在這作為已經是區塊鏈世界的局內人,我有一些思考寫出來和我的關注者們聊聊。
三個魔盒
區塊鏈發展史,我認為有三個魔盒般的里程碑,既然是魔盒,那一定是帶來足夠影響力的,雖然不一定帶來足夠的落地。
第一個就是比特幣,中本聰共識的世界,這個其實不用多說,比特幣/中本聰已經是這個世界的最高信仰。
說個有趣的,在維基百科上“密碼朋克”人物列表里,一個是中本聰,另一個是阿桑奇。阿桑奇是維基解密(WikiLeaks)創始人,2006 年底就開始運作維基解密,維基解密是通過協助知情人讓組織、企業、政府在陽光下運作的、無國界、非盈利的互聯網媒體,由于發布了大量機密文件而其飽受爭議,反正許多強大的國家不喜歡他們,最終這些國家忍無可忍,2019 年,正式把阿桑奇給抓了...
回到 2010 年,當時阿桑奇看到了比特幣的發展,宣布維基解密要接收比特幣贊助,這是個非常天才的想法,除了比特幣,維基解密的法幣贊助渠道都被各國監管嚴密封堵,而比特幣很難被封堵。當時中本聰很著急,覺得阿桑奇你這樣高調宣布,這對才發展 2 年的比特幣來說可不是個好事,畢竟維基解密是什么局面?中本聰又不是傻子,萬一一個不小心,才 2 年的比特幣被超級力量干掉,那如何是好。當時中本聰留下了一段話:
慢霧:跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件,慢霧安全團隊分析指出:本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址,并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]
It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(馬蜂窩), and the swarm is headed towards us.
from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280
元界DNA主鏈代碼已通過慢霧科技安全審計:元界DNA(Metaverse Dualchain Network Architecture)主鏈代碼已通過慢霧科技安全審計。慢霧科技采用“白盒為主,黑灰為輔”的策略,以最貼近真實攻擊的方式對Metaverse DNA主鏈代碼的隨機數生成算法安全、密鑰存儲與內存安全、密碼學組件調用、加密強度安全、交易延展性、交易重放安全性、代幣“假充值”漏洞、RPC“黑人節”漏洞、代碼合規性共9個維度進行了全面的安全審計,審計報告顯示Metaverse DNA主鏈代碼通過慢霧科技公鏈安全審計標準。
元界DNA主網(Helix 1.0)已于2020年8月5日正式上線,其基礎代幣DNA目前已上線包括OKEx、ZB、Bittrex(B網)等全球19家主流交易平臺。[2020/8/10]
2011 年,中本聰消失了...我們不好推測他為什么消失,但確實比特幣已經開始失控地發展。現在回頭來看,比特幣過去的歷史波瀾成就了比特幣的今天,比特幣打開了加密貨幣世界的第一個魔盒。
第二個魔盒是以太坊打開的,引入了圖靈完備的智能合約,讓區塊鏈不僅是跑加密貨幣,還可以跑自定義計算,雖然這種計算并沒想象的那種“智能”,雖然這個魔盒的打開帶來了許多亂象,但我們現在知道:“哦,區塊鏈能做這樣的事。”
聲音 | 慢霧創始人余弦:優秀的公鏈是敬畏黑客 但又不懼黑客的:區塊鏈安全公司慢霧創始人余弦在線上表示,至少有四個理由表明黑客攻擊事件多的公鏈反而更可能快速發展:1、只要不會出現超巨額不可挽救損失,積極的社區治理總能渡過難關,而且可以大大提高公鏈的知名度;2、公鏈如果關注度低或價值低,攻擊者也不一定會感興趣,機會成本的問題,除非攻擊者本身就屬于這條公鏈生態的一部分或可以輕易了解這條公鏈;3、越偏應用層的攻擊會越多,比如 DApp 越多,原則上被攻擊成功的數量也會多,這可能會造成一種假象:這條公鏈似乎很不安全,但真相可能恰恰相反;4、類比早期的 Windows XP,安全問題極多,但卻奠定了個人電腦操作系統生態的霸主地位。與此同時,余弦總結道:持續黑客攻擊導致破產倒閉、低價被收購的血淋淋案例。所以優秀的公鏈是敬畏黑客,但又不懼黑客的。[2019/3/5]
第三個魔盒是 Libra 打開的,這個魔盒的開啟,讓非加密貨幣世界的人都關注到:“哇,原來區塊鏈能被這樣的玩...”Libra 這個一攬子全球穩定幣由 Facebook 主導,整個官網充滿了數字貨幣革命的感覺,愿景極其霸氣:
建立一套簡單的全球貨幣和金融基礎設施,為數十億人服務。
重新創造貨幣。重塑全球經濟。讓世界各地的人們過上更美好的生活。
聲音 | 慢霧區:目前已知5個LocalBitcoins賬戶被盜 損失約8個BTC:對于比特幣OTC平臺LocalBitcoins被黑事件,慢霧安全團隊的分析:目前已知5個用戶被盜(損失7.95205862 BTC),盜幣攻擊行為持續37分鐘,被攻擊的是LocalBitcoins的論壇(forums),目前已下線,但主頁還在持續提供服務。安全團隊分析,初步懷疑是論壇出現XSS攻擊,被盜幣用戶的頁面觸發了惡意JavaScript代碼,由于論壇與主頁在同一個域下,只要這類攻擊觸發,是可以比較容易盜走BTC的。LocalBitcoins的安全架構上犯了至少兩個錯誤:第一個是:論壇這種高交互性的頁面不應該和主頁在同一個域下,應該分離出子域名形式;另一個是:主頁相關重要功能模塊加載了幾個第三方JavaScript模塊,只要任意一個第三方被黑或作惡,LocalBitcoins也能輕易被黑。[2019/1/27]
Libra 之后,大家也很快看到了我們國家對區塊鏈的大態度:“區塊鏈一定要干!”“加密貨幣不行,要嚴格監管!”無論如何,區塊鏈在我國是真的火了...
一個割裂
三個魔盒打開后,這個世界有一個明顯割裂:公鏈與聯盟鏈。
公鏈上的加密貨幣雖然在一些發達國家及第三世界國家已經得到某種程度的認可,比如承認這是“個人財產”,甚至在小范圍內還可以作為合法支付貨幣,但這些都在嚴格的監管法案下進行,尤其特別強調反洗錢。但加密貨幣對于現有世界秩序來說,普遍還是個被非常警惕對待的新事物。
慢霧科技公告慢霧科技:Redis挖礦蠕蟲爆發,中國占比總感染是88%:據慢霧科技公告,近期Redis挖礦蠕蟲爆發,目前中國占比總感染是88%。該蠕蟲通過6379端口直接打crontab,成功后先自行關閉Linux的部分安全策略和其他競爭蠕蟲,并清理痕跡,并在內外網進行傳播。其挖礦算法為CryptoNight,支持此類算法的有門羅幣(XMR),字節幣(BCN)等。[2018/5/21]
但聯盟鏈不一樣,聯盟鏈是現有世界秩序喜歡的形態,因為可自主也可控,縱觀現有聯盟鏈場景都可以發現一個共同特點“許可模式”。只有被許可的單位才能參與進聯盟鏈,才可以成為聯盟鏈的一個關鍵節點。聯盟鏈對應的場景一定有某種形式存在的“超級監管方”,這個“超級監管方”負責監控及管理這個場景下各方單位的活動博弈,當然這個“超級監管方”也可能被分權為“超級監控方”及“超級管理方”。你看,聯盟鏈是多好的東西。當然聯盟鏈也存在許多魚龍混雜情況,這些就不談了。
公鏈生態
特別提下公鏈生態,聯盟鏈生態沒什么好提的,讓子彈多飛會再說:-)
既然是公鏈,那就是全世界的公共區塊鏈,野蠻發展是其最大的基因,如何有效監管這是個大話題,這里不談。這里簡單羅列下公鏈世界里我認為有趣的目前是小范圍的一些剛需。
支付需求:具有全球廣泛共識的加密貨幣,如比特幣、門羅幣、以太坊,在某些場景可進行支付與結算,包括運行其上的穩定幣
金融需求:去中心化金融(DeFi) DApp,這個目前在以太坊上已經有不錯的小范圍應用出現,不過主要圍繞抵押借貸,但在向現有世界金融場景努力借鑒并在去中心化場景努力改進
娛樂需求:一些游戲競技類 DApp,比如運行在以太坊、EOS、波場上的,有高質量的,雖然相比現有世界的游戲場景來說,玩家實在太少太少
隱私需求:Web3.0,用戶掌握私鑰即掌握了資產及隱私權力,說白了就是 Web3.0 可以讓人民比較好地“當家作主”,我覺得這是個非常有意義的長遠方向,但推進速度并不會很快
炒幣需求:這個在哪個世界都是這樣“東西不炒,動力就少”,這就是為什么那么多加密貨幣交易所的存在,這也誕生了許多亂象
存儲需求:有不少人和我類似,喜歡的加密貨幣會長期持有著,那就得安全存儲著呀,加密貨幣錢包也就這樣百花齊放了
算力需求:無論是 PoW,還是 PoS/DPoS 等,本質都是擁有“算力”即擁有“出塊權”,也即擁有“鑄幣權”。當然“鑄幣權”不一定要靠“算力”來擁有,比如 USDT/TUSD/USDC/GUSD/PAX 等本質是很中心化的加密貨幣穩定幣,再比如黑客掌握了某類型漏洞也是可以有“鑄幣權”,但是黑客的這種“鑄幣權”不長久,這種漏洞在全球頂級公鏈里也不容易擁有
大概這 7 個點,可能還有一些,先這樣。這些需求的融合與進化讓我對 2020 之后的區塊鏈世界充滿期待。公鏈的進化會誕生真正的隱私、自由與安全的群體;公鏈的進化會解決國家、種族、群體之間的某些信任邊界。嗯,說的有些大,但會是這樣。
說到安全
公鏈世界里的安全是強剛需,可以認為這是一種新型的金融安全方向,所有新秩序都在“摸著石頭過河”,對于安全來說,除了一起跟著“摸著石頭過河”并沒特別清晰的指引。但我覺得這樣才有趣,方向足夠新,空間足夠大,帶著安全隊伍開疆拓土。
安全附屬在生態里,上面提的公鏈生態每個點都有絕對的安全剛需,除了傳統網絡安全攻防,更多的是公鏈本身的安全攻防,我們把這兩部分成為“鏈下安全及鏈上安全”。關于安全在區塊鏈世界的重要性,可以見我之前的一篇文章,這里不做過多講解。
安全是區塊鏈生態里的基礎設施之一,無論公鏈還是聯盟鏈。但從剛需的生意角度來看,安全在公鏈世界里是強剛需,可以誕生足夠強大的區塊鏈安全公司;安全在聯盟鏈世界里是“偽需求”,安全公司在這個世界里和在已有的世界秩序里的存在感差不多,會有,不是沒有市場,但嚴重缺乏想象力。關于聯盟鏈安全再補充一點:聯盟鏈的太多場景,安全是非常滯后的,并未如公鏈的許多場景那樣經歷過足夠的安全對抗考驗。其中一個非常可怕的安全攻防入口是“超級監管方”,這個可以直接決定一條聯盟鏈的生死。
不得不說的一點:在安全這個基礎設施之上構建的安全衍生品才是真正大的市場。這個世界需要安全的支付場景、安全的金融場景、安全的娛樂場景、安全的隱私場景、安全的炒幣場景、安全的存儲場景、安全的算力場景等等。場景里已經不是純粹的安全攻防需求,而是基于安全的衍生品需求。
在這,我們已經將安全分為兩大部分:安全產品及安全衍生品。
安全產品本身就有不少的創造空間,鏈上安全及鏈下安全的一些獨特創造:
鏈上層面可以有自己的漏洞掃描、防火墻、反洗錢等,核心組件一定是在鏈上實現的,比如在智能合約層,在智能合約的用戶層及智能合約的系統層都可以做些工作。
鏈下層面有更大的創造空間,可以有自己的漏洞掃描、威脅分析、事件分析、防火墻、反洗錢等等,核心組件在鏈下實現,通過區塊鏈的幾個入口進行相關安全策略實施,如 RPC、P2P、智能合約虛擬機等。
至于安全衍生品,需求上面有提,這里就不展開談了:-)
談了怎么給區塊鏈世界做安全,那區塊鏈技術的運用能否解決現有世界的某些安全問題呢?
當然可以呀,區塊鏈有個非常核心的能力是解決了信任的問題,前面有提到的 Web3.0,“人民當家作主”,人民掌握了私鑰即掌握了自己的資產與隱私,這個如果應用的好,可以很好解決當前互聯網隱私大爆炸(泄露)的痛點,這些隱私為什么會大爆炸呢,就是因為現有的隱私安全模型在當前的互聯網下比較脆弱。那么可以完美解決嗎?我倒是不這樣認為:-)
私鑰是個神奇的東西,是密碼學光輝的一種體現,基于私鑰是可以有許多有趣的創造,私鑰不僅個人可以使用,也可以多方使用,比如安全多方計算的運用可以解決多方角色需要授權使用資產或隱私的安全問題。雖然這些過程,不需要區塊鏈也行,但結合了區塊鏈也等同于結合了某種信任模型,區塊鏈讓密碼學的光輝應用得到進一大步的發揮。我們的創造著力點一定是在這些可信環節上。
區塊鏈不是萬能藥水或銀彈,但卻是魔法藥水,在多方博弈的場景下可以降低信任成本,降低審計成本。那是不是一定要用區塊鏈技術?這個真不是。那是不是所有公鏈都有價值?必然也不是。看事情看本質,做事情做客觀。敬畏力量,但遠離非黑即白者。
最后
最后我想說:未來虛擬世界是絕對的獨立智慧體(硅基生命),加密世界是絕對的一個大勢,加密貨幣是絕對的一個剛需存在,雖然這個未來還有不少距離,但這個未來是一座燈塔。
區塊鏈安全也追隨這這座燈塔,創造空間無限,市場空間無限。
In Blockchain We Trust;-)
感謝我的關注者與支持者們,感謝我的區塊鏈安全團隊,其中一個是慢霧,另一個是?2020 年,慢慢的,大家就會知道啦。
文丨殷耀平 出品丨小蔥區塊鏈數字金融已然成為全球金融行業關注的重要焦點.
1900/1/1 0:00:00俄羅斯政壇15日接連傳出引發動蕩的消息,比特幣價格隨之產生變化。 俄政局不穩 比特幣溢價 首先是總統普京15日在議會發表年度講話時表示,他將提出一系列修憲措施,規劃俄羅斯未來力量平衡計劃,交.
1900/1/1 0:00:00文丨文帥 出品丨小蔥區塊鏈2019 年 12 月 13 日,中美就第一階段經貿協議文本正式達成一致.
1900/1/1 0:00:00盡管與 2019 年的最高點相比,比特幣依舊下跌了約 41.5% ,但確保網絡安全的算力還在繼續攀升.
1900/1/1 0:00:00美國商品期貨交易委員會(CFTC)前主席J. Christopher Giancarlo正計劃通過建立一個非盈利組織來推廣基于區塊鏈的數字美元.
1900/1/1 0:00:00Bitfinex和Tether首席技術官Paolo Ardoino在接受Ivan on Tech采訪時表示Tether可以參與到很多DeFi項目當中.
1900/1/1 0:00:00