遅かれ早かれ警鐘は鳴るでしょう。
メディアの日常業務に精通している 360 は、ブロックチェーン分野における爆雷のように EOS に指を鳴らし、その関係者がパブリック チェーンのセキュリティを重視するように目覚めさせました。
いわゆる「安全」は常にシュレディンガー状態であるように思われます。結局のところ、システムが安全かどうかは、侵害されるまでわかりません。
歴史は常に繰り返されます。当時の PC やモバイル インターネットの時代のように、新しいものが登場し始めた頃は爆発的に成長し、ノードの登場とともにセキュリティ インシデントが発生し、業界はセキュリティ問題に消極的に注目し始め、最終的にはセキュリティ ソリューションが誕生しました。標準構成になりました。
現在、ブロックチェーン分野はそのような結節点にあるようです:BTGは二重支出の攻撃を受け、BECスマートコントラクトには大きな抜け穴があり、パブリックチェーンの抜け穴は間違いなくブロックチェーンとEOSネットワークの巨大な影響を引き出しています。その後、いくつかのセキュリティスタートアップが資金調達を発表した。ブロックチェーンのセキュリティの問題は、瞬く間に真剣に受け止められたようです。
実際、ブロックチェーン分野のセキュリティ問題は長い間存在していました。
ブロックチェーン技術を理解していない人は、ブロックチェーンの安全性には当然自信を持っており、資産がブロックチェーン上に置かれても失われないと信じているようですが、取引所から秘密鍵が盗まれるケースは数多くあります。 before; 秘密鍵は自分の手元に置いておくのが最も安全です 個人の秘密鍵が盗まれたり、テーブル上で紛失したりするケースが増えています。
この通説を打ち破る前に、ビットコインの独創的なデザインについて話しましょう。
サトシ・ナカモトという暗号学の専門家は、謎の「サイファーパンク」メール・システムでビットコイン・クライアントをリリースし、新しいタイプのデジタル・ゴールドを作成しました。発行主体が存在しない、つまり誰も追加のトークンを発行することができず、その資産価値と帰属はコンセンサスに基づいており、そのコンセンサスの背後には数学が存在します。 「コードは法だという言葉があります。コードの本質はコードではなく数学だと思います。数学は神の手であり、自然の真理です。」インターネット セキュリティ会社は Chuangyu をよく知っていますCEOのZhao Wei氏はOdailyをとても嘆いた。
P2P ネットワーク + PoW コンセンサス メカニズム + インセンティブ メカニズムにより、このシステムは突破不可能であるように見えます。ホワイトペーパーの中でサトシ・ナカモト氏が計算したこのシステムのセキュリティ境界は、コンピューティング能力の 51% を持つ誰かが台帳を自由に改ざんできるというものです。しかし、PoW (Proof of Work) の存在により、51% の計算能力の所有者がネットワークの最大の利害関係者であることは言うまでもなく、この攻撃は利益を上回ります。ネットワークの堅牢性を維持するために独占的なコンピューティング能力を放棄すること。趙偉氏は「ビットコインを初めて見たとき、攻撃は簡単だと思ったが、彼は証拠を追加した。ハッカーにとっては悪夢だと思う」と述べた。
文章
ブロックチェーン 1.0 から 3.0 にかけて、セキュリティは後退しています
購買力は発行者が自由に調整することはできず、台帳は改ざんできず、秘密鍵を持っているあなただけが資産を処分できます。信者たちはこれが「自分の資産を真にマスターする」ことであり、資産を奪われることのない安全であると信じています。
これがブロックチェーン 1.0、つまりビットコインです。
このシステムは現在も運用されています。ひどく詰まっていたにもかかわらず、一度も破られることはありませんでした。
ブロックチェーン 2.0 はそれほど安全ではありませんでした。
イーサリアムイーサリアム: スマート コントラクトを実行できる分散ネットワーク。
チューリング完全スマート コントラクトは優れた柔軟性をもたらしますが、セキュリティの問題ももたらします。それ以来、イーサリアムベースのスマートコントラクトは繰り返し脆弱性にさらされてきました。その中で最大のものは、エクスプロイトの組み合わせによる 2016 年 6 月のハッカー攻撃でした。DAOプロジェクト、数千万ドル相当のイーサリアムを盗み、その年の10月にDOS攻撃、それぞれイーサリアムフォークにつながります。今日に至るまで、イーサリアムのスマート コントラクトには依然として数千の未解決の脆弱性が存在します。スマートコントラクトが柔軟であればあるほど、強力であればあるほど、抜け穴が発生しやすくなると言えます。一部の新しいパブリック チェーンは、セキュリティのためにチューリング契約の完全性を犠牲にしています。
「主な理由は、仮想マシンがこのように使用されるように設計されていないことです。仮想マシンは資産を処理するために特別に設計されていませんが、イーサリアムや EOS などのパブリック チェーンは資産を処理するために仮想マシンを使用しています。」と Zhao Wei 氏は説明しました。セキュリティ上の理由から、資産とユーザー機能の処理は分離する必要があり、資産の処理と変更は別のエンジンで処理する必要があります。 「このプロセスはアトミックでトランザクション的であり、途中で中断することはできません。たとえば、私はレジにいますが、テーブルを拭くように頼むことはできません。しかし、仮想マシンには再エントリの脆弱性があります。」
ブロックチェーン 3.0 はまだ正式には到来していませんが、EOS が 3.0 の代表であると考える人は少なくありません。
「第 3 世代では、EOS は TPS 用の DPOS メカニズムを導入しました。」Zhao Wei 氏の見解では、これはイーサリアムのスマート コントラクトと同様の「コード セキュリティ」問題であるだけでなく、アーキテクチャの観点からセキュリティを放棄することさえできません。本物のブロックチェーンとみなされます。 「P2Pネットワークこそが本当のブロックチェーンだ。」
「集中化が進むにつれて、ハッカーによる攻撃が容易になります。ネットワーク構造では、1 つまたは 2 つのノードが修正されていれば、ネットワークは引き続き正常に動作し続けることができます。しかし、ツリー ネットワーク構造では、21 のノードの背後に 7 ~ 8 つのノードが存在する可能性があります。」個人がテロリストに捕らえられると、ネットワーク セキュリティはもはや存在しません。したがって、ネットワーク セキュリティが安全でない場合、それは誰が最終決定権を持っているかによって決まります。POW とは、マイニング マシンが最終決定権を持っていることを意味し、それは数学の承認です。数学は神の手であり、知性は法、一種の処刑である。」
画像の説明
イーサリアムの主なセキュリティ脆弱性 (フォームは Leifeng.com からのものです)
ブロックチェーンはセキュリティをもたらしますが、セキュリティ上の課題ももたらします
ビットコインが構築する資産セキュリティは、資産が奪われず、価値が合意に基づいており、発行者がコントロールできないセキュリティです。それは国民が容易に理解できる「安全」ではないし、国民が理解する「安全」がここで完全に排除されているわけでもない。
国民に理解される安心感は「小銭を失わない」こと。実は、資産が盗まれないという前提は、秘密鍵(鍵)を紛失しないことが前提となっています。ビットコインが資産所有者に与えるものは権利(自由)です。自分の資産を管理したい場合は、秘密鍵を自分で管理する責任を負わなければなりません。そして、ほとんどのユーザーは必ずしもこの種の責任を引き受ける意欲や能力を持っているわけではありません。資産を自分で保管するよりも、ブランド保証付きの大規模取引所に保管する方が良いのです。
セキュリティにはコストがかかります。
ビットコインと同様に、会計システムのセキュリティを確保するために、多くのコンピューティング能力が費やされます。 Zhao Wei 氏は、情報がもたらす情報はオープンかつ透明であり、改ざんや削除ができないため、セキュリティーにも大きな影響を与えると考えています。しかしその一方で、ビットコインの匿名性、法定通貨制度からの自由、技術的限界はすべて、その資産保護に課題をもたらしています。
彼は次の 5 つのポイントを要約しました。
1. まず第一に、ブロックチェーン資産はほとんどの国で法律で保護されておらず、公安機関も銀行もブロックチェーン資産を記録していません。
2. ブロックチェーンの匿名性により、通貨が失われると追跡が困難になり、誰が盗んだのかも分からず、その資産が自分のものであることを証明することもできません。
3. ブロックチェーン資産を保護するには一定の技術的閾値があり、ユーザーが自分自身を保護することが困難であることに加え、資産の価値はテクノロジーに基づいており、テクノロジーが一度操作されると、ハッカーは意のままに利益を盗むことができ、資産価値がゼロになります。
4. 生成され分散されたデータベース上の資産は表面的には安全ですが、取引所、管理されたウォレット、マイニングプール、および業界のその他の企業のシステムは集中化されており、ハッカー攻撃の標的となっています。
従来の取引所と比較して、デジタル通貨取引所のKYCは十分に行われていません。 「屋内でセキュリティを行うのは、荒野にいるのとは違います。(荒野では)自由を得た後にセキュリティを行うのはより困難です。ブロックチェーンは荒野です。」
5. 生態が不完全で、エアコインが頻繁に出現しますが、エアコインの目的はお金の収集と現金化であり、セキュリティを十分に行うことは不可能です。一方で、悪いコインが良いコインを駆逐し、安全・安心な高品質なコインが重視されず、混入したエアドロップ情報によりユーザーデータが盗まれ、その情報が漏洩して認証に利用され、セキュリティが危険にさらされています。ユーザーのその他の資産。
ネットワークセキュリティの重要性はますます高まっているが、中国企業はネットワークセキュリティに十分な注意を払っていない
今、インターネットはもはや「情報伝達のツール」ではありません。
Zhao Wei 氏は、ネットワーク セキュリティの目標はインターネットの使用によって変化していると考えています。 「最初のステップはエンターテイメントとして使用することです。第 2 ステップはコミュニケーションと社交、そして電子商取引です。第 3 ステップはオンラインで資産を扱うことです。」
PC インターネットの時代では、PC を所有する人の数は限られており、ハッカーが毒された後に得られる情報は限られていますが、毒の速度が遅くなり、私のコンピュータがクラッシュしてしまいます。モバイルインターネットの時代、私たちの日常生活、資金管理、本人認証はすべて携帯電話で行われ、個人のプライバシー、資金やパスワードの漏洩がセキュリティのテーマとなっています。ブロックチェーン時代では、テクノロジー自体が資産であり、コードの抜け穴は資産の損失です。
Zhao Wei氏は、Chuangyu氏が生態系全体を懸念していることは知っていたが、ひとたびこの2つが崩壊すると業界に多大な影響を与えるため、それまでは主にウォレットと取引所のセキュリティに焦点を当てていたと述べた。パブリックチェーンのセキュリティはここ数年で新たに浮上した問題だが、「パブリックチェーンのセキュリティは本当に面倒で、変更するのが難しい。一度変更したくなったら、ハードフォークするしかない」と述べた。
ブロックチェーンの資産特性はハッカーの注目を集める運命にあり、セキュリティに対する要求はさらに高まるはずです。
しかし、中国のインターネット企業はこれに十分な関心を払っていない。報告書によると、中国の情報セキュリティ投資はIT産業への投資総額に占める割合がわずか1~2%に過ぎず、欧米諸国の8~14%に比べてはるかに少ない。
これは、国内の金融デジタル化やインターネットの発展段階に関係するものであると同時に、欧州連合などと比較すると、国内における個人プライバシーの保護が十分とは言えない状況にあります。趙偉氏は、「ネットワークセキュリティ法」は業界の発展を促進したが、その効果は徐々に反映される必要があると述べた。
「バグを報告しても、あまり儲からないこともあります。そのため、他人をハッキングすると莫大な利益が得られることを知っているセキュリティ業界は非常に苦しいのです。」
セキュリティ会社はサノスを実行することはできますが、独自のインフィニティ・ガントレットを持ち込むことは望んでいません。
これにより、脆弱性を暴露することに慎重かつ責任があるはずの 360 が、なぜ「壮大な」態度で脆弱性を公開するのかが理解できるかもしれません。サノスのように「敵を1000人殺す」ことで抜け穴の力を示すことはできないので、この壮大な手法を企業に強制するしかありません。
インタビューの内容を踏まえ、質疑応答形式で内容を整理すると以下のとおりです。
Odaily: セキュリティの観点から、取引所、パブリック チェーン、ウォレットなどの現在のブロックチェーン業界についてどう思いますか。それらのセキュリティ レベルは従来のインターネット製品と比較してどうですか?
趙偉: まず、ブロックチェーン全体の進化について話させてください。
まず、ビットコインパブリックチェーンの出現は、対等なピアツーピアネットワーク、コンセンサスアルゴリズム(PoW)、ブロックチェーン台帳(スクリプトの適用)の3点に基づいています。その後、コインの発行が容易になったイーサリアムになり、スマートコントラクトが加わり、ネットワーク層、コンセンサス層、コントラクト層の3層に分かれました。 EOS は TPS を向上させるために DPoS も導入しました。
関数が複雑になると、いくつかの問題が発生します。
1. ネットワーク層はポイントツーポイントではなく、均等ではなく、構造はメッシュではなくツリーです。
2. スマート コントラクトを実行する仮想マシンはイーサリアムや EOS などのネットワークに追加されていますが、仮想マシンはこのように使用されるように設計されていません。アセットの変更を処理するための別のエンジンが必要です。これはアトミックである必要があり、途中で中断することはできません。たとえば、私はレジにいますが、テーブルを拭くことはできません。
現在のブロックチェーンは高速ではありますが、セキュリティの点では明らかに遅れています。ただし、アプリケーションとユーザー エクスペリエンスの観点からは、イーサリアムと EOS は進歩しており、常に金庫を持ち歩くことはできません。
ブロックチェーン テクノロジーの上に、マイニング マシン、マイニング プール、取引所、ホット ウォレットとコールド ウォレットなどがあり、実際には特別なものは何もなく、ユーザー エクスペリエンスに関しては、これらはすべて非常に一元化されています。分散アーキテクチャを変えたくても、資本蓄積、スピード、ユーザーエクスペリエンスなどを考えると分散アーキテクチャを使うことは不可能です。
現時点では、セキュリティは単なるブロックチェーンのセキュリティではなく、ブロックチェーン エコシステムのセキュリティになっています。たとえば、マイニングマシンのプールはDDo、侵入、アドレスの変更が容易であり、取引所のセキュリティは技術セキュリティ、ビジネスセキュリティ、商用セキュリティ、コンプライアンスセキュリティに分かれており、ウォレットは集中型と分散型、ホットとコールドに分かれています。秘密鍵。
安全性は木の樽であり、短いボードは問題を引き起こします。
趙偉:
趙偉:POW で十分で、高速化するにはサイドチェーン、シャーディング技術、ライトニング ネットワークを使用する方が有望だと思いますが、誰もが TPS 用にある程度集中化されたチェーンを構築したいと考えています。
では、ブロックチェーンは適用すべきではないと思いますか?
そんなことは言えません。
パブリック チェーンにはさまざまな種類があり、さまざまな次元でさまざまな分類があります。ネットワーク構築の観点からは P2P の平等なネットワークであるかどうかも含め、コンセンサスメカニズムの観点からは、プルーフ・オブ・ワークとプルーフ・オブ・エクイティがあります。
ブロックチェーン自体はジャーナルです。個人が自分のデータを保持することは不適切です。データはマシン上に保持することはできず、すべてオンラインにあります。
今日の多くのブロックチェーンは、第 1 世代のブロックチェーンとは異なります。 P2Pネットワークはブロックチェーンですが、その後TPSを追求してネットワーク構造が変更され、新たな問題が発生しました。スマートコントラクトを実行するチェーンは資産(価値の保存)としては適しておらず、証明書として適していると思います。
現在、資産の属性が変化しているため、セキュリティ保護も変化しています。セキュリティに関しては敵の一歩先を行くように最善を尽くしていますが、それは難しく、しばしば一歩が遅れることがよくあります。
趙偉:
趙偉:ポイントは大きく分けて5つあります(本文中で既出)。
趙偉:
趙偉:ビットコインが登場した背景には、2008年の金融危機後、アメリカ政府が大量の通貨を発行してネギを切り、国民の手元にある通貨の購買力が低下し、資産を守ることができなくなったことがある。金は自宅に保管できることが分かりましたが、自分で保有するとリスクが非常に高くなります。米国西部と同じように、いつでも誰かが金を奪いに来ます。これは自由の代償です。しかし、それを銀行に預けると、銀行はランダムにそれを送信する可能性があり、ビットコインはそれを数学的な承認メカニズムに変えたいと考えており、コンセンサスを確立することが非常に重要です。
ブロックチェーンは複雑なテクノロジーではなく、生産性を変えませんが、生産関係を変えます。ブロックチェーン テクノロジーには、匿名性、不変性、削除不可能性といういくつかの特性があり、それ自体がセキュリティを促進します。概念的に変わったのはコンセンサスメカニズムです。
したがって、ここでは安全保障には 2 つの側面が関係しています。一方では、アフリカの小さな政府です。政府が崩壊すると、通貨にはそれを承認する機関がなくなります。これは購買力の安全です。これにより、本当に安全であることが保証されます。」自分の資産を所有することは一種の自由です。ビットコインは、コンセンサスメカニズムを通じてこのデジタルゴールドのような自由を実現します。
この自由を手に入れた後は、ハッカーの危険やセキュリティ上のリスクが伴います。実際の保管方法は、スキルレベルと資産サイズによって異なります。一般の方は専門機関に任せた方が安心です。なぜなら:
1. 資産を失った後に回復する方法はありません、これはビットコインの匿名の特徴です。これにより、あなたのアイデンティティと通貨の権利との間に断絶が生じます。
2. ブロックチェーンはあなた自身が自分の主人であることを意味し、国家がブロックチェーンを保護する方法はありません。
3. デジタル通貨自体がハッカー攻撃の問題に直面しています。
4. 暗号資産には依然として相続の問題があります。
5.保管が難しい。コールドウォレットは若干安全ですが、紛失しやすく、電池が液漏れする可能性があります。紛失した場合には、お客様の復元もお手伝いします。
趙偉:
趙偉:セキュリティはすべての人を守ることです。インターネット ユーザーの拡大に伴い、その目標は変化しています。インターネットの第 1 ステップはエンターテイメント、第 2 ステップはビジネス、通信、電子商取引 Web サイト、そして第 3 ステップはすべてを扱うことです。あなたの資産をオンラインに。そのため、セキュリティはますます重要になっています。
現在はウォレットや取引所への注目が高まっており、取引所が破綻すると業界への影響は甚大です。パブリックチェーンのセキュリティについては「本当に面倒で変更するのが難しい。変更したくなったらハードフォークするしかない」と述べた。
私たちはそれを注目しており、それを発表する代わりにプロジェクト担当者に報告します。一般に、プロジェクト当事者はそれを非常に重視し、非常に重要視します。ただし、バグを報告しても報酬はありません。また、雷が多すぎて雨が少ないこともあります。したがって、セキュリティ業界は、他の人が多額の利益を得ることができることを知っているため、非常に苦痛です。
オデイリー: あなたは公の場で EOS を何度も批判してきましたが、なぜ EOS についてそんなに腹を立てているのですか?
趙偉「EOSはやりすぎです。第一に、これは会社であり、コミュニティではありません。彼はお金を集め(資金集め)、そのお金をオフショア会社に費やしますが、サービスは提供しません。彼はサービスを提供していません。」と彼は言いました。 EOS リリース後のすべてのセキュリティ問題を気にしていない、責任があり、最初に発行された EOS がその後のパブリック チェーンの通貨であることさえ保証していない、お金の用途は透明ではなく、リリース後に説明されていないお金が引き落とされる。
イーサリアムは異なり、より透明性があり、お金の割合がどこに使われているかが明確です。 EOS は単に、このお金を請求したら必ずしもこのことをする必要がないということです。
趙偉:
趙偉:反量子コンピューティングがあるため、量子コンピューティングは問題ではありません。最大の問題は、POW がエネルギーを消費しすぎることですが、POS などの新しいコンセンサス アルゴリズムは人間によって支配され、ますます集中化されており、攻撃するハッカー。
ネットワーク構造では、これらの点を修正すれば、ネットワークは引き続き稼働しますが、DPoS メカニズムでは、21 ノードの背後に 7 ~ 8 人が存在する可能性があり、テロリストに捕まった場合、彼らはやりたい放題になります。 。
したがって、ネットワークセキュリティは安全ではありません。それは誰が最終決定権を持っているかによって異なります。POW はマイニングマシンが最終決定権を持っていることを意味します。マイニングマシンは数学です。数学は神の手であり、スマートコントラクトは一種の法執行機関です。 。 「コードは法律である」という格言がありますが、コードは法律ではなく、数学です。
ただし、コードはプログラマーによって作成され、エラーが発生する可能性があるため、形式的な検証が必要です。つまり、監査には数学が使用されます。私は汎用のコード監査システムを設計しましたが、以前は誰も使用しませんでしたが、今ではプログラム自体がお金になっているため、爆発的に普及しました。
ただし、このプログラムの設計にはまだいくつかの問題があります。プログラムは実際には関数であり、どのような条件が満たされても何をするかということです。では、この関数に問題がないことを証明するにはどうすればよいかを説明する必要があります。このとき、スマートコントラクトを記述するための言語、つまり形式言語が必要になります。
スマートコントラクトが非常に単純なときは誰でも見ることができますが、複雑になると正式な検証が必要になり、誰も正式な言語を使用できなくなるため、セキュリティ会社が手伝ってくれて、最終的にサービスになります。
趙偉:
趙偉:業界には基準というものがあります。破壊力のレベルは低から高まであり、情報漏洩、DDOS攻撃(ダウンタイム)、資産移転につながります。ただし、脆弱性の評価は難しく、小さな脆弱性が組み合わさると大きな脆弱性になる可能性があるため、注意が必要です。
趙偉:
趙偉:まず第一に、業界には脆弱性を報告するためのコンセンサスや標準がありません。第二に、多くの場合、安全保障同盟は技術的な同盟ではなく、社会的な同盟です。たとえば、エアコインの取り締まりには国内法と社会的支援の利用が必要であり、法的には証拠収集と公安部門の協力が必要です。実際、抜け穴を報告することは、業界全体から見れば小さな問題です。テクノロジーや経営によって解決できる問題もありますが、実際には社会問題であることのほうが多く、それが大きな問題なのです。
趙偉:
趙偉:基本的なセキュリティ設備が十分に整備されていないのは、人々の意識に関係しており、誰もが依然としてリスク認識を欠いており、セキュリティに投資しようとしません。欧米企業は資金の一定割合を安全に投資するが、中国企業はこの点でできる限り節約している。
私は Odaily の編集者、Lu Xiaoming です。私は実際のブロックチェーンを研究しています。ニュース速報とコミュニケーションのために WeChat lohiuming を追加してください。名前、部隊、役職、および理由を書き留めてください。
私は Odaily の編集者、Lu Xiaoming です。私は実際のブロックチェーンを研究しています。ニュース速報とコミュニケーションのために WeChat lohiuming を追加してください。名前、部隊、役職、および理由を書き留めてください。
