2020年8月20日晚7點30分,四川省區塊鏈行業協會《bsi大應用?小故事》欄目準時開播。成都鏈安·安全負責人frank做客欄目,深度探討了聯盟鏈智慧合約與鏈平臺安全的相關問題。
本期欄目『聯盟鏈智慧合約與鏈平臺安全』為主題,成都鏈安·安全負責人frank從『智慧合約安全淺析』、『聯盟鏈平臺安全淺析』、『智慧合約與鏈平臺安全檢測項』三個切入點展開探討,進行了高質量與高水準的主題分享。
以下內容為本期欄目實況:
01
主持人:frank老師,您作為成都鏈安·安全負責人,多年從事安全研究,擅長區塊鏈安全平臺的問題分析,擔任多家金融機構、網際網路公司安全顧問,並參與編寫了區塊鏈安全相關書籍,您的從業經驗非常豐富。那麼您是怎麼樣進入這個行業的呢?
frank:大家好,我是成都鏈安的frank,我最初聽說區塊鏈是在大學時期,當時只有一個模糊的概念,在2017年比特幣病毒攻擊安全事件發生之後,對於區塊鏈有了進一步的認識,之後便開始深入瞭解區塊鏈,直到與成都鏈安結緣,就開始了對區塊鏈安全的研究。
02
主持人:謝謝frank老師,我們知道您在行業中的經驗是非常豐富的,大家對於區塊鏈安全問題非常關心,現在有請您為我們帶來今晚的演講。
frank:好的,今晚我為大家分享的主題是『聯盟鏈智慧合約與鏈平臺安全』。
首先帶大家明確幾個概念:
·公有鏈是指全世界任何人都可以隨時進入到系統中讀取資料、傳送可確認交易、競爭記賬的區塊鏈。
·私有鏈是指其寫入許可權由某個組織和機構控制的區塊鏈,參與節點的資格會被嚴格限制。
·聯盟鏈是指有若干個機構共同參與管理的區塊鏈,每個機構都執行著一個或多個節點,其中的資料只允許系統內不同的機構進行讀寫和傳送交易,並且共同來記錄交易資料。
·智慧合約(smart contract)是一種旨在以資訊化方式傳播、驗證或執行合同的計算機協議。智慧合約允許在沒有第三方的情況下進行可信交易,這些交易可追蹤且不可逆轉。
隨著區塊鏈技術的不斷髮展,越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言,聯盟鏈具有更好的落地性,受到了許多企業與政府的支援。為了提升效率,支援更加友好的設計,各聯盟鏈在智慧合約上也出現了不同的發展方向。
目前智慧合約與區塊鏈的結合,普遍被認為是區塊鏈一次里程碑式的升級,但智慧合約技術發展也面臨諸多挑戰,如安全性問題。隨著智慧合約數量的增多,去中心化應用的推廣,智慧合約涉及的數字資產呈指數級別增長。相比傳統軟體,智慧合約的安全問題更加棘手,現實情況也更加嚴峻。
總體來說,目前智慧合約的主流架構是系統合約(預編譯合約) +業務合約,而程式碼語言安全特性、合約執行所帶來的安全性問題、系統機制導致的合約安全問題、業務安全問題都會威脅智慧合約安全。
對於智慧合約的安全建議是:
1. 簡化智慧合約的設計,做到功能與安全的平衡
2. 嚴格執行智慧合約程式碼安全審計(自評/專案組review/三方審計)
3. 強化對智慧合約開發者的安全培訓
4. 在區塊鏈應用落地上,需要逐步推進,從簡單到複雜,在此過程中不斷梳理合約與平臺相關功能/安全屬性
5. 考慮devsecops的思想
目前鏈平臺安全主要包括了共識安全、交易安全、合規、賬戶安全、端點安全、rpc安全等,相較於聯盟鏈而言,公鏈安全問題更凸顯,公鏈是匿名且無准入控制,作惡難以被發現,此外,公鏈應用釋出沒有稽覈,上鍊應用質量參差不齊,這也是公鏈漏洞較多的主要原因之一。
在當前鏈平臺漏洞頻出的嚴峻背景下,鏈平臺深度安全檢測勢在必行,成都鏈安採用攻擊測試+專家人工程式碼審計的方式對區塊鏈平臺進行深度的安全審計,審計方式為黑盒/灰盒/白盒,漏洞全面覆蓋10大項39小項,目前成都鏈安已經完成24個鏈平臺的深度安全檢測,檢測出30餘個高危漏洞。以此不斷努力讓區塊鏈生態更安全。
03
主持人:感謝frank老師為我們帶來的精彩分享。下面進入問答環節,以下都是大家最關心的問題,請frank老師為我們作答。
q:聯盟鏈對於公有鏈有哪些明顯優勢呢?
a:相對於公有鏈來說,聯盟鏈有一個准入機制,透過該機制能夠篩選參與方,從而瞭解參與方具體情況,把控其行為,杜絕攻擊者。並且聯盟鏈是由多個機構共同控制的,能採用利於效能提升的共識,從而不斷改進其功能。除此之外,聯盟鏈是針對某些業務場景開發的,在落地層面會更適應於國內業務場景應用。
q:區塊鏈能有效保證資訊保安嗎?
a:區塊鏈能夠利用密碼技術等對資訊、資料進行加密,然而區塊鏈是無法完全保證資訊保安的,只能作為加強資訊保安的輔助手段。
q:智慧合約的未來發展方向是什麼樣的呢?
a:對公鏈上來說主要還是以虛擬資產為主,但這只是發揮了區塊鏈在密碼學方面的一些功能。而聯盟鏈未來發展的主要方向應該是應用落地,在存證、共識等方向有著非常大的探索空間,能解決很多傳統應用難以解決的痛點。雖然聯盟鏈會產生資訊割裂等問題,但利用跨鏈技術也能夠迎刃而解。
q:目前在聯盟鏈這塊,成都鏈安的客戶有哪些?市場需求量大嗎?
a:成都鏈安當前主要是與相關政府部門及企業去合作,做一些標準制定的諮詢方,對出臺標準進行解讀,幫助企業按照標準實現聯盟鏈平臺,促進標準落地;還會幫助企業業務往聯盟鏈上進行遷移,提供技術支援。成都鏈安與螞蟻、騰訊等企業都有相關合作,在聯盟鏈上成都鏈安也積極探索,非常看好聯盟鏈未來的落地。
作為全球領先的區塊鏈安全公司,成都鏈安已面向『聯盟鏈智慧合約與鏈平臺安全』這一細分賽道推出了專業的一站式解決方案。隨著聯盟鏈生態的不斷髮展,我們將提供全方位的安全服務與支援,廣泛參與到聯盟鏈生態的建設和防護中。
一方面,依託於『beosin一站式區塊鏈安全服務平臺』的各項產品和服務,持續為聯盟鏈生態提供『軍事級』的安全防護工作;另一方面,充分發揮全球客戶資源和市場優勢,與聯盟鏈生態共拓市場!
