Py学习  »  区块链

区块链的安全,由我们来守护! – 哨兵,Atonomi,Gladius,Quantstamp

白话区块链 • 5 年前 • 368 次点击  

白话区块链

从入门到精通,看我就够了!

懒人请点开音频👇,收听教主性感的声音

如对开篇故事无感可直接跳到分隔线看干货

夜晚,一轮圆月。

崖边,两个身影相依而坐。

“战士,你当初为什么选择当MT啊?他们都说武器战和狂暴战打架的时候进去一通砍瓜切菜,可爽了。像你这种防战,就只能举着盾,硬抗敌人的攻击……你真的不会后悔么?”牧师晃着两条纤细的腿,侧过脸来好奇的问

“因为……”战士抬头看了看那轮明月,“团队的安全,需要有人守护!我愿意充当那个守护者,无怨无悔……”他笑了笑,扭头看向身边的女孩儿 “那你呢,牧师……为什么没有去选择攻守兼备的暗影牧师,或是可以控场的戒律牧师, 而是去做最枯燥的,只能奶的神圣牧师?”

“因为……你的安全,需要我来守护啊!”,牧师看着战士,眼睛眯成了一道月牙……

--------我是魔兽派分割线-------

计算机病毒,伴随着计算机和网络的诞生而诞生,就像是病毒之于人类,无可分割。

自从1987年发现全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。

对于国内的80后而言,最让他们印象深刻的计算机病毒,应该是CIH,99年的4月26日,全球数百万台计算机感染CIH,数十万台电脑直接报废。

对于90后来说,印象最深的很有可能是“熊猫烧香”,超级蠕虫,自动传播、自动感染硬盘,感染数量同样超过百万。

2017年5月,一款叫做WannaCry的勒索病毒大范围爆发,将比特币彻底带入了公众的视线。一波大牛市反倒因此而开启,比特币价格一飞冲天。

有攻就有防,有矛就有盾。金山,瑞星,360,卡巴斯基,麦咖啡,诺顿……这些安全防护软件相信每个人都耳熟能详,保护了无数人远离这些病毒的骚扰。

而发展了近10年的区块链,安全问题也开始逐渐浮出水面。Mt Gox,Coincheck,Bitgrail等交易所盗币事件,The DAO事件导致的以太坊硬分叉,很多项目的爱系欧打币地址被黑客临时替换,交易所被DDOS攻击无法交易,还有近期的BEC和SMT智能合约漏洞,Myetherwallet 的Google DNS劫持……举不胜举。从2011年到2018年4月,全球范围内因区块链因安全事件造成的损失多达28.64亿美元。而且损失额度从 2017 年开始呈现出指数上升的趋势,仅2018年以来,损失金额就高达19亿美元。

人们不禁会问,区块链上的安全,该由谁来守护? 区块链上的瑞星,卡巴斯基,由谁来担当呢?

所以今儿带来4个安全类项目的简介和短评。相信在不久的未来,会有更多的安全类项目出现在我们的眼前。

一、Sentinel Protocol (哨兵协议)

这是一个最近在爱希欧的项目,韩国团队,没记错的话应该是基于ICON的第二个项目。

项目目的是要创建一个去中心化的声誉系统,通过集体智能和人工智能相结合,将所有数字货币的粘片,黑客信息,可疑钱包地址等各种信息记录在区块链上,核心功能有仨:

  1. 威胁式信誉数据库(TRDB - 收集黑客的钱包地址、恶意URL/URI、网络钓鱼地址、恶意软件散列等等一系列信息,并且用区块链的特性保证这些信息不可篡改。

  2. 智能机器学习驱动的安全钱包(S-Wallet - 通过人工智能的分析,提供具有防病毒和恶意代码的钱包功能,减少私钥泄露,和钱包被盗币的风险。

  3. 分布式恶意软件分析沙盒(D-Sandbox - 利用分布式的沙盒在计算机系统中运行未经测试的程序和代码,分析恶意软件,但同时不会影响到主机,用户可以利用计算机的闲置算力来运行沙盒,并且得到代币激励。有点类似于IPFS的挖矿,但形式不同。

优势👍:ICON上第二个项目,与Kyber, Bluezelle等知名项目是战略合作伙伴,目前无同质化竞争对手。随着安全问题越来越得到重视,也许会有不错的发展。

劣势👎: 采用DPOS的模式,目前高度依赖于网络专家的参与作为安全验证节点,而且信誉数据库更多是一种被动的防御模式,AI的主动体系和恶意代码分析能力还有待时间验证。

二、Atonomi 

物联网+区块链的概念在去年IOTA大火特火之后一度成为热点,也出现了一批同质化竞争的项目,ITC, 沃尔顿,Ruff,六域链,INT,IOTEX,Nucleus Vision……但是物联网的安全领域,几乎完全一片空白。

2014年发生了第一起针对物联网设备的攻击,10多万的物联网设备被攻击,用来发送每天数以万计的垃圾邮件,2016年Mirai僵尸网络感染了200多万台物联网设备,用以参与DDOS攻击,人们开始逐渐认识到物联网安全的必要性。

于是乎,Atonomi横空出世,目标是要成为世界上第一个分布式物联网安全协议。

Atonomi利用区块链上的特性与经济激励,利用Token注册和验证评估系统,构建出一个物联网设备的认证与信誉数据库,保证每一台加入网络的设备,都拥有良好的信誉。

同时,应用母公司Centri的技术(Centri是传统互联网的安全公司,拥有多项安全方面的技术专利,并与很多互联网大公司是合作伙伴)给设备加密,确保数据隐私并阻止它被黑客利用来连接到别的物联网设备。同时Atonomi的Token也像IOTA一样支持设备之间的微支付需要。

跟电报群的管理员简单聊了下,目前Atonomi的计划是在ETH网络上运行,但保留迁移到其他公链的可能性。共识机制采取POS。

优势👍在未来智能家居,智能汽车,智能城市普及之后,利用区块链来做设备的Validation,会是一个不错的应用。而且作为目前第一个物联网安全协议,无任何同质化竞争对手,拥有巨大的先发优势。

劣势👎步子扯得有点大。毕竟物联网还在从概念往落地上走的过程,这边安全先行,有点超前,所以离实际落地还有一段距离。而且有时候先发的不一定能笑得最好,还是得看技术实力和运营状况。

P.S 顺道提一句,最近在国外的论坛上看到一个新的物联网项目--Taraxa,要硬分叉Nano,然后添加智能合约和分片技术,利用区块点阵技术做物联网。话说Nano的区块点阵技术最近真的挺火,先是前两周王东站台的Vite拿了它做底层公链,现在又出来一个Taraxa拿它做物联网。点阵技术终于在价值传输,底层公链,和物联网上占齐了坑。

三、Gladius

严格意义来讲,Gladius并不是一个保护区块链的项目,而是一个利用区块链技术,来保护传统互联网的项目。

DDOS想必很多人都不陌生,中文名“分布式拒绝服务攻击”,就是用多台被控制的机器向同一个目标发起攻击,耗尽目标主机的资源,让其无法响应正常的网络服务。

如果你完全不懂计算机或者网络,就这么理解:一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?恶霸们可以扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者无法进入,或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户。

当年云币树大招风,引来不少的DDOS攻击,所以经常Down机,被很多不明真相的韭菜讽刺“拔网线”。其实他们光是花钱购买防护服务,就砸进去不知道多少钱。传统的防护服务是按流量来计算的,说白了就是帮你“洗”流量,把恶意的DDOS数据包过滤掉,让正常的数据包通过。所以攻击的力度越狠,流量越大,防护的费用也就越大。

还有一种更好的防护DDOS的方法就是利用CDN,CDN的百度百科简介如下:

“CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。

通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。”

但是这种方法比刚才那种洗流量的方法更贵,因为需要企业在全球各地拥有服务器,而且用样也是按照流量计费。

整个互联网,仅去年一年就有超过30万次DDoS攻击。每次攻击的成本约为50万美元,这意味着超过1500亿美元的损失。

Gladius是利用存储和流量的经济激励,来创建基于区块链的分布式CDN,从而实现DDoS攻击的分散保护,同时创建一个大型流量池,处理不断出现的DDOS请求,提供比传统DDOS防护更加经济和高效的方式。

Gladius的桌面客户端允许用户租用计算机空余的带宽,并为提供者奖励代币,代币可以购买区块链服务,也可以用于开发,有点变向挖矿的意思。

优势👍: 要解决的痛点实实在在存在且愈发严重。

劣势👎: 要和传统DDOS防护企业做竞争,鹿死谁手还不好说,看看中心化交易所和去中心花交易所就知道。再就是项目的核心技术是分布式流量和存储,感觉一定程度上和IPFS以及NKN有叠加的部分。若是上述两个项目把DDOS防护模块集成了进去,很可能就没Gladius什么事儿了……

四、Quantstamp

前段时间BEC的智能合约漏洞闹得沸沸扬扬,被人号称“一行代码蒸发60个亿”。

后来爆出SMT等其他多个ERC 20 token 合约项目也存在类似漏洞。其实早在此事件之前,来自新加坡和英国的研究人员就得出结论显示,超过34000个以太坊智能合约,其中包含价值440万美元的ETH可能容易受到不同程度的攻击。

正如一家公司的财务报表需要审计一样,智能合约,同样需要审计,有了审计,这些类似漏洞发生的概率,可以被大幅度降低。

简单说来,Quantstamp就是这样一个区块链智能合约的审计类项目,让智能合约变得更加安全。当然了,和像四大会计事务这样的中心化组织不一样,咱们是去中心化的。

审计流程是这样的:

  • 智能合约的创建者创建了一个合约(创建者必须拥有一定量的QSP币用于奖赏后续对智能合约有贡献的参与者)。 

  • 贡献者提交一些关于此智能合约可靠性、安全性的代码(获得一定的QSP币)。 

  • 验证者(矿工)提供算力,运行Quantstamp的验证节点(获得一定的QSP币)。

  • bug发现者提交bugs,终止智能合约(获得QSB币)。

  • 合约使用者,使用安全审核过后的结果-合约。

  • 投票者,基于QSP令牌的投票机制是治理的核心。

优势👍: 随着区块链的发展和越来越多智能合约的涌现,合约审计会是一个刚需,Quantstamp无意是先发队伍的一员。项目本身的逻辑也没有任何问题。

劣势👎: 并不是唯一一家做智能合约审计的,有同质化竞争对手Zeppelin以及Certik。 而且智能合约审计这种东西相对门槛较高,在区块链本来不低的门槛之上再叠加一层,所以注定小众。

好了,这就是为你介绍的4家区块链安全项目,不知道你看了之后有什么感想。也许,将来区块链行业的瑞星,360就会是他们之一,当然也可能还没有诞生。但不管怎样,区块链安全,一定会是一个被币圈越来越多人所重视的领域,对此,我深信不疑。


——End——


 编辑|潇潇


『声明:文章为白话区块链专栏作者 五火球教主 独立之观点,不代表白话区块链立场,亦不构成任何投资意见或建议。』


公众号后台回复 关键词 查看资料:

回复  直达“区块链从0到1入门必读”

回复 1  直达“白话区块链历史精华”


查看更多本专栏文章——

喜欢请给我们点赞哦,谢谢 

(●—●)


今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/WjC90IumEQ
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/11884
 
368 次点击