5月16日,在由杭州金融辦指導、由區塊鏈媒體巴比特主辦、由杭州區塊鏈技術與應用聯合會協辦的2019全球區塊鏈高峰論壇上,鏈聞總編輯劉鋒作為主持人,與慢霧科技聯合創始人余弦、Grin核心開發者Gary、成都鏈安CEO楊霞、公信寶創始人黃敏強、PlatONCSO肖紫聞等嘉賓,針對區塊鏈安全及隱私保護的話題,一起探討可能的問題與解決方案。圓桌論壇原文如下。
區塊鏈安全及隱私保護圓桌論壇
區塊鏈的安全是一個重要的話題,接下來的圓桌會議我們將會對區塊鏈的安全和隱私保護的問題展開討論。除了交易所,其他的地方也會遭到很多的安全問題,從去年2014年的門頭溝事件到前不久的幣安被盜,這些里面出現的問題到底有哪些被解決了,哪些問題還沒有被解決?
下面有請:慢霧科技聯合創始人余弦、Grin核心開發者Gary、成都鏈安CEO楊霞、公信寶創始人黃敏強、PlatONCSO肖紫聞跟大家一起分享,本場主持是鏈聞總編輯劉鋒,有請幾位。
自我介紹與項目概述
劉鋒:大家好,我叫劉鋒,來自鏈聞,鏈聞是一家比較嚴肅的區塊鏈媒體,非常高興在這里和真正的專家探討一下現在熱門的問題:1、關于區塊鏈的安全問題;2、關于區塊鏈的隱私保護;首先有請各位嘉賓能夠簡單介紹一下自己,還有你們所從事的工作,希望在1分鐘以內。
肖紫聞:大家好,我是肖紫聞,我的項目是PlatON,我們的項目重點是用算法達到隱私保護的目的,未來想做高效、安全的分布式商業的底層技術。
肖紫聞,PlatONCSO
黃敏強:大家好,我是公信寶的創始人兼CEO黃敏強,我自己2013年開始關注這個領域,2016年開始創業做公信寶。公信寶是一個數據經濟的基礎鏈,我們通過一系列的可信數據組件做了區塊鏈創業項目。前段時間剛發布基于LAYER2的可信計算協議,這是跟今天的主題比較相似,就是用技術的方式來做數據隱私方面的工作。
黃敏強,公信寶創始人
楊霞:大家好,我是成都鏈安科技的創始人楊霞,同時我也是電子科技大學的教授,我還是一名老師,非常有機會來交流。我一直從事安全,我做了18年的安全,從原來的航空航天軍事領域的安全到現在的區塊鏈安全。成都鏈安科技是一家專注于區塊鏈生態安全的公司,我們建立了一套完善的從開發到安全檢測監控體系,同時我們也為國內百家企業提供安全服務和支持,在這方面希望跟大家有更多的支持。
楊霞,成都鏈安CEO
余弦:大家好,我是慢霧科技聯合創始人余弦。我本身是一名黑客,但是是好的,這次的話題「隱私」和「安全」正好符合我的感覺。其實極少出席這類的會議,就看主持人的提問了,知無不言,沒問題,謝謝。
余弦,慢霧科技聯合創始人
劉鋒:感謝余弦,今天他是以真面目參會,平時很少露出真的面目。
Gary:大家好,我是Gary,是Grin的核心開發者,也是Grin技術委員會的成員。如果大家不了解Grin的話,我稍微介紹一下,Grin是今年1月份上線的新的加密貨幣項目,它主要以支付為目的,主要特點是缺省的隱私交易、輕便性和可擴展性。Grin還有一個特點,它是一個非常類似于比特幣的開發模式的項目,它是完全一個匿名的創始人,是沒有后面的公司背景。項目團隊也沒有做任何融資,當然我們也沒有做ICO和其他的一些融資方面的事情,甚至于我們也沒有向礦工收取開發稅。所以從模式上,Grin是一個非常開放的項目,謝謝大家!
澤連斯基:烏克蘭和俄羅斯之間肯定會進行對話:5月23日消息,烏克蘭總統澤連斯基22日表示,他曾經以為有可能通過對話結束沖突,在這個對話中可以與俄羅斯方面找到許多問題的答案和解決辦法。但現在對話面臨的情況很復雜。澤連斯基認為,烏克蘭和俄羅斯之間肯定會進行對話。但烏方不知道對話以什么形式進行,包括是否有調停人,是以大范圍形式還是雙邊形式進行。(金十)[2022/5/23 3:34:52]
Gary,Grin核心開發者
究竟什么是隱私保護?
劉鋒:感謝各位嘉賓!第一個問題我想給一個相對比較開放的問題,大家講到區塊鏈的時候都會講到區塊鏈可以解決一個核心的問題,就是隱私保護。這句話我會打一個引號,因為這句話其實存在問題。所以我特別想請每位嘉賓用你們的語言,用你們的視角,告訴大家你們理解的隱私保護是什么,或者隱私是什么,隱私保護是什么。你們所從事的工作,如何能夠實現這個目的?我覺得可以從Gary先開始。
Gary:謝謝劉鋒。從我的理解,簡單來講形象一點的話,隱私對我來說是一種安全感。在沒有隱私的環境里面,顯然大家的安全沒有保障。從區塊鏈的技術角度來講,我們可以認為隱私性是你的錢包,不應該是在網上公開,全世界都知道,你的錢包的交易、交易記錄、交易金額也不應該在鏈上任何人都可以查的到,這是一個隱私性的問題。就是從為什么要保護這些隱私的角度來講,我覺得可以從這樣幾個方面來看:1.中國有句話叫「財不外露」,《西游記》里面也有一個故事,是唐僧有非常精美的袈裟不小心被金絲長老看到了。所以財不外露,就是在區塊鏈上,你的錢包金額是不應該顯示被外人知道,這是事關安全性的重要因素。2.為什么要保護隱私?自由市場經濟活動要求我們需要保護我們的一些經營秘密,可以想象如果我們在一家公司給員工發工資,工資單在鏈上是透明公開、所有人都可以看到,這是極其不可思議的一件事情。再舉個例子,比如說未來我們的經濟活動可以在更多層面上使用這種區塊鏈技術,那么企業經營者的采購信息、銷售價的信息,比如說他很難定價,如果買家都知道你的進貨渠道是誰、你的進貨價格是多少,你怎么樣去定價格,這是一個很大的問題。所以第二點,就是說從經濟活動來說,隱私是非常有必要的。3.這是非常普遍的問題,加密貨幣,通俗來講貨幣這個名詞是一般等價物,我們知道比特幣在這方面有很多的疑問。比如說中本聰2009年挖出來的比特幣,可能拿出來和我們2019年挖出來的比特幣在本質上是有區別的。很顯然我們可以找到一個人,說你愿意出一百萬讓中本聰轉一個比特幣給你或者給我,因為他的一個比特幣的意義和價值顯然和我們的一個比特幣是完全不一樣的。反過來,如果對于一個普通商戶來說,比如我今天賣10個手機收到1個比特幣,但過幾天我花這個比特幣的時候,我發現人家告訴我這個幣,我不能收,我說為什么?他說你這個幣恰恰是幣安被黑客偷走的7000個幣其中的一個。
劉鋒:其實貨幣本來具有不可追蹤性,但實際上現在的比特幣其實也有被追蹤的可能。所以我覺得這個話題,我們等一下可以再深入探討。我再想請其他幾位嘉賓,可以就你們的視角談一下你們對隱私的理解。
余弦:大家好,隱私保護,我可以給大家一個結論:我覺得隱私不是拿來保護的。我的觀點是:隱私是拿來控制的。大家都知道我們國家的法律里面有一個關于隱私的權利,大家都有隱私權,當然不一定所有人都會深刻地了解這個東西,包括你在使用很多互聯網應用的時候,你可能不一定會它的隱私條款。但隨著互聯網的發展,越來越多的歐美國家開始在隱私上做了很多的法案,我們的國家也在逐步跟進。但是有一個很現實的問題?比如我有一個黑客,但實際上我在網上透明,所有都知道我。可能很多人沒有見過我,但實際上我以前也辦過五屆黑客大會,我也在很多媒體面前露面過,我也注冊京東,我玩微信,我也使用國內的電子郵箱。那個時候,我就已經有個通徹的領悟了:我已經是透明的了。如果像我這樣的身份都是透明的,那在座的各位,如果你們接觸互聯網,可以等同于你們也是透明的,我們就別提一大堆的隱私可能已經泄露,包括一些監管的力量。
火幣“DeFi預言家”項目對話:Just基金會考慮將“流動性挖礦”引入整個生態:8月25日,火幣全球站“DeFi預言家”活動正式啟動,邀請到活動中四個DeFi項目線上對話。對話中波場創始人孫宇晨表示,Just基金會近期考慮將最近的DeFi熱點“流動性挖礦”引入整個生態,以JST作為平臺治理和挖礦收益的代幣,近期的項目包括:1)JustStable流動性挖礦:用戶參與抵押、借貸提供流動性時,會收到CDP的挖礦收益;2)JustSwap流動性挖礦:用戶通過提供資金到JustSwap資金池的方式,獲取除交易手續費外的額外挖礦收益;Just基金會未來還會引入更多應用場景下的DeFi,涉及單是不限定于借貸、交易、衍生品等,JST都將作為挖礦收益發給生態貢獻者。[2020/8/25]
就是說我們可以認為觸網的那一刻,你的隱私控制權可能已經不在你的手上了。
我個人喜歡區塊鏈,包括我也特別喜歡Grin,這是我發子內心的。其實業內對我了解以外,我除了喜歡比特幣,我還喜歡門羅幣,我長期持有這些。但是我會用持有的幣種,在一些場合做一些真實的交易。我覺得隱私這里有兩個點需要我們特別重視:1.我們的身份,2.我們的財產。剛才Gary這邊也提到了財產。關于身份,跟大家舉一個簡單的例子,比如說我,幾年前我可以為了創造一個獨立的身份,專門去電腦城,還委托別人去電腦城買了一臺電腦,用的是法幣支付,線下的,不是我買的。我用這個電腦,到香港,在香港wifi狀態下創造一些身份,包括必要的交易和相關的匿名貨幣。接著我可以從香港坐輪船到澳門賭場,用它的Wi-Fi在不同的地方創建,避免相關的攝像頭。經過這幾天的創建,我一打開電腦,只要它接入互聯網的那一刻開始,這臺電腦里面的身份是完全獨立的。
實際上我們在現在的互聯網以及現在的區塊鏈給我們帶來的便利性,對我來說我能感受到的實際價值是什么?我能夠基于我剛才說的這些,創造一個獨立的身份,這個身份是無法跟我在當下包括我現在出現在這兒,無法跟我現在這個身份關聯起來,這是非常棒的一個點。
所以我覺得隱私這個東西,透明是在互聯網的這一刻,但大家可以用我們現在的技術,來控制我們另外一個身份及另外一個身份所擁有的財產。
楊霞:關于隱私,我個人覺得的確是比較好的話題。我們在幾年前,中國人平時好象不太在意隱私的問題,現在隨著互聯網的發展,也越來越重視。剛才余弦也說到基本上我們每一個要登陸的系統,我們都有一個賬戶和云密碼。這個賬戶和密碼,有時候大家一不小心就養成習慣,你會覺得賬戶和密碼太多記不住,你去每一個銀行都要有一個銀行卡密碼,密碼太多,有時候就設置為同一個密碼,因為卡太多記不住。我自己有什么習慣?因為我記性比較好,我會記得到,但不可能所有的賬號每個都不同。所以這就說明我們每個人都有面臨這樣的問題,如何把這些賬號管理起來?我們有移動端的蘋果和安卓系統,我們還有PC端的windows,這些信息被人拿走是非常容易的。比如說我們公司買了別人的軟件,我們是安全公司,首先肯定要檢測這個軟件有沒有漏洞,最后檢測下來不敢用,我們趕緊退貨。因為我們用的時候,我們的員工要設立用戶名和密碼登錄,結果發現每個員工的用戶名和密碼都可以輕易被安全人員拿到,太不安全了。而且你們想如果你們設的用戶名和密碼都是非常類似的情況下,你在某一個環境下被別人竊取了,比如說你買了什么東西,比如說你去虛擬貨幣交易或者在網絡上網購,就可以拿到更多的信息。所以這塊來說,的確是非常難的問題。
從技術上來講,因為我個人之前也做了很多非常關鍵領域的安全,我重點說一下對于每個人息息相關的用戶名和密碼的保護。
動態 | 南澳政府嘗試區塊鏈解決方案 使電子監管網絡運營商進行轉賬對話:據ItNews報道,南澳政府正在研究利用區塊鏈技術創造出一種解決方案,讓不同的電子監管網絡運營商(ELNOs)在轉賬時進行對話,對話場景如“土地所有權交易的準備和遞交、資金轉移等”。南澳政府規劃、運輸和基礎設施部(DPTI)已呼吁要求了解該技術的“可操作性”,以解決新ELNOs進入該州后將出現的問題。[2019/10/10]
強制訪問控制是一個非常有效的方法,我之前也研究了多年的訪問控制,比如說我之前用了強制訪問控制,就是從操作系統內核管理的角度限制特權用戶的權限,即使特權用戶的密碼被別人竊取,也不能讓他隨意干任何壞事,等一下我們還可以討論這件事情。對于區塊鏈領域而言,同時我們更加關注私鑰如何保存、如何防止線下被竊取?這樣話題不是今天能說清楚的,都是一個持續性的,但這是實實在在區塊鏈帶給我們的挑戰。我們的解決辦法是,一方面提升系統自身的安全能力,如我們成都鏈安科技作為全球最早采用形式化驗證的方法進行區塊鏈代碼安全檢測的公司,我們用用數學的方法證明區塊鏈系統是否存在安全問題。我們相信系統自身更加安全了,那么我們的隱私也就有保障了。2.我們也為客戶提供軟硬件結合的綜合的安全解決方案,保護用戶隱私數據和關鍵安全行為的執行。
從互聯網的時代,到現在的區塊鏈的大互聯網的時代,到了這個時代,我們如何更多保護我們的隱私?在區塊鏈里面,可能跟大家密切相關的就是我們的私鑰如何保護,來防止別人獲取你的私鑰。這里面的安全,跟傳統的原來意義上的用戶名和密碼被別人竊取,帶來的損害更大。這一塊,我們從學術上和技術上都還在探索。
劉鋒:感謝!之前我們講過LAYER1上的可信計算,又講一切皆可計算,通過各種方式通過隱私計算。請黃敏強和肖紫聞分享一下具體的隱私計算和遇到的挑戰是什么?
黃敏強:我覺得可信計算和隱私計算只是說法上的不同,我覺得要解決的意思其實都差不多。可信計算,其實叫TrustedComputing,TC是一個國際標準,它相當于術語的存在。其實它解決的就是要平衡大數據的計算效率跟隱私保護。因為我們都知道3G/4G網絡,以及互聯網、大數據的發展推進社會的快速進步,但它確實傷害了一些用戶的隱私、企業隱私和個人隱私。各國之間,像中國的隱私保護法、歐洲的GDPR和美國的個人隱私法的出臺,其實是用來保護它,但它一定會遏制或者降低社會進步的效率。
所以如何在這兩者之間達到平衡?這就是我們認為的這項技術,可信計算也好,隱私計算也好,要去突破的這一點。這是我想說的。
肖紫聞:我覺得我還是從上一個問題作為切入點,回答這兩個問題。首先到底什么是隱私?我們認為所有的個體或者組織的行為,你的狀態所產生的數據,實際上都可以包括在整個隱私的范圍之內。比如說我做了一些事情,然后我的數據,我可能不太希望以任何的代價公布它。比如說大部分人收任何錢,也不太愿意公開自己的裸照。
還有一些數據,比如說新的黃金、新的石油,它有一定的商用價值。作為這樣數據來說,數據的擁有方會以商業的價值,作為交換來愿意公布這方面的數據,來得到一定的回報。我認為這個個體擁有兩個權利:第一,擁有不公開隱私的權利,第二擁有以他的數據或者隱私換取一定等價的商業價值的權利。當然,這兩個顯然不包括監管在這個范圍之內。
回歸到現在PlatON所做的事情,所謂的基于密碼學的各種算法來做的隱私保護和數據加密,實際上我們想要做到的事情是說一個個體或者說一個數據的擁有方,你可以出售或者是公開你的數據使用權,但你原始數據永遠都不會離開本地,并且永遠會得到保護。這樣的話,實際上對一個個體,我可以選擇性地一定的商業代價,來換取對方對我的數據的使用權。比如現在很多項目都會提到多方安全計算概念,實際上實現它的技術手段有很多,包括混淆電路、秘密共享等等。它所要做到的,是說我們每一個數據的擁有方,數據永遠不會離開我的本地,它會進行加密,并且不需要一個第三方進行黑匣子的運作,以達到我們多方都可以進行共同的協作的計算,得到我們都想要看到的結果。而任何一方,都不太可能通過這個數據、這個結果,再回過頭來倒算你的原始數據是什么。這樣的話,它可以做到讓數據能夠更好得到交換和流通的目的。
聲音 | 環球時報:美國憑libra獲得優勢中國監管機構有必要進行更多對話:6月25日,《環球時報》英文版針對Facebook加密貨幣Libra,發表題為“全球數字貨幣競爭時代,中國不能缺席”的評論文章。文章指出,Facebook發行數字貨幣Libra后,便擁有了為全球27億人發行貨幣的鑄幣權,成為數字經濟中獨立的“央行”。為緩解由此而來的監管壓力,Facebook可能會與美國監管機構達成協議。協議一旦達成,Libra將成為美元在全球數字經濟中的實際代表。美國憑借Libra在數字經濟競爭中獲得顯著的先發優勢,他國政府將很難阻止Libra在數字經濟中的滲透。中國也不例外。
《環球時報》認為,中國必須參與這一輪數字經濟競爭。“隨著全球數字經濟競爭時代的到來,中國產業和監管機構都有必要就數字貨幣進行更多對話,理解甚至是鼓勵數字貨幣。否則,中國有可能會在新的金融格局中落后。”[2019/6/26]
大家都是如何解決隱私保護這個問題?
劉鋒:剛才請各位都講了一下你們理解的隱私以及對于保護隱私,能夠做一些什么樣的事情。下面我其實特別想能夠請三位,像Gary、黃總和肖紫聞,可以更具體向大家介紹你們的工作,因為你們的工作都提到保護隱私是最大的亮點,技術上遇到的挑戰是什么,怎么解決這個問題?比如說Grin,匿名會是一個最主要的方向,你們解決的最大問題是什么?
Gary:Grin在四個層面解決隱私性的問題,第一它用密碼學的計算,交易金額映射到橢圓曲線密碼的空間,這樣的話真實的值不可見。同時在曲線密碼上,對于加減法這種簡單的交易計算來說,它完全具有密碼學的同態特性,可以很完美地做0支持的驗證。
第二個層面,在私鑰方面,它的每一筆交易都會改變私鑰,導致整個在鏈上的數據來看,是根本沒有地址可查,所以地址是隱藏的。
第三個層面,在交易的摸底上,可以做各種各樣的合并。你可以把整個Grin區塊都當成是一筆大的交易,這筆大的交易里面有很多個輸出輸入,而且輸入輸出之間完全沒有映射關系,所以在映射關系上也保護了隱私。
第四個層面,在IP地址的映射方面,它利用「蒲公英協議」,就是把交易方的IP和交易本身的關系也做了模糊處理,所以四個層面保護了隱私。就是從Grin保護隱私的交易特點來看,可能它是個難點,對我來說最大的一點是交互式的交易就是一個蠻特別的難點,還有是將來的移動化的超千量級的運算趨勢也是一個難點,將來也會做。
劉鋒:Grin突破這個技術,實現的是對匿名的保護?
Gary:對。
黃敏強:從幾個方面去思考這個問題。首先公信寶是先從去中心化數據交易到個人數據管理這塊先開始做,所以我們首先要考慮的就是如何在技術上,我們能夠去保護企業的數據以及個人的數據,在計算跟交換過程中不被泄露和不被竊取。在這個方面,我們采取的路線是用TEE的硬件,就是英特爾SGX芯片來做這個事情。但SGX芯片其實是非常成熟的量產了,但它還存在一些問題,就是單節點依賴過大的問題,它非常依賴英特爾。突破這一點,又保護隱私,我們自己創建了兩個密碼算法,叫DKMP和SSSG,來解決授權依賴和密鑰有問題,用節點推算密鑰,并且過程中如果密鑰丟失,可以通過節點計算修復,這是首要解決的。
第二,要解決在計算過程當中的性能問題。原來考慮過是在一層網絡上做的,但后來覺得一層網絡還是不應該關注這些,我們就搞了LAYER2,所以這是我們的具體做法。
劉鋒:那是TEE硬件的架構?
對話李東榮:區塊鏈是好技術,在金融領域應用仍需探索:博鰲亞洲論壇2018年年會”于4月8-11日在海南博鰲舉行,在分論壇“金融的未來:改變,還是被改變 ”上,中國互聯網協會會長李東榮針他表示區塊鏈是一個很好的技術,在金融領域肯定有它應用的場景,而且也在做這個嘗試。但畢竟一個新東西出來,如何選擇跟它適用的場景,目前還在研究、探索和逐步推廣的階段。也有一些實踐證明在一些小的場景下做得還是不錯的。[2018/4/11]
黃敏強:對,TEE硬件,這是我們第一步采取的架構做法。
劉鋒:我想肖紫聞肯定有話要說,因為他們認為LAYER1是很難實現隱私保護的。
肖紫聞:實際上現在包括國內和國際上很多的項目,包括螞蟻金服在內,實際上它的MPC或者是TEE,各方面都有看。這兩個方案,它各有各的長處,也有它的短板。我相信現在很多國際上的項目,之所以他們很多都再看TEE,包括一些商業項目。可能公信寶的同志也介紹過,它從性能上,以及硬件的成熟度上,都已經存在過一段時間,大家覺得能夠馬上解決一些非常急迫的現在一些問題。其實我們也有在看這方面的契合點,就是是否能夠把一些價碼算法、密碼學算法直接寫入到硬件。所以我們覺得我們還是愿意跟做TEE這塊的專家做合作和探討。
如果從我們現在最主要的聚焦點MPC角度出發,來看技術的難點,實際上我們目前實現MPC的手段是實現混淆電路的方式,也就是說我直接在本地,把你的數據直接通過鏈路的印跡變成電路,然后傳輸過來進行計算,得出最后的結果。最大的問題,可能剛剛大家也都提到過的性能問題,因為現在對MPC來說,一旦你的計算方越來越多,以及隨著你的算法越來越復雜,它現在還是會遇到比較大的瓶頸,這也是為什么我們現在主要還是在跟學術界的老師,包括國內外的,進行從算法底層的優化。同時我們也在看是否能夠從硬件的層面來講,對它的性能進行優化和加速。
區塊鏈中最大的安全威脅和黑客威脅在哪里?
劉鋒:感謝!我們下面可以談一下安全的問題。其實剛才黃總和肖紫聞都談到了TEE,昨天英特爾官報其實出現挺大的漏洞,不過英特爾的漏洞不會影響到他們的TEE架構。雖然我很想問的,我們講到古典互聯網和傳統互聯網的時候,現在經常出現關于黑客攻擊是關于個人的身份被盜取,這是最常見的一種攻擊方式。我想請余弦和楊教授給我們講講,在你們現在看到的區塊鏈世界、密碼貨幣世界里面,最大的安全威脅和黑客威脅在哪里?
楊霞:這個問題非常好,安全問題在區塊鏈里非常大,它一出現故障就是丟失財產。其實我們也統計過從去年發展以來到現在由安全漏洞導致的損失達到40多億美元,而且這個數字每天不斷往上增加。我們也統計過,對區塊鏈來講,大概30%左右來源于智能合約的漏洞。原來30%是來自于交易所,現在已經超過30%以上,現在最主要是這兩個地方。對用戶隱私來講,只是其中一部分,比如說錢包的安全里面可能有用戶的隱私被泄露引起的。
我想說一下智能合約,因為智能合約有代碼本身的漏洞。大家也都已經基本上達成認識上的共識,就是覺得區塊鏈落地應用是大家認可的一種區塊鏈3.0。其中智能合約程序,隨著大量的應用鋪天蓋地地而來,智能合約程序也會變得非常普遍,而且在任何一個區塊鏈應用程序里面,都用智能合約程序作為交易。這么關鍵的程序,我們也把它叫做電子合同,這個程序一旦出現安全問題,帶來的問題非常大。
我經常舉一個智能合約非常經典的問題,就是去年的美鏈,最后我們分析它就是一個整形溢出,是乘法導致的溢出,導致64億人民幣的丟失。所以從這里來講,數據丟失的非常慘烈,讓我們做安全人真的痛心,這是一點。所以智能合約的安全,是其中很大一個,無論你是落地應用,無論是發幣合約都要關注。
另外一塊是交易所,交易所就比較復雜了。我們前段時間有一個交易所出了一個問題,我們做了問題的診斷,我們去了以后很快找到了原因。其實這里面的原因很復雜,有它自身的辦公環境和網絡架構的安全問題,也有跟云平臺相關的問題引起的。當然,還有是交易所錢包的問題,因為我們也看到那邊是屬于交易所錢包被盜。還有日本的交易所Coincheck被盜,這是錢包的問題,比如說里面存的用戶信息最后被黑客改過去。
所以從整個層面來講,從錢包到交易所到合約,隨著現在的落地應用越來越多,可能會帶來更多的問題,里面可能會涉及到數據安全問題和用戶權限管理問題。當然,還有一個比較大的問題就是行業如何配合監管進行健康發展。因為區塊鏈的一些特征,加大了監管難度,所以使安全不可控。所以整個來講,我認為大概就是這幾個方面。
針對上述區塊鏈安全問題,我們建立了一套完善的防御體系,包括自動形式化驗證技術進行代碼檢測的方法,系統安全威脅情報,預警報警風控系統,等全方面的方法為區塊鏈企業提供全面安全防護體系。我們也希望通過我們的努力讓區塊鏈生態更加安全。
余弦:首先我們都明白一個很本質的點:安全是跟著業務走的。在一個新的世界出來的時候,業務肯定是先發展,安全的建設,雖然說很多人口頭上會說我非常重視安全,雖然說區塊鏈的世界里面肯定是離不開安全的話題。但是,其實可以看到在實際行動上,安全的整個體系建設,大家要注意我提的是體系,整個體系的建設遠遠滯后于業務的發展。
我的觀點是這樣子的,在區塊鏈之前,傳統的或者說古典世界的網絡攻防,其實它們也經歷到了一個新世界,到這個世界的成熟,到這個世界可能消失的過程。
任何一個事物,不僅是現在在區塊鏈這個行業,只要是一個新世界的誕生,安全的問題都一樣很嚴峻。我也參加過很多其他細分領域的安全交流,比如說云安全,比如說政企安全,比如說軍工安全,比如說針對個人隱私的安全等等。這些話題回答下來,其實本質上都一樣,就是因為安全的建設是在業務之后。
我們當時創建慢霧科技的時候,說要關注區塊鏈安全的生態,要做這件事情,本身有三個原因:1.我們會覺得區塊鏈這個生態,在我們看來是自帶金融屬性,太多的幣或者資產在這上面跑,這是第一點;2.所有人應該都意識到這個生態極其缺乏國家背書,比如說你幣被盜被攻擊,你去報案,它給你一個報警回執都不錯了。你想要立案,可能它沒有立案依據,你只能找刑法相關的法案和相關條例的具體內容,比如說入侵計算機以盜竊,以此法律規定來立案。但如果你的損失很低,比如說小于幾百萬,可能立案的動力非常低,它是非常缺乏國家的背書;3.攻擊者也會這樣想,上面這么多資產,又缺乏國家背書,我盜了你這個幣,你又能怎么樣。我能把攻擊者溯源出來了,可能就是他,可能他也來到了會場,可能我出去之后還只能跟他喝咖啡聊天,大家只能笑一笑,沒辦法,他犯了這個錯,但他覺得代碼即法律,他覺得他是黑客,黑客即法律。
第三點我想講的是什么?剛才說到有的是能溯源出來的,但是賬在我們所有的真實調查比例是極低的,你真的想知道背后是誰,太難了。所以第二點我想表明的是溯源極難。正因為有這三點在,不僅是我們今天坐在這里談這個事情,黑客也在看這個事情。可能今天大家上場了,大家很開心,攻擊者也很開心,這是他們的職業,他們會去想他可能吃喝拉撒都在想我怎么把這個目標干掉。但實際上有時候干掉你,根本不在意你是誰,我不管你是幣安還是小交易所,比如說龍網,也挺大的了,或者說一些剛起來的,他不管你是誰,對我來說他就是籌碼,你也不要問我我是誰,我有可能是黑客,我也有可能有朝鮮國家背后支持的力量。即使你溯源了,你又能對他怎么樣,這是我們覺得現在的生態里面可能比較特別的一個點,也是我們覺得非常隱性的點。
我們這里為什么會提安全?實際上它也是一個基礎設施。我們現在作為一個安全公司,其實我們自己本身也要盡到一些義務,比如說我們不會貿然說這個公鏈這個交易所有一些漏洞,我們要帶來一些恐嚇,這個行業不需要恐嚇,因為很多真實的東西都發生了,所有人都知道。
劉鋒:因為時間的關系,我挺想留一個問題給聽眾,是有任何問題,問任何一個嘉賓,你可以舉手。如果沒有的話,我就特別自私地問我個人的一個問題。因為我知道余弦是密碼朋克的愛好者,正好Gary坐在這里,我特別想聽你們兩個講一下。我們既然已經有一些不錯的隱私幣,為什么我們還要有一些新的,因為我們知道有一些新的項目和隱私幣的項目在開發中,我們為什么還要有一些隱私幣和新的項目。
Gary:關于隱私幣里面的前任或者是競爭者,因為Grin是今年1月份才新出來的幣,也有很多人來問為什么為什么要有Grin,它的存在價值是什么。回歸歷史,之前門羅是2014年出來的,到兩年之后的2016年出現一個隱私幣,所有的商家比較典型,是市值排名前20左右的大的隱私幣的幣種。之所以Grin來上來,是因為Grin基于mimblewimble協議,mimblewimble協議恰恰是在2016年8月份,它的paper才出來。我相信如果早期的項目如果能了解mimblewimble協議的話,可以在隱私幣世界里面,情況就會完全不一樣。
我并不想在這里批判或者批評其他競爭項目的缺點,我只是從比較的角度,我們去看一眼Grin相比之前的項目有什么不同點。在mimblewimble協議出來之前,有很多嘗試解決這些問題,包括在區塊鏈上。有很多研究者發現在隱私性和規模可擴展性上,叫scalability。這兩點完全是一個對立面,你很難去兼顧兩者,你要么照顧了隱私,但顯然你的交易量上去了、計算量上去了,整個鏈的容量就下來了,它們一直在這兩個之間找平衡,最后讓隱私幣在使用上不是那么便利,就是說應用很困難。scream協議出來之后,它既能夠照顧隱私,同時它的計算量很小,同時它很簡潔,甚至于在鏈上,Grin第一次在區塊鏈上能夠做減法。我們知道之前所有的基于UTXO模型的鏈都有增長難題,就是隨著時間的增長,比特幣數據的量越來越大,現在你需要300G,過五年或者十年之后可能要5T,那時候普通用戶一臺機器運轉比特幣一個節點也很困難。但是在Grin的項目里面,它能夠做減法,能夠把已經消耗的UTXO,從鏈上能夠減掉,這是一個非常創新的地方。所以隨著你的應用增長,它不會限制增長你的用戶量,所以scalability有很好的特性。當然還有其他方面的改進,未來Grin還有一些基于移動化的優化,也會非常有前景。
劉鋒:余弦,你發自內心地歡迎Grin來到世界上嗎?
余弦:發自內心地說,我非常歡迎Grin來到這個世界上,這是我看到了密碼朋克的精神。不過有一個很常規的現實,我希望各位做鏈的,尤其是在隱私上可能會做這個事的,可能在座的我最需要說的是Grin。Grin預知到這個危機,這是很現實的,你看暗網的世界,因為mimblewimble是從暗網出來的,這是它最早的方向,包括它的創始人很神秘,說不定還是中本聰,當然這是隨便說的。既然你來自暗網,那就有密碼朋克,那暗網的世界是否支持你。大家知道暗網最支持的幣是什么?不是門羅幣,是比特幣,還支持來特幣、以太坊以及谷歌幣、門羅,但我為什么說門羅是暗網?第一,B網,它不僅在支付上有很大的生態。其實在支付上,第一是比特,第二是門羅。為什么說門羅是暗網之王?原因是暗網里面有很多做蠕蟲挖礦,就是入侵別人的IOT設備、服務器,各種挖礦的地下行為,都在挖,主要挖的幣種就是門羅幣。把這些全部加起來,我們覺得門羅在整個隱私自由的世界。我們說到暗網,覺得它是邪惡的存在,其實不是的,除了之外還有很多好玩的東西,包括也有很多優秀的項目,包括Grin等等,包括密碼朋克有很多的東西,都從暗網這樣一個非常追求隱私和自由的世界里面誕生出來的。
劉鋒:特別感謝五位嘉賓,也尤其要感謝巴比特在市場特別火爆,大家天天看幣價的時候,讓大家坐在一起,既包括密碼朋克,也有黑客,也有立足商用項目的領導者,大家坐在一起探討關于隱私和安全的問題。
因為時間的關系,我們討論的非常淺,如果大家有任何問題,歡迎之后可以跟五位嘉賓多多互動、多多學習,畢竟我覺得在區塊鏈的世界里面,隱私的安全其實是我們最重要應該要關注了。謝謝大家!
本文來源于非小號媒體平臺:
鏈聞速遞
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626572.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
硬件錢包「Cobo金庫」在共識大會期間售罄
通過一系列的安保措施,打開一扇扇防爆門,在走廊盡頭可以看到一臺臺經過加密的計算機服務器,它們沒有連接任何網絡,而是存放著持有一大筆數字財富的密鑰.
1900/1/1 0:00:00鏈聞編輯時間 《閃電網絡即小額支付?LightningLabs核心開發者帶你深入本質》鏈聞對話兩位閃電網絡專家,從專業技術和行業研究兩個維度呈現閃電網絡更清晰的輪廓.
1900/1/1 0:00:00親愛的用戶:?? IDAX將上線KIN。開通KIN/BTC交易,立即前往。充值開放時間:2019年5月22日12:00(UTC8)交易開放時間:2019年5月23日10:00(UTC8)Azuk.
1900/1/1 0:00:00近日,金雅拓發布了全球范圍內公共數據泄露事件嚴重程度指數,共涵蓋945次事件,導致45億條信息泄露.
1900/1/1 0:00:00Drep計劃打造一條高性能的公有鏈,構建出一個完整、開放、開發者以及用戶體驗友好生態系統,提供一套兼具靈活性、易用性和用戶無感化的解決方案.
1900/1/1 0:00:00摘要 邁入互聯網時代,數據成為新的生產要素,而建立在數據基礎上的數字經濟,更是創新經濟、開放經濟和代表未來的新經濟.
1900/1/1 0:00:00