在不到兩年的時間裏,區塊鏈從一個非常小衆、鮮爲人知且被廣泛誤解的支持加密貨幣的技術,一躍登上初創公司和企業成熟度曲線的巔峯。據Deloitte去年的調查,投資區塊鏈的企業竟然高達 95%。
對區塊鏈產生濃厚興趣的不僅僅是金融或科技行業的參與者,醫療、物流、網絡安全甚至農業也都在積極部署區塊鏈試點項目和用例。根據最新的市場趨勢,2019 年有望成爲企業區塊鏈之年。
然而,區塊鏈技術還沒有從一個艱難的開端中完全恢復過來。儘管被人們打上了“不可改變的”、“不能撤銷的”、“最安全的”標籤,但是,在包括以太坊和比特幣在內的幾個主要區塊鏈網絡上確實發生了幾起重大駭客攻擊事件。
區塊鏈真的像我們所相信的那樣安全嗎?下面是 Andrew Amold 對區塊鏈技術的安全性的思考。
公有鏈有多脆弱?
Coindesk報告稱,2018 年前 9 個月內,駭客從加密貨幣交易所和其他面向加密社區的平臺竊取了逾 9.27 億美元,而所有這些平臺都在一定程度上利用了公有鏈。
去年,由公有鏈支持的 ICO(首次代幣發行,Initial Coin Offerings)也遭到了沉重的打擊。有一家初創公司在去年的活動中就遇到了重大的安全漏洞。一些用戶的加密錢包被黑客洗劫。相當於 80 萬美元的平臺代幣消失不見了,創始人不得不主動彌補損失和退款。
GoldFinX 首席執行官 Philippe Bednarek 表示,“儘管 ICO 中駭客攻擊和欺詐仍然很常見,但企業、安全專家和立法者正爲杜絕這類案件而積極合作。區塊鏈生態中的每個人都對維持最高安全性感興趣,因此,業務各方面都涌現了新的創意解決方案。”爲了給投資者提供額外的安全保障,Bednarek 的初創公司選擇使用 PCO(受保護的代幣發行,Protected Coin Offering),這是一種新的類別,即使在最壞的情況下也能爲投資者提供資產保護。如果新法規或者惡意攻擊影響了公司的運營,他們的商業計劃會確立一個基本價值來保護代幣發行。
“區塊鏈作爲一種技術,以及受其驅動的加密貨幣,在帶來風險的同時,也帶來了巨大的機遇。”Resistance 創始人 Anthony Khamsei 說,“爲了降低風險,區塊鏈公司需要將安全和隱私放在首位。此外,投資者和區塊鏈用戶應該花點時間瞭解區塊鏈公司所使用的技術堆棧以及它的安全性。”例如,Anthony 的項目爲其在去中心化的加密交換上進行的交易提供了一層隱私,減少了導致財物損失的安全漏洞的可能性。
《Hard Fork》最近的報告將會在這裏派上用場。幕後的研究人員進行了一項大規模的調查,並針對安全漏洞對不同公司進行了調查,這些公司都參與處理加密貨幣和區塊鏈技術。《Hard Fork》共向 13 家參與公司提交了 43 份 bug 報告。
不過值得注意的是,正如報告所示,公司系統中已識別的缺陷並不是重大漏洞。儘管如此,它們仍然是企業應該解決的有效安全問題。
私有鏈和半私有鏈會更安全嗎?
目前,企業內部進行的大多數區塊鏈項目都是所謂的“帶權限的私有鏈”。與公有鏈不同的是,私有鏈只能由選定的用戶組訪問,這些用戶有權在該賬本上進行輸入、驗證、記錄和交換數據。
當然,對於一個從未獲準加入的“局外人”而言,這樣的網絡幾乎不可能被攻陷的。但隨着私有鏈的出現,另一個問題就出現了:爲了提高隱私性和安全性,我們真的需要捨棄去中心化嗎?
來自《麻省理工科技評論》(MIT Technology Review)的 Mike Orcutt 寫道,私有鏈系統“可能會讓它的所有者感到更安全,但它實際上只是給予了他們更多的控制權,這意味着無論其他網絡參與者是否同意,他們都可以進行更改。”這類系統需要提出平衡機制,爲不同的用戶組授予不同級別的權限,並對驗證者進行身份檢查,以確保他們是自己所聲稱的那個人。
這就是爲什麼許多公司都在尋找兩者兼備的方法——公有鏈的去中心化和私有鏈的額外安全性。由 IBM、Corda、Ripple 等主要廠商開發的聯盟鏈,目前看來似乎是最好的安全選擇。簡而言之,它們爲企業提供了訪問集中式系統的權限,且系統本身又具有一定程度的加密可審計性和安全性。
其他企業也在考慮如何通過調整公有鏈來滿足他們的安全需求。例如,以太坊區塊鏈已經提供了一些機制,可以利用這些機制來確保網絡參與者的隱私,包括環簽名、隱身地址和存儲公有鏈的私有數據。
總的來說,區塊鏈領域正在朝着爲公有鏈、私有鏈、聯盟鏈網絡定義技術粒度隱私層的新解決方案穩步發展。各家公司正在積極調查和修補已知漏洞,並採用新的機制來確保各方都受到保護,任何惡意的駭客都無法攻破並利用賬本中的漏洞。