以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Uniswap > Info

EOS:你居然還以為區塊鏈更安全,我也是醉了

Author:

Time:1900/1/1 0:00:00

警鐘早晚是要到來的。深諳媒體套路的360對EOS打的一個響指,像區塊鏈領域的一顆深水炸彈,喚醒了圈內人對公鏈安全性的重視。所謂“安全”似乎永遠是一個薛定諤的狀態。畢竟一個系統被攻破之前,你永遠不知道它是否安全。歷史總是重演。就像當年PC和移動互聯網時代一般,新生事物出現之初野蠻生長;隨之節點到來,安全事件爆發,行業開始被動關注安全問題;最后安全方案成為標配。目前,區塊鏈領域似乎就處于這樣的節點:BTG遭到雙花攻擊、BEC智能合約出現重大漏洞;幣安遭到黑客攻擊,OKex網站出現漏洞;360如此大體量的互聯網安全公司開始關注一個公鏈的漏洞,無疑也襯托出區塊鏈和EOS網絡的巨大影響力。數家安全創業公司在此后宣布獲得融資。區塊鏈安全問題似乎瞬間得到了重視。實際上區塊鏈領域的安全問題存在已久。對技術不明所以的吃瓜群眾,似乎天然對區塊鏈的安全有著蜜汁自信,認為資產放在鏈上就不會丟失,但此前曾發生多起交易所私鑰被盜案件;也有人鼓吹將私鑰放在自己手里最為安全,臺面上是更多的個人私鑰被盜、丟失等案例。在破解這個迷思之前,我們來聊聊比特幣的精巧設計。一位名叫中本聰的密碼學專家,在神秘的“密碼朋克”郵件系統中發布了比特幣客戶端,創造了一種新型的數字黃金。其沒有任何發行主體,也就是任何人都不能增發,其資產價值和歸屬基于共識,共識背后是數學。“有句話叫CodeisLaw,我認為code的本質不是代碼,而是數學。數學就是上帝之手,是自然界的真理。”網絡安全公司知道創宇CEO趙偉如此對Odaily星球日報感嘆。P2P網絡+PoW共識機制+激勵機制,使得這個系統似乎變得牢不可破。中本聰在白皮書中計算出的這個系統的安全邊界,便是有人掌握了51%算力即可隨意篡改賬本。然而,PoW的存在會讓這個攻擊變得得不償失,何況51%算力持有者更是網絡的最大利益相關者,為了自身的長期利益,他甚至愿意放棄壟斷算力來維持網絡的健壯性。趙偉說:“我第一次看到比特幣的時候,我覺得很容易攻擊,但是他加入了工作量證明,我覺得對黑客來說簡直是噩夢。”中本聰大概并無設想到礦機的出現,與PC相比一騎絕塵的礦機算力,“算死”了后來無數小幣種;卻又吊詭地讓比特幣網絡的算力增強,攻擊門檻更高。從區塊鏈1.0到3.0,安全性在退步購買力無法被任一發行主體隨意調節,賬本無法被篡改,只有掌握私鑰的你,才能處置你的資產。信仰者認為這就是“真正掌握了自己的資產”,這是一種資產無法被剝奪的安全。這就是區塊鏈1.0——比特幣。這個系統一直運行至今。即便它已經堵塞得讓人發指,卻從未被攻破。區塊鏈2.0未能如此牢固。名為VitalikButerin的少年希望在比特幣網絡之上增加智能合約,遭到了比特幣團隊的拒絕。于是他在2013年到2014年間自行創立了以太坊:一個可以運行智能合約的分布式網絡。圖靈完備的智能合約帶來了巨大的靈活性,也帶來了安全問題。此后,基于以太坊的智能合約被多次曝出漏洞。其中最大的是2016年6月黑客通過組合漏洞攻擊TheDAO項目,盜走價值數千萬美元以太坊,以及當年10月的DOS攻擊,分別導致了以太坊分叉。直至今天,以太坊的智能合約仍存在數千尚待解決的漏洞。可以說,越是靈活的智能合約,功能強大,也越容易出現漏洞。一些新型公鏈為了安全性,甚至犧牲了合約的圖靈完備。“主要是虛擬機不是設計來這么用的。虛擬機不是專門設計用來處理資產的,可是以太坊和EOS等公鏈卻用它來處理資產。”趙偉解釋,處于安全性考慮,資產和用戶功能的處理應該分開,資產處理和變更應該由單獨的引擎來處置。“這個過程是原子化的、事務性的,中間不能打斷。比如我正在收銀,你不能讓我去擦桌子。可是在虛擬機里,則存在重入漏洞。”雖說區塊鏈3.0仍未正式到來,但把EOS看成3.0代表的人還不少。“到了第三代,EOS為了TPS,引入了DPOS機制。”在趙偉看來,這已經不僅有跟以太坊的智能合約類似的“代碼安全”問題,而是在架構上棄安全于不顧,甚至已經不能算是真正的區塊鏈。“P2P網絡才是真正的區塊鏈。”“越來越中心化,導致黑客很容易攻擊。在網狀結構中,有一兩個節點被搞定,網絡依然能夠繼續正常運行。可是在樹狀網絡結構中,21個節點背后可能是7-8個人,被恐怖分子一抓,網絡安全性不復存在。所以說,網絡安全不安全,看誰說了算。POW就是礦機說了算,就是數學背書,數學就是上帝之手,智能就是法律執行的一種。”因此,從區塊鏈1.0時代到3.0時代,趙偉認為在退步。“安全性在退步,但是更易用。易用性上是在進步的。”

支付解決方案Poko完成450萬美元種子輪融資:6月15日消息,支付解決方案Poko宣布完成450萬美元的種子輪融資,Y Combinator、Goodwater Capital和Global Founders Capital等參投,Poko計劃為錢包、錢包即服務提供商提供無摩擦支付。[2023/6/15 21:39:07]

以太坊主要安全漏洞整理區塊鏈帶來安全,也帶來安全挑戰比特幣所構建的資產安全,是一種資產不被剝奪,價值基于共識,發行主體無法操控的安全。這并不是一種大眾可以簡單理解的“安全”,更不意味著大眾所理解“安全”在此處已被完全消弭。大眾所理解的安全是“我不丟幣”。實際上,資產不被竊取的前提都建立在私鑰不丟的前提下。比特幣給予資產所有者的,是一種權利。想掌握自己的資產,就得自行承擔保管私鑰的責任。而大部分用戶并不一定有意愿或能力承擔這種責任——自己保存資產,還不如放在有品牌保證的大交易所里來得安心。安全是要付出成本的。正如比特幣為了保證記賬系統的安全性,耗費了大量的算力。趙偉認為,其所帶來信息的公開透明、不可篡改、不可刪除,也對安全有很大的作用。然而,從另一方面看,比特幣的匿名性、獨立于法幣系統之外的自由、以及技術門檻,都對其資產保護提出了挑戰。他總結了五點:1、首先區塊鏈資產在大多數國家不受法律保護,機關和銀行也都沒有備案。2、區塊鏈的匿名性,使得幣一旦丟了難以追蹤,你不知道誰偷了,也無法證明資產是你的。3、保護區塊鏈資產有一定技術門檻,用戶很難保護自己;加上資產價值基于技術,一旦技術被操控,黑客可隨意偷取利益,資產價值成零。4、生成與分布式數據庫上的資產表面上安全,但是行業中交易所、托管錢包、礦池等企業的系統是集中化的,是黑客攻擊的目標。與傳統的交易所相比,數字貨幣交易所的KYC做得不好。“在室內做安全,還是在曠野是不一樣的。獲得了自由,也更難做安全。區塊鏈就是曠野。”5、生態不完整,空氣幣頻現,空氣幣的目的就是圈錢套現,不可能好好做安全。這一方面導致劣幣驅逐良幣,好好做安全的優質幣種反而不受重視;魚龍混雜的空投信息竊取用戶數據,之后信息泄露用于撞庫,危害用戶其他資產的安全。網絡安全越來越重要,但中國企業對此重視遠遠不夠時至今日,互聯網已經不是那個“信息傳遞的工具”。趙偉認為,網絡安全的目標隨著互聯網用途改變也一直在變化。“第一步是用來娛樂;第二步用于通訊和社交,繼而是電子商務;第三是你的資產在網上處理。”在PC互聯網時代,擁有PC的人有限,中后黑客獲取的信息有限,不過是讓我電腦中變慢、宕機。移動互聯網時代,我們的日常生活、資金管理、身份認證,都在手機上運行;安全的主題變成個人隱私、資金和密碼的泄露。到了區塊鏈時代,技術就是資產本身,代碼的漏洞就是資產的損失。趙偉表示,知道創宇關注的是全生態,此前主要關注錢包和交易所安全,因為這兩者一旦崩潰,業內影響巨大。公鏈安全則是這幾年來出現的新問題,“公鏈安全確實比較麻煩,很難改,一旦要改只能硬分叉。”區塊鏈的資產屬性注定黑客對其虎視眈眈,其對安全的需求應該更為強烈。然而中國互聯網企業卻未給予足夠重視。報告顯示,中國信息安全投入僅占IT行業總投入的1%-2%,遠不及歐美國家的8%-14%。這與國內金融數字化與互聯網發展階段有關;同時對比起歐盟等國家,國內對個人隱私的保護還不夠重視。趙偉表示,《網絡安全法》對行業發展有促進,但效果還需要逐漸體現。“報漏洞有時候也沒啥報酬。所以安全行業很痛苦,明明黑別人可以賺大錢。”安全公司可以做滅霸,但他們不愿帶自己的無限手套。這也許我們就能理解,為什么應該審慎而負責任曝光漏洞的360,會用一種“史詩級”的姿態將其公之于眾。既然我不能像滅霸一樣“殺敵一千”來展示漏洞威力,只能用這種嘩眾取寵的方式倒逼企業了。根據專訪內容,我們以問答形式將內容整理如下:Odaily星球日報:從安全的角度,你怎么看待目前的區塊鏈行業,比如交易所、公鏈、錢包等,他們的安全級別跟傳統互聯網產品比怎么樣?趙偉:我先講下整個區塊鏈的演變。首先,比特幣公鏈的出現基于三點,平等的點對點網絡、共識算法、區塊鏈賬本。后來變成以太坊,更容易發幣,加入了智能合約,分成網絡層、共識層、合約層三層。EOS更是引入DPoS,提高了TPS。功能復雜化之后導致了一些問題:1、網絡層不是那么點對點和平等,結構是樹狀而不是網狀;2、以太坊、EOS等網絡上加入了運行智能合約的虛擬機,但虛擬機不是設計來這么用的。處理資產變更應該是有單獨的引擎,應該是原子化的,中間不能打斷。比如我正在收銀、你不能讓我去擦桌子。現在的區塊鏈雖然速度快,但在安全上絕對是倒退的。不過,應用和用戶體驗上,以太坊和EOS是進步,你不能老把保險箱扛著。在區塊鏈技術之上,則是礦機、礦池、交易所、冷熱錢包等,其實沒有什么特別,為了用戶體驗,他們都是很中心化的。他們就算想改,但為了資金沉淀、速度、用戶體驗等,都不可能用分布式架構。這時候安全性不再只是區塊鏈的安全,而是區塊鏈生態的安全。比如礦機礦池容易被DDos,被入侵、被修改地址;交易所的安全又分為技術、業務、商業、合規性安全;錢包有分中心化和去中心化,冷熱之分,需要保護私鑰。安全是木桶,任何一環短板都會帶來問題。分布式架構不太可能達到一定體驗?趙偉:POW夠嗆,我認為利用側鏈、分片技術、閃電網絡提速是比較有希望的,但大家為了TPS都想自己做有點中心化的鏈。所以,你覺得區塊鏈是不應該做應用?不能這么說。公鏈分好多種,從不同的維度看,有不同分類。包括從網絡構建看,是不是P2P的平等網絡;從共識機制角度,有工作量證明,有權益證明。區塊鏈本身就是一個流水賬賬本,個人保留自己的數據是不合適的,數據不能保留在本機上,都是在線上。現在很多的區塊鏈已經不像第一代的區塊鏈。P2P網絡才是區塊鏈,后來為了應用追求TPS改變了網絡結構,帶來了新問題。我認為跑智能合約的鏈不適合作為資產,而是通證。現在資產屬性在變化,所以安全防護在變化。我們做安全盡可能做到比敵人先一步,但是很難,所以往往是慢一步,案例見多了,你可能也就知道。Odaily星球日報:那你覺得區塊鏈安全跟傳統互聯網安全的差異點在哪兒呢?趙偉:大致有五點。Odaily星球日報:有人認為把數據放在區塊鏈比原來更安全,因為不會丟失、也不可篡改,你怎么理解這種安全?分布式架構比集中式安全在哪?此外是私鑰的保存,你怎么看待把安全責任交給平臺和讓用戶承擔兩種模式?趙偉:比特幣出現的背景是,2008年金融危機之后,美國政府大幅發幣、割韭菜,民眾手中貨幣的購買力在下降,你無法保護自己的資產。原來金子你可以放家里,但如果你自己拿著,風險很大,就像在美國西部時代,隨時有人來搶奪,這是你自由的代價。可是如果你放銀行,銀行可能會亂發,比特幣則想將其變成一個數學來背書的機制,建立共識很重要。區塊鏈不是一個復雜的技術,不是改變生產力,而是改變生產關系。區塊鏈技術擁有幾個特性:匿名、不可篡改、不可刪除,這本身就促進了安全性。理念上改變的是共識機制。因此,這里涉及到兩方面的安全性,一方面是非洲小政府,一旦政府倒臺了,貨幣沒有了為其背書的機構,這是購買力方面的安全,能確保你真正擁有你的資產安全,這是一種自由。比特幣通過共識機制實現了這種數字黃金式的自由。你拿到這種自由之后,就有黑客的風險,面臨的安全風險。如何儲存實際上要看你的技術水平和資產大小。對于普通人來說,交給專業機構才是更安全的。因為:1、資產丟了以后沒有辦法恢復,這是比特幣的匿名的特性。這導致你的身份和你的幣權是脫節的。2、區塊鏈就是你自己是你自己的主人,沒有辦法國家保護。3、數字貨幣本身又面臨著黑客攻擊問題。4、虛擬資產還有繼承問題。5、很難存儲。冷錢包稍微安全一點,但很容易丟,電池會漏液。丟了我還幫客戶恢復。Odaily星球日報:從互聯網歷史發展來看,你覺得網絡安全的重點有什么變化?你目前比較關注區塊鏈行業的哪些風險點?趙偉:安全就是保護大家,隨著互聯網用戶的擴展,其目標一直在變化:互聯網第一步是用來娛樂,第二步商業、溝通,電子商務網站;第三,你的資產整個在網上辦理。所以安全越來越重要。目前,比較關注錢包和交易所,交易所一旦奔潰,業內影響巨大。至于公鏈安全,“確實比較麻煩,很難改,一旦要改只能硬分叉”。我們一直在關注,我們不是公布出去,都是報給項目方。一般項目方會很重視,都會很重視。不過,報漏洞也沒啥報酬,有時候雷聲大雨點小。所以安全行業很痛苦,明明黑別人可以賺大錢。Odaily星球日報:你曾經多次公開批評EOS,為什么這么不爽EOS?趙偉:EOS太過分了,首先他是個公司不是社區,他收錢,錢打在一個離岸的公司上;但是他不服務,他說EOS發布之后的所有安全問題他都不負責,甚至不保證一開始發行的EOS就是后來公鏈的貨幣;錢的用途也不透明,把錢提走之后也不說明。以太坊則不一樣,更為透明,而且說清楚有百分之多少的錢用在哪里。EOS簡直是我收這個錢不一定做這個事。Odaily星球日報:你認為未來區塊鏈技術面臨的潛在安全危險是什么?趙偉:有抗量子計算,所以量子計算不是問題,最大的問題是POW太耗能,但是新型的POS等共識算法是人治,越來越中心化,導致黑客很容易攻擊。網狀結構中,你把這幾個點搞定,網絡也還是繼續運行;DPoS機制,21個節點背后可能是7-8個人,被恐怖分子一抓,要他做什么都做了。因此,網絡安全不安全,看誰說了算,POW就是礦機說了算,礦機就是數學,數學就是上帝之手,智能合約就是法律執行的一種。有句話說codeislaw,不是代碼就是法律,而是數學。然而,代碼都是程序員寫的,可能會出錯,所以需要形式化驗證,也就是用數學來做審計。我設計過通用的代碼審計系統,之前沒有人用,現在爆發了,因為現在程序是錢本身。可是,這個程序的設計還存在一定問題。程序其實一個函數,就是滿足什么條件,我就做什么。那么我怎么證明這個函數沒有問題,我需要描述。這時候就需要一種描述智能合約的語言,就是形式化語言。在智能合約很簡單的時候,大家都能看出來,可是一旦復雜了,就需要用到形式化驗證,而且形式化語言大家都不會用,因此安全公司幫你搞定,最后變成一種服務。Odaily星球日報:怎么評估一個漏洞的重大級別?趙偉:業內有一個標準。破壞力級別從低到高分別是,導致信息泄露、DDOS攻擊、資產轉移。不過對漏洞的評級是很難的,有的小漏洞組合在一起就變成大漏洞,所以都要重視。Odaily星球日報:知道創宇參與發起了一個區塊鏈行業安全聯盟。為什么安全行業需要成立一個聯盟?趙偉:首先業內對報漏洞沒有形成共識和標準。第二,很多時候安全聯盟并非是技術上的聯盟,而是社會上的。比如打擊空氣幣,需要運用國家法律和社會支持,法律上需要取證、部門方面要配合。其實報個漏洞,從整個行業來看,都是小事,因為有些問題,技術、管理都能解決,但是更多的其實是社會問題,這才是大問題。Odaily星球日報:中國網絡安全產業跟國外比較發展如何?趙偉:我們在基礎安全設施發展不太完善,這跟人的意識有關,大家還缺少風險意識,不會在安全上投資。歐美公司會把自己的錢的百分之多少,固定放在安全上,但是中國公司在這方面則是能省則省。主要原因可能是國內在網絡上的個人資產以前確實比較少。歐美民眾有數字資產。這跟社會的金融數字化和互聯網階段有關。另一個原因是國家法律重視度不夠。歐盟有GDPR,國內在《網絡安全法》對行業發展有促進,但效果還需要逐漸體現。我是Odaily星球日報編輯盧曉明,探索真實區塊鏈,爆料、交流請加微信lohiuming,煩請備注姓名、單位、職務和事由。

GMX 將集成Chainlink的低延遲定價預言機:金色財經報道,據Chainlink官方推特,Arbitrum生態上去中心化衍生品協議GMX社區以 96.28% 的贊成率正式通過了一項提議,將 Chainlink 的低延遲定價預言機集成為鏈上投票的啟動合作伙伴。這種集成將增強 GMX 衍生協議的安全性和用戶體驗。[2023/4/25 14:25:00]

邁阿密市長:仍在以比特幣形式接收工資:金色財經報道,美國邁阿密市長Francis Suarez在CTH Gruop和該市共同主辦的Miami Web3峰會上表示,盡管市場持續波動,他仍然以比特幣形式接收工資。Suarez在一年多前首次表示,他將成為第一位接受比特幣正式工資的美國政客,并在比特幣價格創下68,789美元的歷史新高前幾天宣布了這一計劃。自Suarez首次宣布該措施以來,比特幣已下跌約76%,但他指出,他作為市長的薪水并不是他唯一的收入來源,他還有律師和私募股權公司的工作。

Francis Suarez在峰會中表示,“Web3和加密貨幣將繼續存在,我們必須記住這項技術是新的,并不是每一次迭代都會成功,并不是每家公司都會成功。”(The Block)[2022/11/30 21:10:46]

派盾:偽造推特賬號@Aptos_Fond發布虛假空投鏈接,提醒用戶請勿上當:11月4日消息,派盾發布提醒稱,推特賬號@Aptos_Fond是一個偽造的Aptos帳號,其主頁上的aptosfond[.]org是釣魚網站,提醒用戶切勿點擊虛假空投鏈接。[2022/11/4 12:17:30]

美國法官稱Robinhood將面臨市場操縱索賠:金色財經報道,美國法官周四裁定,Robinhood Markets Inc (HOOD.O) 必須面臨市場操縱指控,理由是其在 2021 年“meme stock”反彈期間對交易施加的限制。邁阿密的美國地方法院法官Cecilia Altonaga裁定,九只股票的投資者可能會對 Robinhood 提起集體訴訟。涉及操縱索賠的股票包括GameStop Corp (GME.N)、AMC Entertainment Holdings Inc (AMC.N)和其他不尋常的股票。這些股票聲稱這些限制人為地增加了股票的供應。

Robinhood Markets在2021年的meme上漲期間暫時禁止客戶投資這些股票,因為這些股票的市場變得如此之高。[2022/8/12 12:20:12]

Tags:區塊鏈比特幣EOS以太坊區塊鏈dapp開發教程比特幣行情軟件下載EOSJacks以太坊幣最高價格是多少人民幣

Uniswap
區塊鏈:我們研究了1200個幣種,列出一份區塊鏈行業最新分類清單

編者按:本文來自TokenClub研究院,作者:TokenClub研究院,星球日報經授權轉載。前言自比特幣面世以來,短短幾年間,區塊鏈和數字貨幣獲得了飛速發展,總市值突破3000億美金,成為金融.

1900/1/1 0:00:00
數字貨幣:區塊鏈日報 | 區塊鏈基金年虧損近50%?;上交所發研報探討證券+區塊鏈;BTC交易中心轉至日本

頭條 區塊鏈和加密貨幣基金2018年已虧損近50%根據美國對沖基金數據研究機構報告,區塊鏈和加密貨幣基金自2018年初以來已經虧損了近50%.

1900/1/1 0:00:00
ZERO:金沙江資本與美國加密貨幣交易所tZERO達成意向,擬投資1.6億美元購買tZero證券型代幣

證券型代幣交易所tZERO是美國知名電商Overstock.com旗下子公司,他們已經和總部位于北京的知名風投金沙江資本簽署了一份意向書,后者將投資1.6億美元購買tZERO證券型代幣.

1900/1/1 0:00:00
去中心化交易所:趙長鵬回應V神“中心化交易所應下地獄”言論,稱將轉型去中心化

今日趙長鵬在Twitter回應V神“希望中心化交易所盡早下地獄”的言論。他表明:1.對待中心化交易所和去中心化交易所大家應該心胸寬廣,承認彼此都是區塊鏈生態體系中的一部分,而非獨立的項目.

1900/1/1 0:00:00
區塊鏈:以太坊陷入Gas危機,“罪魁禍首”或是FCoin?

以太坊正處于“Gas危機”之中。對于一些不熟悉Gas的讀者來說,這里首先做一個簡單介紹。Gas可以被看作是以太坊傭金,以太坊的概念不用多說,而在以太坊上執行合約就需要燃燒Gas,它由兩部分組成:.

1900/1/1 0:00:00
達世幣:被“拋棄”的比特幣與前赴后繼的暗網新寵

本文來自:哈希派,作者:不碎,星球日報經授權轉發。6月底,歐洲執法官員對暗網進行了史上最大規模的緝活動,并查獲了價值520萬美元的比特幣和其他加密資產.

1900/1/1 0:00:00
ads