近年来,区块链技术越来越成为吸引高度关注的颠覆性互联网技术。虽然最早引入区块链概念的虚拟货币应用在全球受到了可谓冰火两重天般的待遇,但区块链作为一项对未来数字经济和社会发展具有普遍意义的底层技术,正日益被政府、银行、企事业部门所接受。
区块链的概念日益受到市场的追捧,但其能否真正承担起未来数字经济和社会发展的关键基础设施的重任,还必须经过安全信任考验这一关。近来,不断曝光的区块链安全问题以及其可能对国家安全带来的挑战,给火爆的区块链大跃进带来了些许凉意。
本文分析了区块链目前在世界上的应用份额、技术特点;战略性商业价值与军事前景;区块链的安全性,以及区块链攻击的案例与特点;最后为当今区块链的发展提出发展建议。
10%的GDP将记录在区块链当中
根据世界经济论坛(WEF)的2015年的一项调查,到2025年,58%的受访者认为将有高达10%的全球GDP将可能存储在区块链上。这包括从产品标识、医疗记录到土地登记信息、学位信息和保险合同等多种类信息,区块链和分布式记帐技术(DLT)已经在许多领域发挥作用。上述调查显示,73%的受访者认为到2025年政府将首次通过区块链征税。
WEF网络弹性项目负责人Adrien Ogée等称,区块链所承诺的远大目标,不亚于为21世纪社会公地复兴提供了技术支柱,更是将权力重新赋予人民。
区块链本质上是一种分布式记账技术,具有四大特点:
一是去中心化。采取分布式计算和存储,不依赖第三方管理机构,不存在中心化管制,任何参与者都是一个节点,每个节点权限对等。
二是开放性。区块链技术基础是开源的,除各交易方私有信息被加密,区块链的数据对所有人均公开,整个系统高度透明。
三是自动化。基于协商一致的规范和协议,自动安全地验证和交换数据。
四是匿名性。能够在“去信任”环境下运行,各区块节点身份信息无需公开或验证,信息可以匿名传递。
区块链是一种分布式记账技术(来源:互联网)
战略性商业价值
和军用前景
商业价值
区块链技术提供了提高生产效率,确保透明性,减少时间和案头劳作的能力,来自麦肯锡的研究分析了区块链在不同行业超过90个应用案例中体现的商业价值,并用有限、低、中、高对关键指标进行了评价。总体而言,区块链的价值体现在:
收入创造:区块链为新的商业模型铺平了道路,并采用新方式来创造收入。区块链技术有助于构建更可信任的数据生态系统,降低交易欺诈风险,从而为公司带来更可预测和更容易创造新价值的商业循环。
成本降低:区块链能够简化供应链,消除降低效率和侵蚀利润的流程。例如,利用区块链所带来的智能合约,资产可以直接从一个所有者转移到另一个所有者,消除了中间人及其带来的交易成本。
消费影响:新的商业模型提供了满足以往被忽视的消费需求的机会。例如,区块链钱包可以为消费者提供集中管理其消费积分的方法,并提供在不同零售商间进行积分转换的流动性机会。
区块链对不同行业的影响如下表所示:
区块链的战略性商业价值(图片来源:麦肯锡)
区块链→军事领域
区块链的应用已经开始向军事领域渗透。
美国2018年《国防授权法案》要求国防部对区块链进行全面研究,探讨其如何应用于军事领域。
美国国防部高级研究计划局(DARPA)授予美国两家计算机安全公司价值180万美元的合同,研究区块链应用于保护军用卫星、核武器等高度机密数据免遭黑客攻击的潜力。
北约也对区块链军事化应用表现出浓厚的兴趣。北约通信与信息处举办区块链创新竞赛,寻求发现提高军事后勤、采购和财务效率军事级区块链项目。
爱沙尼亚和北约正尝试使用区块链技术开发下一代系统,以实现北约网络靶场防御平台的现代化。
区块链安全
真实?还是幻想?
作为比特币等虚拟货币底层关键技术的区块链,其在设计之初是对安全性进行了充分考虑的,毕竟这是与个人钱包休戚相关的东西,不可有丝毫马虎。
区块链的原理和运行机制使安全性具有不可比拟优势。区块链的多个节点网络通过共识机制运作,单个节点均会储存区块链上所有数据。因此,即便是单一节点遭受黑客攻击,也不会影响区块链系统的整体运行。区块链的分布式存储有效降低了数据集中管理的风险。正因如此,给了很多人使用区块链就像用上了安全保险箱的概念。
但事实果真如此吗?未必!
(1)与任何技术一样,安全问题出现在开发人员将需求转化为产品和服务的过程当中。代码行、共识机制、通信协议等都有可能带来可被恶意利用的漏洞。区块链目前仍然是一项充满差异化的技术:多种协议和编程语言正在并行开发不同的区块链。因此,开发人员很难获得保护代码所需的经验,而且大多数开发人员都面临严格的交付时间压力。
(2)区块链在很大程度上依赖于密码学,即安全通信的有效实践,因此区块链给人的印象似乎是一种自我保护的技术。然而这并不是事实,因为区块链是建立在需要保护的通信网络和设备之上。传统的信息安全挑战同样影响到区块链。此外,同任何其他安全学科一样,密码学也是一个不断变化的技术领域,例如量子计算机的发展有期望突破许多种加密算法。
(3)区块链不是在真空中运行,围绕密钥管理、钱包托管和节点补丁等与人有关的不完备的安全实践都会带来安全问题,从而使区块链技术黯然失色。对系统管理员和用户的有效培训可以解决绝大多数的安全问题。
区块链攻击
反 复 上 演
2010年,代码漏洞导致的“灭顶之灾”
在2010年一次几乎使比特币系统遭遇灭的之灾的史上最严重比特币攻击行动中,代码中的一个漏洞允许有人在一次交易中凭空创造了1840多亿比特币,这大大超出了2100万枚比特币的上限。比特币的创造者“中本聪”迅速动用区块链清除了这1844.67亿枚比特币,这是比特币免于在那一天夭折的唯一原因。
如果这次黑客攻击没有被发现,比特币很可能会失掉所有的信任和声誉,一旦用户意识到比特币可以随意创造,比特币的价格就会立即跌至零。值得注意的是,此次攻击是由于代码中的漏洞而不是区块链的逻辑造成的。
2010年8月15日比特币系统遭受史上最严重攻击,几乎遭到灭顶之灾。黑客利用“赋值溢出漏洞”产生了1840多亿枚比特币。
2016年“去中心化自主组织”
2016年,有人暂时从“去中心化自主组织”(Decentralized Autonomous Organization,DAO)账号中扣除了7500万美元,这一次黑客再次利用智能合约代码中的漏洞。同样,基础分布式账本(DLT)区块链逻辑完好无损。
2019年“监守自盗”+“攻击智能合约”
最近,就在2019年,一位加密资产管理基金的首席执行官(CEO)去世后,利用其所掌控的凭证访问其所管理的加密货币,竟然发现总值高达1.5亿美元。这些加密货币的来源无法检索。这是区块链本身有问题吗?答案是否定的。该基金公司未能实施恰当的合规检查和账目平衡以防止这种情形的发生。事实证明,该CEO在去世之前偷窃了所管理的基金账户。
《麻省理工技术评论》网站2019年1月的文章指出,“攻击智能合约”是2019年最值得担忧的网络威胁之一。智能合约是存储在区块链上的软件程序,如果满足其中编码的条件,将自动执行某种形式的数字资产交换,包括从货币交易到知识产权保护。越来越多的企业开始使用智能合约进行交易。但智能合约的发展还处于早期阶段,研究人员正在发现其中的很多漏洞。黑客是快速发现了这一机会,他们利用智能合约中的漏洞窃取数百万美元的加密货币。此外,区块链本身的透明性也给智能合约相关的数据保密和隐私保护带来挑战,需要在智能合约平台上建立隐私保护技术。加州大学伯克利分校正致力于使用特殊硬件实现这一目标。
智能合约应用日益广泛,其安全性值得担忧(图片来源:互联网)
区块链技术 vs 国家安全
区块链技术的发展甚至引发了其对国家安全威胁的担忧。当前最值得关注可能是恐怖分子或犯罪集团利用匿名化数字货币进行洗钱等活动。但专家们也在关注民族国家利用区块链绕过国际经济制裁的方式。如果俄罗斯、委内瑞拉等国家通过区块链建立了取代美国银行系统或全球系统的交易平台,这将使其应对国际经济制裁的能力大大增强。美国应努力成为区块链技术的中心,牢牢掌握其标准制定和平台运行,这对美国的国家安全意义重大。
发 展 建 议
区块链是一项新技术,但并不是最简单的技术。区块链技术组织可能需要数年时间才能使其充分整合现有的和未来的安全标准与实践,以减少安全事故发生的频率。随着区块链安全事件发生的步伐越来越快,人们可能没有耐心等待区块链安全性完整的解决方案。那么现在有什么可以马上着手的吗?
安 全 意 识 培 养
首先,需要培养具有安全意识的区块链开发人员。“安全要从娃娃抓起”,这需要从中学的编程课程开始直到大学学位课程中都包括必要的区块链安全编码教程。
塞浦路斯尼科西亚大学(University of Nicosia)已成为世界上唯一的授予区块链硕士学位的大学,特别是数字货币方面。增加区块链安全有关的课程是当务之急。学位教育需要社会化的区块链安全专业认证作为补充,建议将区块链安全尽快纳入CISSP等网络安全认证的主题。
降 低 风 险
其次,提高区块链用户的安全风险意识并教会其如何以低成本有效地降低这些风险。这将引入提高安全意识的活动以及推动向区块链过渡的公私合作。受监管的区块链,虽然与中本聪最早提出的去中心化远景有些不同,却很可能是平滑过渡的可行方法。区块链需要证明其自身的价值,就像上世纪八十年代内联网(intranets)证明了互联网(internet)对世界的价值。从这个意义上说,像脸书(Facebook)这样的行业巨头采用区块链技术推出其加密货币天秤座(Libra),这提供了一个广受欢迎的机会来向公众展示如何使用区块链,这样做的前提是其中不包含违规行为。
受监管的区块链由于减少了公开曝光的可能,其安全似乎变得更加容易保障。但事实可能恰好相反,安全压力的降低可能会导致在不经意间遭受数字攻击。
揭 开 面 纱
第三,政府监管部门和公司的创始人、董事会、首席执行官们要清楚地认识到区块链不是安全的“银弹”。换句话说,需要揭开有关区块链安全性的神秘面纱,并明确指出,虽然该技术在可用性和完整性方面具有优势,但后者并未提高其所拥有信息的安全性。
安全部署区块链解决方案需要时间并集成到更广泛的安全生态系统中,该生态系统需要包括由传统网络设备组成的传统信息安全平台。对于老牌企业来说,首先是教育董事会和高级管理人员关于区块链是什么和不是什么,以及其固有的安全风险。这要求首席信息安全官们(CISO)将区块链集成到其事件管理预案和流程中去,并开始考虑去中心化的业务模型对安全域的影响。
对于初创企业而言,92%的区块链项目仍然难逃失败的命运,平均寿命只有约15个月。由于生命周期如此之短,上市时间几乎总是优先于安全:这需要改变,而实现这一点的最佳途径是通过投资者对安全性的进一步重视。
标 准 化
最后,加快区块链安全标准研究迫在眉睫。有关标准化工作仍在进行当中,这毫无疑问将促进区块链技术的进一步融合,并有效降低其复杂性,复杂性常常是安全性的劲敌。
然而,仅仅依靠标准化的努力是不够的。正如世界经济论坛专家们所建议的那样,只有人类才是技术的最后的守护者。我们需要从现在开始就不断培育我们的区块链安全能力。如果我们做不到这一点,那么明天迎接我们的将不是文艺复兴的盛景,而是社会公地的悲惨结局。
来源: 学术plus
评论
查看更多