区块链真的安全吗?——科普篇
2018-05-08 11:39 浏览: 次
使用区块链的关键在于让大家,尤其是那些彼此不信任的那些人,以一种安全、无法篡改的方式共享有价值的数据。这是因为区块链利用复杂的数学方法和创新的软件规则存储数据,攻击者很难进行篡改。当复杂的数学方法和软件规则进入现实世界,来到人们手中,即使是设计最为精密的区块链系统也难以保证安全性,因为人类擅长作弊,会把一切搞得一团糟。
为弄清缘由,首先我们来了解下理论上是什么让区块链变得“安全”。比特币是一个很好的例子。在比特币的区块链中,共享的数据就是每笔比特币交易的历史,即一本会计帐本。这个帐本有多个副本,存储在由“节点”组成的计算机网络上。每次有人向帐本提交一笔交易,节点都会进行核对,确保交易有效——即确保花比特币的人手上真的持有比特币。节点会组成小群体,相互竞争,将有效交易打包到“区块”中,然后把“区块”添加到之前的区块链中。这些节点的拥有者就叫做矿工。成功将新区块添加到链条中的矿工可以获得比特币作为奖励。
理论上来说,该系统之所以能够做到防篡改是由于以下两点:一是每个区块独有的加密指纹,二是“一致性协议”,即网络中各节点承认共享条目的过程。 此处的指纹被称作哈希,最初生成时需要耗费大量的计算时间和电力。因此证明将区块添加到区块链中的矿工完成了计算工作,从而可以获得比特币作为奖励(因此,比特币使用的是“工作量证明”的协议)。对区块进行更改需要生成一个新的哈希,因此该指纹也扮演了封条的角色。不过验证哈希是否与区块匹配还是比较简单的,一旦节点完成匹配,就可以将新区块更新至区块链的各个副本。这就是一致性协议。
最后还有一道安全关:哈希同时也是区块间的链接。每个区块都包括前一个区块中的唯一哈希。因此,如果你想要追溯并更改帐本中的某一条目,你不仅要为其所在的区块计算出一个新哈希,还要为之后的每一个区块也生成新哈希。而且你的速度要比其他节点添加新区块到链接中的速度还要快。所以,除非你计算机的运算能力比其他所有节点的总和还要强(即便如此,也不是万无一失),你添加的任何一个区块都会与现有区块产生冲突,其他节点会自动拒绝你的更改。这就是为何区块链可以防止篡改,或者“不可更改”。
作弊也创新 理论先说到这里。现实中,实现起来要困难许多。即便一个系统的运行原理和比特币一样(许多加密货币都是这样的),并不意味着它就是安全的。麻省理工数字货币计划主任妮哈•纳如拉(Neha Narula)表示,即使开发者使用了可靠的加密工具,真正使用过程中还是很容易发生意外,出现安全隐患。比特币是发行时间最早的加密货币,可以说是久经沙场,经历过最多考验的先驱。
同时,人们也探索出了一些很有创意的作弊方式。康奈尔大学的艾明•古恩•萨若(Emin Gün Sirer)和他的同事已经证明,即使你的挖矿能力不及其他所有矿工加起来的一半,也能有办法篡改区块链。细节部分太过技术,但本质上来说,一个“自私的矿工”可以欺骗其他节点浪费时间去计算已经解决的加密难题,由此获得不义之财。
另一种可能性是“日蚀攻击”。为实现数据比较,区块链上的节点必须时刻保持通信状态。攻击者可以控制某个节点的通信,然后欺骗该节点接受看似是来自网络其他节点的虚假数据,这样攻击者就可以欺骗节点浪费资源,或者确认虚假交易。 最后,萨若表示,无论区块链协议有多么的不可更改,它“毕竟不是在真空环境中”。最近频频占领新闻报道头条的加密货币攻击都发生在区块链系统与真实世界相连的地带——如软件客户端和第三方应用。
举个例子,黑客可以攻破“热钱包”。热钱包是与互联网连接的应用,用于存储私人加密密钥,任何拥有加密货币的人都需要加密密钥才能消费。在线加密货币交易所的热钱包成了黑客攻击的首要目标。许多交易所宣称他们把大多数用户的资金都存储在“冷”硬件钱包里——即不联网的存储设备。但今年1月,日本交易所Coincheck被掠走价值超5亿美元的加密货币,该事件表明他们并不总会这样做。
或许区块链和真实世界最复杂的接触点就是“智能合约”了,所谓智能合约是指存储在交易自动化类区块链中的计算机程序。2016年,黑客利用以太坊区块链智能合约里未被发现的漏洞,从去中心化自治组织(DAO)盗取了360万个以太币,当时价值约800万美元。所谓DAO是一种新型区块链投资基金。
由于DAO的代码存储在区块链上,以太坊社区不得不推动一次颇具争议的“硬分叉”软件升级,才得以把资金收回——本质上来说,硬分叉就是创建一个新的历史版本,在此版本中资金没有被盗走。研究人员仍在研发新的方法确保智能合约不出故障。 中心化问题 “去中心化”的概念是区块链系统的安全保障之一。如果区块链副本被存储在一个大型的广泛分布式节点网络上,那就不存在可攻击的弱点,任何人都很难聚集足够的计算能力篡改网络。但萨若及其同事最近的成果则表明,无论是以太坊还是比特币都没有你想象中那么去中心化。他们发现,每周,前四大比特币挖掘组织占系统平均挖矿产能的53%。按照同样的标准计算,以太坊的三大矿池拥有全网61%的挖矿产能。 有人说,替代性的一致性协议,即那些不依赖挖矿的协议或许会更安全些。但这种假设并没有得到大规模的测试,新协议本身可能也会存在安全问题。
其他人在那些需要许可才能加入的区块链上看到了希望,这种网络和比特币不一样,任何人都可以下载软件加入比特币网络。这类系统砍掉了加密货币的反等级制度特质,但它却吸引了金融和其他机构,这些机构希望可以利用共享加密数据库的优势。 然而,许可系统也有自己的问题。谁才拥有授予许可的权力?系统该如何才能确保验证者真的如其所说的那样表里如一?许可系统可能会让网络拥有者更有安全感,但它其实只是给了拥有者更多的控制权,这意味着无论其他网络参与者是否同意,拥有者都可以做出更改——某些忠实信徒会认为这违反了区块链的本质。
最后,在区块链中其实很难定义“安全”这个概念。防的是谁呢?保护什么的安全呢?“这取决于你看待问题的角度,”纳如拉说道。
天下数据IDC提供香港服务器、美国服务器等全球海外服务器租用托管,是区域链、直销、流媒体、外贸、游戏等服务器解决方案首选品牌。
【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015