導語
年初,幾乎一夜之間,區塊鏈項目和媒體如雨後春筍般破土而出,發幣的發幣,轉型的轉型,坊間盛傳各樣的造富神話。大家被焦慮驅使著,以為抓住先機就等於贏了整場比賽,站在風口就能直上青雲。
然而,瘋狂過後只剩一地雞毛,媒體內容高度同質化,同類型的APP氾濫成災,做培訓的這邊嘉賓剛請好,那邊已經出了新的監管政策,封號、維權、跑路......很多人又退出、撤資、轉行。
區塊鏈技術的發展應該是一場馬拉松,但大多數人都把它當成了百米衝刺,就是所謂的“幣圈一天,人間一年”。
在如今低迷的市場中,區塊鏈從業者也該“佛系”一些,少些急功近利,技術還處於初期,能夠做的事情還很有限,要做的事情還有很多。
今天,必投投帶大家瞭解一個佛系安全從業者的區塊鏈世界觀,看看他如何從佛學角度解析區塊鏈。
10月10日—11日,第三屆騰訊安全國際技術峰會(TenSec)在深圳舉辦。本次峰會致力於探索國際前沿安全技術和領域,為國際廠商和安全社區合作搭建一個長期持續的溝通合作平臺,共同守護新興互聯網形態和用戶安全。
知道創宇創始人、CEO趙偉受邀出席大會,發表題為《一個佛系安全從業者的區塊鏈世界觀》的精彩演講。
這個以安全著稱的領域,自身的安全狀況或者說真相究竟是怎樣的呢?以下為大會現場演講原文:
趙偉:
我跟大家分享一下我們在區塊鏈方面的安全研究。因為我一路是技術人員走過來的。
其實最開始比特幣的創建者是很多一代的黑客,我有幾個朋友很深度參與了。
在2014年比特幣持有者的排行調查中,H. D. Moore本人持有40萬枚,目前價值接近於20多億美金,其CTO也持有40萬枚,還有另外一位創始人也同樣持有40萬枚,他們三人持有的數量超過了中本聰的98萬枚。
安全行業最初的黑客,是最深的參與到了比特幣的創建中。
我個人很早就開始關注比特幣,當時剛超過1美元的價格,我們認為這在未來有非常大的趨勢,所以很深度參與到了區塊鏈的研究。
外界知道我們知道創宇是做安全防禦的,今天的演講會涉及到我個人以及公司研究團隊所參與到的挖礦安全、礦機安全、錢包安全、交易所安全以及硬件錢包的安全研究。
先看一下現狀。大家形容區塊鏈的現狀就兩個字:涼涼。現在已經有很多人看笑話了,區塊鏈暴跌,有些幣都是清零狀態了。
這個狀態本身已經發生過多次,在比特幣的歷史上也多次暴跌,潮水散去,所以一般裸泳的人就發現他在裸泳,但堅守的人又堅持下來走了下去。我認為數字貨幣跟未來的通證經濟一定會存在。
一、比特幣本身甚至就是貨幣
其實,比特幣和區塊鏈技術非常接近於現金本身,甚至本身就是貨幣,從來沒有一個技術這麼接近於錢,他可能就是錢本身。 為什麼我們一直研究安全這個東西?安全平常是說起來重要,做起來次要,沒有預算的時候砍掉,安全人員很悲哀。
但我們第一次感覺我們在區塊鏈行業這麼受重視,所以我們從事安全這個職業是有希望的,區塊鏈行業給了我們極大的重視,讓我們堅持下去。
區塊鏈數字貨幣的總市值在最高點是8200多億,現在跌到了1000多億。截止到9月11日,跌了14%,是整個大暴跌。比特幣價格從最高接近2萬美金,跌到6000美金,前段時間甚至跌破6000美金以下,不足以覆蓋挖礦成本,這是擊穿底線的事情。
大家都在說比特幣“涼涼”,有統計,大概有1000多個數字貨幣歇菜清零了,有300多個交易所關閉了,整個就是一地雞毛的狀態。我們可能持有大量的幣,山寨幣、比特幣、以太坊,可能沒有POS,我們不太喜歡POS,它太集中了。
這種暴跌的情況下如何保持好的心態?我認為就是佛系。佛的智慧是大智慧,對普通人來說,它是非常好的安慰劑,所以我就大概講一下。
二、佛學角度解析區塊鏈
區塊鏈應用從佛學角度進行理解,對應“眼耳鼻舌身意”,還有第七種的“末那識”,它是連接我們做的行為和背後的“阿賴耶識”,我認為這是區塊鏈的公鏈。
區塊鏈的想法跟佛教的想法非常接近,“阿賴耶識”說的是這個東西超過了更高的維度,不增不減的,由某種特定規則規定的。區塊鏈用的是數學,礦機來決定賬本誰有財富的,跟這個很相似。
這個我就大概說一下,六道輪迴。這個輪迴說的是你每時每秒的心境輪迴,分為人道-“韭菜”、畜生道-幣圈、修羅道-鏈圈、餓鬼道-黑客、地獄道-歸零、天道-無幣區塊鏈。
理解的角度就是佛教的四聖諦。
無常-區塊鏈的P2P網絡,所建立的根基是以隨機性為目標的。最近在證實定理,如果隨機性被打破了,數字遊戲就完蛋了。
無我-虛擬貨幣、區塊鏈P2P網絡。賬本是流水賬,沒有個人賬本的值。
皆苦-有漏洞。這個苦不是痛苦,是有問題,不完美的,我的理解是有漏洞的。
涅磐-區塊鏈本源。
區塊鏈是加密數字貨幣,是全球化的分佈式賬本,這個賬本代表個人財富,這個非常重要。它想做成世界計算機。阿賴耶識就是背後計算你人生成功、失敗的系統。
三、區塊鏈的發展歷程
區塊鏈為什麼被創造出來了?大家可能知道,2008年金融衍生品太多,一幫黑客和數學家認為,我們應該有“不能讓這些人割韭菜”的數字黃金出現,這種東西不是由人或機構決定的,而是由算法、數學決定的。
比特幣橫空出世,8年之內翻了380多萬倍。如果股票漲一倍你能開心死,股票跌一倍你能痛苦死。比特幣漲了380萬倍,這簡直是奇蹟,在這個奇蹟之前大家都說,比特幣不完美,但在我看來它非常適當的完成了它的夢想、理念及原則。因為它不是1.0版本,在我看來它可能是5.0版本。
在這之前,1982年最早提出了拜占庭將軍問題,怎樣讓多數人決定一個事,就是把P2P節點化,讓算法來決定這個事。1991年用數字的時間戳決定數字文件安全性,1997年出現了哈希現金技術,1998年出現了數字黃金。2008年綜合了前四代,寫出了比特幣的創意。一直到現在,11月29日價格首度超越黃金。
我們2013年組織了中國比特幣聯盟,當時百度投資了我們一個老的SaaS平臺,叫做百度加速樂,當時我們是第一個接受比特幣進行支付的。
當時比特幣基金會主席說,這是比特幣歷史上最大的一步,因為當時中國第一的互聯網公司開始接受比特幣了,納斯達克當天漲了40美金,第二天漲了70美金。因為這個行為,當時幫助了很多的比特幣交易基金、交易所和錢包,當時漲的超過了每克黃金的價值。
四 、比特幣真正的未來目標是儲備貨幣
比特幣到底是符合什麼願望,達到了什麼目標?這是時間軸和真正的目標,就是我們眾生如何使用這個東西?我們發現比特幣存在支付和費用問題,網絡出塊太慢,不能試用電子現金的高頻交易,而且支付的成本越來越高。
暗網貨幣發現,比特幣在暗網中使用成本很高,並且可以被追蹤,因為它只是簡單的匿名,不是加密的,抗審查的數字黃金,它模擬的是數字黃金,黃金的本質是限量,可永遠保留,並且不可分割,你不能帶一公斤重的黃金去買東西。
比特幣滿足了數字黃金的概念。在加密貨幣行業的儲備貨幣上,它做到了這兩點,並且是非相關的金融資產,跟股票不掛鉤,很多家族基金把錢投入到了比特幣,它的價格擺在那。
數字黃金的價值導致很多人把錢儲存在那,作為抗割韭菜的方法。
儲備貨幣是一種穩定幣,這是比特幣真正的未來目標五、區塊鏈的基礎與安全
簡單跟大家講一下區塊鏈的基礎。我們認為區塊鏈有基礎,是因為我們從最底層的安全一直做到了最上層。這樣來講安全,一個是技術層次,一個是生態層次。
先講技術層次,再講生態層次怎麼做安全。應用層、激勵層、共識層,這個很重要,然後是網絡層、數據層。我以前主要研究P2P網絡,當我瞭解到比特幣時,就覺得非常天才,它把網絡用在了點對點支付上
應用層大家都知道,DAPP、分佈式應用,我不詳細說了。
激勵層,挖礦機制如何獎勵,每個挖礦的人其實是賬本的確立者,如果沒人做這些工作,就沒人維護賬本的交易。
共識層,POW、POS、POA、DPOS等等,非常多。這麼多的算法,其實是不可突破的三角。
第一個角,安全性。POA、POW都在這。第二個角,去中心化,高度自制,不希望有中心化的金融機構存在。第三個角,可擴展性。高吞吐、高容量、低延遲。POS在中間,我們不喜歡POS,它很容易導致整個生態的混亂。
理解了這些之後有一個重大好處,你可以預測哪支幣將會爆炸式增長。
這是我們自己畫的曲線,為什麼當時比特幣高速增長,然後是POS高速增長,然後是DPOS高速增長,最後又回到了比特幣的增長。根據我提到的,用法是去中心化的安全性,他們它的流動性不好,所以加強的TPS,變成了追求資金的流動型經濟效益。出現了DPOS、POS,又回到了比特幣,一直沒有人給比特幣代碼,因為中本聰是匿名的,導致一堆山寨幣搶了比特幣的份額。
我經常說,比特幣未來保值並且會增長。這條線就是普通民眾如何追求共識算法代表的數字貨幣,導致了背後的價值增長
目標是網絡層,對等網絡,節點就是打包。
重點講一下它的去中心化,對黑客來說,真正的去中心化不存在,其實它是分時的去中心化。選擇一箇中心來進行的。
這個是數據層,有區塊鏈的結構,我不詳細講了,有Merkle證明及結構。
未來的演進,不會有鏈回來的圈,所以它是有方向的。但它不會變成回執的,由多條鏈共同確認賬本。你改一個轉賬,要改成多條鏈,所以很難改。但是它也存在一個問題,很難保證安全性。
六、安全保障了大家的共識
講到安全風險,區塊鏈生態暴跌是因為黑客的安全問題。數字貨幣為什麼有價值?因為它是共識,大家都認為它有價值。如果安全問題導致貨幣隨便被偷取,大家的共識就會崩潰,所以它的價值會暴跌。
我們為什麼要做安全?應無所住而生其心,你知道它是建立在沙上的塔,但你還是有想做的心,這種想法就是我們安全人員真正想做的。
從“幣”開始進行發幣,然後是幣的發行,接著是幣的流通,最後達到個人的持有。我們把它大概總結了一些,智能合約、基礎協議、共識機制、外部引用的大類。
我要詳細說一下區塊鏈生態。區塊鏈不光是技術和程序導致的,而是整個生態。鏈是分佈式的,但生態是集中的,是中心化的。比如交易所,它是集中處理交易請求、買賣請求的,會把持幣人全部集中在交易所,如果它被攻破了,所有的幣都被偷了,生態中心化導致了安全問題。
分到整個的生態鏈,幣的發行、流通和持有,碰到了很多很多的安全問題。
2003年當時有一些天才的想法,利用區塊鏈機制,利用以太坊虛擬機機制,利用了腳本和虛擬機之間的機制,利用了生態中間的gap產生攻擊,這種邏輯性攻擊和本身系統的特性進行攻擊的方法是非常牛的。
佛教用人的弱點,或者說我們的七情六慾,用這種東西攻擊我們自己,摧毀我們的輪迴,這是佛教的方法,其實黑客也在區塊鏈裡應用到了。
智能合約的遞歸調用問題非常常見,有腳本層和虛擬機層,以前我也做虛擬機層,虛擬機非常難處理很多的遞歸調用和權限。
所以我認為,我們在區塊鏈裡一直提倡,應該把虛擬機設計為所有資產的操作、處理,比如轉賬、收賬,資產處理全部應該原則化。很多遞歸問題都是因為沒有對資產處理進行原則化處理。
這個事件導致超過5000萬美元的損失,這5000萬美金後來可能值3億美金。大家知道,社區有共識,導致共識有一段時間是崩潰的。其實這個非常簡單,調用withdraw再調用withdraw進行遞歸,非常簡單的漏洞。
這個漏洞非常有意思,假充值。我給交易所充值,交易所馬上確認我充了100萬美金。
這個很複雜,轉賬有多層,第一層是在網絡裡,大家收到了包,驗證哈希是否正確,因為在網絡層沒有損壞。收到了包,他會認為這個包已經收到了。在小額支付的時候,比如信用卡支付,我是記名方式,有些幣為了快速支付,包收到了他就認為你是支付成功,因為你不會在實名情況下欺詐一家咖啡店。在快速確認機制的時候,不能被用在確認大額的轉賬。
有些交易所的程序員不懂,直接把這個搬上了交易所的支付。本來是幾十塊錢咖啡的問題,我充了一百萬美金過去,只要網絡上交易所的節點收到了這個包,並且驗證了包的哈希是正確的,完整性也ok,他就認為收到了,所以導致了當時的巨大損失。
還有更傻的安全問題。為了運行區塊鏈的運轉,有一個交易費用,我們把它記為燃料費。
礦工是按照你發的gas費用排名,這個是全網P2P收到的,我就在我的節點上收,誰突然發了這個包,gas的費用很低,我就可以發更高價格的,然後更高價格和更低價格的費用在同一個池子裡,然後礦工會選取誰的利益最大,然後打包做成區塊鏈。
所以就導致了一個情況,比如我們在做猜數類的遊戲,大家知道網上有很多資金盤的賭博遊戲,誰先猜到數是正確的,因為在廣播,大家拿到這個數以後就可以驗證,出一個更高的gas攔截,導致第一個發現檔案的人被中途攔截,因為它的gas費用更高。
我們講一下網絡協議和技術安全。網絡協議的挖礦算法、加密算法、RPC服務的漏洞太多了,還有時間戳的問題。
我們把這個問題叫“以太坊的黑色情人節”,當時大概被盜了47000枚以太坊,大概是十幾億。它有非常傻的兩個問題。
第一,RPC接口可被遠程調用,在全節點情況下可做成錢包也可以做成挖礦者,為了加上遠程調用的功能,但是在這種情況下可以進行遠程訪問,這是第一個錯誤,沒有權限設置;
第二,為了方便,在固定的時間段不會讓我再次輸入密碼,默認我還是擁有權限的。
這導致黑客掃了全球幾萬個錢包,過幾秒鐘或幾分鐘給這個錢包發一筆賬,全球幾萬個錢包轉來轉去的交易,任何一個人給了錢包權限,攻擊者馬上擁有權限,把錢就轉走了。
虛擬機的安全,剛才我說了很多,資產跟虛擬機要原則化進行分層。更可怕的是他們直接把GS的虛擬機拿過來用,這裡有一個整數溢出,出現以後呈負數,所以不會報異常,導致引用虛擬機代碼和使用虛擬機的時候有巨大的安全問題。
共識算法,這個就不講細節。POW的耗能巨大,51%的算力攻擊。DPOS有腐敗、黑客攻擊、硬分叉等問題都非常多。
這塊是非常經典的雙花攻擊,被人們真正使用起來很少,有一個學校發現這是硬挖礦。充幣提款後,提交先挖礦,區塊鏈中誰的算力大,誰的鏈長用誰,所以導致賬本沒有記錄真正的花銷,所以叫雙花。
以前我們認為礦機就是Linux,怎麼會有漏洞?但其實非常多的礦機就用了默認的應用,連密碼都有。
很多的物聯網設備其實都有這種密碼,所以他用了很多的物聯網設備做了肉機跳板,掃了全球的礦機地址,把礦機的挖礦地址改成了自己的地址。當時做了非常好的東西,5分鐘改一次,只讓自己每天挖5分鐘。有1500多個礦池的節點被它改了,也是獲利巨大。
現在交易所的DDoS攻擊非常嚴重,是混合型的。如今的黑客都已經是經濟學家了。
例如幣安事件,他在外部交易所大量囤入山寨幣,漲了110多倍的價格,用98個比特幣買1個山寨幣,價格上來之後他又把存儲的一點幾億的山寨幣賣掉了。
這個是資金盤的玩法,被黑客利用成阻塞交易。比如5分鐘內,黑客是最後一個人,他把以太坊整個堵塞,所以最後的錢只能算給黑客。
硬件錢包也沒有想象的那麼安全,知道創宇連續破解了好多次,手機版是在結構硬件框架裡有漏洞,被我們利用了,可以直接提取密鑰。我們看到有安全芯片的Ledger,同樣發現了問題,把思路放在高通、華為、蘋果上,同樣也達成了。
七、區塊鏈的佛系認知
最後是五個佛系認知。
第一,現實社會和數字孿生。區塊鏈系統所呈現的運行機制和模式就像是現實社會在數字世界數學化、算法化的孿生體。
第二,傳統經濟和通證經濟。我們發現區塊鏈已高度達成數字化,比如交易、數字黃金、數字金融,通證經濟是權益,一個公司的小股東很容易被大股東欺負,但通證經濟的股權都Token化了,所以可以在市場流動。傳統經濟的很多東西自己都沒數字化,很難搬上通證經濟。
第三,人治社會和算法社會。一致性機制都是為了沒有中間商賺差價,是無人化的中介。現在政府在做這種算法社會,我覺得還挺創意的。
第四,實體化和數字化。現在區塊鏈行業很佛系的來說,還不能達到數字化階段,更別說進入智能階段,然後進入區塊鏈階段、Token化階段,還沒有完成。
第五,剛性安全和柔性安全。經濟虛擬到鏈上,涉及數學、算法、經濟、治理機制各個方面,安全非常難保證。從治理機制、人的問題、算法問題上來說,生態問題很難解決,以前的安全失效,所以我們在探索柔性安全如何插入區塊鏈的安全生態。
最後,知己知彼要攻守有道,要詳細瞭解黑產是怎麼獲利的,我們才能更好的防禦,謝謝大家!
閱讀更多 必投投 的文章
