The DAO被劫,突显区块链本事及道德危害

原标题:当我们谈论区块链安全时,我们在谈论什么?

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

中国人民银行金融研究所互联网金融研究中心秘书长伍旭川

宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。——《三体》

对于360而言,安全业务是任何时期的主心骨,而在区块链安全问题频发的2018年上半年,360似乎找到了最好的机会。

6月17日,刚在5月份创造了全球最高众筹纪录的众筹项目The
DAO由于其智能合约中存在的漏洞而受到黑客攻击,导致价值达6000万美元的360多万以太币被劫持,并引起业内广泛关注。

图片 1

关于区块链、加密数字货币的安全一直以来都是热点话题。区块链已经发生了多次安全事故,比如著名的The
DAO事件

该事件反映出区块链技术整体还处于测试阶段,去中心化的智能合约无法避免技术上的操作风险和主观上的道德风险等问题。该事件还带给我们诸多启示:区块链技术应用平台的风险需高度关注,应提前研究相关法律和监管制度体系,完善区块链技术应用的投资者保护机制,智能合约需要在去中心化与中心化之间寻求平衡,数字货币的发展需要突破区块链的技术障碍。

当我们谈论“区块链安全”的时候,我们到底在谈论什么?

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The
DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

The DAO被攻击

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

实际上就是The DAO的智能合约出了BUG,用户可以不断从The
DAO的资产池中获取DAO资产

The
DAO是德国初创公司Slock.it的开源项目,是以太坊上以智能合约形式运行的去中心化自治组织。黑客利用The
DAO智能合约中递归调用存在的漏洞对其进行攻击,实现了在单个交易过程中多次支取以太币,从而将The
DAO众筹项目的350万个以太币转移到其创立的“子DAO”中。如果放任其发展且没有任何措施,按照规则黑客在27天后可以将这些以太币提取。

区块链系统的安全性并不单取决于区块链算法本身,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的问题就多得多。而根据木桶理论,一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。

又比如今年1月日本最大比特币交易所之一的Coincheck新经币被非法转移至其他交易所事件。

The
DAO被攻击,说明了以以太坊平台为代表的区块链技术目前都还处于产品测试阶段。尽管目前比特币和以太坊等主流区块链底层平台还没有被成功攻击,出现安全漏洞的只是在应用层面,但基于POW共识机制的区块链在前期参与节点有限以及后期算力集中的条件下都容易受到攻击。另外,区块链技术虽然能够自动化交易和交换,加密和软件虽然可以代替信息传递者,但目前仍然需要中心化平台的行动和能力。全球区块链行业的技术发展水平还处于相对初级的阶段,去中心化的智能合约在技术成熟之前仍然难以取代中心化的合约。

密码!密码!

再比如BEC美链4月被黑客攻击事件。BEC的合约代码:BeautyChain
美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题

风险VS漏洞

在区块链的世界里,每一个人的身份都不过是一段数字,密码学上称之为密钥,一旦有人获取了你的密钥,他就可以冒充你的身份从事任何事情,包括花光你的每一分钱。

除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

The DAO项目出现安全漏洞的直接原因被认为是The
DAO团队能力不够,缺乏对于代码的复核机制,从客观上反映出智能合约背后人为因素带来的操作风险。随着基于区块链技术的去中心化的智能合约将应用于越来越复杂的场景,其程序代码的复杂性和技术难度也将随之增加。因此,即使再优秀的团队和完备的代码复核机制,仍然无法在事前保证不存在任何安全漏洞。那么,技术上存在的操作风险将成为留给黑客攻击的漏洞。从这个意义来看,类The
DAO区块链应用项目将决不是被黑客攻击的最后案例。

密钥的安全性如何呢?以ECDSA算法为例,每一个密钥由256位01组成,要是随机猜测的话,猜对的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046,大概是1/1077。

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

基于区块链技术的去中心化应用平台,虽然具备许多中心化平台所不具备的优势,但去中心化不等同于去中介,用户与技术人员之间仍然存在委托代理关系。由于平台过度依赖于技术人员的专业水平,在缺乏对技术人员足够约束的前提下,拥有专业垄断优势的技术人员有激励在应用平台上留下风险漏洞甚至后门,由此引发道德风险。因此,即使The
DAO被攻击的技术漏洞不是技术人员故意留下,但仍然无法保证未来技术人员与攻击者之间不会形成合谋。

根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。

从硬件、游戏到广告、搜索,对于区块链360在其力所能及之处都留下了涉水前行的谨慎痕迹。但对于其起家的安全领域,360的动作则是大刀阔斧,有纵横捭阖之势。

事实上,以太坊雇用第三方公司LeastAuthority、Dejavu、Coinspect为其安全审计,然而The
DAO的创建者没有这么做。由于软件的改变会激活潜在的漏洞,所以当软件后来被升级后,原来沉寂的代码会被运行,会突然成为一个漏洞。另外,没有一个单独的安全审计可以覆盖所有的潜在漏洞。每个研究员或组织都有可能漏掉一些问题,当面对全新技术的代码或智能合约、新语言和新的攻击类别时,潜在的安全漏洞将更严重。因此,多方的安全审计工作就显得尤为重要。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?


5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失


5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。


6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

DAO带来的思考

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

由于智能合约领域尚处于初始阶段,可能发生的失误难以避免。类似DAO这样的组织其创建的困难在技术上需要程序代码的正确性,还要克服投票系统难以预测的动态性可能会带来的潜在缺陷。去中心化下的组织投票是一个复杂的人类活动过程,其决策程序依赖于“群体智慧”,在正式化之前需要反复试验和验证。“群体智慧”需要个体的理性,然而个体理性下的行动并不一定带来群体理性,特别是在复杂问题面前,“群体智慧”的方式并非最优的选择。

但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。

在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

首先,区块链技术应用平台的风险需高度关注。即使区块链技术本身没有问题,但The
DAO被攻击事件反映出基于区块链技术应用平台的技术风险可能将长期存在。未来基于区块链技术的应用平台在风险防控上必须引起高度重视,一旦代码或智能合约存在漏洞,将存在被攻击的风险。由于区块链所具有的不可篡改和不可逆的性质,一旦遭到黑客攻击,无论是硬分叉还是软分叉的解决方案,其成本都相当高昂。因此,区块链技术在金融等场景的应用上,需要高度关注潜在的风险,并制定相应的风控措施和应急预案。

网站地图xml地图