当前区块链的安全问题集中体现在哪些方面?
2018-10-09 11:36 收藏(0) 阅读(84) 评论(0)

当前区块链的安全问题集中体现在哪些方面?
区块链搭建在数学和共识的基础之上,核心思想是去中心化,安全模型与传统的安全模型已经不同,长期来看安全风险也会得以以去中心化分散到个人节点上,所以安全的重点会在于DAPP以及公链,另外就是个人私钥的安全保护,但短期我们觉得重点还在于一些中心化的问题上比较突出,主要问题在技术和意识上。
我们都知道,基于区块链所运行的数字货币,是真正承载着价值的数字资产,中心化存储机构,如交易所、中心化钱包等,存储着大量用户资产,这样的机构是可以跟银行做类比的。但是从技术投入,到人力投入上,中心化存储机构的安全建设投入,要远远落后于银行。另一方面,由于区块链技术还属于新兴技术,没有一个统一的标准,盲目发行各种链各种币的技术团队,技术参差不齐,非常容易出现技术上的漏洞。
用户意识存在极大安全问题,这个事情好像说起来有点危言耸听,但真实的情况是,绝大部分参与数字货币炒作的普通用户,完全没有任何区块链、数字货币的基本知识储备和概念。打个比方,我们拿出一张纸,写上“降维币 1亿元”,然后让用户花1万人民币来买,恐怕用户以为我们疯了。但是在区块链行业,这样的疯狂却每天都在上演着。还有用户把自己的私钥、助记词传到网上或者被人轻易骗走,等等等等,这样的例子层出不穷。
无论是技术层面还是意识层面,出现安全问题的本质根源都在于人,降维安全是想通过自己的技术和努力,帮助人们解决他们可能面临的安全威胁,从而建设更好的区块链安全生态;
据降维官网,在智能合约的审计上,降维安全实验室开发了名为ASC(Autoaudit For Smart Contract)的审计辅助工具,可以简单介绍一下ASC的亮点吗?
区块链世界代码即法律,对于区块链来讲合约的安全性不言而喻,按照降维安全的观点,合约的安全性主要有两方面,一方面是因为人无意犯下的错误,一方面是因为有意犯下的错误,前者主要是代码编写过程中以及区块链底层基础设施不完善导致的安全风险,后者主要是合约编写者本身就不怀好意导致的安全风险,这两者都对区块链安全生态产生极大的破坏,但代码性的缺陷较好判断,由人恶意产生的风险却不好直接定性。
与其他传统的合约审计工具不同,我们研发的ASC系统最大的亮点是形式化验证以及独有的AI深度神经网络代码检测双层判定之后能够快速对合约代码本身进行安全风险定性并且快速定位合约中存在安全缺陷的代码,其中AI深度神经网络代码检测我们已经积累了几十万的合约代码和我们自有的风险代码特征库,当然对于合约代码安全但是合约本身存在恶意企图的行为我们还会有专有安全审计师进行交互式复核,确保合约不止对项目方,而且对用户和交易平台都是安全的; 
  当下交易所安全仍面临严峻挑战。继4年前的Mt.Gox事件后,被盗事件频发,近日日本交易所Zaif又宣布被盗,您认为导致交易所安全问题最主要原因是什么?未来可以有什么防范升级措施?
交易所作为区块链世界里的一个中心化的存在,对于黑客来说一旦攻击成功就有巨大的收益,另外加上法律的不完善导致攻击的成本极低,所以交易所天然就有着极高的安全风险。而交易所安全所面临的问题其实我们刚刚也有简单说过,归根结底就是意识问题,存在侥幸心理导致在安全建设上投入不够,传统公司因为业务特点可以在有一定规模之后才去考虑安全方面的问题,但是作为交易所一上线就有大量的数字资产流入,所以在交易所筹备期间,就应该重视安全问题。
我们自身作为一家创业的区块链安全公司,也非常清楚交易所在创立之初应该要更多的考虑业务考虑如何活下去,所以我们作为第三方为数字货币交易所定制了专业的整体安全解决方案,这套方案沉淀了我们自身和多家合作的交易所、交易所程序研发公司,多年的知识及经验能够帮助数字货币交易所规避安全风险,少踩、不踩重复的坑,安全健康的成长。
  而将银行级别甚至国防级别的安全建设方案和技术,改进应用到数字货币交易所行业,这就是触手可及的未来,也是我们正在思考的事情;
虽然区块链具有匿名的特性,但目前区块链上仍存在个人隐私安全的漏洞;但同时,又因为匿名性,带来了出现问题后,解决难度增大的问题,您如何看待区块链安全与隐私的关系?
我理解这个问题的出发点是因为区块链的特性,一旦发生安全问题,导致损失难以追回。
从这个角度去看,实际上传统金融领域的安全保障,依靠的并不是技术本身,而是完善的监管政策和强力的执法能力。随着比特币诞生的区块链技术天生是排斥中心化的,但是这个去中心化并不是躲避金融和法律的监管,而是通过去中心化、公开透明的方式,通过数学算法,更好的得到使用者监管。
所以从这个角度来看,安全和隐私并没有任何矛盾。从技术上看,区块链比传统经济更好的保障了用户的安全性。因为匿名性而导致缺失的安全感,实际上是现阶段对区块链行业金融监管和法律保障的不到位,如果有一天,区块链及数字货币行业,能作为现有经济体系的一部分,得到政府的认可、金融机构的监管、法律的保障,用户对安全和隐私的体验会变得和现在完全不一样。
以从区块链项目方的角度出发,给他们提供一些安全方面的建议吗?
从安全角度讲,区块链项目的技术选型上,建议选择成熟、用户量大、经过时间验证的技术,尽量使用有一定经验的技术人员。
由于区块链项目上链以后难以修改,所以要做好上线前的测试并且与第三方专业安全公司进行合作对代码的安全性进行审计和测试。
另外就是做好长期监控和出现问题后程序和数据进行更新的预案,当然还要尽最大努力保护好私钥安全。 
有一个说法是,或许可以用区块链技术本身去解决区块链安全问题,您认可这种说法吗?
首先要清楚没有任何一种技术或产品是可以解决所有问题的,这种想法很美好,但是就像没有一种药可以治愈世界上所有疾病一样,区块链技术并不能在安全领域“包治百病”,区块链的去中心化从安全角度上讲实际上是将中心化的安全风险去中心化的给到个人,如果用户不能够很好的使用区块链做到基础的安全,还是不能够保护好个人的资产安全的,最典型的就是各种私钥的丢失和黑客攻击导致的安全事件,用任何技术想一劳永逸的解决人的问题,目前看来应该是难以实现的。
当然区块链技术可以在安全上,解决某一些中心化导致的问题,比如去中心化交易所的模式,基本解决了用户资产、隐私信息中心化存储可能存在的黑客攻击导致大量数据资产丢失的问题,或者使用区块链技术来对黑客行为进行重塑也是一个潜在的方向。