区块链安全一直是区块链发展进程中至关重要的议题。如何设置更完善的KYC和AML系统、如何防止私钥被盗、如何实现去中心化数字身份确认等等,都是我们需要日益关切的问题。
本期《CBC100》邀请到黄连金老师为我们解析区块链安全中的9个主要问题。
1.?智能合约
智能合约是区块链中最重要的技术之一,其特征是可以锁定大量资产且在发布后不可更改,但智能合约是开源的,如果被黑客研究出代码的漏洞,则会出现资产流失等问题。在整个区块链发展中,大部分的安全事件都与智能合约漏洞有关,由于智能合约的安全问题而造成的资产损失量不可小觑。
在智能合约的安全审查中,需要关注是谁写的、是否通过第三方审计、是谁将其发布上链、合约地址的私钥由谁掌握以及是否可以升级等方面。智能合约的编程需要遵循开源的最佳实践。例如云安全联盟大中华区最近发布的《智能合约安全指南》白皮书和机械工业出版社的《区块链安全技术指南》的第三章内容。
万事达卡推出CBDC合作伙伴计划,Ripple、Consensys等已加入:金色财经报道,万事达卡推出了新的CBDC合作伙伴计划。万事达卡数字资产和区块链主管Raj Dhamodharan表示,它的目的是促进与该领域主要参与者的合作,以便他们能够推动创新和效率。
首批合作伙伴包括CBDC平台Ripple、区块链和Web3软件公司Consensys、多CBDC和代币化资产解决方案提供商Fluency、数字身份技术提供商Idemia、数字身份顾问Consult Hyperion、安全技术集团Giesecke+Devrient和数字资产运营平台 Fireblocks。[2023/8/18 18:07:25]
2.?数字钱包
数字钱包是数字货币和区块链应用的入口,且包含了私钥。
区块链的数字资产是链上资产,而拥有这些数字资产的人就是私钥的掌握者。也可以将钱包理解成是存储私钥的地方而非数字资产的地方,因为谁拥有了私钥,谁就拥有了该私钥地址下所有的数字资产。因此,如何保护私钥的安全是区块链安全问题中研究的重要领域。
印度央行将于12月启动零售CBDC试点:金色财经报道,印度中央银行印度储备银行(RBI)将于12月启动零售CBDC试点。参与试验的每家商业银行将在10000至50000名用户中测试CBDC,客户和商家都必须下载专用CBDC钱包。(Cointelegraph)[2022/11/22 7:56:32]
不同类型的数字钱包,其安全需求是不同的。因此,我们需要了解各类型钱包的情况以及私钥、公钥和密码、签名等之间的关系,这样才能更全面的解决钱包安全问题。关于钱包安全的问题,大家可以参考云安全联盟大中华区最近发布的《数字钱包安全开发与应用实践》
3.?共识算法
区块链如果作为计算平台,那么它有别于其他计算平台的主要特征是共识算法。不同的节点或者服务器对于一个交易进行确认,决定这个交易是否发生、发生的顺序,交易是否合理、是否双化的算法就是共识算法。共识算法有很多种类。有传统数据库的共识算法,例如RAFT,?PAXOS,这两种算法的主要特征是Crush?Tolerant也就是可以容许出现宕机,当其中一台机器宕机,还有别的机器在运作,可以用?RAFT或者PAXOS作为底层的共识算法保证分布式系统的正常运行。但是当这些传统算法遇到恶意节点时,传统的共识算法就会失效。因此需要能够容错的算法,例如比特币的POW算法,就可以防止一些恶意节点,其可以容纳49%的恶意节点;同时还有在联盟链中通常使用的拜占庭容错,可以容纳少于33%的节点错误。而以太坊2.0使用的权益证明和EOS上的DPOS也可以容许一定量的节点错误。
CBOEX品牌升级:进行数据转移及帮助中心域名切换:据官方消息,CBOEX 将于9月19-9月21日 (SGT)进行全方位品牌升级更名,针对相关品牌数据进行转移,帮助中心域名也将同步切换升级。在此期间,帮助中心暂时无法访问,用户交易不受影响,可正常进行相关交易操作。技术团队将于9月22日完成相关数据转移及帮助中心域名升级操作,届时,用户可正常进行帮助中心的访问。[2021/9/18 23:35:13]
在共识算法安全问题的研究中可以从四个不同角度进行思考:
1.在网络质量方面研究其安全性和活性。安全性即不会双化,而活性则是指所有合理的交易都会被记录在链上。
2.最终确认性。有些共识算法没有最终确认,例如POW是基于概率的确认性,而拜占庭容错确认则为最终确认。因此从这个角度看其安全和活性,所用的假设都不一样。
3.区块链不同类型私有链、公链、联盟链的共识算法都不一样,应用场景也不同,其中安全性和活性也都不一样。
何亦凡:BSN正在开发支持CBDC和稳定币的企业支付平台:区块链服务网络(BSN)背后公司透露两个为央行数字货币和稳定币构建基础设施的项目,承诺建立一个BSN支付层,以及一个不需要购买加密货币就可以支付Gas费的公链。
红枣科技总经理何亦凡透露,该支付网络是一个BSN项目,预计2021年上半年推出。该网络是基于区块链的企业支付平台,将支持CBDC和稳定币。而公链处于早期阶段。他表示,这将是一个独立的链,但BSN兼容。
他表示,红枣科技已经在与另一家科技公司合作进行网络的技术设计。他们还与8家大型国际银行和科技公司进行了谈判,希望在网络方面展开合作。该网络将提供处理CBDC和稳定币全球交易需要的所有后端支持。公司将能够使用建立在网络上的钱包或插入自己的应用程序来发送和接收资金。最初该网络将作为BSN的一层,但最终将“成为一个独立的网络,处理CBDC和稳定币全球支付业务。”该网络在推出数字人民币时将“准备就绪”,但只有中国人民银行开放数字货币的API后,才能提供互操作性。
据7月份报道,BSN中国由发展联盟按照已有机制管理和运作。BSN国际的管理和运营由北京红枣科技有限公司联合多家国际区块链技术公司组成管理主体。(TechNode)[2020/12/25 16:29:39]
4.从Game?Theoretical博弈论的角度考虑算法安全性和活性。
动态 | CBOE再次向SEC提出申请以列出VanEck比特币ETF:据coindesk报道,CBOE、VanEck和SolidX已于1月30日向重新开放的美国证券交易委员会(SEC)再次提交了比特币ETF提案。VanEck数字资产战略负责人Gabor Gurbacs今天宣布,如果获得SEC批准,将允许CBOE列出VanEck SolidX比特币ETF。目前,该规则变更提案尚未在联邦公报中公布,这意味着SEC尚未开始做出决定。一旦提案公布,SEC将有最多240天的时间来决定是批准还是拒绝该提案。[2019/2/1]
目前共识算法的安全性和活性的研究在学术界和区块链初创企业都获得广泛的重视。作为云安全联盟区块链安全工作组的成员单位,北京大学正在这方面展开研究。
4.?交易所
价值交换和价值实现的地方,因此也常收到黑客的攻击。云安全联盟对于经常出现的交易所安全问题进行分析,在2020年12月发布了《数字货币交易所Top10安全风险》可以作为从业者和用户的参考。
5.?DAPP和?DeFi
DAPP就是去中心化的应用。今年大部分去中心化应用都出自DeFi。
去中心化金融很火,但却频发Rug-Pull即项目跑路等问题,当然除此之外也存在自身通证设计的安全问题。DeFi项目需要注意三方面的安全,第一就是智能合约的安全,第二就是通证经济设计方面的安全,第三就是监管的安全。智能合约的安全前面已经提到过。这里就说一下通证经济和监管的安全。如果通证经济没有设计好,会造成死亡螺旋的问题。就是你价格越低,参与的人越少,然后逐渐的就价格就归零了,或者趋近于零,这就是死亡螺旋,你怎么样去避免死亡螺旋,促进价格和生态可持续的发展,这个其实是通证经济与DAO设计的一个关键。或者因为通证经济设计参数方面有漏洞,可以被黑客利用。总体来说DeFi的90%的项目,因为有可能会因为共识不够,通证经济设计不合理,可能技术还可以,但是最后还是要靠生态,靠通证经济,因为它是多学科的领域,其中某个领域没做好,最后可能不能成功偃旗息鼓。DeFi第三方面的安全:是监管安全。现在DeFi生态还小,监管还没有开始。但是到某个程度就要受监管,那么有些如果不符合监管的话,整个生态会受到打击,所以这个风险就严重了。比如去中心化交易所EtherDelta项目被美国政府罚款是一个例子。需要注意的是DeFi项目最终都一定要符合本地的监管,所以首先项目需要有自律的精神,绝对不能够去做非法的一些事情。DeFi要能够真正地进行发展,一定要有行业的自律,现在国内有一些DeFi的仿盘,内在还是中心化的,不是去中心化,有可能会圈钱跑路的,所以大家要小心,保证好项目的安全工作,及时规避风险。
6.?去中心化数字身份
数字身份是保障数字经济安全的信任基石,业界目前的数字身份体系一般都
是中心化的,区块链作为解决可信问题的分布式技术,给数字身份自治的场景打开了天窗,比如减少云计算中心化身份数据大量聚合的泄露风险,在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。去中心化数字身份的标准是W3C正在开发的一系列标准,包括DID数据模型,DID方法,DID通讯等等。利用DID标准来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题,开源组织云安全联盟在2020年9月发布了《用户自治数字身份安全白皮书》可以作为参考。
7.?网络安全
区块链中点对点网络的安全非常重要。数据隐私保护,点对点传输的数据如何进行加密并保证数据通畅和不被篡改。在加密过程中,是否可以用零知识证明,或同态加密、多方安全计算等。北京理工大学作为云安全联盟区块链安全的成员单位正在这方面展开研究。
8.?数据层
区块链数据层次包括链上和链下的数据,数据的保密性,完整性和可用性是数据安全需要关注的问题。区块链本身的不可篡改的安全属性在区块链数据的完整性方面作出非常好的保证。但是在数据保密性和可用性方面,需要做进一步的研究。对于区块链数据进行分类和安全与隐私方面的需求进行分析是利用区块链发挥数据价值的必要条件。云安全联盟区块链安全工作组成员单位武汉大学在这方面正在开展研究。
9.?AM和数字货币溯源技术层
通过大数据研究的方法,对可疑、非法、、恐怖主义融资等不正常交易进行标注,并提供给政府相关部门协助进行整治。关于这方面的内容,建议大家看一下,云安全联盟最近发布的《数字货币溯源技术白皮书》。
总而言之,在这9个方面中,智能合约是使得区块链能够真正用于实践的工具,但在安全方面却一直未受到重视;而钱包作为各方面应用的入口,安全问题也绝对不容小觑。而对于共识算法而言,安全性和活性格外重要。交易所安全事件同样频频发生,因此解决交易所安全问题以及DAPP、去中心化数字身份,网路层次和数据层次和AML安全问题同样刻不容缓。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。