2018年2月3日, 上海市科技创业中心指导,由上海区加信息科技有限公司、嘉定国家级物联网孵化中心和DAppLabs主办,亿欧、海通创新资本、起源资本、智能矩阵、链世界等协办的“2018年全球(上海)区块链应用创业大赛启动仪式暨区块链应用(DApp)研讨会”在上海召开。
大会现场,区块链资深投资人余文波、清华大学信息技术研究院和互联网产业研究院副院长邢春晓、起源资本合伙人邱越峰、阿希链 CTO钱汉涛、火币网 COO朱嘉伟、复旦大学教授斯雪明、vSport体育价值链创始人白强、智能矩阵创始人高庆忠等数十位嘉宾进行了发言。
复旦大学教授斯雪明教授做了《区块链与系统安全》主题演讲,提出了区块链面临的一系列安全问题,并对区块链系统的安全性进行了重点分析,最后提出了针对性的解决方案。
【斯雪明现场演讲实录(有删减)】
尊敬的各位领导、来宾,大家下午好,我报告的题目是《区块链与系统安全》,我今天报告的题目,从四个方面讲区块链与系统安全:区块链的简介,区块链的安全挑战,区块链的系统安全性分析及应对措施。
我们知道前两天的日本的一家数字交易所遭到黑客攻击,遭受580亿日元损失。所以,区块链的安全问题,在整个区块链应用落地中间,无疑是非常重要的。
区块链是一种伟大的思想和方法
我对区块链的认识,区块链不仅仅是是一项技术,更是一种伟大的思想和方法,我们要关注区块链的它的思想,凡是在有价值的数据的共享都可以应用区块链。作为一种新生事物,政府和监管部门积极支持区块链的创新,我们非常高兴上海市科创委作为我们大会的重要的支持单位,应该对区块链的技术是非常的支持。
区块链面临的安全问题
区块链现在面临哪些主要安全问题?我这里列举一些安全问题,包括私钥的生成与保护,共识过程的中心化,智能合约代码漏洞等等。
2016年6月17日黑客偷取众筹过1.5亿美元的发布时自治组织以太币,导致项目失败。
2016年8月2日因为多重签名漏洞,香港的比特币交易所大约价值7000万美元的比特币被盗。
2016年8月份Krypton受到了51%算力的攻击,导致Bittrex的钱包中共21465个KR(代币)被盗。
2017年12月18日上午消息,朝鲜黑客今年攻击了韩国的加密货币交织所,导致价值76亿韩元的加密货币被盗。
比特币的在市面上大概的价值会超过400亿人民币,做51%算力攻击,不是黑客攻击有内部人攻击,就会超过200个亿,这种情况下,你是不可能有200亿去做这样一个51%算力的攻击。我们知道前段时间流行的病毒,有消息说攻击者也是来自朝鲜。
所以我们看到呢这样区块链系统面临的安全威胁是实在的,并不是危言耸听,下面对区块链系统安全做了分析。
区块链的系统安全性分析
我们知道,任何的信息系统安全的包括保密性、完整性、可用性,区块链系统必须有这三种属性。
我们从保密性来说,以共钥的变形作为交易地址,对用户提供了保密性,零知识证明、环签名等,对交易提供了保密性,区块链系统大量应用了密码的前沿技术。
从可用性来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。
从完整性来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构结构,保证了系统的完整性。
从安全来说,区块链系统是对产生的信息系统从三个方面提供了安全属性。
算法的安全性,目前的算法基本上是安全的,但是现有的算法在这个量子,来自计算机它的计算能力达到一定的规模现在的算法都会受到量子计算的影响,所以说,这样的一个算法的安全性它就是相对的,这里面我们看到的算法安全性的一些例子。
协议的安全性,这个是协议本身就有的,第二个就是像黑客攻击以及共识的机制,这个呢其实都是从协议上来说是存在安全的一些问题。
使用的安全性,最重要的是所有的数字货币系统,数字货币本身以来私钥,这种情况呢,其实对整个区块链系统影响非常大。
实现的安全性,这里面有一些数据,国家互联网应急中心做的检测对20多款软件发现了的安全隐患,所以区块链这些软件从代码的安全性来说,是非常令人担忧的。还有一个就是智能合约的威胁实例,DAO最后导致三分之一的被黑客盗取,导致项目失败。这是多重签名漏洞的代码。那么2017年11月6日由于误操作,库代码被末掉,导致多重签名智能合约无法使用。
综合安全性,或者说系统安全性,综合运动算法协议使用漏洞与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击可对密码系统,造成极大的危害,美国已经高度重视区块链的安全问题了。
面对这些安全问题怎么办
我们针对这个算法安全性,一个就是采抗量子的算法,采用盲签名策略、多重签名侧、门限签名策略,走之要采用新的密码技术,密码技术本身要经得起考验的。
针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。实现安全性应对方法,对关键代码进行严格完整测试,以及采用更加安全的智能合约。
针对使用安全,主要是对私钥存储、使用这方面进行保护,特别是刚才我们讲到好多交易所,因为交易所聚集了大量的数字货币所以黑客或者一些敌对的组织,或者一些恐怖组织针对的重要的目标,所以选择安全交易所非常重要。
最后一个,针对黑客的攻击,我们对终端采用什么方法,我们提出一个叫“拟态防御”的方法,这是拟态防御的架构模型,拟态防御是一项技术,上海政府的支持下,由信息工程机械大学团队联合上海高校和科研机构取得了重大的突破,这方面呢,利用拟态防御技术,我认为对于提高区块链系统安全性,会起到非常好的作用。
最后我想讲的是区块链系统安全十分重要,目前区块链系统安全面临着巨大的挑战,所以需要我们积极应对,我也相信我们一定会有解决的办法,我的报告完了,谢谢大家。