文 | 一帆
编辑 | 图图
区块链技术在经历了数个月的狂欢之后,引发出了新的问题和担忧,那就是安全。前段时间360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的高危安全漏洞,更是让圈内开始流传“一行代码,打倒一种代币”、“一个漏洞,摧毁一类智能合约”这类的话语。虽有夸大的成份,但确实对通过技术手段打造区块链全生态安全解决方案提出了新的要求。
自进入五月以来,区块链安全事件频繁发生,韩国加密货币交易所Coinrail遭黑客入侵,被盗走价值4000万美元的代币;EduCoin智能合约任意转账漏洞,可导致攻击者窃取任意用户的代币;以太坊JSON-RPC接口远程盗币漏洞,已经造成超过40000个的以太币被窃取等。区块链安全已经上升到网络安全的高度。
区块链技术目前尚存哪些问题,未来还会可能产生怎样的风险与隐患,安全公司又应该通过哪些手段有效保证区块链的安全?
针对这些问题,安在特邀长亭科技联合创始人杨坤博士为此作出解答。
杨坤 长亭科技联合创始人
您认为当前区块链安全事件频繁发生的原因是什么?是否是区块链技术在设计本身存在问题和漏洞?
杨坤:
区块链技术中的密码学、共识机制等技术,确实在一定程度实现了安全性。像不可篡改、不可抵赖等,以及比特币、以太坊这些年能够稳定运行,也都说明早期的区块链技术在设计层面经受住了考验。
近期发生的区块链安全问题并非是区块链设计本身的问题,更多的集中于区块链所落地的系统,而这些系统所采用的还是传统的信息技术。像问题频出的交易所,其自身并没有搭区块链,只是作为中介,帮助用户来交易在区块链上的数字货币。而交易所是中心化的,所采用的技术也还是传统的信息技术,对于交易所的攻击很多也都是传统的攻击手段,发生的问题也还属于传统安全问题的范畴。
所以我认为近期的发生安全事件与区块链的设计并没有冲突,这些设计也都是比较稳定的。
杨坤:并非如此,因为区块链安全事件其实分很多种,交易所只是其中产生危害最大的一种。如果要说区块链底层设计的问题,那目前发生最多的安全事件就是智能合约。主要的问题有两个,一方面以太坊的智能合约在最初设计的时候没有引入比较好的安全机制,导致合约开发者难以很好地驾驭合约语言,写出了一系列问题。
其次,智能合约都是运行在分布式系统之上,部署之后如果出了问题难以修复,可能直接导致合约的灭亡。
另外,虽然经典的比特币、以太坊的公链已经趋于稳定,但是由于区块链衍生出的业务形态繁多,区块链应用对于区块链这一底层技术的性能提出了更高的要求。目前来说,无论是以太坊还是EOS,性能都未必能满足未来的应用,所以行业内还没有一个公认的比较满意的公链。在这种情况下,非常多的研究团队试图改进公链机制,把性能做得更好,以便于更好地服务于应用的落地。但是新设计的公链在上线前,安全性是很难得到有效验证的,因此将会产生很多关于底层的安全问题。
从近期的安全事件反映出区块链技术怎样的发展现状?还会在未来潜在怎样的隐患?
杨坤:目前区块链技术的方向和趋势还不够清晰,说到底也只有比特币取得了公认的成功,而以太坊虽然在数字货币上获得了认可,但在应用层面是否已经成熟还不能有所定论。
当前最主要的问题在于,还无法确定未来底层的链到底该运用什么样的技术,因此产生的难点就是,一方面区块链厂商想要通过研发提高链的性能,增加更好的特性;另一方面却又无法使安全性得到验证,因为这当中并没有理论性的方式可以证明设计的安全。由于是分布式系统,一旦在上线运营后出现问题,根本得不到一个可以修复的机会,一次漏洞就可能带给整个链致命的打击。
那么您认为区块链技术在未来应当如何发展才能有效规避风险和隐患?
杨坤:从设计层面来看,我觉得当前阶段不能太激进,因为在追求更新的概念和更高的特性,把设计复杂化的同时,也会面临着更多的安全问题,暴露的攻击面更大,也更容易出问题。所以我觉得区块链技术应该稳步发展,而不是一步到位。
如果没有办法做到绝对安全,唯一能做的就是简化设计,先落地最需要解决的问题,针对需要的场景做对应的区块链,不要想着一开始,就能服务所有的用户和场景。
您认为安全公司能够在保护区块链安全中起到怎样的作用?在保护区块链安全的过程中尚存哪些难点?
杨坤:对于安全公司来讲,保护区块链安全和保护传统安全本质上并没有太大的区别,主要形式还是提供安全的产品和服务。因为区块链包含了一部分的传统技术,安全公司可以利用传统的安全手段进行测试,有效保证这一部分的区块链安全。
但同时,区块链技术中也包含了新兴的技术,对于这一部分的技术是需要安全公司进行全新的研究的。区别于传统技术的标准化服务,在区块链行业,市面上的安全公司急需一套标准化的系统和解决方案来有效保证新技术的安全。
难点就在于对于新技术,安全公司只能利用过去的经验来展开研究和探讨,找寻更好的设计思路,并规避设计的风险,在实现代码之后,再进行审计和调试,查找问题。
长亭科技在区块链安全上目前已经开展了哪些工作?
杨坤:长亭科技是一家网络安全公司,我们业务的重心一直是在信息安全方面,我们是给客户提供网络安全服务和防护产品的,都是针对传统的信息技术。
由于区块链技术火热的态势,加之持续不断的安全事件发生,我们希望能够给这个行业贡献一定的力量。因为区块链也存在着代码实现这样的传统安全问题,所以我们可以把传统安全的技术进行运用,并将在攻防方面的一些技术和经验引入区块链行业。而对于区块链新技术所衍生的问题,我们也与研究公链的厂商展开合作,一起探讨和摸索如何提高公链的安全性。
目前我们主要帮助做底层公链的公司,参与到他们的设计当中,例如参与设计安全的共识机制、虚拟机的选型等工作,同时对于那些测试网络已经上线的公司,我们也帮助他们进行网络的测试,通过代码审计结合在线调试的方式,测试公链是否安全,能否实现预想的特性。希望凭借丰富的经验能够尽可能让链稳定的运行,促进未来应用在链上的落地,这是我们力所能及的贡献。
在您看来区块链安全的发展现状能够和区块链市场相匹配吗?
杨坤:绝对是不匹配的,区块链安全其实是最近才被重视的话题。通过数字来看,全球数字货币的市场价值已经超过万亿,但是安全行业,以国内为例,整个安全行业不过两三百亿,区块链安全更是只有寥寥几千万而已。而很多交易所的安全团队也只是从今年开始建立,否则也不会出现如此频繁的交易所攻击事件。
因此,从这点来看,安全产业的配置是跟不上区块链行业整体发展的,区块链安全的发展也是完全无法匹配区块链市场的。
导致这个局面的原因有两点,一是区块链行业财富的积累太多,增长太快,导致诸如之前的ICO乱象,大部分区块链创业者都只想先通过白皮书融资,再开始做事情,对于他们来讲,概念落地都是次要的,更不要说安全了;另外一个原因就是人才缺少,当前做区块链应用的技术人才都很稀缺,如果还要求这些技术人才具备安全知识和能力,更是难上加难。
杨坤:从历史规律来看,往往都是在产业成型之后,才会考虑安全的问题。很多小公司更是要优先考虑业务和生存,安全对他们来说是挣到钱以后才需要投入的事情。
但是区块链行业是不一样的,因为容不得犯错,如果早期没有把安全做好,一旦在自后出了问题就可能全盘皆输。所以当前很多厂商是愿意投入一些资源去做安全的,而这些安全的诉求往往都会落到第三方安全厂商的头上。
但问题在于,安全厂商在区块链安全的能力也处于刚刚起步的阶段,所以区块链安全的现状就是跟不上,并且这是一个短期内无法解决的问题。
所以区块链当前的安全环境是非常恶劣的,在我看来核心还是人才。对于创业公司来说,首先一定要把人的安全能力进行提升,让安全成为研发阶段必要的基础,这是现阶段可以落地和实现的方式。
通过区块链安全事件的发生以及区块链安全能力的现状,您觉得这给区块链行业带来了怎样的警醒?
杨坤:首先,应用必须尽可能落地,不要仅仅只是炒概念,而是要切身解决生活中面临的一些问题;其次,在区块链创新和开发时,一定要有简化的思想,不要为了追求过多的性能,将技术设计得太复杂,因为越复杂,所面临的安全问题也就越多,风险就越高;最后,希望未来有更多的人投入到区块链基础理论相关的研究上,特别是跟安全相结合的理论,因为当前确实还没有能够完美解决区块链安全问题的方法,只能尽可能把关,提升安全能力。
