6月21日,在由中国技术市场协会主办的中国区块链安全高峰论坛上,知道创宇CEO赵伟分享了他对于区块链行业安全的观察与思考。赵伟表示EOS增加TPS,是很好的市场营销,但这不是真正的分布式共识。什么是真正的分布式共识?这个网络谁都说了不算,是矿机说了算,矿机是程序,程序是数学,世间万物都遵循数学。而EOS是超级节点说了算,BM有70%的投票权选择超级节点,他可以控制这个,这是很危险的。提高TPS的方法有很多,不一定非是超级节点这种方式,本来纯分布式的,纯共识的算法是非常先进的。结果现在退回到中央控制,它带来的安全隐患跟传统的安全隐患是一样的,被攻击的漏洞风险也是一样的。
以下为赵伟的观点精编,由整理。
通过对区块链行业的深刻观察,我得出了几点结论:
首先,虽然区块链是分布式的,但我们的交易所、钱包、矿池是集中化的。用户以为他自己的数字资产是分散的,非常安全,但是对于黑客来说非常容易攻击,并且数字货币失窃以后难以追踪,这导致了在区块链行业有非常多的黑客事件。
据统计,上半年已经有75亿美元的损失,前两天韩国的交易所又有3200万美金的丢失。如果在银行的钱丢了,肯定有公安帮我寻回,银行可以证明这是我的。但是数字资产没有法律保护,没有银行做安全保障,你所有的安全是自己控制,你获得自由也会承担风险。我们预测,未来的安全风险会层出不穷。
其次,在跟公链的客户聊天时发现,他们认为公链的价值在于共识,但是共识是建立在很先进的分布式P2P技术上,如果这种技术没有安全的防护,被黑客操控,他们可以任意偷取利益,导致资产的价值变成零,所以安全是区块链数字资产有价值的根本。
再者,国家认为区块链技术是重大的技术机遇,但是这个行业鱼龙混杂,我们从安全的角度观察到了四个重要的风险。
第一,重大黑客安全风险会导致区块链行业崩溃,我们发现过前三大数字货币的重要挖矿节点和钱包任意转帐漏洞,这个会导致千亿美金的公链崩溃。另外我们知道,大家为了交易方便都使用了热钱包,把私钥放在交易所,如果交易所出现重大安全问题,会对持币者造成重大的打击,对整个行业发展非常不利。
第二,重大项目的风险,比如EOS。EOS使用了超级节点这种概念,他的目标是增加TPS,很好的市场营销,但是他的协议是免除自己的所有责任,所有资金自己支配,不公开不透明,并且系统非常中心化。对我们第一代比特币的参与者来说,他们就只是一个分布式的数据库,这种风险不是代码级的,而是他的构架是集中化的,不能代表比特币和区块链的精神,所以是伪区块链。EOS募集了40亿美金,70%-80%的资金来自中国大陆,就中国人好骗从来不看协议,我觉得很不可思议,超级节点这个模式可以拉来很多合作伙伴,合作伙伴又会不择手段拉很多客户,但是大妈大爷都没有看过这个协议,被忽悠了还不知道。
BM和中本聪还吵架,中本聪说你根本不懂,懒得跟你解释,BM老想提高TPS做支付、做应用,但是他不是做真正的分布式共识。什么是真正的分布式共识?这个网络谁都说了不算,是矿机说了算,矿机是程序,程序是数学,数学是上帝说了算,世间万物都遵循数学。而EOS是超级节点说了算,BM有70%的投票权选择超级节点,他可以控制这个,这是很危险的。
增加效率有很多方法,没必要做中心结算。不然我为什么不用支付宝、信用卡支付,我用的还是法币,有公安保护,有人民银行保护,丢了还负责,还有积分,可以非常灵活的使用,而且微信支付背后上千个节点,不比21个节点好,而且他那个节点很多是没有运营过网络服务的人,这能运营好吗。超级节点如果被黑客攻击了,备选节点6分钟才上,持续时间很长,备选节点安全性又不行,上来再被干掉了,就造成了雪崩式的效应。
第三,空气币热,我们业内现在也有法律可以遵从,一些项目进行销售虚假包装,却没有任何开发团队或仅有低于20%的技术开发,白皮书、代码全是抄袭,这明显是空气币。我们要给大家提醒,因为绝大多数的网民是盲目的,他会盲目的持有这些币,如果这个币崩溃会导致很严重的群体性事件,并且让政府和国家对区块链这个技术失去信心。
第四,安全公司在区块链行业里应该是自律的守护者,而不是把自己宣传的非常厉害去打击区块链行业,声称发现了所谓的史诗级漏洞,比如之前有一个公司声称所有的区块链都有漏洞,其实这是很小的问题,但确实大家都有,就像蚊子叮一个包是一个小的问题,所以希望同行不要过度的夸张这种安全问题。
以前我们在做安全防御项目的时候,安全就像马奇诺防线,你做得层次很深,但还是很难避免从内部,或者从流程上,从更新的技术上攻破。但是比特币发布的那天,让我们看到了一种新型的自组织的点对点的系统,它很难被黑客控制,除了算力攻击,这是很难避免的,但是攻击者又用了非常大的成本,他自己的收获也不是很高。所以这从系统层面上、结构层面上,去除了一些安全隐患。我们认为这是个非常天才的想法,比特币它的设计是恰到好处的,不多一分,不少一分,非常好。后面的二代三代都想提高TPS,但是我认为提高TPS的方法有很多,不一定非是超级节点这种方式,本来纯分布式的,纯共识的算法是非常先进的,结果现在退回到中央控制,它带来的安全隐患跟传统的安全隐患是一样的,被攻击的漏洞也是一样的。
现在很多区块链程序员年纪很小,都是九零后,虽然是天才,但是安全行业像老中医,你看的案子越多你的经验越足,才能达到一定的安全水平,而不是你多天才,灯下黑是肯定想不到很多的安全问题的。总结来说,比特币时代不存在的安全问题,现在逐渐又存在了,未来肯定会出很多黑天鹅事件。