近年來,區塊鏈技術越來越成為吸引高度關注的顛覆性互聯網技術。雖然最早引入區塊鏈概念的虛擬貨幣應用在全球受到了可謂冰火兩重天般的待遇,但區塊鏈作為一項對未來數字經濟和社會發展具有普遍意義的底層技術,正日益被政府、銀行、企事業部門所接受。
區塊鏈的概念日益受到市場的追捧,但其能否真正承擔起未來數字經濟和社會發展的關鍵基礎設施的重任,還必須經過安全信任考驗這一關。近來,不斷曝光的區塊鏈安全問題以及其可能對國家安全帶來的挑戰,給火爆的區塊鏈大躍進帶來了些許涼意。
本文分析了區塊鏈目前在世界上的應用份額、技術特點;戰略性商業價值與軍事前景;區塊鏈的安全性,以及區塊鏈攻擊的案例與特點;最后為當今區塊鏈的發展提出發展建議。
10%的GDP將記錄在區塊鏈當中
根據世界經濟論壇(WEF)的2015年的一項調查,到2025年,58%的受訪者認為將有高達10%的全球GDP將可能存儲在區塊鏈上。這包括從產品標識、醫療記錄到土地登記信息、學位信息和保險合同等多種類信息,區塊鏈和分布式記帳技術(DLT)已經在許多領域發揮作用。上述調查顯示,73%的受訪者認為到2025年政府將首次通過區塊鏈征稅。
WEF網絡彈性項目負責人Adrien Ogée等稱,區塊鏈所承諾的遠大目標,不亞于為21世紀社會公地復興提供了技術支柱,更是將權力重新賦予人民。
區塊鏈本質上是一種分布式記賬技術,具有四大特點:
一是去中心化。采取分布式計算和存儲,不依賴第三方管理機構,不存在中心化管制,任何參與者都是一個節點,每個節點權限對等。
二是開放性。區塊鏈技術基礎是開源的,除各交易方私有信息被加密,區塊鏈的數據對所有人均公開,整個系統高度透明。
三是自動化。基于協商一致的規范和協議,自動安全地驗證和交換數據。
四是匿名性。能夠在“去信任”環境下運行,各區塊節點身份信息無需公開或驗證,信息可以匿名傳遞。
區塊鏈是一種分布式記賬技術(來源:互聯網)
戰略性商業價值
和軍用前景
商業價值
區塊鏈技術提供了提高生產效率,確保透明性,減少時間和案頭勞作的能力,來自麥肯錫的研究分析了區塊鏈在不同行業超過90個應用案例中體現的商業價值,并用有限、低、中、高對關鍵指標進行了評價。總體而言,區塊鏈的價值體現在:
收入創造:區塊鏈為新的商業模型鋪平了道路,并采用新方式來創造收入。區塊鏈技術有助于構建更可信任的數據生態系統,降低交易欺詐風險,從而為公司帶來更可預測和更容易創造新價值的商業循環。
成本降低:區塊鏈能夠簡化供應鏈,消除降低效率和侵蝕利潤的流程。例如,利用區塊鏈所帶來的智能合約,資產可以直接從一個所有者轉移到另一個所有者,消除了中間人及其帶來的交易成本。
消費影響:新的商業模型提供了滿足以往被忽視的消費需求的機會。例如,區塊鏈錢包可以為消費者提供集中管理其消費積分的方法,并提供在不同零售商間進行積分轉換的流動性機會。
區塊鏈對不同行業的影響如下表所示:
區塊鏈的戰略性商業價值(圖片來源:麥肯錫)
區塊鏈→軍事領域
區塊鏈的應用已經開始向軍事領域滲透。
美國2018年《國防授權法案》要求國防部對區塊鏈進行全面研究,探討其如何應用于軍事領域。
美國國防部高級研究計劃局(DARPA)授予美國兩家計算機安全公司價值180萬美元的合同,研究區塊鏈應用于保護軍用衛星、核武器等高度機密數據免遭黑客攻擊的潛力。
北約也對區塊鏈軍事化應用表現出濃厚的興趣。北約通信與信息處舉辦區塊鏈創新競賽,尋求發現提高軍事后勤、采購和財務效率軍事級區塊鏈項目。
愛沙尼亞和北約正嘗試使用區塊鏈技術開發下一代系統,以實現北約網絡靶場防御平臺的現代化。
區塊鏈安全
真實?還是幻想?
作為比特幣等虛擬貨幣底層關鍵技術的區塊鏈,其在設計之初是對安全性進行了充分考慮的,畢竟這是與個人錢包休戚相關的東西,不可有絲毫馬虎。
區塊鏈的原理和運行機制使安全性具有不可比擬優勢。區塊鏈的多個節點網絡通過共識機制運作,單個節點均會儲存區塊鏈上所有數據。因此,即便是單一節點遭受黑客攻擊,也不會影響區塊鏈系統的整體運行。區塊鏈的分布式存儲有效降低了數據集中管理的風險。正因如此,給了很多人使用區塊鏈就像用上了安全保險箱的概念。
但事實果真如此嗎?未必!
(1)與任何技術一樣,安全問題出現在開發人員將需求轉化為產品和服務的過程當中。代碼行、共識機制、通信協議等都有可能帶來可被惡意利用的漏洞。區塊鏈目前仍然是一項充滿差異化的技術:多種協議和編程語言正在并行開發不同的區塊鏈。因此,開發人員很難獲得保護代碼所需的經驗,而且大多數開發人員都面臨嚴格的交付時間壓力。
(2)區塊鏈在很大程度上依賴于密碼學,即安全通信的有效實踐,因此區塊鏈給人的印象似乎是一種自我保護的技術。然而這并不是事實,因為區塊鏈是建立在需要保護的通信網絡和設備之上。傳統的信息安全挑戰同樣影響到區塊鏈。此外,同任何其他安全學科一樣,密碼學也是一個不斷變化的技術領域,例如量子計算機的發展有期望突破許多種加密算法。
(3)區塊鏈不是在真空中運行,圍繞密鑰管理、錢包托管和節點補丁等與人有關的不完備的安全實踐都會帶來安全問題,從而使區塊鏈技術黯然失色。對系統管理員和用戶的有效培訓可以解決絕大多數的安全問題。
區塊鏈攻擊
反 復 上 演
2010年,代碼漏洞導致的“滅頂之災”
在2010年一次幾乎使比特幣系統遭遇滅的之災的史上最嚴重比特幣攻擊行動中,代碼中的一個漏洞允許有人在一次交易中憑空創造了1840多億比特幣,這大大超出了2100萬枚比特幣的上限。比特幣的創造者“中本聰”迅速動用區塊鏈清除了這1844.67億枚比特幣,這是比特幣免于在那一天夭折的唯一原因。
如果這次黑客攻擊沒有被發現,比特幣很可能會失掉所有的信任和聲譽,一旦用戶意識到比特幣可以隨意創造,比特幣的價格就會立即跌至零。值得注意的是,此次攻擊是由于代碼中的漏洞而不是區塊鏈的邏輯造成的。
2010年8月15日比特幣系統遭受史上最嚴重攻擊,幾乎遭到滅頂之災。黑客利用“賦值溢出漏洞”產生了1840多億枚比特幣。
2016年“去中心化自主組織”
2016年,有人暫時從“去中心化自主組織”(Decentralized Autonomous Organization,DAO)賬號中扣除了7500萬美元,這一次黑客再次利用智能合約代碼中的漏洞。同樣,基礎分布式賬本(DLT)區塊鏈邏輯完好無損。
2019年“監守自盜”+“攻擊智能合約”
最近,就在2019年,一位加密資產管理基金的首席執行官(CEO)去世后,利用其所掌控的憑證訪問其所管理的加密貨幣,竟然發現總值高達1.5億美元。這些加密貨幣的來源無法檢索。這是區塊鏈本身有問題嗎?答案是否定的。該基金公司未能實施恰當的合規檢查和賬目平衡以防止這種情形的發生。事實證明,該CEO在去世之前偷竊了所管理的基金賬戶。
《麻省理工技術評論》網站2019年1月的文章指出,“攻擊智能合約”是2019年最值得擔憂的網絡威脅之一。智能合約是存儲在區塊鏈上的軟件程序,如果滿足其中編碼的條件,將自動執行某種形式的數字資產交換,包括從貨幣交易到知識產權保護。越來越多的企業開始使用智能合約進行交易。但智能合約的發展還處于早期階段,研究人員正在發現其中的很多漏洞。黑客是快速發現了這一機會,他們利用智能合約中的漏洞竊取數百萬美元的加密貨幣。此外,區塊鏈本身的透明性也給智能合約相關的數據保密和隱私保護帶來挑戰,需要在智能合約平臺上建立隱私保護技術。加州大學伯克利分校正致力于使用特殊硬件實現這一目標。
智能合約應用日益廣泛,其安全性值得擔憂(圖片來源:互聯網)
區塊鏈技術 vs 國家安全
區塊鏈技術的發展甚至引發了其對國家安全威脅的擔憂。當前最值得關注可能是恐怖分子或犯罪集團利用匿名化數字貨幣進行洗錢等活動。但專家們也在關注民族國家利用區塊鏈繞過國際經濟制裁的方式。如果俄羅斯、委內瑞拉等國家通過區塊鏈建立了取代美國銀行系統或全球系統的交易平臺,這將使其應對國際經濟制裁的能力大大增強。美國應努力成為區塊鏈技術的中心,牢牢掌握其標準制定和平臺運行,這對美國的國家安全意義重大。
發 展 建 議
區塊鏈是一項新技術,但并不是最簡單的技術。區塊鏈技術組織可能需要數年時間才能使其充分整合現有的和未來的安全標準與實踐,以減少安全事故發生的頻率。隨著區塊鏈安全事件發生的步伐越來越快,人們可能沒有耐心等待區塊鏈安全性完整的解決方案。那么現在有什么可以馬上著手的嗎?
安 全 意 識 培 養
首先,需要培養具有安全意識的區塊鏈開發人員。“安全要從娃娃抓起”,這需要從中學的編程課程開始直到大學學位課程中都包括必要的區塊鏈安全編碼教程。
塞浦路斯尼科西亞大學(University of Nicosia)已成為世界上唯一的授予區塊鏈碩士學位的大學,特別是數字貨幣方面。增加區塊鏈安全有關的課程是當務之急。學位教育需要社會化的區塊鏈安全專業認證作為補充,建議將區塊鏈安全盡快納入CISSP等網絡安全認證的主題。
降 低 風 險
其次,提高區塊鏈用戶的安全風險意識并教會其如何以低成本有效地降低這些風險。這將引入提高安全意識的活動以及推動向區塊鏈過渡的公私合作。受監管的區塊鏈,雖然與中本聰最早提出的去中心化遠景有些不同,卻很可能是平滑過渡的可行方法。區塊鏈需要證明其自身的價值,就像上世紀八十年代內聯網(intranets)證明了互聯網(internet)對世界的價值。從這個意義上說,像臉書(Facebook)這樣的行業巨頭采用區塊鏈技術推出其加密貨幣天秤座(Libra),這提供了一個廣受歡迎的機會來向公眾展示如何使用區塊鏈,這樣做的前提是其中不包含違規行為。
受監管的區塊鏈由于減少了公開曝光的可能,其安全似乎變得更加容易保障。但事實可能恰好相反,安全壓力的降低可能會導致在不經意間遭受數字攻擊。
揭 開 面 紗
第三,政府監管部門和公司的創始人、董事會、首席執行官們要清楚地認識到區塊鏈不是安全的“銀彈”。換句話說,需要揭開有關區塊鏈安全性的神秘面紗,并明確指出,雖然該技術在可用性和完整性方面具有優勢,但后者并未提高其所擁有信息的安全性。
安全部署區塊鏈解決方案需要時間并集成到更廣泛的安全生態系統中,該生態系統需要包括由傳統網絡設備組成的傳統信息安全平臺。對于老牌企業來說,首先是教育董事會和高級管理人員關于區塊鏈是什么和不是什么,以及其固有的安全風險。這要求首席信息安全官們(CISO)將區塊鏈集成到其事件管理預案和流程中去,并開始考慮去中心化的業務模型對安全域的影響。
對于初創企業而言,92%的區塊鏈項目仍然難逃失敗的命運,平均壽命只有約15個月。由于生命周期如此之短,上市時間幾乎總是優先于安全:這需要改變,而實現這一點的最佳途徑是通過投資者對安全性的進一步重視。
標 準 化
最后,加快區塊鏈安全標準研究迫在眉睫。有關標準化工作仍在進行當中,這毫無疑問將促進區塊鏈技術的進一步融合,并有效降低其復雜性,復雜性常常是安全性的勁敵。
然而,僅僅依靠標準化的努力是不夠的。正如世界經濟論壇專家們所建議的那樣,只有人類才是技術的最后的守護者。我們需要從現在開始就不斷培育我們的區塊鏈安全能力。如果我們做不到這一點,那么明天迎接我們的將不是文藝復興的盛景,而是社會公地的悲慘結局。
來源: 學術plus
評論
查看更多