文 | 一帆
區塊鏈技術在經歷了數個月的狂歡之後,引發出了新的問題和擔憂,那就是安全。前段時間360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的高危安全漏洞,更是讓圈內開始流傳“一行代碼,打倒一種代幣”、“一個漏洞,摧毀一類智能合約”這類的話語。雖有誇大的成份,但確實對通過技術手段打造區塊鏈全生態安全解決方案提出了新的要求。
自進入五月以來,區塊鏈安全事件頻繁發生,韓國加密貨幣交易所Coinrail遭黑客入侵,被盜走價值4000萬美元的代幣;EduCoin智能合約任意轉賬漏洞,可導致攻擊者竊取任意用戶的代幣;以太坊JSON-RPC接口遠程盜幣漏洞,已經造成超過40000個的以太幣被竊取等。區塊鏈安全已經上升到網絡安全的高度。
區塊鏈技術目前尚存哪些問題,未來還會可能產生怎樣的風險與隱患,安全公司又應該通過哪些手段有效保證區塊鏈的安全?
針對這些問題,安在特邀長亭科技聯合創始人楊坤博士為此作出解答。
人物介紹
楊坤 長亭科技聯合創始人
您認為當前區塊鏈安全事件頻繁發生的原因是什麼?是否是區塊鏈技術在設計本身存在問題和漏洞?
楊坤:區塊鏈技術中的密碼學、共識機制等技術,確實在一定程度實現了安全性。像不可篡改、不可抵賴等,以及比特幣、以太坊這些年能夠穩定運行,也都說明早期的區塊鏈技術在設計層面經受住了考驗。
近期發生的區塊鏈安全問題並非是區塊鏈設計本身的問題,更多的集中於區塊鏈所落地的系統,而這些系統所採用的還是傳統的信息技術。像問題頻出的交易所,其自身並沒有搭區塊鏈,只是作為中介,幫助用戶來交易在區塊鏈上的數字貨幣。而交易所是中心化的,所採用的技術也還是傳統的信息技術,對於交易所的攻擊很多也都是傳統的攻擊手段,發生的問題也還屬於傳統安全問題的範疇。
所以我認為近期的發生安全事件與區塊鏈的設計並沒有衝突,這些設計也都是比較穩定的。
那是否可以說明區塊鏈本身的設計並不存在任何問題?
楊坤:並非如此,因為區塊鏈安全事件其實分很多種,交易所只是其中產生危害最大的一種。如果要說區塊鏈底層設計的問題,那目前發生最多的安全事件就是智能合約。主要的問題有兩個,一方面以太坊的智能合約在最初設計的時候沒有引入比較好的安全機制,導致合約開發者難以很好地駕馭合約語言,寫出了一系列問題。
其次,智能合約都是運行在分佈式系統之上,部署之後如果出了問題難以修復,可能直接導致合約的滅亡。
另外,雖然經典的比特幣、以太坊的公鏈已經趨於穩定,但是由於區塊鏈衍生出的業務形態繁多,區塊鏈應用對於區塊鏈這一底層技術的性能提出了更高的要求。目前來說,無論是以太坊還是EOS,性能都未必能滿足未來的應用,所以行業內還沒有一個公認的比較滿意的公鏈。在這種情況下,非常多的研究團隊試圖改進公鏈機制,把性能做得更好,以便於更好地服務於應用的落地。但是新設計的公鏈在上線前,安全性是很難得到有效驗證的,因此將會產生很多關於底層的安全問題。
從近期的安全事件反映出區塊鏈技術怎樣的發展現狀?還會在未來潛在怎樣的隱患?
楊坤:目前區塊鏈技術的方向和趨勢還不夠清晰,說到底也只有比特幣取得了公認的成功,而以太坊雖然在數字貨幣上獲得了認可,但在應用層面是否已經成熟還不能有所定論。
當前最主要的問題在於,還無法確定未來底層的鏈到底該運用什麼樣的技術,因此產生的難點就是,一方面區塊鏈廠商想要通過研發提高鏈的性能,增加更好的特性;另一方面卻又無法使安全性得到驗證,因為這當中並沒有理論性的方式可以證明設計的安全。由於是分佈式系統,一旦在上線運營後出現問題,根本得不到一個可以修復的機會,一次漏洞就可能帶給整個鏈致命的打擊。
那麼您認為區塊鏈技術在未來應當如何發展才能有效規避風險和隱患?
楊坤:從設計層面來看,我覺得當前階段不能太激進,因為在追求更新的概念和更高的特性,把設計複雜化的同時,也會面臨著更多的安全問題,暴露的攻擊面更大,也更容易出問題。所以我覺得區塊鏈技術應該穩步發展,而不是一步到位。
如果沒有辦法做到絕對安全,唯一能做的就是簡化設計,先落地最需要解決的問題,針對需要的場景做對應的區塊鏈,不要想著一開始,就能服務所有的用戶和場景。
您認為安全公司能夠在保護區塊鏈安全中起到怎樣的作用?在保護區塊鏈安全的過程中尚存哪些難點?
楊坤:對於安全公司來講,保護區塊鏈安全和保護傳統安全本質上並沒有太大的區別,主要形式還是提供安全的產品和服務。因為區塊鏈包含了一部分的傳統技術,安全公司可以利用傳統的安全手段進行測試,有效保證這一部分的區塊鏈安全。
但同時,區塊鏈技術中也包含了新興的技術,對於這一部分的技術是需要安全公司進行全新的研究的。區別於傳統技術的標準化服務,在區塊鏈行業,市面上的安全公司急需一套標準化的系統和解決方案來有效保證新技術的安全。
難點就在於對於新技術,安全公司只能利用過去的經驗來展開研究和探討,找尋更好的設計思路,並規避設計的風險,在實現代碼之後,再進行審計和調試,查找問題。
長亭科技在區塊鏈安全上目前已經開展了哪些工作?
楊坤:長亭科技是一家網絡安全公司,我們業務的重心一直是在信息安全方面,我們是給客戶提供網絡安全服務和防護產品的,都是針對傳統的信息技術。
由於區塊鏈技術火熱的態勢,加之持續不斷的安全事件發生,我們希望能夠給這個行業貢獻一定的力量。因為區塊鏈也存在著代碼實現這樣的傳統安全問題,所以我們可以把傳統安全的技術進行運用,並將在攻防方面的一些技術和經驗引入區塊鏈行業。而對於區塊鏈新技術所衍生的問題,我們也與研究公鏈的廠商展開合作,一起探討和摸索如何提高公鏈的安全性。
目前我們主要幫助做底層公鏈的公司,參與到他們的設計當中,例如參與設計安全的共識機制、虛擬機的選型等工作,同時對於那些測試網絡已經上線的公司,我們也幫助他們進行網絡的測試,通過代碼審計結合在線調試的方式,測試公鏈是否安全,能否實現預想的特性。希望憑藉豐富的經驗能夠儘可能讓鏈穩定的運行,促進未來應用在鏈上的落地,這是我們力所能及的貢獻。
在您看來區塊鏈安全的發展現狀能夠和區塊鏈市場相匹配嗎?
楊坤:絕對是不匹配的,區塊鏈安全其實是最近才被重視的話題。通過數字來看,全球數字貨幣的市場價值已經超過萬億,但是安全行業,以國內為例,整個安全行業不過兩三百億,區塊鏈安全更是隻有寥寥幾千萬而已。而很多交易所的安全團隊也只是從今年開始建立,否則也不會出現如此頻繁的交易所攻擊事件。
因此,從這點來看,安全產業的配置是跟不上區塊鏈行業整體發展的,區塊鏈安全的發展也是完全無法匹配區塊鏈市場的。
導致這個局面的原因有兩點,一是區塊鏈行業財富的積累太多,增長太快,導致諸如之前的ICO亂象,大部分區塊鏈創業者都只想先通過白皮書融資,再開始做事情,對於他們來講,概念落地都是次要的,更不要說安全了;另外一個原因就是人才缺少,當前做區塊鏈應用的技術人才都很稀缺,如果還要求這些技術人才具備安全知識和能力,更是難上加難。
在未來應當如何通過補足安全能力來確保區塊鏈安全?
楊坤:從歷史規律來看,往往都是在產業成型之後,才會考慮安全的問題。很多小公司更是要優先考慮業務和生存,安全對他們來說是掙到錢以後才需要投入的事情。
但是區塊鏈行業是不一樣的,因為容不得犯錯,如果早期沒有把安全做好,一旦在自後出了問題就可能全盤皆輸。所以當前很多廠商是願意投入一些資源去做安全的,而這些安全的訴求往往都會落到第三方安全廠商的頭上。
但問題在於,安全廠商在區塊鏈安全的能力也處於剛剛起步的階段,所以區塊鏈安全的現狀就是跟不上,並且這是一個短期內無法解決的問題。
所以區塊鏈當前的安全環境是非常惡劣的,在我看來核心還是人才。對於創業公司來說,首先一定要把人的安全能力進行提升,讓安全成為研發階段必要的基礎,這是現階段可以落地和實現的方式。
通過區塊鏈安全事件的發生以及區塊鏈安全能力的現狀,您覺得這給區塊鏈行業帶來了怎樣的警醒?
楊坤:首先,應用必須儘可能落地,不要僅僅只是炒概念,而是要切身解決生活中面臨的一些問題;其次,在區塊鏈創新和開發時,一定要有簡化的思想,不要為了追求過多的性能,將技術設計得太複雜,因為越複雜,所面臨的安全問題也就越多,風險就越高;最後,希望未來有更多的人投入到區塊鏈基礎理論相關的研究上,特別是跟安全相結合的理論,因為當前確實還沒有能夠完美解決區塊鏈安全問題的方法,只能儘可能把關,提升安全能力。
閱讀更多 安在信息安全新媒體 的文章
