对区块链抱持谨慎态度的九个理由

来源:至顶网

点击:1226

A+ A-

所属频道:新闻中心

关键词:区块链 技术

    从理论角度出发,区块链技术似乎是最安全的网络体系之一。尽管如此,最近一群研究人员仍然发现了其中存在的多种安全漏洞。

    区块链(即全局分类账网络)真的足够安全吗?支持者对这个问题给出了肯定的答案,因为其会将交易或智能合约分发至不可篡改的总账当中,并由所有参与方以共识方式进行证明。然而,最近发表的一篇论文提出了区块链网络中存在的多项安全漏洞,可能导致区块链效率低下、黑客攻击以及其它犯罪活动。

    这份由Xiaoqi Li、Peng Jiang以及Xiapu Luo(皆来自香港理工大学)、Ting Chen(中国电子科技大学)以及Qiaoyan Wen(北京大学)共同发表的论文指出,区块链当中存在着一系列值得引起关注的漏洞。

    随着区块链越来越多地被引入企业运营体系当中,我们自然有理由认真研究这种新兴技术可能带来的潜在安全责任。面对去中心化应用数量的迅猛增长,Li及其他合著者强调称,“区块链带来的隐私泄露风险将更加严重。事实上,去中心化应用本身以及应用程序与互联网之间的通信过程都可能遭遇隐私泄露风险的侵扰。”他们还敦促采取更多相关技术应对这一挑战,具体包括“代码混淆、应用强化以及执行可信度计算。”

    研究人员们概述了以下关于区块链的书籍风险因素:

    区块链效率:对于新人们来说,区块链本身的执行效率可能会因复杂的共识机制以及无效数据而受到严重拖累。Li和其他合著者指出,互联网上采用的共识机制需要占用大量计算资源。举例来说,区块链中所使用的流行共识机制为“工作证明(简称PoW)”,研究人员们将其称为“对计算资源的极大浪费”。他们表示,目前他们正努力将工作证明同权益证明(简称PoS)加以结合,从而提供更高效的混合型共识机制。另外,区块链还会产生大量数据——包括区块信息、交易数据、合约字节码等——这一切都可能随着时间推移而变得毫无作用。“在以太坊当中,存在着大量不包含代码或者包含完全相同代码的智能合约,且相当一部分智能合约在部署后从未得到实际执行。希望未来出现有效的数据清理与检测机制,从而提高区块链系统的执行效率。”

    "51%漏洞:"区块链“依赖于分布式共识机制以建立互信关系。然而,共识机制本身存在‘51%漏洞’,攻击者可以借此控制整体区块链。更确切地讲,在基于工作证明的区块链当中,如果单一矿工的散列处理能力占整体区块链总散列能力的50%以上,即可发动51%攻击。因此,在矿池资源比较有限的情况下,区块链体系可能并不可信。”

    私钥安全性:在“在使用区块链方案时,用户的私钥是由用户——而非第三方机构——所生成及维护的身份及安全凭证。举例来说,在比特币区块链中创建冷存储钱包时,用户必须导入自己的私钥。在这种情况下,攻击者可能因签名过程中随机度不足而还原用户私钥。一旦用户丢失私钥,还原即成为可能。由于区块链并不依赖于任何集中化第三方中间商,因此一旦私钥被盗,我们将很难追踪犯罪行为并恢复遭到篡改后的区块链信息。”

    犯罪活动。“通过某些支持比特币的第三方交易平台,用户可以购买或出售任何产品。由于整个流程完全匿名,因此我们很难追踪用户行为,更不用说确保违法活动受到法律制裁。”目前,比特币正被大量用于各类犯罪活动,包括勒索软件、地下市场与洗钱等。

    重复支付。“尽管区块链的共识性机制能够实现交易验证,但仍无法避免重复支出,或者多次使用相同的加密货币进行交易。攻击者可以利用两笔交易启动与确认之间的中间时段快速发起攻击。”

    交易隐私泄露。“遗憾的是,区块链中的隐私保护措施并不可靠。刑事智能合约可能会泄露机密信息、密钥失窃并真实世界中的各类犯罪活动记录(例如谋杀、纵火、恐怖活动等)。”

    智能合约中的安全漏洞。“作为运行于区块链之内 的程序,智能合约可能存在设计缺陷并导致安全漏洞。举例来说,一项研究发现在19366份以太坊智能合约当中,有8833份受到交易顺序依赖性、时间戳依赖性、无法处理的例外情况以及正确性保障失效等缺陷的影响。”

    欠缺优化的智能合约:“当用户与部署在以太坊内的智能合约进行交互时,需要支付一部分‘gas’费用。这些费用能够通过以太币结算,这必然会引入‘与模式相关的无用代码’以及‘与模式相关的循环’,具体包括‘死循环中的死代码、不透明声明以及昂贵的运算需求。”

    低成本操作:“以太坊会根据执行时间、带宽、内存占用量以及其它参数来设置‘gas’价值。一般来说,gas价值与操作所消耗的计算资源成正比,但这套体系仍然难以准确测量单一操作的计算资源消耗量,因此部分gas的价值在设置上存在问题。举例来说,一些IO操作的gas值设置得过低,因此攻击者可以在单一交易中大量执行此类操作,进而发动对以太坊体系的拒绝服务攻击。”

    (审核编辑: 智汇张瑜)