去中心化的安全问题
今年是区块链技术自诞生以来最火的一年,也是区块链这一技术从诸多的数 字货币,比如其中最著名的比特币背后站出来,并真正走上历史舞台,进入 普遍大众视线的关键一年!而随着今年区块链技术的普及以及其在诸多领域 具有的良好的发展前景,与之而来的自然是当今社会人们越来越重视的区块 链技术的安全问题!
区块链技术在当下媒体的报道中,如今已经广为人知,与此同时它也涌现出 了许多安全问题,这一节我便主要先以其首要的,也是区块链技术的核心特 点,即去中心化的安全问题谈起!
首先,我要阐明一个极端主义思想的误区,那就是在任何领域没有绝对二字 ,这是一种很不严谨的说法,就好比中心化与去中心化,尽管区块链技术的 核心特点是去中心化的,但也不能称之为将其应用在任何的领域都应该做到 绝对去中心化,这不科学,更不切实际!正如爱因斯坦的《相对论》中所言 ,一切事物都具有其相对性,它们本身都是充满矛盾的!
而在当下,去中心化所具有的特性——便利简洁性,使其很快被人们广为认 可,但在这方便的背后又存在诸多缺陷,举个例子,去中心化意味着我们的 交易是可以在点对点的情况下直接进行的,省去了中间方介入,这是它便利 性的体现,但弊端就是一旦我们失去了可以识别身份的凭证,也就是私匙, 那么这个去中心化的交易链就会被中断,你这个唯一的主人也对此毫无办法 ,而想要找回私匙实在太难,需要付出的代价太大,至少目前还没有很好的 解决方法,而这也是保障其交易安全性及去中心化的一个弊端;
那么再回到区块链技术上,由其作为底层技术支撑的数字货币早已发展到全球流行了,对应的数字货币市场其繁荣发展也自然离不开诸多中心化交易所的支撑,它们为区块链市场的资产代币化发展提供了全球化全天候的充足流动性。然而这些中心化交易所存在一些显著的风险和问题。众所周知现在在互联网上的数字货币交易中的最 常用的买币途径一般只有在开放的交易所中,其次就是进行 P2P交易,而 这些充当中间方的交易系统本身是中心化的,既然称之为系统,就可能会出 现被黑客利用的漏洞等安全问题,从而造成诸多数据的泄露,直接会影响到 用户的财产及隐私安全等,数字货币背后的区块链技术强调“去中心化”,然而各类交易所却恰恰相反,他们仍然是典型的“中心化”产物。这两者之间的矛盾也 造成了区块链去中心化的安全问题。 就拿最近的事情来说,今年3月8日,数字货币交易所币安发生了黑客攻击事件。黑客 利用盗取的API key,操纵市场进行抛售,引起恐慌,进而造成数字货币市场 整体暴跌10%以上。虽然币安交易所很快做出了安全措施,用户的数字资产被冻结。但 这一事件再次引发了市场对中心化交易所的质疑,有关区块链安全的问题也迅 速引起人们的注意。
当下的区块链虽然可以被当做是一个去中心化的数据基础处理设施,但是区块链的 核心去中心化所面临的网络安全风险目前还停留在传统网络风险的范畴,这 里我主要列出如下几种:
1、基于系统性的缘故,可能会遭受网络攻击,例如XSS跨站攻击、SQL注 入、甚至是DDoS等;最近疯传的币安交易所被攻击就是一个典例;
2、内网的渗透入侵从而导致的数据泄露,被挟持的安全问题,例如撞库、“脱裤” ……
3、还有就是针对于去中心化要注意的信任问题,区块链的去中心化可近乎 认为是无需第三方的低成本可信沟通环境,但在实际运用中仍然存在其虚拟性引发的不确定因素。
接下来我具体阐述一下第三点,去中心化的信任安全问题!
就拿当前的淘宝京东等中心交易平台来说,他们的存在事实上不仅仅是简单的充当第三方的一个角色,他们同样是买方和卖方所交易的商品的一个质量保证,如果这条交易链去中心化了,点对点即买方与卖方的直接交易,其双方之间存在的信任问题就被凸显了出来,这就在一定程度上制约了区块链的发展,质疑了去中心化的特点。
于是,DEX(去中心化交易所)也开始崭露头角,简单介绍一下,DEX是一种促使用户在分布式账本上,即基于区块链技术上,进行数字加密货币的交易的相对于当前遍及的中心化交易所的新兴技术!这些DEX将一直被掌握在中心化交易所的交易主动权及数字货币的管理权直接还给用户,这更加便利了用户直接控制自己的数字虚拟财产。而且另一个好处就是DEX是一种新兴的去中心化技术,他不同于当前的诸多中心化交易所,后者是一种现实中存在的交易平台,也就是说后者是可以被物理捕捉到的,那么就容易被当前国家政策所影响,可能会被国家征税,甚至有没收资金财产之类的事情发生。由此可见,在未来区块链,技术的去中心化发展过程中,DEX不可否认将成为其延伸拓展的一种新技术,甚至有望在一定程度取代中心化交易平台,当然这还是一个比较遥远的事情,毕竟其安全问题都是需要发展沉淀的。而它的特点是在去中心化交易中,主要避免了中心化交易平台坚守自盗的风险, 并且相应的消除了单个故障点,这是其发展迭代的根本所在!这也将成为去中心化安全问题的一个新的发展领域。而这一切才刚刚起步……
最后,就目前局势而言,当下的区块链技术应用商可以从以下方面引入 提高区块链安全防护能力:——引用自http://www.ccidnet.com/2018/0313/10366817.shtml(有删减)
1、提供针对核心系统的保护。通过RASP和SingleClick截断攻击路径,通过遍布全国的抗DDoS节点保障业 务连续性,再通过MSSP封住漏洞隐患。
2、提供针对区块链客户端的保护。通过移动应用加固技术针对冷热钱包提 供立体防御,辅以威胁感知系统监测实时风险,针对硬件钱包提供TEE芯片 级解决方案,彻底锁住私钥不外泄。
3、针对去中心化的信任问题,采用智能合约等方案进行改善优化。
ps:编辑未结束,似乎第一次发帖只有这样才能让人有所关注骗个回复,看来以后这块引用在第一次发帖不能加原址了……嗯,欢迎大家积极寻找原文,而且原文不止一个,有许多转载改编的版本,此文原文并非二楼所给地址,大家继续找找看……
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-3-16 06:10
被挽梦雪舞编辑
,原因:
