区块链的安全性有保障吗
扫描二维码
随时随地手机看文章
据世界经济论坛称,到2025年,区块链将占全球GDP的10%。从产品标识符、医疗记录到土地登记、学位和保险合同,区块链和分布式账本技术(DLT)已经在许多领域发挥作用。
区块链所承诺的,不亚于21世纪社会公地复兴的技术支柱,将权力交还给人民。在这个世纪,权力比以往任何时候都更来自数据。区块链承诺将数据控制权交还给人民。但这需要一个要素:对技术的信任,相信它能做它应该做的事情。
这里的悖论是,区块链消除了信任中介的需要——即要求我们信任这项技术,包括公证人、保险公司和银行家。但是,如果这种技术一再遭到破坏,我们有多大可能相信它呢?
如果我们对作为技术基础的技术缺乏信任,我们将生活在什么样的社会里?有人可能会说,如果这项技术被证明太难保护,区块链将会消失在数字的深渊中。但最近的历史告诉我们,安全性差并不是采用的障碍。
要修复的声誉
在2010年著名的比特币黑客攻击事件中,尽管只有少数人对比特币感到满意,但代码中的一个漏洞却让某些人能够凭空产生出价值1840亿的比特币。但这是代码中的漏洞,而不是区块链逻辑中的漏洞。问题很快得到了解决。
2016年,有人临时从DAO中获取了7500万美元,再次利用了代码中的一个漏洞。同样,底层DLT的逻辑是完整的。
最近的一次是在2019年,一家加密货币资产管理基金的首席执行官去世了,随之而来的是他所管理的加密货币的使用权证,价值超过1.5亿美元。无法检索。是区块链的错吗?不,该公司没有实施适当的制衡措施来防止这种情况的发生。事实也证明,这位首席执行官在通过之前就已经窃取了资金。
区块链是一项新技术,并不是最简单的技术。区块链社区可能需要数年时间才能在安全标准上达成一致,从而减少入侵的频率。然而,随着这些破坏活动的加速,区块链真的还有多少年的时间来挽回声誉吗?
区块链真的安全吗?
区块链作为一种概念技术是安全的。麻省理工学院就是这么说的。但纸面上的区块链没什么用。
1. 与任何技术一样,当开发人员将需求编程到产品和服务中时,都会出现安全问题。代码行、共识机制、通信协议等都有可能存在漏洞,这些漏洞可以被恶意利用。但目前区块链仍然是一种不同的技术:多种协议和编程语言正在并行开发。因此,开发人员很难获得确保代码安全所需的经验,而大多数开发人员都面临着严格的交付时间压力。
2. 由于区块链严重依赖于密码学,即安全通信的实践,它给人的印象是它是一种自我保护的技术。这与事实相去甚远,因为区块链是建立在需要保护的通信网络和设备之上的。传统的信息安全挑战也适用于区块链。此外,与任何其他安全规程一样,密码学也在发生变化。此外,密码学和其他任何安全学科一样,是一个不断变化的领域:量子计算机已经有望打破许多加密算法。
3.第三,也是最后一点,围绕密钥管理、钱包托管和节点补丁等方面的糟糕安全实践,都会导致潜在的安全问题,从而给该技术蒙上阴影,而教育系统管理员和用户将解决绝大多数安全问题。
那么我们今天能做什么呢?
1. 首先,我们需要开发具有安全意识的区块链开发人员。这将要求教育课程从中学的编程课程开始,直到大学学位,并强制提供区块链安全编码课程。在撰写本文时,塞浦路斯尼科西亚大学是世界上唯一一所提供区块链(尤其是数字货币)理学硕士学位的大学。这些学位将需要得到认可的区块链安全专业认证(如CBSP)的补充,但也需要在ecissp等网络安全认证中加入区块链作为主题。
2. 其次,我们需要教育用户他们正在承受的安全风险,以及如何以低成本有效地减轻这些风险。这将需要提高人们对区块链的认识,并在人们向区块链过渡的过程中开展公私合作。尽管与中本聪最初的分散化愿景有些不同,很可能是区块链需要证明其价值的平稳过渡,就像上世纪80年代的内部网证明了互联网对世界的价值一样。从这个意义上说,像Facebook这样的行业巨头采用区块链,并拥有其加密货币Libra,提供了一个受欢迎的机会,让公众了解如何使用区块链。由于区块链的曝光率降低,保护其安全可能会变得更容易,但反过来,保护区块链的压力降低可能会导致数字泄露。
3.第三,我们需要公共和私人领导人明白,区块链并非实现安全的灵丹妙药。换句话说,我们需要揭开区块链安全性的神秘面纱,并明确指出,尽管该技术在可用性和完整性方面具有优势,但后者并没有提高它们所持有的信息的质量:垃圾输入,垃圾输出。安全部署区块链解决方案将需要时间并与更广泛的安全生态系统集成,后者由需要传统信息安全的传统网络设备组成。
对于现有企业来说,首先要让董事会和高管们了解区块链是什么、不是什么,以及区块链的内在风险是什么。它还要求CISO将区块链集成到他们的事件管理计划和程序中,并开始考虑安全领域分散业务模型的影响。
对于初创企业来说,92%的区块链项目仍然是失败的,平均寿命约为15个月。由于生命周期如此之短,上市时间几乎总是优先于安全性:这需要改变,而实现这一点的最佳途径是通过投资者的行为改变。
标准正在制定中,毫无疑问,这将有助于区块链技术的融合,降低其复杂性,而复杂性是安全性的已知敌人。
但是标准本身并不能起到多大作用,因为人类仍然是技术的守护者:我们今天需要构建区块链安全技能。否则,明天将不是复兴开始,而是社会公地的结束。
下载文档
