信息化觀察網(wǎng)

有關(guān)區(qū)塊鏈安全的話題很多，涉及到鏈上和鏈下。區(qū)塊鏈自身的安全事件也層出不窮。但從宏觀的角度而言，區(qū)塊鏈技術(shù)本身給互聯(lián)網(wǎng)和新的信息技術(shù)帶了和很多安全上的保障?？梢哉f，區(qū)塊鏈?zhǔn)堑谌ヂ?lián)網(wǎng)安全中的重要一環(huán)。

從區(qū)塊鏈誕生的那一刻起，區(qū)塊鏈的安全事件就層出不窮，無論是比特幣、以太坊還是最近的Filecoin都在不斷地改進(jìn)中，不斷地提升自身的安全性。但是，這個一個新生事物，多數(shù)都是包含著無數(shù)的缺陷誕生的，同樣受到各種追捧和持續(xù)快速地迭代。

在區(qū)塊鏈領(lǐng)域流行著一句話：In BlockChain We Trust。為什么？區(qū)塊鏈運(yùn)行起來，參與的人員眾多，良莠不齊，許多節(jié)點(diǎn)經(jīng)常遭受攻擊，但是大家還是說「In Blockchain We Trust」。也就是說，我們就是相信區(qū)塊鏈。

這一方面表明區(qū)塊鏈?zhǔn)穷嵏残缘?，其本身就是一種建立信任的技術(shù)，另一方面，大家也相信，區(qū)塊鏈?zhǔn)且环N安全的技術(shù)。這一點(diǎn)有些意思，因為許多人看到的是區(qū)塊鏈領(lǐng)域發(fā)生的安全事件，而很少思考區(qū)塊鏈所帶來的安全變革。

區(qū)塊鏈的安全問題

大家經(jīng)常提到的區(qū)塊鏈安全，涉及到的方面非常多，但其實，多數(shù)都是與傳統(tǒng)的軟件系統(tǒng)的安全性有共通之處。大體說來，可以考慮以下一些方面：

代碼安全：許多安全問題來自于代碼漏洞，非常著名的就是Ethereum的DAO事件，直接導(dǎo)致以太坊分叉至兩個網(wǎng)絡(luò)：ETH和ETC；Filecoin前段事件發(fā)生的網(wǎng)絡(luò)暫停事件，也是一個代碼問題導(dǎo)致的安全事件，所幸的是，未發(fā)生資金方面的問題。（評：代碼問題是一個通用的問題，在任何的軟件系統(tǒng)和網(wǎng)絡(luò)中都存在，與是不是區(qū)塊鏈沒有直接關(guān)系。）

私鑰遺失或被盜：這是大家談?wù)摰谋容^多的安全問題，業(yè)界也在不停地教育和改善系統(tǒng)，一些對私鑰的保存和找回的機(jī)制和方式也逐漸成熟。（評：這和一般系統(tǒng)中的賬號和密碼丟失類似，但中心化系統(tǒng)一般可以通過身份認(rèn)證找回，而區(qū)塊鏈系統(tǒng)的去中心化特性，使得找回私鑰需要一些其他的方式。）

黑客入侵：最著名的就是直接導(dǎo)致門頭溝（Mt.Gox）倒閉的黑客事件了，當(dāng)然幾乎所有交易所都發(fā)生了黑客入侵和丟幣的事件，這似乎也是區(qū)塊鏈領(lǐng)域的常見安全問題。（評：這些安全事件都發(fā)生在中心化交易所，這些安全事件與區(qū)塊鏈技術(shù)本身關(guān)系不大。反而，這些安全事件正說明去中心化的安全性更高，你什么時候聽說過去中心化交易所的黑客事件？）

釣魚攻擊：完全與區(qū)塊鏈沒有關(guān)系，中心化系統(tǒng)的常規(guī)安全問題

女巫攻擊/路由攻擊：這通常發(fā)生在有些區(qū)塊鏈系統(tǒng)還不成熟，或者參與人比較少的情況，需要對鏈和網(wǎng)絡(luò)有一定的控制權(quán)

51%攻擊：老生常談了。（評：這是區(qū)塊鏈真正的安全問題。但這也正是區(qū)塊鏈的設(shè)計基礎(chǔ)，即網(wǎng)路朝著符合大多數(shù)人（或投票權(quán)）的方向走。同時這也要求一條鏈必須要有足夠的去中心化，和足夠的參與度來保障安全）

我們看一看，上面提到的安全問題，除了51%攻擊區(qū)塊鏈特有的，而其他部分，都基本上與區(qū)塊鏈沒有直接的關(guān)系，是通用網(wǎng)絡(luò)都會遇到的問題。而51%攻擊，從另一份方面來講，也體現(xiàn)了區(qū)塊鏈的安全性之高，要作惡的成本之高昂，在一條成熟的、參與人眾多的鏈面前，這種攻擊顯得太難而不可行。

區(qū)塊鏈對網(wǎng)絡(luò)安全的提升

如果我們提升一個層次，真正考慮網(wǎng)絡(luò)的安全問題，而不是拘泥于一個一個點(diǎn)來看。我們會發(fā)現(xiàn)，實際上，區(qū)塊鏈技術(shù)解決了非常多的安全問題。這也是為什么說區(qū)塊鏈?zhǔn)堑谌ヂ?lián)網(wǎng)的基石的重要原因。因為第三代互聯(lián)網(wǎng)（Web3.0）是一個可信的網(wǎng)絡(luò)，可信的基礎(chǔ)就來自于區(qū)塊鏈。

區(qū)塊鏈賦能Web3.0，通過去中心化技術(shù)建立信任，那么沒有那么多的安全軟件，沒有防火墻，沒有安全專家為每一個網(wǎng)絡(luò)軟件的運(yùn)行把關(guān)，行嗎？區(qū)塊鏈說，這都不需要。

開源是安全的基礎(chǔ)：沒有絕對的代碼安全，但是，一條成熟的公鏈，其代碼必然是開源的，共享的，經(jīng)過很多人驗證和測試的，經(jīng)過審計的。在安全的世界里，早就有一條共識，加密要用大家都認(rèn)可的開源算法和實現(xiàn)，安全機(jī)制要采用標(biāo)準(zhǔn)的開源的經(jīng)過驗證的機(jī)制，而不是私有的、未公開的。區(qū)塊鏈作為一個去中心化的系統(tǒng)，其運(yùn)行機(jī)制和經(jīng)濟(jì)激勵都以開源為基礎(chǔ)，當(dāng)持續(xù)運(yùn)行下去，其安全和信任度會越來越高。如今的比特幣網(wǎng)絡(luò)就是一個最好的例證。

開放和去中心化使攻擊無處借力：第二代互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施被網(wǎng)絡(luò)寡頭把控，盡管這些寡頭投入重金來保障安全，但是安全事件常年不斷，Gmail停服，Twitter故障，微博罷工，信用卡賬號被盜等等。但是，一條區(qū)塊鏈網(wǎng)絡(luò)運(yùn)行起來，除非代碼問題（前面提到，非常少而且會快速成熟），絕不會停工，長久服務(wù)，這就是技術(shù)和架構(gòu)本身帶來的安全性。

密碼學(xué)技術(shù)保障運(yùn)算和存儲安全：黑客入侵是傳統(tǒng)軟件和系統(tǒng)非常頭疼的問題，但是，你聽說過有黑客入侵一條區(qū)塊鏈嗎？有黑客能夠為一個上線的智能合約植入木馬嗎？區(qū)塊鏈的驗證技術(shù)使得這些安全攻擊不可行，Bitcoin的一個交易一旦發(fā)生，Ethereum的一個合約一旦上鏈就不可篡改。Filecoin的一份內(nèi)容上線后任何時候檢索出來都保證沒有任何偏差。這些技術(shù)，是區(qū)塊鏈的基礎(chǔ)，也是天然地保證交易、計算和存儲的安全。

激勵機(jī)制導(dǎo)致攻擊成本高昂：區(qū)塊鏈?zhǔn)澜鐨g迎任何形式的運(yùn)算，因為本身區(qū)塊鏈?zhǔn)澜缇褪情_放的，你可以上傳自己的應(yīng)用，有人用就好。按照傳統(tǒng)的觀點(diǎn)，這不是為病毒泛濫大開方便之門？不然，因為區(qū)塊鏈的經(jīng)濟(jì)激勵機(jī)制使得病毒傳播和運(yùn)行并不可行，因為每一個運(yùn)算、每一份存儲都有定價，區(qū)塊鏈?zhǔn)澜鐩]有免費(fèi)的午餐。要傳播、要運(yùn)行，那就付費(fèi)。這從根本上解決了無阻礙傳播和攻擊的問題。

模塊重用提升安全：一條公鏈很重要的特性就是智能合約之間的相互調(diào)用，也就是說，你可以把一條鏈看成一臺計算機(jī)，而不是像Web2.0世界中網(wǎng)絡(luò)是聯(lián)通的，但實際上各種應(yīng)用之間是割裂了。相似的程序?qū)崿F(xiàn)相似的功能，但代碼各不相同，帶來無數(shù)的安全問題。而在區(qū)塊鏈?zhǔn)澜缰校呀?jīng)經(jīng)過驗證的合約和接口直接使用，使得應(yīng)用的建立變得更簡單也更安全。試想，一個傳統(tǒng)的借貸系統(tǒng)需要多么復(fù)雜，會有多少的安全問題，然而，在區(qū)塊鏈?zhǔn)澜?，借用已?jīng)誕生的應(yīng)用和模塊，你可以利用數(shù)百行代碼，構(gòu)建復(fù)雜的應(yīng)用，代碼量減少幾個數(shù)量級，安全問題也就更容易處理。

透明性和可追蹤性提升安全：也就是我們常說的Availability/Transparency和Tracibility。如果一個應(yīng)用的所有事物都被記錄，并能夠追蹤，其安全性就更容易把握。而這恰恰是區(qū)塊鏈的重要特性之一。

安全的另一個維度

業(yè)界有無數(shù)的安全公司，從不同的角度來處理安全問題，提出了無數(shù)的安全方案和設(shè)想。但如果我們要真的安全，必然做顛覆式的思考。提升一個維度來看問題。

從另一個角度來看問題，你會發(fā)現(xiàn)，新的范式下，以前你看見的問題都不再是問題了，自然地被解決了。一些新的問題還會出現(xiàn)，但是角度完全不同了。

傳統(tǒng)的安全更注重個體，如何保障個體的安全從而保證網(wǎng)絡(luò)的安全，它基于的基礎(chǔ)是，網(wǎng)絡(luò)是由個體組成的，沒有個體就沒有網(wǎng)絡(luò)；而對于區(qū)塊鏈而言，網(wǎng)絡(luò)是基礎(chǔ)，運(yùn)算、存儲、網(wǎng)絡(luò)鏈接等等不再依賴于哪一個個體，網(wǎng)絡(luò)就是網(wǎng)絡(luò)，每一個個體網(wǎng)絡(luò)構(gòu)建的細(xì)胞，它基于的基礎(chǔ)是：網(wǎng)絡(luò)是一個整體，個體依賴網(wǎng)絡(luò)而存在。每一個個體都可以隨意進(jìn)入或退出網(wǎng)絡(luò)，個體構(gòu)成的整體更重要，這就如我們身體的細(xì)胞，每天在更新，但人還是那個人，我們的記憶，發(fā)展都是延續(xù)的。

有了這個理解，安全就是一個整體的設(shè)計。區(qū)塊鏈中密碼學(xué)技術(shù)的廣泛應(yīng)用，所有事務(wù)和交易的強(qiáng)制驗證，代碼開源和共享，激勵機(jī)制的采用都在更上一個維度來建立一個更安全和更可信任的網(wǎng)絡(luò)。

（來源：網(wǎng)絡(luò)  作者：胡飛瞳）