您当前的位置:主页 > 区块链 >

聚焦区块链安全 迅雷链“硬核技术”为企业护航

2019-05-30 02:25 来源:互联网 编辑:运营003
摘要: 
越来越多的传统企业开始接触区块链,其中一些已经在着手进行区块链应用的开发和使用了。与传统互联网一样,区

越来越多的传统企业开始接触区块链,其中一些已经在着手进行区块链应用的开发和使用了。与传统互联网一样,区块链开发依然面临严峻的安全考验,安全永远是应用开发的关键。不过,在具体的安全问题上,区块链又与传统互联网有所不同,开发者该如何分辨二者的区别,并正确应对新的挑战?

图片1

智能合约安全漏洞频发

北京时间5月3日凌晨4点12分,以太坊上一款应用中的所有波场币被盗,总价值427万多人民币。其原因就是黑客发现了该应用智能合约中的一个漏洞,通过该漏洞悄无声息地转走了应用中的所有资产。

而这只是众多区块链安全事件的冰山一角。据迅雷链开放平台产品负责人马双阳介绍,在以太坊上38000多个智能合约中,通过漏洞扫描工具发现存在815个漏洞。也就是说,超过2.1%的合约存在漏洞,这是非常惊人的一个比率。

同时针对智能合约漏洞的攻击也越来越频繁,马双阳透露,自有智能合约以来,漏洞相关的攻击事件,59%发生在2018年年份,可见黑客已经意识到智能合约漏洞的“有利可图”。

迅雷链技术团队的专业分析,区块链安全问题基本分为存储、协议、扩展、业务层这四个方面,其中,存储、协议和扩展三个层级的安全机制,都由主链平台提供,基本上经得起检验,出问题的可能性不大。唯独业务层是由企业自己提供的,其中技术水平良莠不齐,且目前还缺乏真正经验丰富的区块链开发者,因此往往安全问题就出在业务层的智能合约上面。

而智能合约又是开源的,其代码全都公开,黑客很容易就发现漏洞并加以利用。同时智能合约一旦公布,就很难撤回修改,因此漏洞一旦被发现,弥补起来都非常困难,这是区块链安全与传统互联网安全问题最大的不同之处。

选择安全机制完善的开发平台

因此传统企业在使用区块链的过程中,需要特别注重自身应用中的智能合约安全性。而其中最主要的手段就是利用工具自检排查,所以选择一个提供完备的安全排查机制的开发平台,就显得非常重要。

目前,一些领先的区块链平台已给出更加专业和安全的解决方案,如迅雷链就推出了专门针对智能合约的安全机制。据介绍,迅雷链针对智能合约的安全审核分为三个层级,分别是防护,验证和审计。

其中防护就是在编码过程当中不断规范和代码发布的规则,并不断加以完善和维护,从源头上对安全进行防护。验证就是在开发工具中进行动态的安全检测,当开发者使用开发工具进行应用开发时,该工具会自动对其中代码进行安全性的检测,一旦发现有问题,就会直接反馈给开发者。

图片2

最后迅雷链还会对所有智能合约进行完善的审计,马双阳说,其中绝大多数是人工审核,以此规避自动审查中的不精准性,最大程度保证合约的安全性。

今年四月,迅雷链获得国内对非银行机构的最高级别安全认证——国家信息安全等级保护三级认证。同时,网心科技还作为行业领军企业,受邀参与了《可信区块链:区块链安全评价指标》的制定。这些都是迅雷链持续发力区块链安全防护获得的肯定。

安全与效率并重

不过业内专家也提醒说,企业在开发区块链应用时,固然要强调安全性,但也要注重使用效率,二者不可偏废,否则安全性倒是有保障,但应用本身的易用性却遭到损害,也不利于业务的开展。

区块链头部平台也意识到了这方面的重要性,开始加强此方面的融和。据迅雷链底层研发工程师张骁透露,目前迅雷链主要是通过对加密算法等核心层的创新改进,在保证安全的同时努力提升应用的开发和运营效率。

比如区块链当中最广泛应用的数字签名算法,包括密钥匙生成以及签名还有验签三部分,需要同时保存签名和公钥。但迅雷链通过对这种加密算法的改进,实现用签名倒推公钥,这样只需要保存签名即可,由此减少了至少1/3的存储空间需求,极大地降低了应用的存储成本。

同时在很多业务场景中,需要对某些数据进行求证,而求证过程又往往意味着数据的公开,由此又与数据安全和隐私保护形成冲突。鉴于此种情况,迅雷链推出承诺系统,利用同态加密和零知识证明两种技术,实现了在不公开数据的情况下,完成对数据的求证。就好比写字楼门禁,当你拿工牌刷卡开门时,门禁只会反馈出“开”与“不开”这两个结果,并不会告诉你工牌上的姓名、公司、电话等信息。

[ 编辑: 运营BX01 ]

中国金融领域第一媒体

更多服务
友情链接

京ICP备11011451号-1

举报热线:(010)12377

举报邮箱:xinhua_ljzjr#ljzjr.cn(#替换@)

合作QQ:1447260813

中国金融时报网 版权所有 Copyright © 2010 - 2018 ljzjr.cn All Rights Reserved.