2018年9月5日,由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在主题为“安全计算的未来”圆桌论坛上,WXY创始人于迪作为主持人,和特邀嘉宾ARPA联合发起人章磊、Points创始人张佳辰、Taxa创始人TFGuo、TRIASCTO魏明、Netta和FractalNets联合创始人杨子江共同探讨区块链安全的若干问题。
核心问题:区块链安全问题都分为哪些?原本用互联网中心化手段解决的安全问题,未来有可能用区块链解决,两者是否会有一些矛盾?彼此之间会如何存续和合作?整个区块链体系有很多安全解决方案,它们彼此之间该如何协调?如何统一?主要观点:安全计算问题涉及各方各面,主要包括区块链软件自身的安全、存储的安全、数据交易的隐私安全等。在实现上则有多种,包括用芯片以及可信环境来构造的软硬件架构,也有纯软件协议。相比之下,芯片保护更安全,软件方案则更直观透明,较易增信。区块链安全比传统的安全更加高效和安全。区块链安全的效率能让损耗从过去10的5-6次方这样,到现在只需要10这样一个计算量,实现的效果是一样的。更安全是因为它里面有很多钱;而且是去中心化的系统,不像传统那种钱丢了还能再找回来,这个丢了就是丢了,所以它的安全级别即使是最基本的要求也很高。区块链安全也沿袭了传统PC和移动的安全,最大的问题一般出在人以及运营上。我们不能寄希望于普通开发者有很高的安全知识,所以每个底层项目应该定制自己的安全协议。你一定要用最成熟的东西,这才是安全的。区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注增量市场,以及现在中心化系统还没有形成垄断,非常需要去中心化补充的一些地方。————————————以下为论坛讨论整理,enjoy:区块链安全问题都分为哪些?主持人——于迪我先自我介绍一下,我是WXY集团的创始人于迪,WXY主要做区块链领域的品牌管理、投行、投资业务。今天我想问在座专家的第一个问题是,区块链领域安全问题频出,大家认为,这些安全问题都分为哪些?哪些是底层的?哪些是运营层面的?以及大家各自在解决什么问题?TRIASCTO——魏明大家好。TRIAS做的是基于TEE的公链,主打功能是防篡改、防数据泄露。一般政府和企业,可能会买像BAT还有安全公司的防篡改系统。这些系统必定会有帐号体系,也就是所谓的上帝,这也是客户想要的。但有个中心化的管理员就意味着很容易被篡改。所以我们先做了防篡改系统。第二个是数据泄露。一开始我们没想要做这个,因为它并不像大家关心的像钱包那么直接。当时我们想的就是想拿防篡改系统去做数据存证和追溯。但当时我们接触的要做数据上云的几个大医院,面临一个问题,那就是大家都不想把自己珍贵的医疗数据跟别人分享,他们不信任任何一个公有云。哪怕中间有数据交换区的私有云,他们也不太认可。他很容易怀疑交换方到他那儿干了不该干的事,比如把他运营的私人信息偷偷发给别人去做分析。所以这块业务,我们做了一个相当于数据交换区的硬件,让整个环境有TEE这样的安全措施进行保护。另外,企业的终端也全部用了我们做的智能合约,这样就能保证他所有的程序执行透明,第三方也很难再在上面加脚本。Taxa创始人——TFGuoTaxa是一个Layer2的链下网络,使用的也是TEE技术。通过我们平台,去中心化应用将能在Layer2运行强隐私的智能合约。隐私领域的缺失在一定程度上限制了公有链的大规模应用,因此Taxa想在链下解决这个问题。Netta和FractalNets联合创始人西密歇根大学计算机教授——杨子江大家好。Netta用的这种机制和现在的区块链机制很不一样,比如我们现在做的高并发,速度在3000个节点下已达到10万TPS。能做到这一点是因为,我们做了数据流程而不是普通的数据和链,那么保证它的安全性就非常重要。对于安全性我们是这么理解的。首先区块链本身就是一个软件项目,那么它也有其他软件所面临的问题,比如bug很多。比尔盖茨曾经问过一个问题,他说你们认为人类有史以来所创造的最复杂的东西是什么?很多人说宇宙飞船,很多人说高铁、航空母舰,他说都不是,实际上是软件,软件是人造物中最复杂的东西,以至于没有人能够保证它的正确性。看看现在的工业软件,每天有7个错误,为什么不把这些错误剔除呢?因为它太复杂了。我们可以用各种各样的工具不断测试它,但这只能证明软件的错误性,不是它永远正确的保证。现在很流行形式化验证。但形式化验证就能保证程序的正确吗?你能从数学上证明程序的正确性吗?实际上这不可能,因为你不能用一个算法证明另外一个算法的正确性。这是所有软件面临的一个问题。那么区块链软件和其它软件的区别在什么地方?我认为是,因为它里面有很多的钱,所以绝大多数区块链项目都更加注重安全。我们要做更多的测试、验证,尽量减少它的错误。Points创始人——张佳辰大家好。Points想要实现的是个基于区块链的安全多方计算协议,这个协议支持什么应用场景呢?可能和许多更加从底层出发的项目不同,我们针对很具体的应用场景,比如第一个应用场景是个人信用的评分和评价。这个场景有几个和数据安全相关的问题,第一个是存储安全。Points想的是,通过加密和数据混淆的方法,可以让这个数据即使受到了攻击,也不会暴露原始数据。第二个是数据交换。要怎样可以让真实数据在各个孤岛之间流动起来呢?我们想的是,是不是能更多的从设备端本身收集更真实的原始数据,以及通过交叉验证核实数据的真实性。更大胆的想法是,怎样可以在不暴露原始数据的情况下,让几十个、几百个甚至上千个数据源进行综合性数据计算协作。譬如说计算一个人的个人信用分,会使用到包括教育、收入以及行为等等多元数据。那么要怎样能在不暴露原始数据的情况下实现数据共享使用?这就是Points想要解决的问题。现在我们已经接入了10亿多用户相关的ID验证数据,以及覆盖5亿用户的信用变量部分的数据,所以说是比较注重场景落地的一个项目。与许多用硬件架构,包括芯片以及可信环境来构造安全多方计算协议的项目比,我们使用的是纯软件算法。尽管硬件方案有很多优点,但是从增加信任的角度讲,软件的方案能方便地让一个普通程序员,或者普通用户观测具体是哪些代码在执行。如果在芯片层进行计算的话,那么对于普通的生态伙伴和用户来说,在理解上会稍微困难一些。所以我们选择用一种更加直观透明的方案。ARPA联合发起人——章磊大家好!我是OasisLabs的联合发起人章磊。OasisLabs也是做安全隐私计算的。之前一些嘉宾也介绍到了商业的数据交换的安全问题,如何让兼具高价值和高隐私性的数据进行交易流通。我们也用了MPC技术,刚才很多嘉宾提到很多点都非常棒,我想说明的是,我们的优势是什么呢?我们要做到的是任何函数,任何方程都能够在这个空间当中进行编译和计算。并且,计算结果是可以被验证的,这个验证从数学的角度出发,可以验证它用原始方程做了计算,诚实输出结果,也没有盗取用于计算的数据。这点在一个Blockchain的项目里面是非常重要的,因为任何人都可以加入你的计算网络去赚取计算费用,它有特别强的动机去你,所以怎么很方便的去证明你的确做了这件事情,是非常重要的。我们主要就是解决这样一个问题。区块链和互联网安全会如何存续和合作?主持人——于迪好,大家刚刚提到了各自解决的问题。这里我有一个问题,在古典互联网时代也存在数据和隐私的问题,那时是靠一些中心化的方式来解决。未来有可能用区块链这种去中心化的手段来实现,两者是否有一些矛盾?彼此之间该如何去延续、合作?我不知道各位是怎么看待这个问题,以及在大家各自的项目中是如何协调这样一些矛盾的?Taxa创始人——TFGuo我们从两部分来说,一般来说安全分为两个部分:保全价值的安全和创造价值的安全。我们之前说的智能合约安全属于保全价值的安全。大家都知道,安全是一个木桶原理,你整个系统的安全取决于它的最短板,这些板可能包括底层的密码学算法、整个公有链的架构、上层智能合约的应用,以及运营方面人的因素。当然了,区块链安全也沿袭了传统PC和移动安全,最大的安全一般出在人以及运营的安全。这部分智能合约的安全,要比传统应用的安全更加安全,因为它离钱实在太近了,而且它是去中心化的系统,不像传统那种钱丢了还能找回来,这个丢了就是丢了。在这个领域,确实我们是有更高的要求。这个是保全价值的部分。然后再说创造价值,传统安全是个性能指标,区块链则多了一个功能指标,也就是说原来不能做的事,现在可以做了。尽管现在的智能合约只能处理一些公开透明的数据,但经过研究,我们能够让一些数据在隐私状态下放进智能合约里,这势必带来更多的应用场景,这个是属于区块链中创造价值的部分。而Taxa主要瞄准的就是后者,我们能让智能合约执行一些保证隐私的业务逻辑。Points创始人——张佳辰刚才主持人问我们说,怎么看区块链和中心化系统巨头之间的关系。这个让我想到了另外一个问题,是这样的,先说结论,我觉得选择的切入点特别重要,不是所有切入点是一样的。我们可以从哪里得到启发呢?大家都知道中国电商的发展速度,包括它取代线下渠道的速度和程度,是世界上其他国家都没有见到过的。这是为什么呢?当然有很多是中国电商企业的聪明才智。另外也是因为中国的传统线下零售非常薄弱的,这一点在风投、互联网企业大批涌入线下,投资新零售可以看出。它们的零售坪效有很多问题,因此中国线下零售从来也没有出现过像好市多那样的巨头。所以,今天我们来看区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注那些增量的市场,以及现在中心化系统还没有形成垄断,非常需要去中心化系统补充的这样一些地方。我们做了Points,很多人问我说,你做这个项目,你不觉得蚂蚁金服、芝麻信用分已经很好了吗?但是很多人不知道的是,即使到今天中国银行征信也只覆盖了3.8亿人,而中国有14亿人,蚂蚁金服也仅仅覆盖4亿用户,中国的征信用户只覆盖5亿人,这当中还有非常多的残缺。这对于像我们的股东中诚征信这样的企业来说,也非常想看到一个去中心化的系统,对它进行补充和完善。医药研究也是一个我非常看好的SMPC的方向,因为中国的CRO在之前也非常不完善,现在在进行大量重建。在这样一些蓝海的地方,我相信会更易让初创企业和那些已经拥有数据的机构协作起来,重新创造一个平台。ARPA联合发起人——章磊MPC这个技术本来由少数几个教授在开发,现在变成了一个上百人全球协同发展。它的效率是让损耗从过去10的5-6次方这样,现在你只需要10这样一个计算量就可以达到同样的效果。所以说它是既安全又高效的。这些研究MPC的学者都集中在欧洲、比利时、以色列等地。包括两个泰斗大师,他们的PHD都在我们社区里面给我们做密码学的贡献,所以我们会走的更加底层一点,去修改密码学的协议,提升底层的效率,让它变得更加实用和商用。这个趋势越来越明显,在今年全美最大的密码学会议上,我们看到一半的议题都是关于这个方向的,所以我们很快就能看到,这个方向技术的落地,以及它和区块链非常自然的结合发展。区块链安全解决方案之间该如何协调?主持人——于迪下一个问题,在区块链领域里面有个常用的比喻,就是如果把每一个公链当做一个国家来看的话,在这个公链上就会有很多城市,我在上面再加一个比喻,就是安全应该是这个国家的国防部队。那么各国国防部队怎么去解决安全问题,更重要的是这条公链自有的安全平台、系统,还是说众多的国家去建立一个集合的多国部队、联合部队,共同解决区块链安全问题?因为在整个区块链体系中会有越来越多的安全解决方案,它们彼此之间该去如何协调?如何统一?TRIASCTO——魏明我说说我的想法,至少我现在看到的所有公链项目,包括我们自己做的,我觉得还不能成其为国防军在给自己搞安全,这是实情。从现在实际链的运行情况看,如果你想靠一个组织把这件事情担起来的话,我觉得还是比较难的。做安全一家很难,我建议联合起来做,分工合作。Taxa创始人——TFGuo我给大家举一个例子,OpenSSL(开放式安全套接层协议)是互联网安全的基石,已经跨越了很多平台,无论是操作系统还是硬件,这种安全底层已经有了一个成熟的统一标准。我们不能寄希望于普通开发者有很高的安全知识,所以项目更多的,是要自己定制一些有关安全的底层协议,你一定要用最成熟的东西,这才是安全的。与其自己写,不如去用一些经过实战检验的。我觉得从安全角度,最底层的安全一定要有统一的标准。Netta和FractalNets联合创始人——杨子江对这个问题,你可能推论出大家建一个联合部队就好,用一个通用的工具解决所有问题,这恰恰是不对的,每一个公链都应该有自己的解决方案。这有两个原因:你要不停的发现里面的错误,这就意味着你要有大量的计算,大量的代价放在里面,这就是为什么测试在软件里占了50%的成本。测试是非常重要的一个过程,针对于每个特定项目,你要根据项目特点来设计你的测试,挖掘里面的漏洞,才是最有用的。换言之,你不能够用一个通用的工具,去做所有的测试。当然它里面的技术可能是通用的。每个项目对安全性的要求是不一样的。比如一个软件用在自动驾驶里面,自动驾驶软件的错误是会致命的;但如果你用一个微软的操作系统,它出错了,你把机器重启一下就可以了。所以每个软件对安全的要求是不一样,在这之上,你付出的代价也不一样。对于自动驾驶来说,安全问题是要不惜代价解决的。Points创始人——张佳辰安全也可以从横向和纵深两个维度来看。举一个现实世界中的例子,每个国家都会有自己的军队,他们有不同的分层,包括片警、武警、国防军;上升到联合国则可能有安理会、维和部队等,在不同的层面解决不同的问题。同时,在相似的层面当中,安全保障这件事本身是要有专人承担的,因此我们对自己的目标是,对通用的问题给出可配置的方案。ARPA联合发起人——章磊我觉得大家需要分清两点,安全包括了网络安全、数据安全以及隐私安全,所以我们说安全的时候要知道,我们指的是哪些。回到主持人的话题,我们OasisLabs是做安全隐私计算的一个底层协议,它能用在任何一个Blockchain上,让它从0到1具备隐私计算能力,那么对于需要这种功能的人来说,他就多了一个选择。举个实际例子,之前我们没有办法把我们个人隐私数据放到网上交易,我们也没有办法把现实当中的个人数据和一个虚拟的Blockchain锚定,因为这太不安全了。但有了隐私计算这个问题就能得到解决。
早期运行比特币节点的安全研究员坚称Craig Wright不是中本聪:金色财经报道,在最近的一系列推文中,声称自己可能是第二个运行比特币节点的安全研究员Dustin Trammell提供了一些令人信服的证据,以证明澳大利亚计算机科学家Craig Wright(澳本聪)不是中本聪。Trammell于2009年1月13日开采了他的第一个区块,也就是创世区块推出仅10天后。他在一笔交易中从中本聪那里收到了25枚代币,以换取修复几个错误。这些代币来自一个已挖掘的UTXO,并没有包含在澳本聪的地址列表中。此外,Trammell使用他的私钥签署了一条消息,以证明他实际上在比特币早期开采了一个区块。他敦促澳本聪对创世区块做同样的事情,但他补充说这是不可能的,因为他认为澳本聪不是中本聪。[2021/10/12 20:23:53]
安全公司:正在追踪Poly Network攻击者相关的可能身份线索:今日晚间,跨链互操作协议 Poly Network 遭到攻击,共计超 6.1 亿美元转出至 3 个地址,受此影响导致 O3 Swap 跨链池大额资产被转出。慢雾安全团队通过链上及链下追踪已关联发现攻击者的邮箱、IP及设备指纹等信息,正在追踪Poly Network攻击者相关的可能身份线索。通过慢雾合作伙伴Hoo虎符及多家交易所的技术支持下,慢雾安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到 3 个地址,不久后在 3 条链上发动攻击。
结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为。更进一步追踪及详细的漏洞原理和技术细节,慢雾安全团队正在分析中。
此外,据悉,Tether 已冻结 Poly Network 攻击者地址上的 3300 万 USDT。[2021/8/10 1:46:50]
蚂蚁链开放底层技术“三件套”,已保护逾50个场景隐私安全:,9月18日,阿里巴巴线上云栖大会在杭州举办,会上蚂蚁链宣布对外开放隐私安全“三件套”,分别是数据安全计算硬件、3D合约安全服务、数据隐私计算服务。“三件套”分别着眼于底层硬件环境、智能合约安全和行业协作网络,覆盖了从区块链环境部署到应用网络的完整安全部署。这些技术已经为蚂蚁链落地的50+场景提供了安全保障。(华夏时报)[2020/9/20]
声音 | Coin Center研究主管:加密货币“安全港”提议既清醒又合理:加密倡导组织Coin Center的研究主管Peter Van Valkenburgh对SEC专员Hester Peirce的加密货币“安全港”提议表示,该提议看上去既清醒又合理,尽管目前仅仅是只是一个提议。他指出,这项政策要成为官方政策,就必须得到其他委员和SEC主席Jay Clayton的认可,因此我们不得不等待。(CoinDesk)[2020/2/19]
安全公司Hauri:恶意代码随着韩国传播的Hermes的勒索软件一同传播:安全公司Hauri16日报道称,恶意代码随着最近在韩国传播的Hermes的勒索软件一同传播开来。它使用最新的闪存漏洞在用户上网时不知情的状况下而渗入PC端,因此,即使被感染,用户也很难发现。[2018/3/16]
标签:区块链OINNETPOINT区块链工程专业学什么课程好MEDICAL CANNABIS COINGARI Networkpoint币怎么用
8月15日,数字货币分析公司InvestinBlockchain在分析数字货币市场前百币种产品开发工作后得出结论称,数字货币市场前百币种中,有60种尚未向公众发布可用应用,尽管它们已经筹集了数百万美元资金.
1900/1/1 0:00:00编者按:本文来自哈希派,作者:LucyCheng,星球日报经授权转载。作为计算机的理论模型,图灵机是英国数学家AlanTuring于1963年提出的、为了研究可计算问题而构思的抽象计算模型,可以看作等价于任何有限逻辑数学过程的终极逻辑.
1900/1/1 0:00:00头条 外媒:比特大陆预计9月提交招股书,融资规模或为30亿美元彭博社报道,有知情人士称比特大陆IPO融资规模或为30亿美元。8月13日,Coindesk曾报道称IPO筹资规模可能高达180亿美元.
1900/1/1 0:00:00美国最大的加密货币交易所Coinbase正在面临着亚洲竞品币安和OKEx带来的威胁。据Cointelegraph报道,数字资产研究机构Diar于8月20日公布的数据显示,2018年7月Coinbase美元交易额较1月份下跌83%,Bi.
1900/1/1 0:00:009月5日,由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在大会的安全论坛上,区块链大数据服务商ChaindiggCEO叶茂从数据角度,与众嘉宾共同探讨区块链的安全问题.
1900/1/1 0:00:00编者按:本文来自蓝狐笔记,作者:蓝狐笔记,星球日报经授权发布,有删节。加密数字货币是区块链世界最重要的领域之一.
1900/1/1 0:00:00