零時(shí)科技創(chuàng)始人鄧永凱先生受邀對(duì)話《公鏈隱私保護(hù)及生態(tài)安全 》

2022年9月14日20:00,區(qū)塊鏈安全攻防專家、零時(shí)科技創(chuàng)始人&CEO鄧永凱先生受UNIBFF NEWS特邀,與全球首個(gè)具有隱私保護(hù)功能和可拓展性的去中心化區(qū)塊鏈網(wǎng)絡(luò)Oasis Network中國區(qū)生態(tài)產(chǎn)品經(jīng)理William在火星財(cái)經(jīng)直播間共話《公鏈隱私保護(hù)及生態(tài)安全》。

直播回顧鏈接:https://www.marsbit.co/live/24313573

公鏈作為Web3.0的基礎(chǔ)設(shè)施,是生態(tài)項(xiàng)目發(fā)展的保障。近年來,數(shù)據(jù)和信息的價(jià)值一直被社會(huì)各界討論,強(qiáng)調(diào)去中心的Web3.0世界真的可以為用戶帶來數(shù)據(jù)價(jià)值挖掘、隱私保護(hù)和安全保障嗎?2022年,Web3.0領(lǐng)域公鏈及跨鏈橋黑客攻擊事件頻發(fā),加密貨幣混幣器Tornado Cash被美國財(cái)政部下屬機(jī)構(gòu)海外資產(chǎn)控制辦公室(OFAC)制裁,資產(chǎn)的損失和監(jiān)管的介入,鏈上隱私和安全的現(xiàn)實(shí)遭遇與Web3.0的初衷似乎變得矛盾。面對(duì)這樣的情況,事實(shí)到底如何呢?行業(yè)是否有解決方案?

鄧永凱先生對(duì)直播中提到公鏈及安全問題進(jìn)行了分享,以下為直播實(shí)錄(略有刪減),一起看過來吧!

問題一

UNIBFF News主理人焦仕可:

公鏈?zhǔn)菂^(qū)塊鏈最底層的基礎(chǔ)設(shè)施,您認(rèn)為它的核心技術(shù)是什么?如何應(yīng)用?相比比特幣和以太坊網(wǎng)絡(luò),目前又有了哪些創(chuàng)新?

鄧永凱先生認(rèn)為,

從區(qū)塊鏈“不可能三角”即安全性、去中心化、可擴(kuò)展性來看,公鏈的技術(shù)分別對(duì)應(yīng)密碼學(xué)、分布式技術(shù)、共識(shí)算法等。比如隱私公鏈,需要用到零知識(shí)證明,多方安全計(jì)算,TEE等技術(shù),所以公鏈?zhǔn)且粋€(gè)技術(shù)要求極高的賽道。

從比特幣、以太坊再到現(xiàn)在各種新公鏈,大家一直在追求一些共同的問題。比如,新公鏈專注于高性能、高擴(kuò)展性、EVM兼容性、隱私保護(hù)等方面,技術(shù)層面創(chuàng)新點(diǎn)較多。

但目前大多數(shù)新公鏈的生態(tài)還沒有發(fā)展起來,生態(tài)應(yīng)用的豐富程度、網(wǎng)絡(luò)實(shí)際表現(xiàn)、用戶量有待觀察,需要去有時(shí)間去積累。

通過技術(shù)革新、區(qū)塊鏈迭代,新公鏈正在努力實(shí)現(xiàn)三者兼得,朝著不可能三角的兼容性去挑戰(zhàn),也都圍繞這幾個(gè)技術(shù)核心在做創(chuàng)新和完善。不管它怎么發(fā)展,開發(fā)者、社區(qū)、項(xiàng)目、極客的目的都是為了給開發(fā)者和用戶提供更好的Web3體驗(yàn)。

問題二

UNIBFF News主理人焦仕可:

您認(rèn)為公鏈的網(wǎng)絡(luò)生態(tài)里都包括哪幾類項(xiàng)目或機(jī)構(gòu)?大家又是如何參與其中的?

鄧永凱先生表示,

剛剛William說到,公鏈發(fā)展這么多年,有專注吞吐的、隱私的、兼容的、EVM的、擴(kuò)容模塊化的各種各樣的公鏈等,每個(gè)公鏈針對(duì)的場(chǎng)景和特點(diǎn)不一樣,針對(duì)性地去解決一些問題。

在新公鏈中,熱度比較高的是以Aptos為代表的Meta背景公鏈、以zkSync為代表的Layer2新公鏈、以O(shè)asis為代表的隱私公鏈,還有兼容EVM的公鏈,主打擴(kuò)容的公鏈,模塊化公鏈等。

不管哪一類公鏈,都離不開節(jié)點(diǎn)、錢包、安全設(shè)施、社區(qū)、生態(tài)應(yīng)用等項(xiàng)目。

比如節(jié)點(diǎn),需要保障整個(gè)公鏈能穩(wěn)定運(yùn)行,不同的共識(shí)算法,可能還需要礦機(jī)礦池的配合;

比如錢包,我們?cè)诹私?、使用或者參與公鏈上的應(yīng)用項(xiàng)目的時(shí)候,錢包是作為整個(gè)生態(tài)應(yīng)用的一個(gè)流量入口,必不可少。公鏈本身可能也會(huì)附帶開發(fā)自己的專屬錢包,其他的一些錢包廠商也會(huì)來支持公鏈;

比如社區(qū),社區(qū)用戶是整個(gè)公鏈最忠實(shí)的用戶,他們也是很重要的參與者和建設(shè)者。除了用戶社區(qū),還需要開發(fā)社區(qū)等。

只有有了用戶社區(qū),才能更好的去打造公鏈生態(tài)的活躍度,持續(xù)地去做運(yùn)營,擁有自己的私域流量,為了吸引更多的用戶來參與到公鏈生態(tài)里面來,他們要有許多的玩法和應(yīng)用。比如dex,借貸,各種defi,nft,dao,gamefi等;

最重要的一點(diǎn)就是,整個(gè)生態(tài)中需要非常豐富的安全機(jī)制,包括比如公鏈開發(fā)過程中本身的源代碼安全,節(jié)點(diǎn)安全維護(hù)、安全配置、安全管理,合約安全,資產(chǎn)安全,錢包安全管理措施等,需要一起來建設(shè),否則很容易淪為黑客的提款機(jī)。

所以說,公鏈生態(tài)是一個(gè)非常龐大的設(shè)施,單方或幾方都很難建立起來,需要所有人一起來建設(shè),提建議,不斷地完善修改,才真正能夠健康長(zhǎng)期穩(wěn)定地運(yùn)營下去。

不然可能一段時(shí)間后,熱點(diǎn)沒有了,流量沒有了,或被黑客攻擊了等,都會(huì)影響公鏈的發(fā)展。

對(duì)于區(qū)塊鏈安全公司在公鏈生態(tài)里的位置,另一位嘉賓Oasis William表示:區(qū)塊鏈安全公司非常重要。

首先行業(yè)在很早期,很多的智能合約和代碼都有實(shí)驗(yàn)性質(zhì),以前沒有人做過,行業(yè)也沒有非常完善成熟統(tǒng)一的一套標(biāo)準(zhǔn),勢(shì)必在你寫智能合約代碼的過程中,可能會(huì)出現(xiàn)一些漏洞。

另外一點(diǎn)是,智能合約是開源公開的,所以不管你是開發(fā)者,還是黑客,大家都可以在網(wǎng)上輕易地看到你的源碼,也給他們?nèi)グl(fā)現(xiàn)里面的一些漏洞提供了很大的便利。

作為一個(gè)黑客去攻擊漏洞獲利比一個(gè)發(fā)掘漏洞的開發(fā)者獲利高得多。這也是我們行業(yè)非常奇怪的一點(diǎn),說明它目前仍在非常早期的階段,許多東西都不完善,但是它涉及的資金量又這么大。

比如傳統(tǒng)的公司,你受到攻擊了,可能損失資金量不是很大,但是在區(qū)塊鏈行業(yè)里面,因?yàn)橐婚_始很多都是DeFi應(yīng)用,特別是跨鏈橋,動(dòng)輒資金量涉及數(shù)10億美金,它巨大的鎖倉量,只要其中一環(huán)出現(xiàn)了漏洞,黑客就可以把里面的錢全部拿走,這對(duì)于黑客來說是多么大的一個(gè)激勵(lì)。

William認(rèn)為,區(qū)塊鏈安全公司可以在以下幾個(gè)方面對(duì)生態(tài)進(jìn)行保護(hù)。

首先,公鏈上線主網(wǎng)之前,可以給你做智能合約代碼的審計(jì),盡量確保你的智能合約里面沒有比較明顯的、原則性的一些漏洞。

其次,是你上鏈之后,安全公司可以對(duì)你的應(yīng)用做一個(gè)實(shí)時(shí)的安全檢測(cè)。一旦發(fā)現(xiàn)有系統(tǒng)風(fēng)險(xiǎn),就可以預(yù)警。

另外即使發(fā)生安全事件、黑客攻擊事件,它可以去給你進(jìn)行攻擊的溯源分析,找出問題所在,解決問題,減少未來發(fā)生攻擊的可能性。

在一個(gè)早期發(fā)展階段,安全公司是非常重要的,當(dāng)然我們相信區(qū)塊鏈行業(yè)也會(huì)在發(fā)展的過程中,變得越來越成熟和完善。

問題三

UNIBFF News主理人焦仕可:

2022年,黑客攻擊事件頻發(fā)和資產(chǎn)被盜事件頻發(fā),從安全角度考慮,公鏈面臨哪些風(fēng)險(xiǎn)?又如何保障自己與生態(tài)的安全呢?

鄧永凱先生分享到,

關(guān)于公鏈如何做安全建設(shè),首先我給大家講幾個(gè)最近剛發(fā)生的比較重大的公鏈安全事故。

2022年3月29日,以太坊的一個(gè)側(cè)鏈Ronin Network 出現(xiàn)安全漏洞,共 17.36 萬枚 ETH 和 2550 萬枚 USDC 被盜,損失超 6.1 億美元,原因是攻擊者通過 gas-free RPC 節(jié)點(diǎn)發(fā)現(xiàn)了一個(gè)后門,最終攻擊者設(shè)法控制了五個(gè)私鑰,從而完成簽名,盜走資產(chǎn)。

2022 年 8 月 3 日,Solana 公鏈上發(fā)生大規(guī)模盜幣的事件,大量用戶在不知情的情況下被轉(zhuǎn)移 SOL 和 SPL 代幣,涉及資金5.8億美金,原因是Solana的錢包Slope 錢包發(fā)生供應(yīng)鏈攻擊,Slope 錢包在開發(fā)過程中使用了第三方服務(wù),第三方服務(wù)可能被黑客控制,惡意收集Slope 錢包用戶的私鑰。

公鏈?zhǔn)且粋€(gè)很復(fù)雜的綜合基礎(chǔ)設(shè)施,涉及很多技術(shù)領(lǐng)域,導(dǎo)致暴露問題的面很多。比如源代碼安全、算法安全、私鑰安全、RPC接口安全、節(jié)點(diǎn)安全、智能合約安全、交易安全、錢包安全等。

源代碼和智能合約,是安全審計(jì)的重點(diǎn)。源代碼審計(jì)可以是全量代碼,也可以是部分模塊。

零時(shí)科技安全團(tuán)隊(duì)采用人工+工具的策略對(duì)目標(biāo)代碼的安全測(cè)試,使用開源或商業(yè)代碼掃描器檢查代碼質(zhì)量,結(jié)合人工安全審計(jì),以及安全漏洞驗(yàn)證。我們支持所有流行語言,例如 C/C++/C#/Golang/Rust/Java/Nodejs/Python。

在P2P和RPC這塊,需要注意劫持攻擊,拒絕服務(wù)攻擊,權(quán)限配置錯(cuò)誤等;

在共識(shí)算法及加密這塊,需要注意51%攻擊,長(zhǎng)度擴(kuò)展攻擊等;

在交易安全這塊,需要注意假充值攻擊,交易重放攻擊,惡意后門等;

錢包安全也是重點(diǎn),需要注意私鑰的安全管理,資產(chǎn)的安全監(jiān)控,交易的安全風(fēng)控等;

再就是公鏈項(xiàng)目的相關(guān)工作人員,要有良好的安全意識(shí),辦公安全,開發(fā)安全等常識(shí),最大的漏洞就是人。

零時(shí)科技也有一套完整的公鏈安全測(cè)試標(biāo)準(zhǔn),可登陸零時(shí)科技官網(wǎng)查看:https://noneage.com/security ,包括智能合約審計(jì)標(biāo)準(zhǔn)和自動(dòng)化工具,以及加密資產(chǎn)地找回、追蹤、監(jiān)控等服務(wù)。

問題四

UNIBFF News主理人焦仕可:

區(qū)塊鏈被稱為信任的機(jī)器,它真的可以做到保護(hù)數(shù)據(jù)隱私和發(fā)揮數(shù)據(jù)的價(jià)值嗎?

鄧永凱先生表示,

首先我們要想一個(gè)問題,區(qū)塊鏈為什么會(huì)被稱為信任的機(jī)器?

是因?yàn)閰^(qū)塊鏈不可篡改,可追溯的特性,在一些溯源、存證、版權(quán)等領(lǐng)域就有很重要的技術(shù)意義。但是目前大部分公鏈都不支持其公共網(wǎng)絡(luò)上的隱私,因?yàn)樗杏涗浂加涗浽趨^(qū)塊鏈上,任何人都可以閱讀其內(nèi)容,包括發(fā)送數(shù)據(jù)對(duì)象、時(shí)間、數(shù)量等。

由于有可能將分布式賬本地址與真實(shí)身份聯(lián)系起來,這會(huì)帶來隱私問題,比如最近幣安的賬戶凍結(jié)問題,鯨魚地址監(jiān)控,部分知名加密愛好者地址監(jiān)控等,都是通過鏈上數(shù)據(jù)追蹤分析得到的。

區(qū)塊鏈公開透明的特性讓用戶的交易轉(zhuǎn)賬記錄、鏈上活動(dòng)記錄能夠被任何人查看,用戶敏感信息有可能被輕易獲取,用戶面臨在Web3世界“裸奔”的困境。

所以從數(shù)據(jù)隱私方面來說,確實(shí)沒有做到足夠隱私,但凡事都有兩面性,這些公開的交易記錄也可以為黑客追蹤、虛擬幣違法打擊、生態(tài)應(yīng)用數(shù)據(jù)分析帶來便利。

區(qū)塊鏈它是不是真的能保障我們的數(shù)據(jù)隱私或者是保障數(shù)據(jù)的價(jià)值,真正地成為我們的信任的機(jī)器,可能還需要很多的技術(shù)去做事情。

比如咱們現(xiàn)在有專門做隱私公鏈的,有隱私計(jì)算的,還有這種隱私幣的,這些在將來可能會(huì)解決數(shù)據(jù)隱私問題,帶來真正的信任的機(jī)制。

問題五

UNIBFF News主理人焦仕可:

您認(rèn)為公鏈這個(gè)賽道現(xiàn)在發(fā)展到了哪個(gè)階段?

鄧永凱先生認(rèn)為,

像William說的,它處于很早期,導(dǎo)致整個(gè)賽道它都處于很早期?，F(xiàn)在基本上還沒有出現(xiàn)象級(jí)的應(yīng)用產(chǎn)品。

目前整個(gè)公鏈賽道,技術(shù)層面創(chuàng)新點(diǎn)較多,但大多數(shù)新公鏈的生態(tài)還沒有發(fā)展起來,生態(tài)發(fā)展、應(yīng)用構(gòu)建門檻、網(wǎng)絡(luò)實(shí)際表現(xiàn)、用戶量、代幣價(jià)值捕獲能力,都有待觀察。

多數(shù)新公鏈的開發(fā)進(jìn)度還處在核心技術(shù)開發(fā)完成、測(cè)試網(wǎng)階段,網(wǎng)絡(luò)節(jié)點(diǎn)質(zhì)押量和用戶數(shù)量,產(chǎn)品和生態(tài)項(xiàng)目數(shù)量并不多。

未來很長(zhǎng)一段時(shí)間肯定還是在區(qū)塊鏈“不可能三角”這個(gè)上面做文章,就看最終誰能獲得更多的開發(fā)者,建立豐富的生態(tài)應(yīng)用,留住用戶,也可能在不同的場(chǎng)景也有特殊的公鏈來滿足這些特殊需求。

多鏈部署已成為區(qū)塊鏈行業(yè)的重要趨勢(shì),比如以太坊鏈上應(yīng)用在其他公鏈部署已成常態(tài),新公鏈需要非常重視兼容性和互操作性這塊。

公鏈賽道機(jī)會(huì)很多,挑戰(zhàn)也很多,但是在Web3時(shí)代,用戶對(duì)于隱私保護(hù)、數(shù)據(jù)去中心化存儲(chǔ)、DID等有助于提升用戶鏈上數(shù)據(jù)安全性和私密性的應(yīng)用的需求逐步提升,近兩年隱私賽道的熱度逐漸提升,有望成為新的熱門賽道。

問題六

UNIBFF News主理人焦仕可:

作為行業(yè)從業(yè)者,您認(rèn)為應(yīng)該如何推進(jìn)公鏈賽道的合規(guī)與監(jiān)管工作?

鄧永凱先生表示,

每一個(gè)公鏈都承擔(dān)著自己的使命,有其自己的去挖掘的價(jià)值和追求的特點(diǎn),公鏈作為一個(gè)基礎(chǔ)設(shè)施,它應(yīng)該也有一定自己的責(zé)任。

因?yàn)楣溕峡梢蚤_發(fā)任意的應(yīng)用,發(fā)行token,這些去中心化的應(yīng)用項(xiàng)目,需要建立適當(dāng)合理的管理和治理措施,比如提升項(xiàng)目的跑路成本,或提高不跑路項(xiàng)目的激勵(lì),使所有的項(xiàng)目都長(zhǎng)期去發(fā)展做貢獻(xiàn),去真的把它做成一個(gè)創(chuàng)新應(yīng)用的方向。讓整個(gè)行業(yè)的正向發(fā)展,保障公鏈的安全地運(yùn)營,提升公鏈生態(tài)的用戶體驗(yàn),保障用戶權(quán)益。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：