區(qū)塊鏈技術(shù)安全隱憂

文 《法人》特約撰稿 董毅智

區(qū)塊鏈技術(shù)安全隱憂

文 《法人》特約撰稿 董毅智

區(qū)塊鏈技術(shù)正在突飛猛進(jìn)，今后，越來越多的領(lǐng)域?qū)?yīng)用到區(qū)塊鏈技術(shù)，正因?yàn)榧夹g(shù)過于超前，監(jiān)管才顯得如此難以完善。就區(qū)塊鏈中的安全技術(shù)而言，仍然需要我們保持謹(jǐn)慎的態(tài)度，避免過于樂觀而引發(fā)大規(guī)模安全事件

區(qū)塊鏈，從默默作為比特幣的底層技術(shù)到獨(dú)立站在世界前沿科技的聚光燈下，仿佛只是一瞬。

據(jù)報(bào)道，截至2017年4月底，全球總共455家區(qū)塊鏈公司累計(jì)獲得融資額為19.47億美元。在獲投公司數(shù)量上，中國(guó)共有61家，位列全球第二，隨著區(qū)塊鏈+的日益深入，有望引領(lǐng)技術(shù)投資新浪潮。

區(qū)塊鏈的前世今生

說到區(qū)塊鏈，大家首先想到的可能就是比特幣。比特幣（BitCoin）的概念最初由神秘的作者中本聰在2009年提出。而區(qū)塊鏈?zhǔn)潜忍貛诺幕A(chǔ)技術(shù)，中本聰在2008年發(fā)布的《Bitcoin: A Peerto-Peer Electronic Cash System》論文中第一次詳細(xì)描述它。

雖然“區(qū)塊鏈”一詞在中本聰?shù)脑颊撐闹芯捅欢啻翁峒埃侵钡浇鼛啄?，區(qū)塊鏈才能真正成為一個(gè)通用的術(shù)語(yǔ)名詞。區(qū)塊鏈其實(shí)是一個(gè)分布式的計(jì)算網(wǎng)絡(luò)，這網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)都執(zhí)行和記錄相同的交易事務(wù)，這些交易事務(wù)最終被歸入一個(gè)個(gè)區(qū)塊，一次只能向這個(gè)網(wǎng)絡(luò)中添加一個(gè)區(qū)塊，每一個(gè)區(qū)塊都包含了一個(gè)數(shù)學(xué)上的證明，用來確保此次添加的區(qū)塊和網(wǎng)絡(luò)中已經(jīng)添加的區(qū)塊是處在一個(gè)序列里面的。

通過這種方式，區(qū)塊鏈的“分布式數(shù)據(jù)庫(kù)”就能在所有的網(wǎng)絡(luò)節(jié)點(diǎn)中保證數(shù)據(jù)的一致性。個(gè)人與總賬的交互由強(qiáng)大的密碼保護(hù)。在以太坊的協(xié)議中，驗(yàn)證和維護(hù)這網(wǎng)絡(luò)的人會(huì)有一份獎(jiǎng)勵(lì)。這“驗(yàn)證和維護(hù)”就是我們平時(shí)說熟知的挖礦，“驗(yàn)證和維護(hù)這網(wǎng)絡(luò)的人”就是我們平時(shí)所說的礦工，而“獎(jiǎng)勵(lì)”在比特幣中就是指一個(gè)比特幣令牌。

在比特幣中，這分布式的數(shù)據(jù)庫(kù)被當(dāng)作一個(gè)存儲(chǔ)賬戶余額的大表，一本總賬，交易事務(wù)是指為促進(jìn)個(gè)人與個(gè)人之間無(wú)須信用的金融交易而進(jìn)行的比特幣的令牌轉(zhuǎn)移。但是隨著比特幣受到越來越多的技術(shù)專家的注意，越來越多的新項(xiàng)目開始使用比特幣網(wǎng)絡(luò)，而其目的不僅僅是轉(zhuǎn)移比特令牌。

現(xiàn)在，許多山寨幣被開發(fā)出來，它們都使用了自己獨(dú)立的區(qū)塊鏈和加密貨幣，升級(jí)了原始的比特幣協(xié)議，添加了許多個(gè)性化的功能和能力。 在2013年，以太坊的發(fā)明者Vitalik Buterin 提出一個(gè)可以執(zhí)行任意復(fù)雜運(yùn)算的區(qū)塊鏈。

和其他任何的區(qū)塊鏈一樣，以太坊也包含了一個(gè)點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)協(xié)議。以太坊的數(shù)據(jù)庫(kù)是由鏈接著網(wǎng)絡(luò)的各節(jié)點(diǎn)來維護(hù)和更新的。網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)都運(yùn)行著相同的虛擬機(jī)，并且執(zhí)行著相同的指令操作。正因?yàn)檫@個(gè)原因，以太坊有時(shí)候被稱為是一個(gè)“世界計(jì)算機(jī)”。

以太坊整網(wǎng)的大規(guī)模并行計(jì)算不是為了提高運(yùn)算效率。事實(shí)上，這過程使得在以太坊上的運(yùn)算比傳統(tǒng)的電腦慢得多而且要付出更多的代價(jià)。相反，每個(gè)以太坊虛擬機(jī)的運(yùn)算是為了保證區(qū)塊鏈全網(wǎng)數(shù)據(jù)的一致性。全網(wǎng)中的每一臺(tái)虛擬機(jī)的運(yùn)行都是為確保全網(wǎng)數(shù)據(jù)的一致性。分散的一致性給予全網(wǎng)極端的容錯(cuò)能力；永不宕機(jī)的能力；抗審查能力。并且使得存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)保持永不改變。

以太坊框架本身并沒有什么特別的功能。就好像程序語(yǔ)言一樣，它做什么，都是由企業(yè)或開發(fā)者來決定的。比如，復(fù)雜的金融合約的自動(dòng)化。比特幣可以讓用戶不通過第三方機(jī)構(gòu)，如銀行、政府等就可以直接兌換貨幣。以太坊的介入可能會(huì)產(chǎn)生更加深遠(yuǎn)的影響，任何復(fù)雜的金融操作都是可以自動(dòng)被執(zhí)行的，并且可以寫成代碼在以太坊上運(yùn)行。除了金融外，任何情況下，只要對(duì)信用、安全和持久有極高的要求，如資產(chǎn)注冊(cè)登記、投票、管理和物聯(lián)網(wǎng)等都有可能受到以太坊平臺(tái)的影響。

突飛猛進(jìn)的區(qū)塊鏈技術(shù)

結(jié)合定義區(qū)塊鏈的定義，區(qū)塊鏈主要有這四個(gè)特征：去中心化（Decentralized）、去信任（Trustless）、集體維護(hù)（Collectively maintain）、可靠數(shù)據(jù)庫(kù)（Reliable Database）。并且由四個(gè)特征會(huì)引申出另外2個(gè)特征:開源（Open Source）、匿名性（Anonymity）。如果一個(gè)系統(tǒng)不具備這些特征，將不能視其為基于區(qū)塊鏈技術(shù)的應(yīng)用。

當(dāng)前區(qū)塊鏈的應(yīng)用部署類型有三種：

一是公有鏈，比如比特幣、萊特幣這樣的貨幣網(wǎng)絡(luò)，只要你愿意參與這個(gè)交易，你就可以成為這個(gè)網(wǎng)絡(luò)里的一分子。

二是私有鏈，一些企業(yè)的私有鏈項(xiàng)目主要用在審計(jì)和跟蹤上。因?yàn)閰^(qū)塊鏈不可逆的特性，發(fā)生一個(gè)業(yè)務(wù)馬上在區(qū)塊鏈里面就能留下痕跡，因此不需要大量審計(jì)人員進(jìn)行數(shù)據(jù)復(fù)核，并識(shí)別賬目真假。這也是為什么全球四大會(huì)計(jì)師事務(wù)所會(huì)關(guān)注區(qū)塊鏈的原因。區(qū)塊鏈還可以解決公司數(shù)據(jù)存儲(chǔ)問題。數(shù)據(jù)無(wú)論存放在哪個(gè)服務(wù)器都有可能丟失，而區(qū)塊鏈技術(shù)底層已經(jīng)具備分布式存儲(chǔ)的概念了，數(shù)據(jù)任意存儲(chǔ)得以實(shí)現(xiàn)，許多技術(shù)上的壁壘得以破除。

三是聯(lián)盟鏈，該聯(lián)盟鏈的每個(gè)參與方不用擔(dān)心自己數(shù)據(jù)存在哪里，自己產(chǎn)生的數(shù)據(jù)都只有自己看到，只有通過對(duì)方授權(quán)的密鑰才能看到其他參與者的數(shù)據(jù)，這樣就解決數(shù)據(jù)隱私和安全性問題，同時(shí)能夠?qū)崿F(xiàn)去中心化。

從公有鏈、私有鏈到聯(lián)盟鏈，三者依次迭代發(fā)展，但是隨著區(qū)塊鏈技術(shù)的快速發(fā)展，不排除當(dāng)前公有鏈和公有鏈的界限會(huì)變得比較模糊。由于每個(gè)節(jié)點(diǎn)可以有較為復(fù)雜的讀寫權(quán)限，也許有部分權(quán)限的節(jié)點(diǎn)會(huì)向一切人開發(fā)，而部分記賬或者核心權(quán)限的節(jié)點(diǎn)只能向答應(yīng)的節(jié)點(diǎn)開放，那就會(huì)不再是純粹的公有鏈或者公有鏈。

技術(shù)變革下的監(jiān)管難題

筆者認(rèn)為，區(qū)塊鏈技術(shù)未來有幾個(gè)大的發(fā)展方向。

首先是轉(zhuǎn)賬與支付。目前，區(qū)塊鏈技術(shù)最成熟的應(yīng)用便是支付與轉(zhuǎn)賬，區(qū)塊鏈技術(shù)能夠避開繁雜的系統(tǒng)，可以省卻銀行間對(duì)賬和審查的流程，加速了資金結(jié)算速度；同時(shí)，運(yùn)用虛擬貨幣無(wú)須清算所的介入，還極大地減少了交易費(fèi)用。

其次是泛金融業(yè)務(wù)。區(qū)塊鏈技術(shù)可以用于資產(chǎn)交易、快速審計(jì)等領(lǐng)域。用戶雙方達(dá)成交易意向，交易信息被添加到區(qū)塊鏈上交易即完成，無(wú)須登記結(jié)算所等多方進(jìn)行數(shù)據(jù)的反復(fù)溝通、核對(duì)和發(fā)送，提高了效率；區(qū)塊鏈具有共享、可信、可追溯的特點(diǎn)，也為審計(jì)提供了便利。

最后是其他應(yīng)用。區(qū)塊鏈技術(shù)還可以與云計(jì)算和物聯(lián)網(wǎng)結(jié)合，應(yīng)用前景極為廣闊。

隨著越來越多的公司意識(shí)到區(qū)塊鏈技術(shù)市場(chǎng)的廣闊前景，高盛、IBM、花旗等巨頭紛紛出資入股區(qū)塊鏈領(lǐng)域初創(chuàng)公司，區(qū)塊鏈領(lǐng)域的風(fēng)險(xiǎn)投資總金額也屢創(chuàng)新高。

說到“區(qū)塊鏈監(jiān)管”，似乎沒有人清楚了解這包含什么內(nèi)容。例如，俄羅斯政府上周宣布其將在2019年之前實(shí)現(xiàn)區(qū)塊鏈監(jiān)管，然而細(xì)節(jié)卻很難講清。目前正在進(jìn)行中的數(shù)百個(gè)試點(diǎn)項(xiàng)目以及概念驗(yàn)證只不過是這項(xiàng)技術(shù)潛在應(yīng)用的冰山一角。

此外，對(duì)于這種不同尋常的公私網(wǎng)絡(luò)分離現(xiàn)象也需要兩種不同的方法。雖然可以就私有區(qū)塊鏈的發(fā)展起草相關(guān)法律，但是鑒于分布式網(wǎng)絡(luò)這種國(guó)際性自由訪問的性質(zhì)，根據(jù)公有網(wǎng)絡(luò)的用途來進(jìn)行監(jiān)管顯然是無(wú)法起作用的。

誰(shuí)來進(jìn)行監(jiān)管呢？沒有人知道比特幣創(chuàng)始人的真實(shí)身份，更不用說他（或她）法定地點(diǎn)的具體位置了，因此甚至都不可能去適用其居住地的管轄法律。

所以，現(xiàn)在可以將重點(diǎn)轉(zhuǎn)移到構(gòu)建在公有區(qū)塊鏈之上的應(yīng)用程序。而即使是這樣，監(jiān)管可及之范圍也會(huì)受到限制，因?yàn)槿魏稳硕伎梢栽诓淮_定司法管轄區(qū)的情況下在任何地方發(fā)布應(yīng)用程序。在這種情況下，監(jiān)管機(jī)構(gòu)除了讓市場(chǎng)做出決定外，別無(wú)選擇。

區(qū)塊鏈?zhǔn)且淮位ヂ?lián)網(wǎng)技術(shù)的大變革，它使得人們看到全球性的協(xié)同計(jì)算正成為可能。在區(qū)塊鏈帶來巨大科技創(chuàng)新的同時(shí)，區(qū)塊鏈的安全也正日益引起科研工作者的濃厚興趣，一系列問題還有待進(jìn)一步從理論層面和應(yīng)用實(shí)踐中得到解決和驗(yàn)證。

就目前區(qū)塊鏈中的安全技術(shù)而言，仍然需要我們保持謹(jǐn)慎的態(tài)度，避免過于樂觀而引發(fā)大規(guī)模安全事件。也建議國(guó)家或機(jī)構(gòu)投入大量人力開展區(qū)塊鏈安全問題研究，制定具有我國(guó)獨(dú)立知識(shí)產(chǎn)權(quán)的區(qū)塊鏈相關(guān)安全規(guī)范和標(biāo)準(zhǔn)，提升區(qū)塊鏈安全監(jiān)控能力，保障區(qū)塊鏈產(chǎn)業(yè)健康發(fā)展和持續(xù)創(chuàng)新。