比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 世界幣 > Info

區塊鏈:PeckShield創始人蔣旭憲:互聯網思維在code is law的區塊鏈世界行不通

Author:

Time:1900/1/1 0:00:00

區塊鏈的安全問題最近層出不窮,從之前的CoinCheck遭黑客攻擊,數億美元的虛擬資產被盜,到BitcoinGold遭51%雙花攻擊,再到EOS主網上線在即,價值2000多萬美金的EOS映射無效,再到前幾日Bancor交易所遭黑客攻擊。但是,區塊鏈出現的各種安全問題,又會讓很多人不解。畢竟,區塊鏈是去中心化設計、采用非對稱加密,有防篡改的特點,說好的安全呢,為什么還總被曝出各種漏洞,遭到各種攻擊呢?另外,從項目方的角度來看,很多人從傳統互聯網行業轉型到區塊鏈行業后,還是在用互聯網的業務先行思維來做事,那么,如果從區塊鏈安全性的角度來看,這種思維在codeislaw的區塊鏈世界能否行得通?就此,Odaily星球日報對派盾科技的CEO蔣旭憲進行了專訪,對于區塊鏈網絡在安全性風險方面與傳統互聯網的差別、智能合約為什么總被曝出漏洞、當下以及未來區塊鏈的安全性風險等問題進行了深入探討。※派盾科技:區塊鏈安全公司,由前360首席科學家、美國北卡州立大學終身教授蔣旭憲博士于2018年創辦。派盾科技曾發現并命名了BEC、SMT、EDU等智能合約的安全漏洞。今年5月份,派盾科技完成數千萬元天使輪融資,投資方為高榕資本。Odaily星球日報:與傳統互聯網行業的安全風險相比,區塊鏈網絡的安全性風險有哪些顯著的不同?蔣旭憲:每個時代都有自己的安全屬性,PC互聯網更多的是與主機、網站服務器的安全有關;移動互聯網更多的是與手機上的隱私數據相關;區塊鏈是將數字資產上鏈,所以上鏈后的數據資產的安全就變得很重要。一旦發生安全問題,造成的后果相當嚴重。比如之前的美鏈BEC的漏洞,被爆出后整個近70億市值斷崖式下跌。還有,派盾1個多月前曾針對EOS主網映射問題發出安全預警,即在EOS主網啟動前還有29.98%的EOS代幣尚未完成映射,如果不盡快完成映射,投資者就有可能永遠失去自己持有的EOS代幣。Odaily星球日報:區塊鏈本身就融入了一些安全性設計,比如去中心化的分布式、非對稱加密、哈希唯一性等,那現在總被爆出有各種安全風險的原因是什么?蔣旭憲:我認為用了安全技術并不能說明區塊鏈就是安全的,這可以從以下兩個角度來看:1.系統的角度:安全領域中有一個理論叫“短板理論”,短板與整個系統的安全有直接關系。區塊鏈技術打造出來的就是一個系統,系統里會涉及各個環節。比如其中的私鑰環節,私鑰雖然設計的好,但是如果用戶不慎點擊了釣魚網站,私鑰就會被黑客盜走,其數字資產也自然不保;2.行業發展速度:區塊鏈行業發展的比較快,而且本身離錢比較近,也因此成為黑客攻擊的熱門目標,區塊鏈技術本身還需要不斷升級來因應這種變化。Odaily星球日報:在區塊鏈1.0到2.0再到3.0這樣的一個發展過程中,區塊鏈的安全問題有什么主要的變化?蔣旭憲:EOS主網上線也沒多長時間,是否能成為區塊鏈3.0目前還不好評判。我們就先來看下區塊鏈1.0和2.0階段。區塊鏈1.0是以比特幣為代表的階段,比特幣的設計相對來說要簡單,沒有之后的2.0、3.0這么復雜,但也正因為簡單,所以區塊鏈1.0的安全性也會高很多。區塊鏈2.0是以以太坊為代表,很多DApp基于以太坊部署,智能合約如果設計的不夠好,安全問題就會暴露出來。比如我們來看下這張以太坊的發展曲線圖,這是我們團隊內部用來分析以太坊數據的。其中橫軸是以太坊的塊號block,縱軸是當前橫軸點對應的一萬個塊。圖中上面這條灰色曲線,代表的是一萬個塊里包含有交易塊的個數;下面這條黃色曲線,代表的是一萬個塊里沒有包含交易塊的個數。兩條曲線對應的點所代表的個數,加起來是整整一萬個塊。圖中出現的這個拐點的時間段,就是2016年6月,黑客通過智能合約漏洞攻擊了TheDAO,以太坊隨后進行了硬分叉,當時以太坊總共花了5個月的時間來完全解決掉這個問題。除此之外,我們還曾曝出的美鏈BEC、SMT、EDU等這都是智能合約的安全問題。Odaily星球日報:為什么在區塊鏈行業里智能合約總是會被曝出漏洞?蔣旭憲:我們現在手頭上有上百萬個智能合約,通過對這些智能合約整理匯總后,發現原因主要有兩個:1.由于業內還是習慣于COPY代碼,那么如果一個合約出問題,將會涉及到一大片;2.傳統互聯網行業的“小步快跑”、“快速迭代”的這種業務先行的思維,在codeislaw的區塊鏈世界是行不通的。在區塊鏈行業里,后續再進行代碼迭代的成本是很高的。如果要升級智能合約,一般需要把當前的智能合約進行快照,然后部署新的智能合約,再把舊合約的快照轉移到新合約。這一過程不但影響交易,也影響用戶對項目的信任和信心。Odaily星球日報:有人認為以太坊的智能合約總被曝出漏洞,是因為它太靈活了,你怎么看這個說法?蔣旭憲:我不這樣認為,這個要結合區塊鏈安全的發展來看,我認為區塊鏈安全的發展要經歷這樣三個階段:1.無知階段。比如去年ICO異常火爆的時候,很多人就沒有注意到區塊鏈安全的重要性。2.喚醒階段。隨著行業里炒幣的火熱以及各媒體對區塊鏈的關注,一大堆安全問題也就被暴露出來。在這個過程中,項目方被喚醒,意識到區塊鏈的安全性問題的重要性。目前區塊鏈行業的安全狀態,還處于喚醒階段。3.警覺階段,也就是區塊鏈項目方開始主動尋求與安全公司的合作。Odaily星球日報:目前在區塊鏈行業做安全的難點有哪些?蔣旭憲:在區塊鏈世界中,由于其去中心化的特點,導致應急響應機制是缺失的。另外就是目前一些區塊鏈項目對安全理念的理解不夠,對待安全公司也不夠友好。Odaily星球日報:派盾做區塊鏈安全公司的優勢所在是?蔣旭憲:目前做區塊鏈公司的不算多,國外的安全公司比如有QuantStamp,專于智能合約的安全審計協議,還有采用“形式化驗證”方式的CertiK等。國內的比如有慢霧科技、成都鏈安科技。在區塊鏈的安全領域,每個安全公司有自己的切入點。對于派盾來說,首先我們是由數據分析來驅動,是從草堆里找繡花針,通過將鏈上的數據進行整理分析匯總,來發現有哪些安全問題存在,哪些安全問題更值得去關注。之前有提到過,我們現在手頭上有上百萬個智能合約,我們通過對這些智能合約整理匯總分析后,主動地查找安全問題或隱患。比如我們之前發現的可以無限生成代幣的漏洞就是這樣發現的。第二就是我們關注的是區塊鏈生態的各個環節的安全問題,比如交易所、錢包、礦池等的安全問題。再一個就是我們團隊的核心成員不少是在美國拿到了計算機專業的博士學位,也有不少是在國內一線互聯網公司擁有多年的實際工作經驗,算是學術背景和工業界經驗兼具,所以擁有前瞻性的國際視野,對區塊鏈行業的全球把握相對也比較準。Odaily星球日報:我們是如何選擇曝出漏洞的時間?蔣旭憲:原則上來說,只要漏洞沒被利用,我們會先與項目方進行溝通,等待他們修復漏洞。如果漏洞被利用,那么我們會選擇將漏洞公開。比如我們曝出的以太坊“致命報文”漏洞,我們發現漏洞后,先與以太坊基金會做了溝通和協商,等漏洞修復完成才予以公開,整個過程超過了一個月。Odaily星球日報:你認為未來區塊鏈技術面臨的潛在安全危險是什么?比如量子計算機等新技術的發展,對于此你怎么看?蔣旭憲:量子計算機技術不斷升級的同時,區塊鏈技術也會持續發展。我認為安全威脅會以你想不到的角度出現,比如很有可能是降維攻擊。但就目前而言,我個人認為區塊鏈最大的問題,是在POW機制下的51%算力攻擊,畢竟公鏈的安全風險涉及到的不僅是某個項目方,而是會波及整個生態。另外,公鏈底層的節點安全問題也很重要。比如360報的EOS“史詩級”安全漏洞;還有PeckShield之前報過的以太坊“致命報文”漏洞,可使三分之二以上的geth節點瞬間停擺,要知道,節點的背后有可能是交易所、礦池、和錢包等。我是Odaily星球日報的齊明,探索真實區塊鏈,項目交流、爆料請加微信qingmoruoshui,煩請備注姓名、公司、職務。轉載/內容合作/報道聯系report@odaily.com;違規轉載法律必究。

ApeCoin關于成立多語言信息中心Apeverse的提案未獲投票通過:4月21日消息,Snapshot投票頁面顯示,ApeCoin社區關于成立多語言信息中心Apeverse的AIP-232提案未獲得投票通過,該投票棄權率達54.2%,反對率為41.85%,支持率僅為3.95%。該提案提議創建多語言信息中心Apeverse,以作為Ape社區聯系和協作的平臺,允許成員提交相關進展和事件來鼓勵成員之間的合作等。[2023/4/21 14:17:45]

ApeCoin DAO AIP-106獲批,將添加出席協議證明(POAP)獎勵:10月15日消息,ApeCoin DAO社區以99.8%的贊成率批準AIP-106“POAP投票獎勵”提案,Ape基金會將添加出席協議證明(POAP)獎勵,旨在增加DAO投票率,提高社區對積極提案的認識,并鼓勵社區圍繞參與投票過程等活動進行對話。[2022/10/15 14:28:45]

Flashbots工程師:所有共識客戶端均實施、測試并確認builder-specs集成:9月6日消息,Flashbots工程師Chris Hager在社交媒體發文表示,Flashbots實現了MEV-Boost的另一個里程碑事件,所有共識客戶端都實施、測試并確認了builder-specs的集成,現在可將MEV-Boost與任何客戶端一起使用。MEV-Boost是由Flashbots構建的提議者-構建者分離(proposer-builderseparation,PBS)的實現,用于以太坊權益證明。MEV-Boost旨在與標準Ethereum Builder API兼容,這意味著它與所有共識和執行客戶端兼容。運行MEV-Boost的驗證者通過向開放的builder出售區塊空間來最大化其質押獎勵。[2022/9/6 13:11:45]

ApeCoin資助BAYC新聞網站的提案獲得社區批準:7月28日消息,ApeCoin 資助 24 小時 BAYC 新聞網站“Bored Ape Gazette”的提案(AIP-70)獲得社區批準,第一年更新和運營 Bored Ape Gazette 網站的總成本預計為 150,000 美元。ApeCoin 基金會現在將根據 DAO 治理協議實施該提案。Bored Ape Gazette 將重點關注 Yuga Labs 的所有項目,同時包括 NFT 市場數據。該網站還將包括 ApeCoin 價格圖表、監控治理投票的 DAO 跟蹤器、APE 日歷和顯示所有 Yuga Labs 項目活動的實時銷售代碼。[2022/7/29 2:44:31]

聲音 | PeckShield:以太坊7080000出塊 尚未出現分叉情況:據PeckShield態勢感知平臺數據顯示:以太坊主網708000塊已于今天下午13:57:13由nanopool挖出,交易哈希值:0x30f1e707150171df122488ffac94a7c165ea5d2cb7136e18aa1bae37f069ebc9。PeckShield正在跟蹤不同版本節點出塊情況。[2019/1/17]

Tags:區塊鏈APE以太坊ILY玩區塊鏈的都是什么人apecoin幣是騙局嗎以太坊價格美元實時ILY幣

世界幣
區塊鏈:美國保險服務協會與IBM合作,開發新型自動化保險報告工具

據Coindesk報道,近日,美國保險服務協會宣布與IBM區塊鏈平臺合作,開發新型的自動化保險報告工具.

1900/1/1 0:00:00
Augur:預測平臺「Augur」被曝重大漏洞,黑客可篡改網頁騙取用戶代幣

據Thenextweb消息,去中心化預測市場平臺Augur被曝發現重大漏洞,黑客可據此向用戶發送被篡改的網頁并騙取用戶代幣.

1900/1/1 0:00:00
比特幣:醒醒吧!別期待比特幣價格在2018年反彈了

編者按:本文作者TuurDemeester是一位獨立投資人,擔任AdamantResearch研究機構主編。對于今年比特幣價格走勢,他提供了自己的分析和見解.

1900/1/1 0:00:00
區塊鏈:政策周報 | 全球11家金融監管機構組建聯盟,推出區塊鏈全球沙箱; SEC將比特幣ETF申請的最終決定日期推遲至9月(8.4-8.10)

本周,各國政府加大對區塊鏈技術投入力度,中小國家推進數字貨幣在本國發展。國外方面,英國金融行為監管局宣布建立新聯盟,旨在加強和金融科技公司在區塊鏈等創新領域合作;美國SEC將比特幣ETF申請的最.

1900/1/1 0:00:00
區塊鏈:政策周報 | 美國財政部報告表示有必要開發監管沙盒;韓國9月多國監管會議將重點關注數字貨幣(7.28-8.3)

本周,各國政府加大對區塊鏈技術投入力度,中小國家數字貨幣合法化進度加快。國外方面,美國一方面財政部呼吁對于金融科技領域創新采取更靈活、更有利的監管方法,另一方面美國證券交易委員會與美國商品期貨交.

1900/1/1 0:00:00
區塊鏈:韓國將在國民議會上推進數字貨幣立法,ICO 禁令有望解除

據CCN報道,韓國國民議會將在7月13日至26日期間,開展數字貨幣立法工作。據此前媒體報道,韓國國會將在9月份舉辦的“區塊鏈與數字貨幣的全球大會”上,積極討論有關區塊鏈、數字貨幣和ICO的指導方.

1900/1/1 0:00:00
ads