區(qū)塊鏈的安全性有保障嗎

據(jù)世界經(jīng)濟(jì)論壇稱(chēng)，到2025年，區(qū)塊鏈將占全球GDP的10%。從產(chǎn)品標(biāo)識(shí)符、醫(yī)療記錄到土地登記、學(xué)位和保險(xiǎn)合同，區(qū)塊鏈和分布式賬本技術(shù)（DLT）已經(jīng)在許多領(lǐng)域發(fā)揮作用。

區(qū)塊鏈所承諾的，不亞于21世紀(jì)社會(huì)公地復(fù)興的技術(shù)支柱，將權(quán)力交還給人民。在這個(gè)世紀(jì)，權(quán)力比以往任何時(shí)候都更來(lái)自數(shù)據(jù)。區(qū)塊鏈承諾將數(shù)據(jù)控制權(quán)交還給人民。但這需要一個(gè)要素：對(duì)技術(shù)的信任，相信它能做它應(yīng)該做的事情。

這里的悖論是，區(qū)塊鏈消除了信任中介的需要——即要求我們信任這項(xiàng)技術(shù)，包括公證人、保險(xiǎn)公司和銀行家。但是，如果這種技術(shù)一再遭到破壞，我們有多大可能相信它呢？

如果我們對(duì)作為技術(shù)基礎(chǔ)的技術(shù)缺乏信任，我們將生活在什么樣的社會(huì)里？有人可能會(huì)說(shuō)，如果這項(xiàng)技術(shù)被證明太難保護(hù)，區(qū)塊鏈將會(huì)消失在數(shù)字的深淵中。但最近的歷史告訴我們，安全性差并不是采用的障礙。

要修復(fù)的聲譽(yù)

在2010年著名的比特幣黑客攻擊事件中，盡管只有少數(shù)人對(duì)比特幣感到滿意，但代碼中的一個(gè)漏洞卻讓某些人能夠憑空產(chǎn)生出價(jià)值1840億的比特幣。但這是代碼中的漏洞，而不是區(qū)塊鏈邏輯中的漏洞。問(wèn)題很快得到了解決。

2016年，有人臨時(shí)從DAO中獲取了7500萬(wàn)美元，再次利用了代碼中的一個(gè)漏洞。同樣，底層DLT的邏輯是完整的。

最近的一次是在2019年，一家加密貨幣資產(chǎn)管理基金的首席執(zhí)行官去世了，隨之而來(lái)的是他所管理的加密貨幣的使用權(quán)證，價(jià)值超過(guò)1.5億美元。無(wú)法檢索。是區(qū)塊鏈的錯(cuò)嗎？不，該公司沒(méi)有實(shí)施適當(dāng)?shù)闹坪獯胧﹣?lái)防止這種情況的發(fā)生。事實(shí)也證明，這位首席執(zhí)行官在通過(guò)之前就已經(jīng)竊取了資金。

區(qū)塊鏈?zhǔn)且豁?xiàng)新技術(shù)，并不是最簡(jiǎn)單的技術(shù)。區(qū)塊鏈社區(qū)可能需要數(shù)年時(shí)間才能在安全標(biāo)準(zhǔn)上達(dá)成一致，從而減少入侵的頻率。然而，隨著這些破壞活動(dòng)的加速，區(qū)塊鏈真的還有多少年的時(shí)間來(lái)挽回聲譽(yù)嗎？

區(qū)塊鏈真的安全嗎？

區(qū)塊鏈作為一種概念技術(shù)是安全的。麻省理工學(xué)院就是這么說(shuō)的。但紙面上的區(qū)塊鏈沒(méi)什么用。

1. 與任何技術(shù)一樣，當(dāng)開(kāi)發(fā)人員將需求編程到產(chǎn)品和服務(wù)中時(shí)，都會(huì)出現(xiàn)安全問(wèn)題。代碼行、共識(shí)機(jī)制、通信協(xié)議等都有可能存在漏洞，這些漏洞可以被惡意利用。但目前區(qū)塊鏈仍然是一種不同的技術(shù)：多種協(xié)議和編程語(yǔ)言正在并行開(kāi)發(fā)。因此，開(kāi)發(fā)人員很難獲得確保代碼安全所需的經(jīng)驗(yàn)，而大多數(shù)開(kāi)發(fā)人員都面臨著嚴(yán)格的交付時(shí)間壓力。

2. 由于區(qū)塊鏈嚴(yán)重依賴(lài)于密碼學(xué)，即安全通信的實(shí)踐，它給人的印象是它是一種自我保護(hù)的技術(shù)。這與事實(shí)相去甚遠(yuǎn)，因?yàn)閰^(qū)塊鏈?zhǔn)墙⒃谛枰Ｗo(hù)的通信網(wǎng)絡(luò)和設(shè)備之上的。傳統(tǒng)的信息安全挑戰(zhàn)也適用于區(qū)塊鏈。此外，與任何其他安全規(guī)程一樣，密碼學(xué)也在發(fā)生變化。此外，密碼學(xué)和其他任何安全學(xué)科一樣，是一個(gè)不斷變化的領(lǐng)域：量子計(jì)算機(jī)已經(jīng)有望打破許多加密算法。

3.第三，也是最后一點(diǎn)，圍繞密鑰管理、錢(qián)包托管和節(jié)點(diǎn)補(bǔ)丁等方面的糟糕安全實(shí)踐，都會(huì)導(dǎo)致潛在的安全問(wèn)題，從而給該技術(shù)蒙上陰影，而教育系統(tǒng)管理員和用戶(hù)將解決絕大多數(shù)安全問(wèn)題。

那么我們今天能做什么呢？

1. 首先，我們需要開(kāi)發(fā)具有安全意識(shí)的區(qū)塊鏈開(kāi)發(fā)人員。這將要求教育課程從中學(xué)的編程課程開(kāi)始，直到大學(xué)學(xué)位，并強(qiáng)制提供區(qū)塊鏈安全編碼課程。在撰寫(xiě)本文時(shí)，塞浦路斯尼科西亞大學(xué)是世界上唯一一所提供區(qū)塊鏈（尤其是數(shù)字貨幣）理學(xué)碩士學(xué)位的大學(xué)。這些學(xué)位將需要得到認(rèn)可的區(qū)塊鏈安全專(zhuān)業(yè)認(rèn)證（如CBSP）的補(bǔ)充，但也需要在ecissp等網(wǎng)絡(luò)安全認(rèn)證中加入?yún)^(qū)塊鏈作為主題。

2. 其次，我們需要教育用戶(hù)他們正在承受的安全風(fēng)險(xiǎn)，以及如何以低成本有效地減輕這些風(fēng)險(xiǎn)。這將需要提高人們對(duì)區(qū)塊鏈的認(rèn)識(shí)，并在人們向區(qū)塊鏈過(guò)渡的過(guò)程中開(kāi)展公私合作。盡管與中本聰最初的分散化愿景有些不同，很可能是區(qū)塊鏈需要證明其價(jià)值的平穩(wěn)過(guò)渡，就像上世紀(jì)80年代的內(nèi)部網(wǎng)證明了互聯(lián)網(wǎng)對(duì)世界的價(jià)值一樣。從這個(gè)意義上說(shuō)，像Facebook這樣的行業(yè)巨頭采用區(qū)塊鏈，并擁有其加密貨幣Libra，提供了一個(gè)受歡迎的機(jī)會(huì)，讓公眾了解如何使用區(qū)塊鏈。由于區(qū)塊鏈的曝光率降低，保護(hù)其安全可能會(huì)變得更容易，但反過(guò)來(lái)，保護(hù)區(qū)塊鏈的壓力降低可能會(huì)導(dǎo)致數(shù)字泄露。

3.第三，我們需要公共和私人領(lǐng)導(dǎo)人明白，區(qū)塊鏈并非實(shí)現(xiàn)安全的靈丹妙藥。換句話說(shuō)，我們需要揭開(kāi)區(qū)塊鏈安全性的神秘面紗，并明確指出，盡管該技術(shù)在可用性和完整性方面具有優(yōu)勢(shì)，但后者并沒(méi)有提高它們所持有的信息的質(zhì)量：垃圾輸入，垃圾輸出。安全部署區(qū)塊鏈解決方案將需要時(shí)間并與更廣泛的安全生態(tài)系統(tǒng)集成，后者由需要傳統(tǒng)信息安全的傳統(tǒng)網(wǎng)絡(luò)設(shè)備組成。

對(duì)于現(xiàn)有企業(yè)來(lái)說(shuō)，首先要讓董事會(huì)和高管們了解區(qū)塊鏈?zhǔn)鞘裁础⒉皇鞘裁?，以及區(qū)塊鏈的內(nèi)在風(fēng)險(xiǎn)是什么。它還要求CISO將區(qū)塊鏈集成到他們的事件管理計(jì)劃和程序中，并開(kāi)始考慮安全領(lǐng)域分散業(yè)務(wù)模型的影響。

對(duì)于初創(chuàng)企業(yè)來(lái)說(shuō)，92%的區(qū)塊鏈項(xiàng)目仍然是失敗的，平均壽命約為15個(gè)月。由于生命周期如此之短，上市時(shí)間幾乎總是優(yōu)先于安全性：這需要改變，而實(shí)現(xiàn)這一點(diǎn)的最佳途徑是通過(guò)投資者的行為改變。

標(biāo)準(zhǔn)正在制定中，毫無(wú)疑問(wèn)，這將有助于區(qū)塊鏈技術(shù)的融合，降低其復(fù)雜性，而復(fù)雜性是安全性的已知敵人。

但是標(biāo)準(zhǔn)本身并不能起到多大作用，因?yàn)槿祟?lèi)仍然是技術(shù)的守護(hù)者：我們今天需要構(gòu)建區(qū)塊鏈安全技能。否則，明天將不是復(fù)興開(kāi)始，而是社會(huì)公地的結(jié)束。