區(qū)塊鏈到底可不可信

據(jù)世界經(jīng)濟(jì)論壇稱，到2025年，區(qū)塊鏈將占全球GDP的10%。從產(chǎn)品標(biāo)識符、醫(yī)療記錄到土地登記、學(xué)位和保險合同，區(qū)塊鏈和分布式賬本技術(shù)（DLT）已經(jīng)在許多領(lǐng)域發(fā)揮作用。

區(qū)塊鏈所承諾的，不亞于21世紀(jì)社會公地復(fù)興的技術(shù)支柱，將權(quán)力交還給人民。在這個世紀(jì)，權(quán)力比以往任何時候都更來自數(shù)據(jù)。區(qū)塊鏈承諾將數(shù)據(jù)控制權(quán)交還給人民。但這需要一個要素：對技術(shù)的信任，相信它能做它應(yīng)該做的事情。

這里的悖論是，區(qū)塊鏈消除了信任中介的需要——即要求我們信任這項技術(shù)，包括公證人、保險公司和銀行家。但是，如果這種技術(shù)一再遭到破壞，我們有多大可能相信它呢？

如果我們對作為技術(shù)基礎(chǔ)的技術(shù)缺乏信任，我們將生活在什么樣的社會里？有人可能會說，如果這項技術(shù)被證明太難保護(hù)，區(qū)塊鏈將會消失在數(shù)字的深淵中。但最近的歷史告訴我們，安全性差并不是采用的障礙。

要修復(fù)的聲譽

在2010年著名的比特幣黑客攻擊事件中，盡管只有少數(shù)人對比特幣感到滿意，但代碼中的一個漏洞卻讓某些人能夠憑空產(chǎn)生出價值1840億的比特幣。但這是代碼中的漏洞，而不是區(qū)塊鏈邏輯中的漏洞。問題很快得到了解決。

2016年，有人臨時從DAO中獲取了7500萬美元，再次利用了代碼中的一個漏洞。同樣，底層DLT的邏輯是完整的。

最近的一次是在2019年，一家加密貨幣資產(chǎn)管理基金的首席執(zhí)行官去世了，隨之而來的是他所管理的加密貨幣的使用權(quán)證，價值超過1.5億美元。無法檢索。是區(qū)塊鏈的錯嗎？不，該公司沒有實施適當(dāng)?shù)闹坪獯胧﹣矸乐惯@種情況的發(fā)生。事實也證明，這位首席執(zhí)行官在通過之前就已經(jīng)竊取了資金。

區(qū)塊鏈?zhǔn)且豁椥录夹g(shù)，并不是最簡單的技術(shù)。區(qū)塊鏈社區(qū)可能需要數(shù)年時間才能在安全標(biāo)準(zhǔn)上達(dá)成一致，從而減少入侵的頻率。然而，隨著這些破壞活動的加速，區(qū)塊鏈真的還有多少年的時間來挽回聲譽嗎？

區(qū)塊鏈真的安全嗎？

區(qū)塊鏈作為一種概念技術(shù)是安全的。麻省理工學(xué)院就是這么說的。但紙面上的區(qū)塊鏈沒什么用。

1. 與任何技術(shù)一樣，當(dāng)開發(fā)人員將需求編程到產(chǎn)品和服務(wù)中時，都會出現(xiàn)安全問題。代碼行、共識機(jī)制、通信協(xié)議等都有可能存在漏洞，這些漏洞可以被惡意利用。但目前區(qū)塊鏈仍然是一種不同的技術(shù)：多種協(xié)議和編程語言正在并行開發(fā)。因此，開發(fā)人員很難獲得確保代碼安全所需的經(jīng)驗，而大多數(shù)開發(fā)人員都面臨著嚴(yán)格的交付時間壓力。

2. 由于區(qū)塊鏈嚴(yán)重依賴于密碼學(xué)，即安全通信的實踐，它給人的印象是它是一種自我保護(hù)的技術(shù)。這與事實相去甚遠(yuǎn)，因為區(qū)塊鏈?zhǔn)墙⒃谛枰Ｗo(hù)的通信網(wǎng)絡(luò)和設(shè)備之上的。傳統(tǒng)的信息安全挑戰(zhàn)也適用于區(qū)塊鏈。此外，與任何其他安全規(guī)程一樣，密碼學(xué)也在發(fā)生變化。此外，密碼學(xué)和其他任何安全學(xué)科一樣，是一個不斷變化的領(lǐng)域：量子計算機(jī)已經(jīng)有望打破許多加密算法。

3.第三，也是最后一點，圍繞密鑰管理、錢包托管和節(jié)點補(bǔ)丁等方面的糟糕安全實踐，都會導(dǎo)致潛在的安全問題，從而給該技術(shù)蒙上陰影，而教育系統(tǒng)管理員和用戶將解決絕大多數(shù)安全問題。

那么我們今天能做什么呢？

1. 首先，我們需要開發(fā)具有安全意識的區(qū)塊鏈開發(fā)人員。這將要求教育課程從中學(xué)的編程課程開始，直到大學(xué)學(xué)位，并強(qiáng)制提供區(qū)塊鏈安全編碼課程。在撰寫本文時，塞浦路斯尼科西亞大學(xué)是世界上唯一一所提供區(qū)塊鏈（尤其是數(shù)字貨幣）理學(xué)碩士學(xué)位的大學(xué)。這些學(xué)位將需要得到認(rèn)可的區(qū)塊鏈安全專業(yè)認(rèn)證（如CBSP）的補(bǔ)充，但也需要在ecissp等網(wǎng)絡(luò)安全認(rèn)證中加入?yún)^(qū)塊鏈作為主題。

2. 其次，我們需要教育用戶他們正在承受的安全風(fēng)險，以及如何以低成本有效地減輕這些風(fēng)險。這將需要提高人們對區(qū)塊鏈的認(rèn)識，并在人們向區(qū)塊鏈過渡的過程中開展公私合作。盡管與中本聰最初的分散化愿景有些不同，很可能是區(qū)塊鏈需要證明其價值的平穩(wěn)過渡，就像上世紀(jì)80年代的內(nèi)部網(wǎng)證明了互聯(lián)網(wǎng)對世界的價值一樣。從這個意義上說，像Facebook這樣的行業(yè)巨頭采用區(qū)塊鏈，并擁有其加密貨幣Libra，提供了一個受歡迎的機(jī)會，讓公眾了解如何使用區(qū)塊鏈。由于區(qū)塊鏈的曝光率降低，保護(hù)其安全可能會變得更容易，但反過來，保護(hù)區(qū)塊鏈的壓力降低可能會導(dǎo)致數(shù)字泄露。

3.第三，我們需要公共和私人領(lǐng)導(dǎo)人明白，區(qū)塊鏈并非實現(xiàn)安全的靈丹妙藥。換句話說，我們需要揭開區(qū)塊鏈安全性的神秘面紗，并明確指出，盡管該技術(shù)在可用性和完整性方面具有優(yōu)勢，但后者并沒有提高它們所持有的信息的質(zhì)量：垃圾輸入，垃圾輸出。安全部署區(qū)塊鏈解決方案將需要時間并與更廣泛的安全生態(tài)系統(tǒng)集成，后者由需要傳統(tǒng)信息安全的傳統(tǒng)網(wǎng)絡(luò)設(shè)備組成。

對于現(xiàn)有企業(yè)來說，首先要讓董事會和高管們了解區(qū)塊鏈?zhǔn)鞘裁?、不是什么，以及區(qū)塊鏈的內(nèi)在風(fēng)險是什么。它還要求CISO將區(qū)塊鏈集成到他們的事件管理計劃和程序中，并開始考慮安全領(lǐng)域分散業(yè)務(wù)模型的影響。

對于初創(chuàng)企業(yè)來說，92%的區(qū)塊鏈項目仍然是失敗的，平均壽命約為15個月。由于生命周期如此之短，上市時間幾乎總是優(yōu)先于安全性：這需要改變，而實現(xiàn)這一點的最佳途徑是通過投資者的行為改變。

標(biāo)準(zhǔn)正在制定中，毫無疑問，這將有助于區(qū)塊鏈技術(shù)的融合，降低其復(fù)雜性，而復(fù)雜性是安全性的已知敵人。

但是標(biāo)準(zhǔn)本身并不能起到多大作用，因為人類仍然是技術(shù)的守護(hù)者：我們今天需要構(gòu)建區(qū)塊鏈安全技能。否則，明天將不是復(fù)興開始，而是社會公地的結(jié)束。