整理小玲儿
出品耳朵财经
5月20日,《耳朵财经》在区块链长征华南社群完成了第五期区块链长征线上版活动,本次线上活动邀请到了零时科技CEO邓永凯、区块链专利联盟秘书长*永彬、云链科技CEO徐刚三位嘉宾与耳朵财经记者小玲儿共同进行了《区块链技术应用落地,存在什么安全问题?》的圆桌对话。
以下为对话内容:
问题1:区块链的一大特性是不可更改,能 保存。在追求数据上链的同时,也容易造成大量垃圾数据攻击堵塞区块链,使有效信息和信息延迟无法被处理。请问各位嘉宾如何看待这一现象?
首先简单说一下,区块链的特性:数据不可篡改,而且 保存。这个话题让我想到看过的一个文章,文章里面当时有一句话说:
如果我们不谨慎的话,大多数公共区块链将沦落到《机器人总动员》中地球的命运,注定将成为废弃的古代垃圾资源库:不是物理垃圾,而是垃圾数据,无关紧要,不合时宜且已被弃置的数据。
当时看到这句话很有感触,比特币限制区块的大小,就是不鼓励大家在链上插入非交易数据。
但ETH、EOS这些竞争者怎么干?
它们会改变区块的大小,也可以随机往链上存储一些备注数据,而且目前这些其实已经产生了明显的影响。比如EOS,打开区块浏览器会发现你的账户里存在大量垃圾广告信息,而且这种信息无法删除, 留痕。长此以往它就失去了公链真正的功能和意义。
所以现在很多区块链应用都基于联盟链的机制来做,因为它的接入受限制。联盟链可以接受一些相对大体系的数据,但写入数据需经过授权才行。根据我们审计的一些联盟链的应用,目前应用中的大部分链上也不会存储原始数据。
只把跟交易相关以及需要验证的重要数据存储在链上,所以公开的区块链的链上数据插入以及垃圾数据的插入,目前也是一个比较大的风险和问题。
首先我们要了解,水能载舟,亦能覆舟。技术是无罪的,关键是我们想怎么用。我们联盟顾问方主任,他们团队主要做一些大陆互联网数据的全方位监控,例如P2P、第三方支付、区块链等数据的全程监控。
最近方主任在互联网大会上表示,随着互联网时代的发展,这些数据的成本越来越低。现在每天都会产生超过过去几十年甚至几百年的信息总和,其中90%以上都是垃圾信息。
为什么会有垃圾信息呢?主要是人类具有欺骗性,这些都是我们人类自己制造的麻烦。
区块链是分布式的数据库账本技术,该技术方案致力追求在缺乏互相信任的分布式网络环境下,实现交易的安全性、公允性,达成数据的高度一致性,防篡改、防作恶、可追溯。
我们要合理利用区块链技术进行信息溯源,同时在保证实名制的情况下,我们是可以有效杜绝垃圾信息,而后保证数据不会篡改,以发挥信息该有的价值。
针对区块链上数据 保存,但同时会造成大量的垃圾数据堵塞区块链的问题,我个人认为最主要的原因是底层技术的发展还不够成熟。
这类比互联网也是一样,在互联网初期,最早出现的信息都是。而现在整个计算机码还是这样,再后来是邮箱发信息, 到数字、视频、语音以及各方面发展到如今的状态。
我认为技术发展是本质原因。目前数据上链肯定存在,也存在很多垃圾数据。比如现在很多数据对个人或机构来说,90%的信息无用。这90%的信息,我们称之为垃圾信息,但这可能对其他人有用。
正因为各式各样的信息充斥在一起才形成了互联网,所以我们在互联网上什么都能搜到。如果要想把区块链未来做成跟互联网一样的生态,底层发展还有待提高,路程还远。
与此同时,这也意味着机会还有很多。就线下的情况来看,有一些链只能做一些交易的信息存储,现在已经出来的包括EOS可存储一些备注信息。
最近内容存储的链也出来了,这是向前发展的过程。我认为应进行选择,例如摒弃一些不好的、有害于社会的信息。
未来还需大家统一数字身份的问题。如果未来底层统一,可能就是公链之争。公链支撑底层,可能每个人在区块链世界中都会有一个数字身份,就是ID。在这个前提下,所有的上面信息都是由一个个ID形成,根据区块链特性,它可以进行溯源,也可有效防止一些垃圾信息。
如果你的垃圾信息确实有害,可溯源到你,当然这可能需要很长一段时间的发展。就目前而言,这还属于发展较早期,这些数据的问题可以考虑,但不必过多纠结。
因为现实面临的问题是大家觉得存在链上还不如存在互联网上方便,所以这有一个发展过程。
这个问题目前受底层限制,但未来则并不一定。未来如果区块链底层成熟,可能这问题也会随之消失。我们往前看,比如在年无法想象用一个手机就可以打车,这就是技术的发展。
有可能区块链发展五年或十年后这些问题就都不是问题,它速度也会像互联网一样快捷、方便及舒适,但又具备整个区块链底层的特征:分布式,永不篡改。
问题2:目前现有的共识机制并不完美,但还未能设计出更安全且更快的共识机制,为了 限度保证应用项目的安全,那么在选择共识机制时,需考虑哪些因素?
其实这个问题涉及区块链的不可能三角问题,不可能三角是指区块链的去中心化、安全性及可扩展性三者不能同时满足,或是三者只能选择其二。
从本质上来说,我之前也给大家提过这可能是一个不严谨的说法。因为区块链不一定是没有办法满足这三点或是不一定去掉其中一个,另外两个就可以很完美,它并非如此。
举例来说,比特币用的是PoW工作量证明共识,它的安全性 ,但性能较差。以太坊目前是PoW,可能后面会转PoS,但以太坊在安全性上仅次于比特币。EOS是DPoS共识,它的性能相对较好,但牺牲了去中心化,故它的攻击成本相对于以太坊和比特币就低。
万事不会十全十美,鱼和熊掌也不能兼得。但可能在区块链技术应用落地时,针对不同的应用场景需选择不同的共识来做技术支撑。
所以在设计区块链应用时,具体还得分析你当前的应用场景是什么,是考虑安全性,还是可扩展性,根据不同的需求选择不同的共识算法以满足设计需求。
区块链技术目前还处于早期阶段,共识机制如PoW工作量证明、PoS股权证明、DPoS授权股权证明、Paxos、PBFT(实用拜占庭容错算法)、dBFT、DAG(有向无环图),为了 限度保证应用项目的安全,那么在选择共识机制时,应该参考各机制优缺点做出权衡:
PoW优点:结果能被快速验证,系统承担的节点量大,作恶成本高进而保证矿工的自觉遵守性。缺点:需要消耗大量的算法,达成共识的周期较长。
PoS优点:缩短达成共识所需的时间,比工作量证明更加节约能源。缺点:本质上仍然需要网络中的节点进行挖矿运算,转账真实性较难保证。
DPoS优点:缩小参与验证和记账节点的数量,从而达到秒级的共识验证。缺点:无法摆脱对于代币的依赖,不能完美解决区块链在商业中的应用问题。
作为参考,我们专利联盟使用的PoW+VDPOS机制,目前该区块链系统已经通过第三批网信办备案,并已经申请国内国际发明专利,我们自主研发的区块链基础平台将在VDPoS共识的基础上进行分片,进一步提高区块链的TPS。
我们使用多主链+多子链的混合架构,为全球 个使用此种混合架构的区块链。根据整个区块链的资源利用情况自动对超级节点进行分片,形成多主链并行出块模式,充分利用网络资源和超级节点资源,极大的提高出块速度,增加区块链的垂直扩展性;同时在主链之上可以根据应用的使用情况,启动多条子链,以支持更多的联盟成员DApp业务数据上链,增加区块链的水平扩展性。
我们首先剖析一下这个问题,应用项目如何选择共识机制,这有待研究。
什么意思呢?做应用项目,就目前来说,全球能供选择的区块链本就不多。区块链发展还需结合互联网来说,互联网开始发展时,表明互联网阶段好的发展是有千万级别的应用出现。
区块链目前几乎没有千万级别的应用在链上运行,除了所谓的交易类型,有交易的数据,其他的没有。就底层来说,PoW、PoS,DPoS也都是一个发展过程。
如何选择需看你做什么应用,目前可供选择的并不多,并且如果你想以安全为前提,PoW可能最安全,它最安全但也最不适合做链上应用。
平衡点需要寻找,我们在应用的过程中,其实有很多应用目前已逐步开始落地,包括从上到下都在重视这一块,看你到底是要用哪个。
之前我们给别人做底层优化时也加了区块链,但并不是说你全部都要上链。链上的应用是靠你选择,到底是注重用区块链,还是它哪个特性,例如是溯源防伪还是分布式或是交易。
以特点来选择,合适才 。当然在整个行业中,是用的最多的。
从安全性上说,肯定PoW是整个区块链中最正统的,其他都是探究行业的进步。相信未来肯定会寻到一个平衡点,包括上面提到的不可能三角。不可能三角是根据自己的实际情况在其中寻求一个平衡或侧重点。
未来公链之争肯定会更加激烈,因为这属于整个底层基建。想做好应用就需选择合适的底层,只要发展是朝前走的就行。
问题3:在区块链技术应用落地项目中,各位嘉宾认为应该如何做好安全问题的风险防范?
其实在区块链技术应用落地项目中,大部分应用的安全问题都出在两个方面,一是链本身的安全,以及基于链上开发的应用的业务安全问题。
例如上图中的联盟链,其实也是一个常见的区块链技术的应用落地,那它的安全就大概分为链安全和业务安全两个方向。
链安全是怎么接口RPC,还有数据通信、数据存储,以及刚提到共识的安全问题,最重要是合约安全与源代码的安全问题。
业务安全问题分为应用安全、中间件安全,以及底层的服务器安全,还有它的生产网络的安全。比如APP的客户端安全、用户认证、数据接口及信息泄露等,还有平时用的一些中间件和服务器。它本身也会存在各种各样的漏洞,包括网络问题,这些都算业务安全。
上图已经列举比较详细,但可能不同的应用会有一些针对应用本身较特殊的一些安全问题。
根据我们平时对一些区块链应用项目的安全审计,链本身的问题大多数是集中在合约和RPC接口上,还有源码上的一些逻辑问题,但最重要的是合约安全问题加PC问题。
业务可能每一个点都是短板,因为安全是一个面的问题,而不是各个点的问题。如果你面上做的很好,就像木桶原理,你只要有一个短板就可能满盘皆输。所以安全在区块链技术应用里是比较重要的一个环节。
针对区块链落地项目安全问题的风险防范有两个建议:
首先是大家