如何理解区块链行业的安全问题?
虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。区块链安全细分领域,有几个现象可以让大家零距离体会到问题所在。
公链的世界自带金融属性,里面到处都是钱(币);
这个世界还没国家背书,不像银行,出事了,国家力量会搞定;
币被盗了,溯源很难,只要攻击者稍微认真点,你找不到他。
往深里说,在这个行业的世界内,私钥就是身份,谁拿到私钥谁都可以获取里面的财富,这个世界不管私钥最原始持有者,这不是这个世界需要思考的事。
当然未来肯定会有所不同,这点我们在 EOS 生态里已经看到,通过里面特殊的共识机制来冻结甚至归还丢失的财富,感兴趣的可以自行去了解 EOS 生态里的 ECAF 与 21 个超级节点。其实在 EOS 之前,就有交易所的 KYC 及 AML(反洗钱) 这些机制来进行这种风险对抗,以及我们之后搞起的 BTI(区块链威胁情报),AML 是 BTI 的一个重要模块。这些都试图在这个世界里寻找些安全感。
除了金融属性,区块链,被大量提及的另一个属性是“去中心化”,这似乎导致,试图要在这里面做某种决策都是件非常艰难的事。但这个世界是微妙且多变的,艰难的也不一定会艰难,英明的决策还是会得到社区的普遍支持,只要它看起来真的很对,大不了直接来个硬分叉,社区该分裂的分裂。
我们在这个世界感受到了很多美好,也感受到了人性许多黑暗的一面。这里面除了大量的技术革新、经济革新,还有大量相比中心化世界初级得多的政治斗争。
这个世界有提倡“代码即法律”,也有自己的“宪法”,自己的治理机制。在攻击者的眼里甚至会认为,我凭本事发现的代码漏洞(比如某智能合约漏洞)拿到的币,为什么说我是违法的?如果代码即法律,我的行为反而应该得到认可,是我促进了你们加强代码的质量与安全。
从安全角度来看,这个世界就是这样的一种世界,一个严重缺乏安全感的世界。安全在这个世界已经是必选项。
都说是因为人们极度崇尚自由,为了冲破被控制束缚的枷锁,试图建立一个去中心化不受政府控制的世界,但是自由永远不等于无政府主义。
| 这个世界的安全可以简单分为两大类型:
传统体系的安全攻防与区块链自身体系的安全攻防。对于传统安全人员来说,需要突破的门槛是区块链自身体系的安全攻防,但传统体系的安全攻防也不能忽略,很多时候往往也很重要。这两大类型是一体,否则做不好这个世界的安全。从这可以看出,要做好这个世界的安全,当前确实会很有门槛,但我们觉得未来的世界会如现在的 Web 世界如此的方便,如此的无感知,如此的自然而然,那个时候,大多数安全人员只需仅关注偏向业务层面的安全就好,其他的都有分工明确的团队来聚焦解决。
| 同样,这个世界的黑客(攻击者)也分为两大类型:
传统体系的黑客与区块链自身体系的黑客。可以大概这样理解:现在这个世界发生的攻击事件,只要特别涉及到区块链技术的,比如:智能合约漏洞、假充值、双花、51% 等等,大多都是区块链本身的相关技术人员动了些邪念,这些人是区块链自身体系的黑客。而这些之外的,都可以粗暴地认为是传统体系的黑客的行为,比如:钓鱼、业务漏洞、木马植入、社会工程学等等。
从做好安全上来说,传统体系也好、区块链自身体系也好,都很重要。千里之堤溃于蚁穴,在区块链世界毫不夸张。
区块链技术不是独立的存在,所以做安全需要覆盖的也必须是方方面面,云计算、大数据、人工智能等技术资源都是必修课。
本文来自网络,如有侵权请联系删除
评论