5月23日黑客通过#EDU#智能合约漏洞无中生有的派生30亿枚EDU Token代币,通过抛售EDU Token,获得BTC现货,再顺势抛售BTC现货,引发BTC市场动荡,通过做空OKEX的BTC合约完成跨交易所变现,再一次完美的绕过火币Pro数字货币交易平台的监管,成功完成了对EDU的狙击、变现,整个操作用时不足4天的时间,手法更加娴熟老练。
5月29日下午360安全团队在微博上发布公告称,360Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。一石激起千层浪,这个消息在网上立马引起了轩然大波。
从以太坊到EOS,一波未平一波又起,区块链漏洞频频爆出,整个行业价值数百亿美金的资产安全岌岌可危。是时候,我们该清醒一下了。那么如何打造一个世界级的安全平台呢?也许我们可以用目前国内最火的公链项目——比原链作为一个案例剖析,来揭开区块链安全世界的幕后秘密。
“比原链是一种多元比特资产的交互协议,运行在比原链区块链上的不同形态的、异构的比特资产(原生的数字货币、数字资产)和原子资产(有传统物理世界对应物的权证、权益、股息、债券、情报资讯、预测信息等)可以通过该协议进行登记、交换、对赌、和基于合约的更具复杂性的交互操作” ——比原链白皮书
比原的应用场景
比原链设计的定位就是一个去中心化的资产交互协议,在比原链上用户可以用智能合约来管理/投资他们的资产。 比原链有广泛的应用场景,比如下面的几个例子。
可以是无需信用背书的C2C币币交易工具:现阶段区块链的投资者如果要进行一笔币币交易的话,必须通过第三方的中介。而比原的优势在于可以在链上完成原子化的币币交易。
可以是保证预测市场的协议得到公正执行:比原链将协议写入智能合约,到期自动执行,不需要第三方介入担保从而杜绝暗箱操作。
可以是公司期权分配的管理者:将公司的期权交给区块链管理,期权激励等行为依靠智能合约来实现。
由上可见,比原链管理的资产都是非常有价值的,所以需要设计一个安全稳定的系统。
链上认证保证资产不可造假
比原链是做资产管理的专用型公链,所以它允许任何人在上面发行自己的资产。这就会带来一个不可避免的问题:这么多资产的真实性如何保障?为解决这个问题,比原链引入了“ODIN”技术(Open Data Index Name)为可信任公司/个人提供“区块链CA认证”,拿到了root级认证的公司就拥有了自证身份的能力,可以为自己公司旗下发布的资产进行二甚至多级的资产验证。通过这种方式可以保证资产全网的唯一性,即使在跨链的场景下。
合约故障隔离
11月7日一个叫做“devops199”的开发者触发了以太坊Parity钱包漏洞,使51.37万个以太冻结至今。 这次错不在Parity钱包,漏洞出在钱包调用的一个library(以太坊的底层库函数,可以理解成公用合约)上。因为以太坊的合约调用是把地址当指针使用,每次执行用户编写的智能合约都要调用library。“devops199”把底层库函数破坏的同时相当于把所有合约的指针都破坏了,从而使得所有钱包里的资金被永久冻结,只能期待日后的硬分叉来解决这个问题。
比原链交易的设计思路其实更接近比特币,即一切都基于UTXO(Unspend Transaction Out)。每一笔比原链上的资产UTXO都是由图灵完备的智能合约守护。比原链的合约调用是创建智能合约的时候就将调用合约作为子合约加入进来,以后不管调用的合约模版是否更改或出现漏洞,都不会影响所有已经完成的智能合约。
比原链的隐私设计
比原链采用金字塔式的控制层级确保用户隐私性得到保护。每一位比原链的用户都可以拥有N把私钥,而不同的私钥组合方式可以生成不同的账户。
如上图所示,每一个账户可能是由一个用户的一把私钥控制,可能是由一个用户得到多把私钥控制,也有可能是由不同用户的N把私钥所控制。每一个账户下控制着的是N个不同的智能合约,合约和账户的关系有点类似于私钥和公钥的关系。
在比原链的设计中账户只驻留在本地,唯一上链的就是智能合约,而且每一笔交易都会自动生成一个新的智能合约。这样的设计保证比原链上所有资产交易呈现的是树状分布,而不是环状关系。这意味着没有人可以通过交易行为之间的关系,推导出比原链世界中的关系网络,做到更好的隐私体验。
隐形合约设计
没有人一定能够肯定写出来的智能合约是万无一失的,比如被黑客攻击、隐私问题、对赌协议被提前泄露等。比原链为此提出“隐形合约”的概念,能够在不被人看到合约具体内容的情况下自动执行。即用户在写完智能合约之后将合约进行一次哈希,然后用合约的哈希将一笔资产进行锁定,需要解锁这笔资产的时候再将智能合约公开。
总结
比原链在设计上不像以太坊一样涵盖各方面的复杂功能,我们只专注于打造最好的资产管理区块链。智能合约的设计也是以简约易用为目标,因为越复杂的系统越容易出BUG。虽然我们的交易设计像比特币一样基于UTXO,但我们不仅支持无限种类的资产,而且拥有了图灵完备的智能合约。 通过集万家之所长,从而提供了企业级安全的区块链平台。