如果我們對作為技術基礎的技術缺乏信任,我們將生活在什麼樣的社會里?有人可能會說,如果這項技術被證明太難保護,區塊鏈將會消失在數字的深淵中。但最近的歷史告訴我們,安全性差並不是採用的障礙。
要修復的聲譽
在2010年著名的比特幣駭客攻擊事件中,儘管只有少數人對比特幣感到滿意,但程式碼中的一個漏洞卻讓某些人能夠憑空產生出價值1840億的比特幣。但這是程式碼中的漏洞,而不是區塊鏈邏輯中的漏洞。問題很快得到了解決。
2016年,有人臨時從DAO中獲取了7500萬美元,再次利用了程式碼中的一個漏洞。同樣,底層DLT的邏輯是完整的。
最近的一次是在2019年,一家加密貨幣資產管理基金的執行長去世了,隨之而來的是他所管理的加密貨幣的使用權證,價值超過1.5億美元。無法檢索。是區塊鏈的錯嗎?不,該公司沒有實施適當的制衡措施來防止這種情況的發生。事實也證明,這位執行長在透過之前就已經竊取了資金。
區塊鏈是一項新技術,並不是最簡單的技術。區塊鏈社羣可能需要數年時間才能在安全標準上達成一致,從而減少入侵的頻率。然而,隨著這些破壞活動的加速,區塊鏈真的還有多少年的時間來挽回聲譽嗎?
區塊鏈真的安全嗎?
區塊鏈作為一種概念技術是安全的。麻省理工學院就是這麼說的。但紙面上的區塊鏈沒什麼用。
1. 與任何技術一樣,當開發人員將需求程式設計到產品和服務中時,都會出現安全問題。程式碼行、共識機制、通訊協議等都有可能存在漏洞,這些漏洞可以被惡意利用。但目前區塊鏈仍然是一種不同的技術:多種協議和程式語言正在並行開發。因此,開發人員很難獲得確保程式碼安全所需的經驗,而大多數開發人員都面臨著嚴格的交付時間壓力。
2. 由於區塊鏈嚴重依賴於密碼學,即安全通訊的實踐,它給人的印象是它是一種自我保護的技術。這與事實相去甚遠,因為區塊鏈是建立在需要保護的通訊網路和裝置之上的。傳統的資訊保安挑戰也適用於區塊鏈。此外,與任何其他安全規程一樣,密碼學也在發生變化。此外,密碼學和其他任何安全學科一樣,是一個不斷變化的領域:量子計算機已經有望打破許多加密演算法。
3.第三,也是最後一點,圍繞金鑰管理、錢包託管和節點補丁等方面的糟糕安全實踐,都會導致潛在的安全問題,從而給該技術蒙上陰影,而教育系統管理員和使用者將解決絕大多數安全問題。
那麼我們今天能做什麼呢?
1. 首先,我們需要開發具有安全意識的區塊鏈開發人員。這將要求教育課程從中學的程式設計課程開始,直到大學學位,並強制提供區塊鏈安全編碼課程。在撰寫本文時,塞普勒斯尼科西亞大學是世界上唯一一所提供區塊鏈(尤其是數字貨幣)理學碩士學位的大學。這些學位將需要得到認可的區塊鏈安全專業認證(如CBSP)的補充,但也需要在ecissp等網路安全認證中加入區塊鏈作為主題。
2. 其次,我們需要教育使用者他們正在承受的安全風險,以及如何以低成本有效地減輕這些風險。這將需要提高人們對區塊鏈的認識,並在人們向區塊鏈過渡的過程中開展公私合作。儘管與中本聰最初的分散化願景有些不同,很可能是區塊鏈需要證明其價值的平穩過渡,就像上世紀80年代的內部網證明了網際網路對世界的價值一樣。從這個意義上說,像Facebook這樣的行業巨頭採用區塊鏈,並擁有其加密貨幣Libra,提供了一個受歡迎的機會,讓公眾瞭解如何使用區塊鏈。由於區塊鏈的曝光率降低,保護其安全可能會變得更容易,但反過來,保護區塊鏈的壓力降低可能會導致數字洩露。
3.第三,我們需要公共和私人領導人明白,區塊鏈並非實現安全的靈丹妙藥。換句話說,我們需要揭開區塊鏈安全性的神秘面紗,並明確指出,儘管該技術在可用性和完整性方面具有優勢,但後者並沒有提高它們所持有的資訊的質量:垃圾輸入,垃圾輸出。安全部署區塊鏈解決方案將需要時間並與更廣泛的安全生態系統整合,後者由需要傳統資訊保安的傳統網路裝置組成。
對於現有企業來說,首先要讓董事會和高管們瞭解區塊鏈是什麼、不是什麼,以及區塊鏈的內在風險是什麼。它還要求CISO將區塊鏈整合到他們的事件管理計劃和程式中,並開始考慮安全領域分散業務模型的影響。
對於初創企業來說,92%的區塊鏈專案仍然是失敗的,平均壽命約為15個月。由於生命週期如此之短,上市時間幾乎總是優先於安全性:這需要改變,而實現這一點的最佳途徑是透過投資者的行為改變。
標準正在制定中,毫無疑問,這將有助於區塊鏈技術的融合,降低其複雜性,而複雜性是安全性的已知敵人。
但是標準本身並不能起到多大作用,因為人類仍然是技術的守護者:我們今天需要構建區塊鏈安全技能。否則,明天將不是復興開始,而是社會公地的結束。
