当谈到区块链安全,我们一般会谈论什么?

  • 时间:
  • 浏览:1

宇宙假如有一天一座黑暗森林,每个文明有的是带枪的猎人,像嗜血般潜行于林间,轻轻拨开挡路的树枝,竭力我太少 脚步发出有些儿声音,连呼吸都须要小心翼翼,他须要小心,将会林中到处有的是与他一样潜行的猎人,将会他发现了别的生命,能做的只有一件事,开枪消灭之。

——《三体》

当当.我 谈论“区块链安全”的本来 ,当.我 到底在谈论哪几种?

去中心化、不可篡改,哪几种堂而皇之的名词从每有俩另一方的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者并且搬出“茴”字的有一种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处沒有,数字货币被盗的新闻屡见报端。

区块链系统的安全性太少单取决于区块链算法有一种,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的疑问就多得多。而根据木桶理论,一只木桶能盛有几个水,太少取决于最长的那块木板,假如有一天取决于最短的那块木板。

密码!密码!

在区块链的世界里,每有俩另一方的身份有的是过是一段数字,密码学上称之为密钥,一旦其他同学获取了你的密钥,他就须要冒充你的身份从事任何事情,包括花光你的每一分钱。

密钥的安全性如可呢?以ECDSA算法为例,每有还还有一个 密钥由256位01组成,假如有一天随机猜测一段话,猜对的概率只有1/115792089237316266680066408626802828282806886466848268088008062802462446642046。

根据估算,地球最少由1080个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的有还还有一个 原子的概率相差无几。

不过在区块链中,仅仅有密钥是不够的,为了我太少 实现账户之间相互转账,还须要根据密钥生成公钥和钱包地址,上边所说的ECDSA假如有一天从密钥生成公钥的算法。公钥,顾名思义,在向外转账并且被公开,那从公钥推理出私钥又有多难呢?

将会算法的实现沒有纰漏一段话,即便是最有效的攻击法律法律依据,其难度依然是指数级的。

假如有一天 ,这太少导致 分析当.我 须要高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其导致 分析,假如有一天在随机数生成器的实现那么 真正“随机”。如今,量子计算机的崛起带来了新的挑战,将会数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都将会沦为虚设。

51%攻击

丘吉尔说,民主并有的是哪几种好东西,但它是当.我 迄今为止所能找到的最好的。

区块链的世界里也是那么 ,谁掌握了51%一段一段话权,谁就须要肆意更改另一方的交易记录,发动“双花”攻击。不同的共识机制对于一段话权的定义有所不同,在PoW中为算力,而在PoS中则是持有Token的数量。

51%攻击绝有的是天方夜谭。以比特币为例,随着金钱的腥味吸引了无数科技厂家入场,挖矿变成了职业玩家的战场,排名前三的矿场垄断了全网接近半的算力。在Crypto51的网站上,当.我 须要找到对各种数字货币发起51%攻击所须要的成本,对价值3.5亿美元的Bytecoin发动有还还有一个 小时算力攻击,成本仅须要257美元,哪几种数字并那么 想象中的遥不可及。

阻止51%攻击的最后一道防线,便是攻击成功很将会导致 分析数字货币的价值归零,从长远宽度看攻击者反而会蒙受巨大的损失。那我,Verge再三受到攻击,比特黄金也难以幸免,频频位于的51%攻击头上,最后一道防线显得疲弱无力。

智能合约

智能合约的跳出使得区块链有了无穷无尽的将会性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。

根据BCSEC的统计数据,2018年上四天区块链行业因智能合约漏洞而引发的经济损失高达11.6亿美元,占区块链安全疑问的54.66%,成为区块链安全的头号重灾区。

2016年6月,攻击者利用区块链业界此前最大的众筹项目TheDAO智能合约中splitDAO函数的有还还有一个 漏洞,将资金从The DAO项?的资产池中源源不断地分离出来,转移到另一方的子DAO中,在短短的有还还有一个 小时内,80多万以太币被转出The DAO资产池,以太坊也将会这件事故被迫分叉。

Code is Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再那么 修改的将会。当.我 当然只有期智能合约一旦发布就须要完美无瑕地运行下去,一行有不够的代码将会就会将整个合约推向万劫不复之地。

将会须要升级智能合约,就要把当前的智能合约进行快照,假如有一天 在部署新的智能合约本来 把旧合约的快照转移到新合约,这个 过程会影响用户对于项目的信心。在发现漏洞之时,究竟是壮士断腕部署新的合约,还是置之不理希望能突然隐瞒下去,是每有还还有一个 项目开发者将会面临的两难选折 。

“黑帽子”和“白帽子”

值得庆幸是,区块链安全疑问引来的太少人的关注。当黑客,也假如有一天“黑帽子”们在利用漏洞攫取利润之时,有些安全专家和技术极客站到同時 ,成为了区块链安全的维护者和捍卫者,当.我 努力提前发现漏洞并通知项目方,以防被“黑帽子”利用,当.我 假如有一天区块链界的“白帽子”。

2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近7万多枚以太币及数量巨大的各类代币。

2018年5月29号,380公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中累积漏洞须要在EOS节点上远程执行任意代码,即须要通过远程攻击,直接控制和接管EOS上运行的所有节点。

一度充斥着“造富神话”的数字货币市场趋凉,以区块链技术为噱头的泡沫渐渐消逝,安全的疑问也一步步凸显出来。安有的是技术发展的根基,一行代码葬送有还还有一个 项目的事情频频位于,向当.我 敲响了警钟。只有在安全疑问上防微杜渐慎之又慎,被寄予厚望的区块链技术我太少 越走越远。

来源: 人民创投