区块链安全一直是区块链发展进程中至关重要的议题。如何设置更完善的KYC和AML系统、如何防止私钥被盗、如何实现去中心化数字身份确认等等,都是我们需要日益关切的问题。
本期《CBC100》邀请到黄连金老师为我们解析区块链安全中的9个主要问题。
1.?智能合约
智能合约是区块链中最重要的技术之一,其特征是可以锁定大量资产且在发布后不可更改,但智能合约是开源的,如果被黑客研究出代码的漏洞,则会出现资产流失等问题。在整个区块链发展中,大部分的安全事件都与智能合约漏洞有关,由于智能合约的安全问题而造成的资产损失量不可小觑。
在智能合约的安全审查中,需要关注是谁写的、是否通过第三方审计、是谁将其发布上链、合约地址的私钥由谁掌握以及是否可以升级等方面。智能合约的编程需要遵循开源的最佳实践。例如云安全联盟大中华区最近发布的《智能合约安全指南》白皮书和机械工业出版社的《区块链安全技术指南》的第三章内容。
报告:CME的6月份比特币期货交易量创下历史新高:金色财经报道,根据CCData的数据,芝加哥商品交易所(CME)的6月份比特币期货交易量创下历史新高,增长28.6%,达到379亿美元。比特币微型期货(MBT)也实现了两位数的增长,交易价格达到7.02亿美元,增长了21.1%。这些合同规模较小,通常价值仅为标准合同的十分之一。在CME的比特币期货案例中,这一比例为1/50。
报告指出,BTC合约交易总量为264,323份,较上月增长22.7%。[2023/7/6 22:20:27]
2.?数字钱包
数字钱包是数字货币和区块链应用的入口,且包含了私钥。
区块链的数字资产是链上资产,而拥有这些数字资产的人就是私钥的掌握者。也可以将钱包理解成是存储私钥的地方而非数字资产的地方,因为谁拥有了私钥,谁就拥有了该私钥地址下所有的数字资产。因此,如何保护私钥的安全是区块链安全问题中研究的重要领域。
数据:USDC市场份额已从34.88%下降至23.05%:金色财经报道,在过去1年中,USDC市场份额已从34.88%下降至23.05%,市值从550亿美元的峰值跌至290亿美元。BUSD的市场份额从11.68%暴跌至4.18%,而Dai将其参与率保持在3.66%,低于2022年5月的4.05%。而USDT走势相反,稳定币市场主导地位从一年前的47.04%上升到65.89%。其市值飙升至831亿美元、
在最近接受彭博社采访时,Circle首席执行官JeremyAllaire将稳定币市值下降归咎于美国监管机构对加密货币的打击。美国当前的环境似乎对Tether有利。[2023/5/29 9:48:02]
不同类型的数字钱包,其安全需求是不同的。因此,我们需要了解各类型钱包的情况以及私钥、公钥和密码、签名等之间的关系,这样才能更全面的解决钱包安全问题。关于钱包安全的问题,大家可以参考云安全联盟大中华区最近发布的《数字钱包安全开发与应用实践》
Celsius希望聘请前首席财务官担任破产程序顾问:金色财经报道,加密货币贷方Celsius Network已提交动议,聘请前首席财务官Rod Bolger担任顾问,以帮助其破产程序,8月8日将举行听证会审议该动议。?Bolger在公司工作了短短五个月,然后于6月辞职。他取代了去年11月因涉嫌与加密货币有关的欺诈而被捕的Yaron Shalem,后来被Chris Ferraro取代。?
根据向纽约南区美国破产法院提交的动议,Bolger于6月30日提前八周发出通知。该动议称,Bolger将在至少六周内每月获得 120,000 加元(93188 美元)的报酬。它表示,该协议将为Celsius提供在前所未有的时期内急需的会计和财务专业知识。?(theblock)[2022/7/27 2:39:52]
3.?共识算法
区块链如果作为计算平台,那么它有别于其他计算平台的主要特征是共识算法。不同的节点或者服务器对于一个交易进行确认,决定这个交易是否发生、发生的顺序,交易是否合理、是否双化的算法就是共识算法。共识算法有很多种类。有传统数据库的共识算法,例如RAFT,?PAXOS,这两种算法的主要特征是Crush?Tolerant也就是可以容许出现宕机,当其中一台机器宕机,还有别的机器在运作,可以用?RAFT或者PAXOS作为底层的共识算法保证分布式系统的正常运行。但是当这些传统算法遇到恶意节点时,传统的共识算法就会失效。因此需要能够容错的算法,例如比特币的POW算法,就可以防止一些恶意节点,其可以容纳49%的恶意节点;同时还有在联盟链中通常使用的拜占庭容错,可以容纳少于33%的节点错误。而以太坊2.0使用的权益证明和EOS上的DPOS也可以容许一定量的节点错误。
推特:马斯克收购交易的HSR审查等待期已过:金色财经消息,推特周五表示,HSR监管等待期已经到期,这为埃隆·马斯克提出的以440亿美元收购该公司的交易扫清了一项障碍。
推特在声明中表示,《哈特-斯科特-罗迪诺反托拉斯改进法》(HSR)的等待期于周四夜间11:59结束,而这也是交易完成的条件之一。完成交易仍需得到推特股东和其他监管部门的批准。
根据HSR,马斯克和推特必须要通知联邦贸易委员会和美国司法部的反垄断部门对交易进行审查。除非该法律规定的等待期结束,或者政府批准提前终止等待期,否则不得完成交易。[2022/6/3 4:01:05]
在共识算法安全问题的研究中可以从四个不同角度进行思考:
1.在网络质量方面研究其安全性和活性。安全性即不会双化,而活性则是指所有合理的交易都会被记录在链上。
2.最终确认性。有些共识算法没有最终确认,例如POW是基于概率的确认性,而拜占庭容错确认则为最终确认。因此从这个角度看其安全和活性,所用的假设都不一样。
索尼音乐成立RCA唱片大中华区分部,将探索NFT和元宇宙等领域:5月20日消息,索尼音乐娱乐公司(Sony Music Entertainment)为其美国唱片公司RCA Records成立大中华区合资公司,以探索流媒体、NFT和元宇宙的机会。
RCA Records Greater China将在艺人管理和Web 3.0领域招聘关键员工。据悉,签约艺人包括歌手王嘉尔(Jackson Wang)、黄丽玲(A-Lin)。(Forkast)[2022/5/20 3:30:13]
3.区块链不同类型私有链、公链、联盟链的共识算法都不一样,应用场景也不同,其中安全性和活性也都不一样。
4.从Game?Theoretical博弈论的角度考虑算法安全性和活性。
目前共识算法的安全性和活性的研究在学术界和区块链初创企业都获得广泛的重视。作为云安全联盟区块链安全工作组的成员单位,北京大学正在这方面展开研究。
4.?交易所
价值交换和价值实现的地方,因此也常收到黑客的攻击。云安全联盟对于经常出现的交易所安全问题进行分析,在2020年12月发布了《数字货币交易所Top10安全风险》可以作为从业者和用户的参考。
5.?DAPP和?DeFi
DAPP就是去中心化的应用。今年大部分去中心化应用都出自DeFi。
去中心化金融很火,但却频发Rug-Pull即项目跑路等问题,当然除此之外也存在自身通证设计的安全问题。DeFi项目需要注意三方面的安全,第一就是智能合约的安全,第二就是通证经济设计方面的安全,第三就是监管的安全。智能合约的安全前面已经提到过。这里就说一下通证经济和监管的安全。如果通证经济没有设计好,会造成死亡螺旋的问题。就是你价格越低,参与的人越少,然后逐渐的就价格就归零了,或者趋近于零,这就是死亡螺旋,你怎么样去避免死亡螺旋,促进价格和生态可持续的发展,这个其实是通证经济与DAO设计的一个关键。或者因为通证经济设计参数方面有漏洞,可以被黑客利用。总体来说DeFi的90%的项目,因为有可能会因为共识不够,通证经济设计不合理,可能技术还可以,但是最后还是要靠生态,靠通证经济,因为它是多学科的领域,其中某个领域没做好,最后可能不能成功偃旗息鼓。DeFi第三方面的安全:是监管安全。现在DeFi生态还小,监管还没有开始。但是到某个程度就要受监管,那么有些如果不符合监管的话,整个生态会受到打击,所以这个风险就严重了。比如去中心化交易所EtherDelta项目被美国政府罚款是一个例子。需要注意的是DeFi项目最终都一定要符合本地的监管,所以首先项目需要有自律的精神,绝对不能够去做非法的一些事情。DeFi要能够真正地进行发展,一定要有行业的自律,现在国内有一些DeFi的仿盘,内在还是中心化的,不是去中心化,有可能会圈钱跑路的,所以大家要小心,保证好项目的安全工作,及时规避风险。
6.?去中心化数字身份
数字身份是保障数字经济安全的信任基石,业界目前的数字身份体系一般都
是中心化的,区块链作为解决可信问题的分布式技术,给数字身份自治的场景打开了天窗,比如减少云计算中心化身份数据大量聚合的泄露风险,在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。去中心化数字身份的标准是W3C正在开发的一系列标准,包括DID数据模型,DID方法,DID通讯等等。利用DID标准来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题,开源组织云安全联盟在2020年9月发布了《用户自治数字身份安全白皮书》可以作为参考。
7.?网络安全
区块链中点对点网络的安全非常重要。数据隐私保护,点对点传输的数据如何进行加密并保证数据通畅和不被篡改。在加密过程中,是否可以用零知识证明,或同态加密、多方安全计算等。北京理工大学作为云安全联盟区块链安全的成员单位正在这方面展开研究。
8.?数据层
区块链数据层次包括链上和链下的数据,数据的保密性,完整性和可用性是数据安全需要关注的问题。区块链本身的不可篡改的安全属性在区块链数据的完整性方面作出非常好的保证。但是在数据保密性和可用性方面,需要做进一步的研究。对于区块链数据进行分类和安全与隐私方面的需求进行分析是利用区块链发挥数据价值的必要条件。云安全联盟区块链安全工作组成员单位武汉大学在这方面正在开展研究。
9.?AM和数字货币溯源技术层
通过大数据研究的方法,对可疑、非法、、恐怖主义融资等不正常交易进行标注,并提供给政府相关部门协助进行整治。关于这方面的内容,建议大家看一下,云安全联盟最近发布的《数字货币溯源技术白皮书》。
总而言之,在这9个方面中,智能合约是使得区块链能够真正用于实践的工具,但在安全方面却一直未受到重视;而钱包作为各方面应用的入口,安全问题也绝对不容小觑。而对于共识算法而言,安全性和活性格外重要。交易所安全事件同样频频发生,因此解决交易所安全问题以及DAPP、去中心化数字身份,网路层次和数据层次和AML安全问题同样刻不容缓。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。