2020年8月20日晚7点30分,四川省区块链行业协会《BSI大应用?小故事》栏目准时开播。成都链安·安全负责人Frank做客栏目,深度探讨了联盟链智能合约与链平台安全的相关问题。
本期栏目『联盟链智能合约与链平台安全』为主题,成都链安·安全负责人Frank从『智能合约安全浅析』、『联盟链平台安全浅析』、『智能合约与链平台安全检测项』三个切入点展开探讨,进行了高质量与高水准的主题分享。
以下内容为本期栏目实况:
主持人:Frank老师,您作为成都链安·安全负责人,多年从事安全研究,擅长区块链安全平台的问题分析,担任多家金融机构、互联网公司安全顾问,并参与编写了区块链安全相关书籍,您的从业经验非常丰富。那么您是怎么样进入这个行业的呢?
中科江南:已与苏州地区相关部门共同探讨数字货币结合国库资金支付相关试点和验证:1月8日消息,中科江南接受机构调研时表示,公司已与苏州地区相关部门共同探讨数字货币结合国库资金支付的相关试点和验证。医保电子票据业务基于全国统一医保信息平台,探索医疗电子结算凭证在医保领域的深化应用。目前正在积极开发实施。[2023/1/8 11:00:15]
Frank:大家好,我是成都链安的Frank,我最初听说区块链是在大学时期,当时只有一个模糊的概念,在2017年比特币病攻击安全事件发生之后,对于区块链有了进一步的认识,之后便开始深入了解区块链,直到与成都链安结缘,就开始了对区块链安全的研究。
主持人:谢谢Frank老师,我们知道您在行业中的经验是非常丰富的,大家对于区块链安全问题非常关心,现在有请您为我们带来今晚的演讲。
V神发文探讨代币投票治理利弊,并提出替代解决方案:V神发文称,去中心化治理是必要的,但目前形式的代币投票治理存在许多公认和未公认的危险,因此扩大或超越代币投票是解决方案的关键部分。关于代币投票,V神称主要担心两种类型的问题:1.不平等和激励失调(即使在没有攻击者的情况下);2.通过各种形式的(通常是模糊的)买票形成直接攻击。第一种问题具体包括:
- 小群体的富有参与者(鲸鱼)比大群体的小型持有者更善于成功地执行决策;
- 代币投票治理以牺牲社区的其他部分为代价,赋予持有者和权力和利益;
- 利益冲突问题。
V神就此给出以下解决方案:
解决方案1:有限治理
- 仅对应用程序使用链上治理,而不是基础层;
- 将治理限制为固定的参数选择;
- 添加时间延迟;
- 对于分叉更加友好。
解决方案2:非代币驱动的治理
- 人格证明系统:该系统可验证帐户对应于唯一个人,因此治理可以分配给每人一票。可以还可查看正在开发的一些技术,ProofOfHumanity和BrightID是实现这一功能的两种尝试。
- 参与证明系统:该系统可证明帐户对应于参与过某事件、通过了某些教育培训或在生态系统中执行过一些有用工作的人。
解决方案3:风险共担
通过改变投票规则来打破公地悲剧。代币投票失败的原因是,虽然选民需要对他们的决定承担集体责任,但每个选民并不需要单独承担责任。所以V神提议创造一种投票系统来改变这种动态,让选民们独立而不是集体地为他们的决定负责。
其他方案:各种混合形式的futarchy治理、时间延迟加上选举专家治理、松耦合(咨询)代币投票等。
V神总结道,目前的代币投票形式是“safe defaults”,在更大的经济压力、更成熟的生态系统和金融市场条件下,它们的功能仍有很多有待观察的地方,现在是开始同时试验替代方案的时候了。[2021/8/16 22:17:20]
Frank:好的,今晚我为大家分享的主题是『联盟链智能合约与链平台安全』。
安永将于1月26日出庭探讨QuadrigaCX加密资产估值方式:加拿大加密交易所QuadrigaCX破产案的受托人安永公司将于1月26日出庭,讨论QuadrigaCX加密资产的估值方式。安永认为,应考虑从2019年4月15日(该交易所破产之日)起对加密资产进行估值。而受QuadrigaCX破产事件影响的加密初创公司BlockCAT则认为,应从2019年2月5日起进行估值。估值日期的起始点将影响加密货币的估值方式,从而影响剩余资产池中债权人的收益。(CoinDesk)[2021/1/20 16:36:43]
首先带大家明确几个概念:
·公有链是指全世界任何人都可以随时进入到系统中读取数据、发送可确认交易、竞争记账的区块链。
·私有链是指其写入权限由某个组织和机构控制的区块链,参与节点的资格会被严格限制。
动态 | 网信普法大课堂将围绕区块链与算法等前瞻性技术进行授课探讨:国家互联网信息办公室联合司法部、全国普法办于2018年9月至11月,举办全国“网信普法进机关、进企业”活动。全国“网信普法进机关、进企业”活动将陆续在石家庄、西宁、昆明、南京、哈尔滨五地开展。届时,网信领域的知名专家学者将通过网信普法大课堂、法治论坛、主题授课等方式,围绕个人信息保护、数字经济、工业互联网、区块链与算法、5G等前瞻性主题进行授课和探讨。[2018/9/4]
·联盟链是指有若干个机构共同参与管理的区块链,每个机构都运行着一个或多个节点,其中的数据只允许系统内不同的机构进行读写和发送交易,并且共同来记录交易数据。
·智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。
随着区块链技术的不断发展,越来越多的机构与企业开始加大对区块链的研究与应用。相比公链而言,联盟链具有更好的落地性,受到了许多企业与政府的支持。为了提升效率,支持更加友好的设计,各联盟链在智能合约上也出现了不同的发展方向。
目前智能合约与区块链的结合,普遍被认为是区块链一次里程碑式的升级,但智能合约技术发展也面临诸多挑战,如安全性问题。随着智能合约数量的增多,去中心化应用的推广,智能合约涉及的数字资产呈指数级别增长。相比传统软件,智能合约的安全问题更加棘手,现实情况也更加严峻。
总体来说,目前智能合约的主流架构是系统合约(预编译合约)+业务合约,而代码语言安全特性、合约执行所带来的安全性问题、系统机制导致的合约安全问题、业务安全问题都会威胁智能合约安全。
对于智能合约的安全建议是:
1.简化智能合约的设计,做到功能与安全的平衡
2.严格执行智能合约代码安全审计(自评/项目组review/三方审计)
3.强化对智能合约开发者的安全培训
4.在区块链应用落地上,需要逐步推进,从简单到复杂,在此过程中不断梳理合约与平台相关功能/安全属性
5.考虑DevSecOps的思想
目前链平台安全主要包括了共识安全、交易安全、合规、账户安全、端点安全、RPC安全等,相较于联盟链而言,公链安全问题更凸显,公链是匿名且无准入控制,作恶难以被发现,此外,公链应用发布没有审核,上链应用质量参差不齐,这也是公链漏洞较多的主要原因之一。
在当前链平台漏洞频出的严峻背景下,链平台深度安全检测势在必行,成都链安采用攻击测试+专家人工代码审计的方式对区块链平台进行深度的安全审计,审计方式为黑盒/灰盒/白盒,漏洞全面覆盖10大项39小项,目前成都链安已经完成24个链平台的深度安全检测,检测出30余个高危漏洞。以此不断努力让区块链生态更安全。
主持人:感谢Frank老师为我们带来的精彩分享。下面进入问答环节,以下都是大家最关心的问题,请Frank老师为我们作答。
Q:联盟链对于公有链有哪些明显优势呢?
A:相对于公有链来说,联盟链有一个准入机制,通过该机制能够筛选参与方,从而了解参与方具体情况,把控其行为,杜绝攻击者。并且联盟链是由多个机构共同控制的,能采用利于性能提升的共识,从而不断改进其功能。除此之外,联盟链是针对某些业务场景开发的,在落地层面会更适应于国内业务场景应用。
Q:区块链能有效保证信息安全吗?
A:区块链能够利用密码技术等对信息、数据进行加密,然而区块链是无法完全保证信息安全的,只能作为加强信息安全的辅助手段。
Q:智能合约的未来发展方向是什么样的呢?
A:对公链上来说主要还是以虚拟资产为主,但这只是发挥了区块链在密码学方面的一些功能。而联盟链未来发展的主要方向应该是应用落地,在存证、共识等方向有着非常大的探索空间,能解决很多传统应用难以解决的痛点。虽然联盟链会产生信息割裂等问题,但利用跨链技术也能够迎刃而解。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。