聊聊微衆區塊鏈:解密區塊鏈技術深處的隱患
編輯 | 于斌
出品 | 潮起網「於見專欄」
近日,微衆區塊鏈品牌全新發佈會在深圳舉行。微衆銀行在深圳正式宣佈推出“微衆區塊鏈”全新品牌,並提出“構築ESG可信基礎設施,促進公平與可持續”的全新使命,致力於爲ESG(環境、社會和公司治理)戰略中的政府、公衆、企業等多方參與構築信任底座。
隨着區塊鏈熱潮席捲全球,社會各界對區塊鏈的關注度也越來越高,一方面期待區塊鏈爲各個行業乃至整個人類社會帶來驚喜蛻變,一方面也對這項新技術能否真正解決當前及未來面臨的多重難題存在些許擔憂。
凡事都有兩面性,區塊鏈也不例外,有無可比擬的優勢,也有亟待完善的不足,今天我們就來分析下區塊鏈發展道路中的風險與機遇。
微衆區塊鏈技術的隱憂
對於區塊鏈技術,普遍的認知都是它擁有極高的安全性。確實也是如此,不可逆推的非對稱數據加密、分佈式的網絡節點、共識驗證、信息溯源等特點,都讓區塊鏈對於各種網絡攻擊的抵抗能力十分高。這也是區塊鏈網絡優於傳統網絡的一大重要原因。
區塊鏈技術很好地詮釋了金融交易和信息傳輸中的安全原則是如何轉變的。它提供了一種獨一無二的數據結構以及內置的安全功能。區塊鏈通過基於共識、去中心化和密碼學的思想來確保交易中的信任。
當然,這種安全性並非絕對的。區塊鏈雖然安全,但在由於技術實施有時會出現誤差,這就導致區塊鏈中出現了一些安全隱患,也讓這個安全性有了一些漏洞。
要想解釋區塊鏈安全,首先要了解公有鏈網絡和聯盟鏈網絡安全性的區別。在參與程度和數據訪問能力方面,區塊鏈網絡可以產生各種不同的影響。因此,區塊鏈網絡有兩種不同的標記形式。
區塊鏈網絡可以是私有的,也可以是公共的,具體取決於獲得成員資格所需的許可。參與者獲得網絡訪問權的方式取決於區塊鏈網絡是有許可的還是無許可的。
公有鏈網絡是開放的,允許任何用戶的加入,同時還會保持參與者的匿名性。而在聯盟鏈網絡中,用戶身份被用來確認其成員資格和訪問權限。更近一步來說,聯盟鏈網絡只允許熟悉的組織參與到其中。
就像很多人認爲的那樣,區塊鏈本質上是安全的。毫無疑問,區塊鏈對組織來說是有利的,但由於特定的安全隱患,它還是有一些明顯的缺點。以下是區塊鏈技術所面臨的3大安全挑戰及其解決方案。
其一是51%攻擊,區塊鏈的節點是呈現分佈式的轉態,在網絡中的驗證來自於它的共識機制。區塊鏈中的共識並非需要所有節點都通過纔可以確認結果,它允許一部分的節點持有反對的態度,這是一種典型的“少數服從多數”原則。
而在區塊鏈當中,只要有大於50%的節點認可,驗證便會通過。通常來說,這種機制是十分安全的,區塊鏈節點的數量十分多,攻擊者想通過“51%攻擊”的方式,讓錯誤的信息替代正確的信息是十分困難且代價高昂的一種方式。
但是,這種難度通常來說是對於一個成熟的公鏈而言的。而在一些鏈的早期,節點並沒有鋪展開,這便導致“51%攻擊”的難度變得相對較低。此外,一些聯盟鏈、私有鏈,由於其佈置範圍較小的原因,節點規模也自然並不是特別大,這也使得“51%攻擊”比較容易成功。
對於區塊鏈而言,“51%攻擊”是一種災難性的攻擊,由於區塊鏈的特殊機制,這意味着攻擊者可以任意操控區塊鏈網絡中的各種交易和信息驗證。
其二是網絡黑客攻擊,網絡黑客可以通過生成大量的虛假節點來欺騙真實的節點,事實上,當網絡黑客攻擊的規模足夠大時,它也是另一種模式的“51%攻擊”,針對網絡黑客攻擊,加強共識算法的安全性是最好的解決途徑。
特別是當共識算法能夠自動分辨真實與虛假的節點時,那麼網絡黑客攻擊自然不足爲慮。不過以目前的各種共識算法來看,達到這種程度都還有一段距離,區塊鏈中的共識算法還有進一步改進的地方。
其三是路由攻擊,路由攻擊是一種通過僞造路由信息產生錯誤的路由干擾正常的路由的過程。對於區塊鏈而言,它依靠與分散在不同地點的節點之間進行數據傳輸。整個區塊鏈網絡以及其中的應用程序都是建立在一個實時移動的數據庫之上的。
這種不同節點之間的安全性的差異,以及頻繁的數據傳輸,成爲了路由攻擊一個良好的切入點。黑客還可以憑藉區塊鏈中本身具備的匿名性,來掩蓋它攔截在區塊鏈中傳輸的數據信息。
由於路由攻擊通常不會干擾數據傳輸以及其他操作,因此,在區塊鏈網絡中,各個節點一般也不會意識到遭受攻擊,黑客可以在用戶不知情的情況下提取通證或數據信息。
區塊鏈是多項信息技術的組合創新,具有去中心化、防篡改、透明可追溯、方便建立信用等特點,已經在數字政務、公益、版權保護、食藥溯源等多個領域有了規模化應用。中國正在加快佈局區塊鏈技術發展,發展勢頭可謂大好。
但是區塊鏈融合了分佈式網絡、加密技術、智能合約等多種技術,整體發展尚未完全成熟。區塊鏈技術得益於分佈式系統的高可用性與密碼學的高一致性,其本身具備的穩定、可信等技術特點使得區塊鏈技術天生具備長遠發展的基礎;但由於在設計上儘可能排除了人的影響,完全依賴技術所實現的信任鏈,這就使得區塊鏈技術的安全比其它IT技術的安全要更加重要,需要格外重視。
存在資源浪費和低效率的弊病
儲存空間浪費:區塊鏈的去中心化模式,需要佔用大量使用者的空間,因爲每個人都要儲存同樣的信息,而這些信息只是簡單的保存和記錄,並不能給生產和社會帶來作用,反而浪費了大量的儲存空間。
能源浪費:以比特幣的挖礦爲例,比特幣的能源消耗問題根據最新排名,它的挖礦年耗電量預計約48.37太瓦時(TW,萬億瓦時),超過了全球用電量排名第54位的國家伊拉克。
而且,由於區塊鏈的運作較爲依賴網絡節點貢獻的算力,這些算力主要用於解決SHA256 哈希和隨機數搜索,除此之外並不產生任何實際社會價值。就像一場賽跑,100個人衝上去,只有1個人能成功,其餘99人都是失敗者,而這99個人的努力,不會給這個社會帶來任何效益,這屬於巨大的資源浪費。
雖然去中心化可以讓大衆免除被中心化的機構壓迫的威脅,但是弊端也很明顯,那就是其採用的分佈式存儲技術,由於是讓每一個節點保存一份數據庫,且網絡中發生的任何一筆交易需要其它節點認證和記錄,這導致區塊鏈的系統工作效率十分之低。
最著名的區塊鏈應用比特幣,每秒交易量是6-7筆/秒,而中心化的銀行和支付寶,則平均每秒交易量在5-20萬筆/秒,這個巨大的差距導致了用比特幣每轉一筆款都要等待數天的時間,而現在一些比特幣轉款速度加快,可以達到每秒上千筆,這種突破並不是技術上的突破,而是採用了多中心化的形式,犧牲了去中心化這個概念,而這其實已經背離了比特幣一開始的初衷。總之在“效率”和“民主”中間永遠是個難以達成的平衡。
需求很大,痛點很痛
區塊鏈應用存在參與角色多、數據敏感性強、採集難度較大、隱私要求高、數據權威性難以保障等挑戰。
區塊鏈應用要求提升權威部門的參與積極性和治理職能,增加更多公衆的參與度、認同感和信任度;區塊鏈應用要求實現穿透式監管和透明化治理,降低合規與審計風險等等
道理大家都懂,但是對於目前的區塊鏈技術來說。不得不承認,落實到實踐中,區塊鏈的發展困難重重。
區塊鏈往往是多方協作的場景,在過程中既需要做到透明可信,又需要保護衆多參與者以及可信治理,但是當前應用大多是孤立零散的狀況。要把散落的信息彙集起來,形成更完整的信息視圖,對於現在的微衆區塊鏈來說工程量尤爲巨大。
在開源生態方面,爲了保有生命力,需要參與角色要既能夠獲得自身所需,又能結合優勢發揮獨特價值。如何讓更多人學習和參與到區塊鏈中去,同時發展更多認證合作伙伴。這是微衆當前所面臨的挑戰。
結語
區塊鏈技術通過互聯網,打破和解決了人類社會在沒有權威中心中介的協調下,在陌生的交易雙方間建立可靠的信任的問題。以相對較低的成本去中心化,實現了可靠的點對點價值傳輸,顛覆了傳統人們交易的模式。
區塊鏈技術是一個全新的概念,去中心化、高度自治的特點顛覆了人類習慣的中心化威權管理的生活方式,整個世界對此還沒有充分的理論探討和制度準備。
目前全球對區塊鏈技術還沒有明確的法律和監管框架,法律和制度建立方面還比較滯後,存在一定的監管風險。同時安全性問題也是制約區塊鏈發展的一大阻礙,如何在發展和安全之中找到最佳的平衡點是微衆區塊鏈能不能順利走下去的關鍵。讓我們拭目以待。