写点什么

如何理解区块链行业的安全问题?

发布于: 2020 年 10 月 02 日
如何理解区块链行业的安全问题?

虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。区块链安全细分领域,有几个现象可以让大家零距离体会到问题所在。



公链的世界自带金融属性,里面到处都是钱(币);



这个世界还没国家背书,不像银行,出事了,国家力量会搞定;



币被盗了,溯源很难,只要攻击者稍微认真点,你找不到他。



往深里说,在这个行业的世界内,私钥就是身份,谁拿到私钥谁都可以获取里面的财富,这个世界不管私钥最原始持有者,这不是这个世界需要思考的事。



当然未来肯定会有所不同,这点我们在 EOS 生态里已经看到,通过里面特殊的共识机制来冻结甚至归还丢失的财富,感兴趣的可以自行去了解 EOS 生态里的 ECAF 与 21 个超级节点。其实在 EOS 之前,就有交易所的 KYC 及 AML(反洗钱) 这些机制来进行这种风险对抗,以及我们之后搞起的 BTI(区块链威胁情报),AML 是 BTI 的一个重要模块。这些都试图在这个世界里寻找些安全感。



除了金融属性,区块链,被大量提及的另一个属性是“去中心化”,这似乎导致,试图要在这里面做某种决策都是件非常艰难的事。但这个世界是微妙且多变的,艰难的也不一定会艰难,英明的决策还是会得到社区的普遍支持,只要它看起来真的很对,大不了直接来个硬分叉,社区该分裂的分裂。



我们在这个世界感受到了很多美好,也感受到了人性许多黑暗的一面。这里面除了大量的技术革新、经济革新,还有大量相比中心化世界初级得多的政治斗争。



这个世界有提倡“代码即法律”,也有自己的“宪法”,自己的治理机制。在攻击者的眼里甚至会认为,我凭本事发现的代码漏洞(比如某智能合约漏洞)拿到的币,为什么说我是违法的?如果代码即法律,我的行为反而应该得到认可,是我促进了你们加强代码的质量与安全。



从安全角度来看,这个世界就是这样的一种世界,一个严重缺乏安全感的世界。安全在这个世界已经是必选项。



都说是因为人们极度崇尚自由,为了冲破被控制束缚的枷锁,试图建立一个去中心化不受政府控制的世界,但是自由永远不等于无政府主义。



|   这个世界的安全可以简单分为两大类型:



传统体系的安全攻防与区块链自身体系的安全攻防。对于传统安全人员来说,需要突破的门槛是区块链自身体系的安全攻防,但传统体系的安全攻防也不能忽略,很多时候往往也很重要。这两大类型是一体,否则做不好这个世界的安全。从这可以看出,要做好这个世界的安全,当前确实会很有门槛,但我们觉得未来的世界会如现在的 Web 世界如此的方便,如此的无感知,如此的自然而然,那个时候,大多数安全人员只需仅关注偏向业务层面的安全就好,其他的都有分工明确的团队来聚焦解决。



|   同样,这个世界的黑客(攻击者)也分为两大类型:



传统体系的黑客与区块链自身体系的黑客。可以大概这样理解:现在这个世界发生的攻击事件,只要特别涉及到区块链技术的,比如:智能合约漏洞、假充值、双花、51% 等等,大多都是区块链本身的相关技术人员动了些邪念,这些人是区块链自身体系的黑客。而这些之外的,都可以粗暴地认为是传统体系的黑客的行为,比如:钓鱼、业务漏洞、木马植入、社会工程学等等。



从做好安全上来说,传统体系也好、区块链自身体系也好,都很重要。千里之堤溃于蚁穴,在区块链世界毫不夸张。



区块链技术不是独立的存在,所以做安全需要覆盖的也必须是方方面面,云计算、大数据、人工智能等技术资源都是必修课。



本文来自网络,如有侵权请联系删除



用户头像

致力于发布区块链领域专业全面的资政信息 2020.05.24 加入

中国电子商务产业园发展联盟区块链专委会隶属于中华人民共和国商务部旗下的中国国际电子商务中心,简称“CECBC”,致力于发布区块链领域最新、专业、全面的资政信息,包括政策法规、行业发展、社会热点等。

评论

发布
暂无评论
如何理解区块链行业的安全问题?