NTS:安全計算的未來：區塊鏈比傳統應用更安全，最大的問題仍出在人和運營上 | 星球日報P.O.D大會

2018年9月5日，由Odaily星球日報主辦、36Kr集團戰略協辦的P.O.D大會在北京舉行。在主題為“安全計算的未來”圓桌論壇上，WXY創始人于迪作為主持人，和特邀嘉賓ARPA聯合發起人章磊、Points創始人張佳辰、Taxa創始人TFGuo、TRIASCTO魏明、Netta和FractalNets聯合創始人楊子江共同探討區塊鏈安全的若干問題。

核心問題：區塊鏈安全問題都分為哪些？原本用互聯網中心化手段解決的安全問題，未來有可能用區塊鏈解決，兩者是否會有一些矛盾？彼此之間會如何存續和合作？整個區塊鏈體系有很多安全解決方案，它們彼此之間該如何協調？如何統一？主要觀點：安全計算問題涉及各方各面，主要包括區塊鏈軟件自身的安全、存儲的安全、數據交易的隱私安全等。在實現上則有多種，包括用芯片以及可信環境來構造的軟硬件架構，也有純軟件協議。相比之下，芯片保護更安全，軟件方案則更直觀透明，較易增信。區塊鏈安全比傳統的安全更加高效和安全。區塊鏈安全的效率能讓損耗從過去10的5-6次方這樣，到現在只需要10這樣一個計算量，實現的效果是一樣的。更安全是因為它里面有很多錢；而且是去中心化的系統，不像傳統那種錢丟了還能再找回來，這個丟了就是丟了，所以它的安全級別即使是最基本的要求也很高。區塊鏈安全也沿襲了傳統PC和移動的安全，最大的問題一般出在人以及運營上。我們不能寄希望于普通開發者有很高的安全知識，所以每個底層項目應該定制自己的安全協議。你一定要用最成熟的東西，這才是安全的。區塊鏈所倡導的去中心化系統應該從哪里開始呢？我們應該去關注增量市場，以及現在中心化系統還沒有形成壟斷，非常需要去中心化補充的一些地方。————————————以下為論壇討論整理，enjoy：區塊鏈安全問題都分為哪些？主持人——于迪我先自我介紹一下，我是WXY集團的創始人于迪，WXY主要做區塊鏈領域的品牌管理、投行、投資業務。今天我想問在座專家的第一個問題是，區塊鏈領域安全問題頻出，大家認為，這些安全問題都分為哪些？哪些是底層的？哪些是運營層面的？以及大家各自在解決什么問題？TRIASCTO——魏明大家好。TRIAS做的是基于TEE的公鏈，主打功能是防篡改、防數據泄露。一般政府和企業，可能會買像BAT還有安全公司的防篡改系統。這些系統必定會有帳號體系，也就是所謂的上帝，這也是客戶想要的。但有個中心化的管理員就意味著很容易被篡改。所以我們先做了防篡改系統。第二個是數據泄露。一開始我們沒想要做這個，因為它并不像大家關心的像錢包那么直接。當時我們想的就是想拿防篡改系統去做數據存證和追溯。但當時我們接觸的要做數據上云的幾個大醫院，面臨一個問題，那就是大家都不想把自己珍貴的醫療數據跟別人分享，他們不信任任何一個公有云。哪怕中間有數據交換區的私有云，他們也不太認可。他很容易懷疑交換方到他那兒干了不該干的事，比如把他運營的私人信息偷偷發給別人去做分析。所以這塊業務，我們做了一個相當于數據交換區的硬件，讓整個環境有TEE這樣的安全措施進行保護。另外，企業的終端也全部用了我們做的智能合約，這樣就能保證他所有的程序執行透明，第三方也很難再在上面加腳本。Taxa創始人——TFGuoTaxa是一個Layer2的鏈下網絡，使用的也是TEE技術。通過我們平臺，去中心化應用將能在Layer2運行強隱私的智能合約。隱私領域的缺失在一定程度上限制了公有鏈的大規模應用，因此Taxa想在鏈下解決這個問題。Netta和FractalNets聯合創始人西密歇根大學計算機教授——楊子江大家好。Netta用的這種機制和現在的區塊鏈機制很不一樣，比如我們現在做的高并發，速度在3000個節點下已達到10萬TPS。能做到這一點是因為，我們做了數據流程而不是普通的數據和鏈，那么保證它的安全性就非常重要。對于安全性我們是這么理解的。首先區塊鏈本身就是一個軟件項目，那么它也有其他軟件所面臨的問題，比如bug很多。比爾蓋茨曾經問過一個問題，他說你們認為人類有史以來所創造的最復雜的東西是什么？很多人說宇宙飛船，很多人說高鐵、航空母艦，他說都不是，實際上是軟件，軟件是人造物中最復雜的東西，以至于沒有人能夠保證它的正確性。看看現在的工業軟件，每天有7個錯誤，為什么不把這些錯誤剔除呢？因為它太復雜了。我們可以用各種各樣的工具不斷測試它，但這只能證明軟件的錯誤性，不是它永遠正確的保證。現在很流行形式化驗證。但形式化驗證就能保證程序的正確嗎？你能從數學上證明程序的正確性嗎？實際上這不可能，因為你不能用一個算法證明另外一個算法的正確性。這是所有軟件面臨的一個問題。那么區塊鏈軟件和其它軟件的區別在什么地方？我認為是，因為它里面有很多的錢，所以絕大多數區塊鏈項目都更加注重安全。我們要做更多的測試、驗證，盡量減少它的錯誤。Points創始人——張佳辰大家好。Points想要實現的是個基于區塊鏈的安全多方計算協議，這個協議支持什么應用場景呢？可能和許多更加從底層出發的項目不同，我們針對很具體的應用場景，比如第一個應用場景是個人信用的評分和評價。這個場景有幾個和數據安全相關的問題，第一個是存儲安全。Points想的是，通過加密和數據混淆的方法，可以讓這個數據即使受到了攻擊，也不會暴露原始數據。第二個是數據交換。要怎樣可以讓真實數據在各個孤島之間流動起來呢？我們想的是，是不是能更多的從設備端本身收集更真實的原始數據，以及通過交叉驗證核實數據的真實性。更大膽的想法是，怎樣可以在不暴露原始數據的情況下，讓幾十個、幾百個甚至上千個數據源進行綜合性數據計算協作。譬如說計算一個人的個人信用分，會使用到包括教育、收入以及行為等等多元數據。那么要怎樣能在不暴露原始數據的情況下實現數據共享使用？這就是Points想要解決的問題。現在我們已經接入了10億多用戶相關的ID驗證數據，以及覆蓋5億用戶的信用變量部分的數據，所以說是比較注重場景落地的一個項目。與許多用硬件架構，包括芯片以及可信環境來構造安全多方計算協議的項目比，我們使用的是純軟件算法。盡管硬件方案有很多優點，但是從增加信任的角度講，軟件的方案能方便地讓一個普通程序員，或者普通用戶觀測具體是哪些代碼在執行。如果在芯片層進行計算的話，那么對于普通的生態伙伴和用戶來說，在理解上會稍微困難一些。所以我們選擇用一種更加直觀透明的方案。ARPA聯合發起人——章磊大家好！我是OasisLabs的聯合發起人章磊。OasisLabs也是做安全隱私計算的。之前一些嘉賓也介紹到了商業的數據交換的安全問題，如何讓兼具高價值和高隱私性的數據進行交易流通。我們也用了MPC技術，剛才很多嘉賓提到很多點都非常棒，我想說明的是，我們的優勢是什么呢？我們要做到的是任何函數，任何方程都能夠在這個空間當中進行編譯和計算。并且，計算結果是可以被驗證的，這個驗證從數學的角度出發，可以驗證它用原始方程做了計算，誠實輸出結果，也沒有盜取用于計算的數據。這點在一個Blockchain的項目里面是非常重要的，因為任何人都可以加入你的計算網絡去賺取計算費用，它有特別強的動機去欺騙你，所以怎么很方便的去證明你的確做了這件事情，是非常重要的。我們主要就是解決這樣一個問題。區塊鏈和互聯網安全會如何存續和合作？主持人——于迪好，大家剛剛提到了各自解決的問題。這里我有一個問題，在古典互聯網時代也存在數據和隱私的問題，那時是靠一些中心化的方式來解決。未來有可能用區塊鏈這種去中心化的手段來實現，兩者是否有一些矛盾？彼此之間該如何去延續、合作？我不知道各位是怎么看待這個問題，以及在大家各自的項目中是如何協調這樣一些矛盾的？Taxa創始人——TFGuo我們從兩部分來說，一般來說安全分為兩個部分：保全價值的安全和創造價值的安全。我們之前說的智能合約安全屬于保全價值的安全。大家都知道，安全是一個木桶原理，你整個系統的安全取決于它的最短板，這些板可能包括底層的密碼學算法、整個公有鏈的架構、上層智能合約的應用，以及運營方面人的因素。當然了，區塊鏈安全也沿襲了傳統PC和移動安全，最大的安全一般出在人以及運營的安全。這部分智能合約的安全，要比傳統應用的安全更加安全，因為它離錢實在太近了，而且它是去中心化的系統，不像傳統那種錢丟了還能找回來，這個丟了就是丟了。在這個領域，確實我們是有更高的要求。這個是保全價值的部分。然后再說創造價值，傳統安全是個性能指標，區塊鏈則多了一個功能指標，也就是說原來不能做的事，現在可以做了。盡管現在的智能合約只能處理一些公開透明的數據，但經過研究，我們能夠讓一些數據在隱私狀態下放進智能合約里，這勢必帶來更多的應用場景，這個是屬于區塊鏈中創造價值的部分。而Taxa主要瞄準的就是后者，我們能讓智能合約執行一些保證隱私的業務邏輯。Points創始人——張佳辰剛才主持人問我們說，怎么看區塊鏈和中心化系統巨頭之間的關系。這個讓我想到了另外一個問題，是這樣的，先說結論，我覺得選擇的切入點特別重要，不是所有切入點是一樣的。我們可以從哪里得到啟發呢？大家都知道中國電商的發展速度，包括它取代線下渠道的速度和程度，是世界上其他國家都沒有見到過的。這是為什么呢？當然有很多是中國電商企業的聰明才智。另外也是因為中國的傳統線下零售非常薄弱的，這一點在風投、互聯網企業大批涌入線下，投資新零售可以看出。它們的零售坪效有很多問題，因此中國線下零售從來也沒有出現過像好市多那樣的巨頭。所以，今天我們來看區塊鏈所倡導的去中心化系統應該從哪里開始呢？我們應該去關注那些增量的市場，以及現在中心化系統還沒有形成壟斷，非常需要去中心化系統補充的這樣一些地方。我們做了Points，很多人問我說，你做這個項目，你不覺得螞蟻金服、芝麻信用分已經很好了嗎？但是很多人不知道的是，即使到今天中國銀行征信也只覆蓋了3.8億人，而中國有14億人，螞蟻金服也僅僅覆蓋4億用戶，中國的征信用戶只覆蓋5億人，這當中還有非常多的殘缺。這對于像我們的股東中誠征信這樣的企業來說，也非常想看到一個去中心化的系統，對它進行補充和完善。醫藥研究也是一個我非常看好的SMPC的方向，因為中國的CRO在之前也非常不完善，現在在進行大量重建。在這樣一些藍海的地方，我相信會更易讓初創企業和那些已經擁有數據的機構協作起來，重新創造一個平臺。ARPA聯合發起人——章磊MPC這個技術本來由少數幾個教授在開發，現在變成了一個上百人全球協同發展。它的效率是讓損耗從過去10的5-6次方這樣，現在你只需要10這樣一個計算量就可以達到同樣的效果。所以說它是既安全又高效的。這些研究MPC的學者都集中在歐洲、比利時、以色列等地。包括兩個泰斗大師，他們的PHD都在我們社區里面給我們做密碼學的貢獻，所以我們會走的更加底層一點，去修改密碼學的協議，提升底層的效率，讓它變得更加實用和商用。這個趨勢越來越明顯，在今年全美最大的密碼學會議上，我們看到一半的議題都是關于這個方向的，所以我們很快就能看到，這個方向技術的落地，以及它和區塊鏈非常自然的結合發展。區塊鏈安全解決方案之間該如何協調？主持人——于迪下一個問題，在區塊鏈領域里面有個常用的比喻，就是如果把每一個公鏈當做一個國家來看的話，在這個公鏈上就會有很多城市，我在上面再加一個比喻，就是安全應該是這個國家的國防部隊。那么各國國防部隊怎么去解決安全問題，更重要的是這條公鏈自有的安全平臺、系統，還是說眾多的國家去建立一個集合的多國部隊、聯合部隊，共同解決區塊鏈安全問題？因為在整個區塊鏈體系中會有越來越多的安全解決方案，它們彼此之間該去如何協調？如何統一？TRIASCTO——魏明我說說我的想法，至少我現在看到的所有公鏈項目，包括我們自己做的，我覺得還不能成其為國防軍在給自己搞安全，這是實情。從現在實際鏈的運行情況看，如果你想靠一個組織把這件事情擔起來的話，我覺得還是比較難的。做安全一家很難，我建議聯合起來做，分工合作。Taxa創始人——TFGuo我給大家舉一個例子，OpenSSL(開放式安全套接層協議)是互聯網安全的基石，已經跨越了很多平臺，無論是操作系統還是硬件，這種安全底層已經有了一個成熟的統一標準。我們不能寄希望于普通開發者有很高的安全知識，所以項目更多的，是要自己定制一些有關安全的底層協議，你一定要用最成熟的東西，這才是安全的。與其自己寫，不如去用一些經過實戰檢驗的。我覺得從安全角度，最底層的安全一定要有統一的標準。Netta和FractalNets聯合創始人——楊子江對這個問題，你可能推論出大家建一個聯合部隊就好，用一個通用的工具解決所有問題，這恰恰是不對的，每一個公鏈都應該有自己的解決方案。這有兩個原因：你要不停的發現里面的錯誤，這就意味著你要有大量的計算，大量的代價放在里面，這就是為什么測試在軟件里占了50%的成本。測試是非常重要的一個過程，針對于每個特定項目，你要根據項目特點來設計你的測試，挖掘里面的漏洞，才是最有用的。換言之，你不能夠用一個通用的工具，去做所有的測試。當然它里面的技術可能是通用的。每個項目對安全性的要求是不一樣的。比如一個軟件用在自動駕駛里面，自動駕駛軟件的錯誤是會致命的；但如果你用一個微軟的操作系統，它出錯了，你把機器重啟一下就可以了。所以每個軟件對安全的要求是不一樣，在這之上，你付出的代價也不一樣。對于自動駕駛來說，安全問題是要不惜代價解決的。Points創始人——張佳辰安全也可以從橫向和縱深兩個維度來看。舉一個現實世界中的例子，每個國家都會有自己的軍隊，他們有不同的分層，包括片警、武警、國防軍；上升到聯合國則可能有安理會、維和部隊等，在不同的層面解決不同的問題。同時，在相似的層面當中，安全保障這件事本身是要有專人承擔的，因此我們對自己的目標是，對通用的問題給出可配置的方案。ARPA聯合發起人——章磊我覺得大家需要分清兩點，安全包括了網絡安全、數據安全以及隱私安全，所以我們說安全的時候要知道，我們指的是哪些。回到主持人的話題，我們OasisLabs是做安全隱私計算的一個底層協議，它能用在任何一個Blockchain上，讓它從0到1具備隱私計算能力，那么對于需要這種功能的人來說，他就多了一個選擇。舉個實際例子，之前我們沒有辦法把我們個人隱私數據放到網上交易，我們也沒有辦法把現實當中的個人數據和一個虛擬的Blockchain錨定，因為這太不安全了。但有了隱私計算這個問題就能得到解決。

安全團隊：DeFi 借貸協議 Sentiment 大部分被盜資金仍在攻擊者地址:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月5日，

DeFi借貸協議sentiment協議遭到攻擊，損失約1百萬美元，Beosin Trace追蹤發現已有0.5WBTC、30個WETH、538,399USDC和360,000USDT被盜，目前，大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。

攻擊交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d

Beosin安全團隊現將分析結果分享如下：

1.攻擊者首先調用Balancer Vault的“joinPool”函數進行質押。

2.然后再調用“exitPool”取回質押，在這個過程中，Balancer Vault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中，攻擊者調用0x62c5合約的borrow函數，該過程需要根據Balancer Vault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的\"exitPool\"過程中，pool中總供應量已經減少而數據還沒有更新，攻擊者利用這個數據錯誤從而多借出資產達成獲利。

攻擊者收到消息，如果在4月6日8點（UTC）前歸還資產，會獲得95000美元獎勵，并不會被追究。[2023/4/5 13:45:50]

安全團隊：Whisbe Vandalz項目Discord服務器遭到攻擊:金色財經消息，據CertiK監測，Whisbe Vandalz項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接，鑄造或批準任何交易。[2022/10/16 14:29:24]

安全公司：Jump Satoshi Token項目中留有后門，處于高風險狀態，請用戶及時提取資產:金色財經消息，據成都鏈安技術團隊分析，發現Jump Satoshi Token項目中留有后門，項目方可以通過合約中的Approve函數更改代碼實現地址。項目方的后門權限地址為0x23A15A374B0f5f20625B7D53666dF1Fe82b2916f，并已將實現地址更改為0x7d62b05bdf8fa07d8b3b8b9f315371aa91098f58。目前WBNB-JST交易池中存有3681586個WBNB，并處于高風險狀態。請用戶及時提取資產，以避免項目方利用后門盜取資產。[2022/4/26 5:12:38]

Cream發推稱CREAM v1資金是安全的 但隨即又刪除推文:Cream.Finance剛剛再發推更新漏洞事件進程稱：CREAM v1資金是安全的。但隨后官方又將該推文以及上一條暫停IronBank資產借款的推文刪除。[2021/2/13 19:41:24]

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到，門羅幣修復新型假充值攻擊漏洞，問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一，如果使用了這個機制來接收用戶的匿名轉賬，攻擊者可以向隱身地址發起惡意構造的重復轉賬，交易所錢包沒對這些重復轉賬進行正確性校驗的話，就可能會導致“假充值”攻擊發生，從而造成嚴重損失。[2018/9/27]

Tags：區塊鏈OINNTSPOINT區塊鏈存證平臺kucoin成都公司名稱redFireAntspoint幣怎么了

PEPE