幣。
2、在不斷地形成願景的共識基礎上,行業內會產生很多新的應用、估值的模型,讓創新得到鼓勵,而不是鼓勵把錢放在自己口袋裡。
3、隨著這些嘗試不斷地出現,越來越多的資源會根據需求投向基礎設施,包括交易所、錢包、行情、媒體,甚至鏈、基於鏈的生產關係和算法設計、算法設計服務,最終不斷完善基礎設施,讓區塊鏈真正創造信用。
4、會有越來越多現存的資產,可以不斷地被區塊鏈化,把原來的股權性的設計和平臺,逐步地上鍊,讓加密貨幣的資產更加豐富。
這四個點相互支持和依賴,會隨著區塊鏈技術和市場的成熟逐步發生。所以,我希望泡沫能夠被轉化成一個改變傳統社會的願景。那些欺詐性的泡沫、共識能夠被清理,讓創新型的企業加入、理解,並和全社會的價值觀形成一體,激勵模型和價值創造,最終使得區塊鏈技術更加符合人性,激勵更多的優秀的人加入進來。
閱讀更多 區塊鏈網訊 的文章
