【链得得“不得了”对话实录】传奇黑客赵伟:区块链安全有大量创业机会
摘要: 在链得得“不得了”对话讨论中,赵伟表示,在区块链安全行业中存在大量创业机会。他为什么这么说?
在贵阳国际数博会之后,EOS和打车链的话题刷爆了朋友圈。从数博会上玉红的一句“EOS是最大的空气币”,到360安全发布EOS安全漏洞,到陈伟星正式公布区块链打车应用,都引发了大论辩。
链得得“不得了”对话第二期,我们邀请到了近期焦点人物陈伟星和传奇黑客赵伟,以及知名独立研究者与投资人Jeffrey Wernick,围绕近期火热的焦点争议EOS、安全与打车链,从各自的立场分享了自己的观点。
在讨论中,赵伟表示,在区块链安全行业中还存在大量创业机会。以下仅为部分对话实录,全部对话内容继续关注链得得App:
嘉宾简介:
赵伟:北京知道创宇信息技术有限公司创始人/CEO,中国信息安全标准委员会委员、院士工作站特聘专家、工业与信息化软件集成促进中心云计算研究专家。
链得得主持人:360之前公布了EOS底层代码的漏洞,目前为止,BM和EOS是不是真正解决了这个问题?漏洞是否已经完全修复?
赵伟:360没有将漏洞在公网上线之后公布,对EOS的生态更。如果公网上线之后公布这样的漏洞,就得EOS可能会马上进行硬分叉。
现在这个bug目前仅进行了64位的系统修复,32位的系统还没有修复。发现这个漏洞的专家是我们557小组的小伙伴,他们认为EOS不考虑32位系统的安全性。
在我们看来,32位的风险也是存在的,如果部署系统的时候出现错误,部署在32位系统上,风险还是存在的。
链得得主持人:您曾表示BM本身对安全问题并不是一个专家,也发现BM对很多安全方面的术语和基础的情况并不太了解,是这样吗?
赵伟:对,我们发现和BM在沟通的时候,偶尔会混淆一些安全方面的概念。这种安全概念是只有真正的安全人员、从业者才要去了解的,一般的程序员他们是不太会了解这些安全规范和开发规范的。
本次发现的漏洞最早发现在2003年左右,当时非常多的系统都被这个漏洞攻破了,我们还对这种漏洞攻击方法进行了研究。15年后,基本所有的程序员都已经了解这种漏洞了,但是BM还是犯了这个错误。其实前一段时间各个ERC20体系token被清零的漏洞,都是这种漏洞。
链得得主持人:有人认为,一些人会出于对利益的追逐,从安全层面将EOS进行分叉,为什么会有这样的判断?
赵伟:我认为,EOS的系统是一个非去中心化的系统,那么为什么我们不用支付宝、微信做支付呢?为什么我们需要另外一个中心化的支付呢?而且这还是一个不受保护的货币。
所以,EOS没有利用去中心化的技术构架,是非常容易被分叉的,所以很有可能是因为安全问题,导致很多分叉,并且也可能从安全的层面来进行分叉。
从我们的经验来看,一个项目至少需要拿出营收的10%,投入在网络安全方面。美国政府他们的网络安全预算占整个预算的30%-40%,主要的用途就是运维。
问题是,所有加密货币的所有者是用户,没有一个中心化的管控,数字货币丢失由用户负责。所以,区块链项目对安全性的要求是很高的。
我们保护了挺多的数字货币交易所,可能做过一些小的传统交易所的安全项目。我认为数字货币的交易所最大的不一样,在技术方面是量化交易的需求很大,但是对量化交易的支持方面比较差。
在交易所方面,交易所安全分为很多层次,包括技术安全、业务安全、商业安全和合规性安全。
技术安全分为发币阶段、上币阶段、交易所本身的安全问题、持币者的安全问题,共同组成了一个安全生态。这个生态现在还不是非常完整,问题包括内网的安全问题、内部合规流程性的安全问题、数据库的安全问题,目前数字化交易所的安全问题依然较多。
链得得主持人:DPoS的共识机制是否存在一种更安全的替代方案?
赵伟:EOS这种中心化的系统,安全方面需要花费非常巨大的精力、金钱。分布式的去中心化的区块链的技术,本来就是把安全作为算法,把每一个人都作为整个系统的一部分去保证安全性,这本省就是一种由创新的想法。对于我们安全界来说,区块链的技术非常经典,在这么多年来,很多安全高手、专家尝试攻击,也没有成功过。
比特币目前现在的这种模式,可以引入侧链、闪电网络或分片的技术,然后把资产上链。
一代区块链的技术,面临最大的安全问题,就是算力51%的攻击;二代的智能合约,也同样面对各种各样的问题。
在区块链3.0时代,行业主要棉铃的问题是TPS。但TPS会导致中心化的问题,所以它的安全性是很难保障的,而且我们确实没有必要再使用一个新的支付宝或微信支付。
链得得主持人:区块链技术的核心价值是什么?
赵伟:我自己创业很多年,第一次感受到一个技术跟以往截然不同。区块链技术实际上是一个经济、政治的综合学科。我们第一次把权力和利益变得计算机化、可编程,利用分布式账本技术和智能合约技术,可以实践算法、协调利益关系,来替代原来的纸质合约和账本。
所以,我们在要使用这个新技术的时候,一定会发生混乱。区块链技术在本质上也是一个新型的金融技术。这些金融技术实际上是有原罪的,所以我认为区块链行业是一个高风险行业的原因。
为什么那么多创业者还是想去尝试?为什么我们还在不断探讨区块链技术?为什么那么多媒体去关注这个技术?为什么《政府报告》要把区块链技术放到那么重要的位置?为什么那么多领导也要组织学习,探讨怎么样使用?这都是一个明确的信号:区块链会改变整个社会。
所以,这种改变对原来的金融体系、货币体系和资产负债表都非常重要。事实上,我觉得现在在中国也有很好创业环境,至少大家是可以去尝试的,这也是为什么我们敢于去尝试把这个技术用到实践上来。
我也希望大家能去各自去尝试各自的方法,甚至有更多人一起来尝试推动我们的实验,这也是我们做这个事情的初衷:告诉大家这是区块链对于传统社会的改变是非常有趣的。
所以,区块链技术其实并没有想象得那么神秘,我觉得全社会目前对区块链技术的认知和尝试越来越清晰了:
1、通过去中心化的见证来做一个可被信任的账本。
2、利用去中心化的结构创造可信任的合约。
3、接下来要去开发的,就是要用去中心化的安全技术,来保障每个人的隐私数据归属于个人,这也是未来数字时代最关键的东西,让数字资产作为一种生产资料归属于个人。
链得得主持人:EOS是不是一个漏洞百出的公链?
赵伟:也不是漏洞百出。安全的问题分两层:
1、程序层。EOS这么有钱,它可以请世界上最好的黑客帮它修复漏洞、寻找漏洞。
2、结构层。BM没有真正使用分布式共识的算法。程序上可能不是漏洞百出,但是结构上有问题,EOS就完蛋了。
链得得主持人:你认为目前为止整个区块链行业安全服务哪几个方面出现会出现巨大的机会?
赵伟:链本身的安全。不同阶段的区块链需要安全是不一样的。比如说1.0可能需要反DDOS,2.0可能需要智能合约审核,3.0是整个安全构架的优化。
所以首先是交易所的安全。因为交易所设计极其复杂,无论是技术安全、业务安全、商业安全还是合规性安全,都非常复杂,因此交易所的安全防护肯定也是一个很大的机会。
其次,个人用户使用数字货币的安全。区块链数字货币是去中心化的,没有像中央银行这样的机构存在,用户币丢了就完全丢了,很难找回来。所以,对于个人的区块链安全防护也是创业的机会。
链得得主持人:区块链行业中目前存在的乱象和泡沫如何解决?
赵伟:创业是一个长期投资的习惯,在这个过程中需要一个一个解决问题,一个一个去投资,一个一个去尝试,不可能一个晚上就能解决所有问题。
区块链行业共识的体系是混乱的,创业者们缺少一个共同的愿景,纷纷选择圈钱、暴富。当然这是客观的现象,并不是区块链的本质。
我认为区块链的成功有四个核心的步骤:
1、加密货币,极有可能是比特币,在不断地被人质疑和认可之后,会成为世界货币。
2、在不断地形成愿景的共识基础上,行业内会产生很多新的应用、估值的模型,让创新得到鼓励,而不是鼓励把钱放在自己口袋里。
3、随着这些尝试不断地出现,越来越多的资源会根据需求投向基础设施,包括交易所、钱包、行情、媒体,甚至链、基于链的生产关系和算法设计、算法设计服务,最终不断完善基础设施,让区块链真正创造信用。
4、会有越来越多现存的资产,可以不断地被区块链化,把原来的股权性的设计和平台,逐步地上链,让加密货币的资产更加丰富。
这四个点相互支持和依赖,会随着区块链技术和市场的成熟逐步发生。所以,我希望泡沫能够被转化成一个改变传统社会的愿景。那些欺诈性的泡沫、共识能够被清理,让创新型的企业加入、理解,并和全社会的价值观形成一体,激励模型和价值创造,最终使得区块链技术更加符合人性,激励更多的优秀的人加入进来。(本文首发链得得)
评论(0)
Oh! no
您是否确认要删除该条评论吗?