越來越多的傳統企業開始接觸區塊鏈,其中一些已經在著手進行區塊鏈應用的開發和使用了。與傳統互聯網一樣,區塊鏈開發依然面臨嚴峻的安全考驗,安全永遠是應用開發的關鍵。不過,在具體的安全問題上,區塊鏈又與傳統互聯網有所不同,開發者該如何分辨二者的區別,並正確應對新的挑戰?
智能合約安全漏洞頻發
北京時間5月3日凌晨4點12分,以太坊上一款應用中的所有波場幣被盜,總價值427萬多人民幣。其原因就是黑客發現了該應用智能合約中的一個漏洞,通過該漏洞悄無聲息地轉走了應用中的所有資產。
而這只是眾多區塊鏈安全事件的冰山一角。據迅雷鏈開放平臺產品負責人馬雙陽介紹,在以太坊上38000多個智能合約中,通過漏洞掃描工具發現存在815個漏洞。也就是說,超過2.1%的合約存在漏洞,這是非常驚人的一個比率。
同時針對智能合約漏洞的攻擊也越來越頻繁,馬雙陽透露,自有智能合約以來,漏洞相關的攻擊事件,59%發生在2018年年份,可見黑客已經意識到智能合約漏洞的“有利可圖”。
據迅雷鏈技術團隊的專業分析,區塊鏈安全問題基本分為存儲、協議、擴展、業務層這四個方面,其中,存儲、協議和擴展三個層級的安全機制,都由主鏈平臺提供,基本上經得起檢驗,出問題的可能性不大。唯獨業務層是由企業自己提供的,其中技術水平良莠不齊,且目前還缺乏真正經驗豐富的區塊鏈開發者,因此往往安全問題就出在業務層的智能合約上面。
而智能合約又是開源的,其代碼全都公開,黑客很容易就發現漏洞並加以利用。同時智能合約一旦公佈,就很難撤回修改,因此漏洞一旦被發現,彌補起來都非常困難,這是區塊鏈安全與傳統互聯網安全問題最大的不同之處。
選擇安全機制完善的開發平臺
因此傳統企業在使用區塊鏈的過程中,需要特別注重自身應用中的智能合約安全性。而其中最主要的手段就是利用工具自檢排查,所以選擇一個提供完備的安全排查機制的開發平臺,就顯得非常重要。
目前,一些領先的區塊鏈平臺已給出更加專業和安全的解決方案,如迅雷鏈就推出了專門針對智能合約的安全機制。據介紹,迅雷鏈針對智能合約的安全審核分為三個層級,分別是防護,驗證和審計。
其中防護就是在編碼過程當中不斷規範和代碼發佈的規則,並不斷加以完善和維護,從源頭上對安全進行防護。驗證就是在開發工具中進行動態的安全檢測,當開發者使用開發工具進行應用開發時,該工具會自動對其中代碼進行安全性的檢測,一旦發現有問題,就會直接反饋給開發者。
最後迅雷鏈還會對所有智能合約進行完善的審計,馬雙陽說,其中絕大多數是人工審核,以此規避自動審查中的不精準性,最大程度保證合約的安全性。
今年四月,迅雷鏈獲得國內對非銀行機構的最高級別安全認證——國家信息安全等級保護三級認證。同時,網心科技還作為行業領軍企業,受邀參與了《可信區塊鏈:區塊鏈安全評價指標》的制定。這些都是迅雷鏈持續發力區塊鏈安全防護獲得的肯定。
安全與效率並重
不過業內專家也提醒說,企業在開發區塊鏈應用時,固然要強調安全性,但也要注重使用效率,二者不可偏廢,否則安全性倒是有保障,但應用本身的易用性卻遭到損害,也不利於業務的開展。
區塊鏈頭部平臺也意識到了這方面的重要性,開始加強此方面的融和。據迅雷鏈底層研發工程師張驍透露,目前迅雷鏈主要是通過對加密算法等核心層的創新改進,在保證安全的同時努力提升應用的開發和運營效率。
比如區塊鏈當中最廣泛應用的數字簽名算法,包括密鑰匙生成以及簽名還有驗籤三部分,需要同時保存簽名和公鑰。但迅雷鏈通過對這種加密算法的改進,實現用簽名倒推公鑰,這樣只需要保存簽名即可,由此減少了至少1/3的存儲空間需求,極大地降低了應用的存儲成本。
同時在很多業務場景中,需要對某些數據進行求證,而求證過程又往往意味著數據的公開,由此又與數據安全和隱私保護形成衝突。鑑於此種情況,迅雷鏈推出承諾系統,利用同態加密和零知識證明兩種技術,實現了在不公開數據的情況下,完成對數據的求證。就好比寫字樓門禁,當你拿工牌刷卡開門時,門禁只會反饋出“開”與“不開”這兩個結果,並不會告訴你工牌上的姓名、公司、電話等信息。
總體而言,當前的市場背景下,區塊鏈技術處於不斷更新進步之中,區塊鏈人才極度匱乏,此時需要特別注重應用產品的安全性,否則容易導致災難性的後果。而加強安全度的最佳途徑,就是選擇像迅雷鏈這樣值得開發者和企業信賴的區塊鏈開放平臺,藉助它所提供的完備安全機制,進行應用開發。這樣既減輕了開發的工作量和成本,還最大程度地保障了自身應用產品的安全性,能夠更好的服務消費者。