文 《法人》特约撰稿 董毅智
区块链技术安全隐忧
文 《法人》特约撰稿 董毅智
区块链技术正在突飞猛进,今后,越来越多的领域将应用到区块链技术,正因为技术过于超前,监管才显得如此难以完善。就区块链中的安全技术而言,仍然需要我们保持谨慎的态度,避免过于乐观而引发大规模安全事件
区块链,从默默作为比特币的底层技术到独立站在世界前沿科技的聚光灯下,仿佛只是一瞬。
据报道,截至2017年4月底,全球总共455家区块链公司累计获得融资额为19.47亿美元。在获投公司数量上,中国共有61家,位列全球第二,随着区块链+的日益深入,有望引领技术投资新浪潮。
说到区块链,大家首先想到的可能就是比特币。比特币(BitCoin)的概念最初由神秘的作者中本聪在2009年提出。而区块链是比特币的基础技术,中本聪在2008年发布的《Bitcoin: A Peerto-Peer Electronic Cash System》论文中第一次详细描述它。
虽然“区块链”一词在中本聪的原始论文中就被多次提及,但是直到近几年,区块链才能真正成为一个通用的术语名词。区块链其实是一个分布式的计算网络,这网络中的每一个节点都执行和记录相同的交易事务,这些交易事务最终被归入一个个区块,一次只能向这个网络中添加一个区块,每一个区块都包含了一个数学上的证明,用来确保此次添加的区块和网络中已经添加的区块是处在一个序列里面的。
通过这种方式,区块链的“分布式数据库”就能在所有的网络节点中保证数据的一致性。个人与总账的交互由强大的密码保护。在以太坊的协议中,验证和维护这网络的人会有一份奖励。这“验证和维护”就是我们平时说熟知的挖矿,“验证和维护这网络的人”就是我们平时所说的矿工,而“奖励”在比特币中就是指一个比特币令牌。
在比特币中,这分布式的数据库被当作一个存储账户余额的大表,一本总账,交易事务是指为促进个人与个人之间无须信用的金融交易而进行的比特币的令牌转移。但是随着比特币受到越来越多的技术专家的注意,越来越多的新项目开始使用比特币网络,而其目的不仅仅是转移比特令牌。
现在,许多山寨币被开发出来,它们都使用了自己独立的区块链和加密货币,升级了原始的比特币协议,添加了许多个性化的功能和能力。 在2013年,以太坊的发明者Vitalik Buterin 提出一个可以执行任意复杂运算的区块链。
和其他任何的区块链一样,以太坊也包含了一个点对点的网络协议。以太坊的数据库是由链接着网络的各节点来维护和更新的。网络中的每一个节点都运行着相同的虚拟机,并且执行着相同的指令操作。正因为这个原因,以太坊有时候被称为是一个“世界计算机”。
以太坊整网的大规模并行计算不是为了提高运算效率。事实上,这过程使得在以太坊上的运算比传统的电脑慢得多而且要付出更多的代价。相反,每个以太坊虚拟机的运算是为了保证区块链全网数据的一致性。全网中的每一台虚拟机的运行都是为确保全网数据的一致性。分散的一致性给予全网极端的容错能力;永不宕机的能力;抗审查能力。并且使得存储在区块链上的数据保持永不改变。
以太坊框架本身并没有什么特别的功能。就好像程序语言一样,它做什么,都是由企业或开发者来决定的。比如,复杂的金融合约的自动化。比特币可以让用户不通过第三方机构,如银行、政府等就可以直接兑换货币。以太坊的介入可能会产生更加深远的影响,任何复杂的金融操作都是可以自动被执行的,并且可以写成代码在以太坊上运行。除了金融外,任何情况下,只要对信用、安全和持久有极高的要求,如资产注册登记、投票、管理和物联网等都有可能受到以太坊平台的影响。
结合定义区块链的定义,区块链主要有这四个特征:去中心化(Decentralized)、去信任(Trustless)、集体维护(Collectively maintain)、可靠数据库(Reliable Database)。并且由四个特征会引申出另外2个特征:开源(Open Source)、匿名性(Anonymity)。如果一个系统不具备这些特征,将不能视其为基于区块链技术的应用。
当前区块链的应用部署类型有三种:
一是公有链,比如比特币、莱特币这样的货币网络,只要你愿意参与这个交易,你就可以成为这个网络里的一分子。
二是私有链,一些企业的私有链项目主要用在审计和跟踪上。因为区块链不可逆的特性,发生一个业务马上在区块链里面就能留下痕迹,因此不需要大量审计人员进行数据复核,并识别账目真假。这也是为什么全球四大会计师事务所会关注区块链的原因。区块链还可以解决公司数据存储问题。数据无论存放在哪个服务器都有可能丢失,而区块链技术底层已经具备分布式存储的概念了,数据任意存储得以实现,许多技术上的壁垒得以破除。
三是联盟链,该联盟链的每个参与方不用担心自己数据存在哪里,自己产生的数据都只有自己看到,只有通过对方授权的密钥才能看到其他参与者的数据,这样就解决数据隐私和安全性问题,同时能够实现去中心化。
从公有链、私有链到联盟链,三者依次迭代发展,但是随着区块链技术的快速发展,不排除当前公有链和公有链的界限会变得比较模糊。由于每个节点可以有较为复杂的读写权限,也许有部分权限的节点会向一切人开发,而部分记账或者核心权限的节点只能向答应的节点开放,那就会不再是纯粹的公有链或者公有链。
笔者认为,区块链技术未来有几个大的发展方向。
首先是转账与支付。目前,区块链技术最成熟的应用便是支付与转账,区块链技术能够避开繁杂的系统,可以省却银行间对账和审查的流程,加速了资金结算速度;同时,运用虚拟货币无须清算所的介入,还极大地减少了交易费用。
其次是泛金融业务。区块链技术可以用于资产交易、快速审计等领域。用户双方达成交易意向,交易信息被添加到区块链上交易即完成,无须登记结算所等多方进行数据的反复沟通、核对和发送,提高了效率;区块链具有共享、可信、可追溯的特点,也为审计提供了便利。
最后是其他应用。区块链技术还可以与云计算和物联网结合,应用前景极为广阔。
随着越来越多的公司意识到区块链技术市场的广阔前景,高盛、IBM、花旗等巨头纷纷出资入股区块链领域初创公司,区块链领域的风险投资总金额也屡创新高。
说到“区块链监管”,似乎没有人清楚了解这包含什么内容。例如,俄罗斯政府上周宣布其将在2019年之前实现区块链监管,然而细节却很难讲清。目前正在进行中的数百个试点项目以及概念验证只不过是这项技术潜在应用的冰山一角。
此外,对于这种不同寻常的公私网络分离现象也需要两种不同的方法。虽然可以就私有区块链的发展起草相关法律,但是鉴于分布式网络这种国际性自由访问的性质,根据公有网络的用途来进行监管显然是无法起作用的。
谁来进行监管呢?没有人知道比特币创始人的真实身份,更不用说他(或她)法定地点的具体位置了,因此甚至都不可能去适用其居住地的管辖法律。
所以,现在可以将重点转移到构建在公有区块链之上的应用程序。而即使是这样,监管可及之范围也会受到限制,因为任何人都可以在不确定司法管辖区的情况下在任何地方发布应用程序。在这种情况下,监管机构除了让市场做出决定外,别无选择。
区块链是一次互联网技术的大变革,它使得人们看到全球性的协同计算正成为可能。在区块链带来巨大科技创新的同时,区块链的安全也正日益引起科研工作者的浓厚兴趣,一系列问题还有待进一步从理论层面和应用实践中得到解决和验证。
就目前区块链中的安全技术而言,仍然需要我们保持谨慎的态度,避免过于乐观而引发大规模安全事件。也建议国家或机构投入大量人力开展区块链安全问题研究,制定具有我国独立知识产权的区块链相关安全规范和标准,提升区块链安全监控能力,保障区块链产业健康发展和持续创新。