【牛市共享课五十九期】安比实验室郭宇:区块链与区块链安全

495

 

区块链技术的发展,安全方面是硬需求。需要构建区块链安全生态,从数字货币钱包、智能合约等不同产品上着力,同时,还需要从矿池、交易所等数字货币产生的节点上实施动态防范。

10月4日20:00,应「牛市财经共享课」邀请,安比实验室创始人郭宇做了主题为“区块链与区块链安全”的分享。

郭宇——安比实验室创始人

以下为郭宇分享原文:



区块链与区块链安全

大家好,我是安比实验室的郭宇,我今天简单讲讲技术方面的东西,今天这个题目比较大,其实我还是想从小的地方讲起,如果大家有问题,可以随时问。

我记得几年前刚开始研究区块链的时候,大家都觉得这是一个与传统分布式系统相比,更加安全可靠的系统,因为是“去中心化的”,请注意,”去中心化” 这个词充满魔力,我当时曾经试图把区块链技术用到各个安全性要求很高的地方,比如存放用户的隐私数据,比如做分布式调度,比如做分布式系统的目录服务,因为从直觉上感觉,”去中心化“ 是安全的源泉,正是有了去中心化,所以能够拜占庭容错,所以即使一部分节点被黑客控制,也不会影响整体共识,这简直就是”黑科技”。

几年后,区块链安全居然成为了整个行业的一个热点,仔细想想,这真是很神奇,很多人,包括我自己,都在问这么一个问题:不是说好的,区块链很安全的吗?

上半年,我们安比实验室曝光了不少漏洞,隐患,bug,到了后来,大家已经逐渐变得麻木,我自己在进入区块链安全行业差不多半年了,对这个问题的思索也是转了720°了。

EOS的史诗级漏洞是一个广为人知的漏洞,这是一个虚拟机逃逸漏洞,并且可以被黑客利用,但是还有很多漏洞和安全隐患,并没有被大家了解,或者说还没有充分报道。

几乎每周都有比较大的安全漏洞被报道,只不过大部分的文章过于技术,或者没有得到广泛的重视,毕竟最近一两个月,市场稍微冷清。

那么回到一开始的问题,区块链系统到底安全不安全,其实:安全问题是一个哲学问题,不是一个技术问题,它很复杂,所以没法直接回答。

这个说法怎么解释呢?任何一个系统的安全性是有”代价”的。我简单解释下,传统中心化系统的安全性代价是什么?大家思考一下,这个安全性代价是:中心节点必须保证没有问题,我们需要把财产都交给中心节点。比如银行, 比如支付宝。还有一个重要的代价:我们的数据没有任何隐私可言。这些交易信息没有被坏人利用。那么数字资产btc, eth 这类“去中心化”系统的安全代价是什么呢?

大家思考下,第一个代价就是:你必须自己负责保管私钥。

私钥不能丢,丢了就没了,很简单的道理,因为“去中心化”了,第二个代价:私钥不能让别人知道,谁知道私钥,谁就拥有对应的资产,别人知道私钥可以直接提币走人,这也是去中心化的特点。可能每个人都需要好好想想这个问题,在我们享受“去中心化”的优点的同时,能不能承受“去中心化”的代价。或者反过来问:我们是不是低估了“中心化”系统的优势。

“中心化”系统,比如银行,我们从来不用担心银行卡密码忘记,我们也不担心银行卡被人捡走。对于很多区块链项目,还有广大的区块链群众,大家可能要好好思考下这个问题,一个区块链系统需要多么“去中心化”。

这是我的第一个问题:系统安全的代价是什么?我还想启发地问第二个问题:你知道系统的“安全” 是有前提的么?

当我们说一个系统是安全的时候,请注意,这时候,我们是把很多安全前提想当然了,打个比喻,我们到底是走路上班安全,还是骑自行车上班安全,还是开车上班安全呢?

这取决于外部环境,任何一个理性的聪明人一下子就明白,这时候我们问银行安全,还是比特币安全,这时候大家可能不是一下子就能想清楚,但是大家要想想的,毕竟关系到财产安全,天大的事。没错,其实大部分人还是觉得是银行,我周围的很多人也这么认为。这是第一直觉,但是要深入想想,银行的安全性需要哪些假设?

比特币安全需要哪些安全前提?那我反过来分析,BTC的安全性基于哪些要素:

1. 密码学,

2. POW共识,

3. BTC软件无重大安全漏洞

4. 互联网没有瘫痪

1.密码学的发展

经过这些年的发展,密码学部分已经被证明经受了足够的考验。

2. POW共识仍然存在争议

但是目前为止,还没有出现矿工作恶的直接证据,

3. BTC软件还是偶尔被爆出安全漏洞,但是基本上没啥大问题

4. 互联网目前来看,还能访问,基于这样一个事实,我们的牛市财经共享课在线直播一切正常。

大家可以想想传统的中心化机构是不是也依赖了1.2.3.4 这四部分安全性?传统机构并没有POW共识, 大家可以思考下机构信用vs. POW 哪个更可靠?除此之外,传统机构还依赖了更多的安全前提。这时候我们需要“学术地”来比较两个系统A和B哪个更安全?

如果A系统依赖更多的安全前提,B系统只依赖一部分安全前提,显而易见A 系统比B 系统更 “不” 安全,深入思考下:传统机构还依赖了哪些安全前提,你会发现更多的安全前提。

这是我的第一个结论: 区块链系统确实是比较安全的,我十分看好区块链项目,区块链技术,区块链社区,以及未来。

但是我的第二个结论:区块链系统的安全性是有代价的。

并不是每一个参与者明白这个代价意味着什么,并不是每一个参与者都充分意识到这个代价的存在性。对于我们每一个吃瓜群众,我们都会倾向于选择 性价比最高的 那个方向。当”去中心化“代价还很高的时候,我们还是倾向于中心化的系统。

换句话说,我们不一定是需要“完美的安全”。我们需要的是:性价比最高的安全,现在区块链技术基础设施还不够完善, 区块链本身所能带来的安全性的代价还很高。

但是我坚信,随着技术的逐步成熟,各种应用入口的开发完成,各种业务场景的整合,这个安全代价会越来越小,到那时候,去中心化的安全性威力才能真正体现。

区块链安全和任何系统的安全一样,是个非常复杂的话题,也需要每个吃瓜群众深入思考,在未来的世界里,需要区块链这种神奇技术来加速 人类的协作。

好了,啰嗦了很多,请大家多多指教。

问答环节:



Q1:有人认为,中心化就是违背了区块链的本质,您如何看待这个问题呢?

A1:并不是 “去中心化” 就是好的,过去一年多,我们看到了太多的“去中心化”项目,这是时候让我思考下 “去中心化” 系统的可行性与性价比了,如果一个 “去中心化”系统过于理想化,性价比太低,那么它的生态成长过程会比较艰难,很多项目可能并没有把 吃瓜群众们 对于“安全性价比” 这个概念考虑在内,这样会导致 开起来很美的系统 没有人使用的尴尬,typo: 看起来很美的系统,要知道:我们身边的大部分人仍然认为传统金融机构很安全,我更倾向于 “逐步地去中心化”,区块链项目需要把每个参与的“人” 纳入到系统设计之内。

Q2:您认为对于区块链项目来说,如果要获得成功,品牌传播和运营的作用有多大?

A2:品牌宣传和运营非常重要,因为对于区块链项目来说,需要教育吃瓜群众,这个成本是很高的,没有媒体的宣传,没有重度的引导是很难持续的。

Q3:区块链行业的前沿信息极不对称,很多投资人只看品牌效应,因此出现马太效应,好的越好,差的越差,您怎么看待这种现象?

A3:我觉得信息不对称在短期内是不可避免的,但是现在的媒体传播的迅速成都已不可同日而语了,优秀区块链项目的马太效应会长期存在,这个没有办法,因为长期来看,信息不对称的情况会越来越轻微,好项目迟早被大家了解,但是评价优秀项目的标准会发生巨大的改变,从由名人站台会逐步过渡到,靠实力说话,靠用户量说话,任何一个区块链项目的生态都不是一蹴而就的,一个生态需要一个稳定健康的环境来耐心的成长,拔苗助长不见得是好事情,所以,有实力的团队用不着着急,走好自己的节奏即可.

Q4: 对于技术实力一般甚至没什么技术优势的项目,如何才能把品牌打出去?

A4:  技术只是区块链项目的一个点,我觉得区块链项目的关键是:解决哪些现实问题,技术好当然有优势,但是要把技术用在恰当的地方,有些项目对于某个行业理解非常深刻,虽然技术上也没有出彩的地方,但是我是特别看好,因为这些项目是奔着解决实际问题的路子走,技术不是目的,技术只是手段,解决问题才是目的,期待有更多对行业有深刻理解的团队 利用区块链技术来解决实际问题!

Q5: 区块链项目中,技术架构的可靠性,分配过程的公平性,成员行为的规范性。你认为这三点哪一项最核心?为什么?

A5: 我认为都很重要,这三点都会影响生态的健康发展,技术架构的可靠性比较容易客观地来衡量,比如发现了安全漏洞,这是客观事实,分配的公平性是在一个更长期的时间尺度内来衡量,短期很难看出来,分配的公平性也受外界环境的影响,不是那么好设计,一个朋友曾经很忧虑的说,现在大部分区块链项目在经济机制设计方面都欠缺考虑,但是这个需要很久以后才能发现,但是那时候还能不能调整,这个都是未知数,成员行为的规范性,这个更加难以量化,并且还有很多的人的非理性因素牵涉其中,但是一个好的经济制度,一个好的治理决策系统,是能够解决不规范问题。

这个不规范性行为也需要整个区块链行业向前发展来推动,不是一个项目面临的问题,是整个行业的问题,短期来看,技术架构的可靠性相对比较容易做到,可以多花些精力,分配的公平性,需要多倾听社区的声音,观察生态的发展状况,不是一时之功,规范性需要全行业的参与,所以我觉得三者都重要。