2022年9月14日20:00,區塊鏈安全攻防專家、零時科技創始人&CEO鄧永凱先生受UNIBFF NEWS特邀,與全球首個具有隱私保護功能和可拓展性的去中心化區塊鏈網絡Oasis Network中國區生態產品經理William在火星財經直播間共話《公鏈隱私保護及生態安全》。

直播回顧鏈接:https://www.marsbit.co/live/24313573

公鏈作為Web3.0的基礎設施,是生態項目發展的保障。近年來,數據和信息的價值一直被社會各界討論,強調去中心的Web3.0世界真的可以為用戶帶來數據價值挖掘、隱私保護和安全保障嗎?2022年,Web3.0領域公鏈及跨鏈橋黑客攻擊事件頻發,加密貨幣混幣器Tornado Cash被美國財政部下屬機構海外資產控制辦公室(OFAC)制裁,資產的損失和監管的介入,鏈上隱私和安全的現實遭遇與Web3.0的初衷似乎變得矛盾。面對這樣的情況,事實到底如何呢?行業是否有解決方案?

鄧永凱先生對直播中提到公鏈及安全問題進行了分享,以下為直播實錄(略有刪減),一起看過來吧!

問題一

UNIBFF News主理人焦仕可:

公鏈是區塊鏈最底層的基礎設施,您認為它的核心技術是什么?如何應用?相比比特幣和以太坊網絡,目前又有了哪些創新?

鄧永凱先生認為,

從區塊鏈“不可能三角”即安全性、去中心化、可擴展性來看,公鏈的技術分別對應密碼學、分布式技術、共識算法等。比如隱私公鏈,需要用到零知識證明,多方安全計算,TEE等技術,所以公鏈是一個技術要求極高的賽道。

從比特幣、以太坊再到現在各種新公鏈,大家一直在追求一些共同的問題。比如,新公鏈專注于高性能、高擴展性、EVM兼容性、隱私保護等方面,技術層面創新點較多。

但目前大多數新公鏈的生態還沒有發展起來,生態應用的豐富程度、網絡實際表現、用戶量有待觀察,需要去有時間去積累。

通過技術革新、區塊鏈迭代,新公鏈正在努力實現三者兼得,朝著不可能三角的兼容性去挑戰,也都圍繞這幾個技術核心在做創新和完善。不管它怎么發展,開發者、社區、項目、極客的目的都是為了給開發者和用戶提供更好的Web3體驗。

問題二

UNIBFF News主理人焦仕可:

您認為公鏈的網絡生態里都包括哪幾類項目或機構?大家又是如何參與其中的?

鄧永凱先生表示,

剛剛William說到,公鏈發展這么多年,有專注吞吐的、隱私的、兼容的、EVM的、擴容模塊化的各種各樣的公鏈等,每個公鏈針對的場景和特點不一樣,針對性地去解決一些問題。

在新公鏈中,熱度比較高的是以Aptos為代表的Meta背景公鏈、以zkSync為代表的Layer2新公鏈、以Oasis為代表的隱私公鏈,還有兼容EVM的公鏈,主打擴容的公鏈,模塊化公鏈等。

不管哪一類公鏈,都離不開節點、錢包、安全設施、社區、生態應用等項目。

比如節點,需要保障整個公鏈能穩定運行,不同的共識算法,可能還需要礦機礦池的配合;

比如錢包,我們在了解、使用或者參與公鏈上的應用項目的時候,錢包是作為整個生態應用的一個流量入口,必不可少。公鏈本身可能也會附帶開發自己的專屬錢包,其他的一些錢包廠商也會來支持公鏈;

比如社區,社區用戶是整個公鏈最忠實的用戶,他們也是很重要的參與者和建設者。除了用戶社區,還需要開發社區等。

只有有了用戶社區,才能更好的去打造公鏈生態的活躍度,持續地去做運營,擁有自己的私域流量,為了吸引更多的用戶來參與到公鏈生態里面來,他們要有許多的玩法和應用。比如dex,借貸,各種defi,nft,dao,gamefi等;

最重要的一點就是,整個生態中需要非常豐富的安全機制,包括比如公鏈開發過程中本身的源代碼安全,節點安全維護、安全配置、安全管理,合約安全,資產安全,錢包安全管理措施等,需要一起來建設,否則很容易淪為黑客的提款機。

所以說,公鏈生態是一個非常龐大的設施,單方或幾方都很難建立起來,需要所有人一起來建設,提建議,不斷地完善修改,才真正能夠健康長期穩定地運營下去。

不然可能一段時間后,熱點沒有了,流量沒有了,或被黑客攻擊了等,都會影響公鏈的發展。

對于區塊鏈安全公司在公鏈生態里的位置,另一位嘉賓Oasis William表示:區塊鏈安全公司非常重要。

首先行業在很早期,很多的智能合約和代碼都有實驗性質,以前沒有人做過,行業也沒有非常完善成熟統一的一套標準,勢必在你寫智能合約代碼的過程中,可能會出現一些漏洞。

另外一點是,智能合約是開源公開的,所以不管你是開發者,還是黑客,大家都可以在網上輕易地看到你的源碼,也給他們去發現里面的一些漏洞提供了很大的便利。

作為一個黑客去攻擊漏洞獲利比一個發掘漏洞的開發者獲利高得多。這也是我們行業非常奇怪的一點,說明它目前仍在非常早期的階段,許多東西都不完善,但是它涉及的資金量又這么大。

比如傳統的公司,你受到攻擊了,可能損失資金量不是很大,但是在區塊鏈行業里面,因為一開始很多都是DeFi應用,特別是跨鏈橋,動輒資金量涉及數10億美金,它巨大的鎖倉量,只要其中一環出現了漏洞,黑客就可以把里面的錢全部拿走,這對于黑客來說是多么大的一個激勵。

William認為,區塊鏈安全公司可以在以下幾個方面對生態進行保護。

首先,公鏈上線主網之前,可以給你做智能合約代碼的審計,盡量確保你的智能合約里面沒有比較明顯的、原則性的一些漏洞。

其次,是你上鏈之后,安全公司可以對你的應用做一個實時的安全檢測。一旦發現有系統風險,就可以預警。

另外即使發生安全事件、黑客攻擊事件,它可以去給你進行攻擊的溯源分析,找出問題所在,解決問題,減少未來發生攻擊的可能性。

在一個早期發展階段,安全公司是非常重要的,當然我們相信區塊鏈行業也會在發展的過程中,變得越來越成熟和完善。

問題三

UNIBFF News主理人焦仕可:

2022年,黑客攻擊事件頻發和資產被盜事件頻發,從安全角度考慮,公鏈面臨哪些風險?又如何保障自己與生態的安全呢?

鄧永凱先生分享到,

關于公鏈如何做安全建設,首先我給大家講幾個最近剛發生的比較重大的公鏈安全事故。

2022年3月29日,以太坊的一個側鏈Ronin Network 出現安全漏洞,共 17.36 萬枚 ETH 和 2550 萬枚 USDC 被盜,損失超 6.1 億美元,原因是攻擊者通過 gas-free RPC 節點發現了一個后門,最終攻擊者設法控制了五個私鑰,從而完成簽名,盜走資產。

2022 年 8 月 3 日,Solana 公鏈上發生大規模盜幣的事件,大量用戶在不知情的情況下被轉移 SOL 和 SPL 代幣,涉及資金5.8億美金,原因是Solana的錢包Slope 錢包發生供應鏈攻擊,Slope 錢包在開發過程中使用了第三方服務,第三方服務可能被黑客控制,惡意收集Slope 錢包用戶的私鑰。

公鏈是一個很復雜的綜合基礎設施,涉及很多技術領域,導致暴露問題的面很多。比如源代碼安全、算法安全、私鑰安全、RPC接口安全、節點安全、智能合約安全、交易安全、錢包安全等。

源代碼和智能合約,是安全審計的重點。源代碼審計可以是全量代碼,也可以是部分模塊。

零時科技安全團隊采用人工+工具的策略對目標代碼的安全測試,使用開源或商業代碼掃描器檢查代碼質量,結合人工安全審計,以及安全漏洞驗證。我們支持所有流行語言,例如 C/C++/C#/Golang/Rust/Java/Nodejs/Python。

在P2P和RPC這塊,需要注意劫持攻擊,拒絕服務攻擊,權限配置錯誤等;

在共識算法及加密這塊,需要注意51%攻擊,長度擴展攻擊等;

在交易安全這塊,需要注意假充值攻擊,交易重放攻擊,惡意后門等;

錢包安全也是重點,需要注意私鑰的安全管理,資產的安全監控,交易的安全風控等;

再就是公鏈項目的相關工作人員,要有良好的安全意識,辦公安全,開發安全等常識,最大的漏洞就是人。

零時科技也有一套完整的公鏈安全測試標準,可登陸零時科技官網查看:https://noneage.com/security ,包括智能合約審計標準和自動化工具,以及加密資產地找回、追蹤、監控等服務。

問題四

UNIBFF News主理人焦仕可:

區塊鏈被稱為信任的機器,它真的可以做到保護數據隱私和發揮數據的價值嗎?

鄧永凱先生表示,

首先我們要想一個問題,區塊鏈為什么會被稱為信任的機器?

是因為區塊鏈不可篡改,可追溯的特性,在一些溯源、存證、版權等領域就有很重要的技術意義。但是目前大部分公鏈都不支持其公共網絡上的隱私,因為所有記錄都記錄在區塊鏈上,任何人都可以閱讀其內容,包括發送數據對象、時間、數量等。

由于有可能將分布式賬本地址與真實身份聯系起來,這會帶來隱私問題,比如最近幣安的賬戶凍結問題,鯨魚地址監控,部分知名加密愛好者地址監控等,都是通過鏈上數據追蹤分析得到的。

區塊鏈公開透明的特性讓用戶的交易轉賬記錄、鏈上活動記錄能夠被任何人查看,用戶敏感信息有可能被輕易獲取,用戶面臨在Web3世界“裸奔”的困境。

所以從數據隱私方面來說,確實沒有做到足夠隱私,但凡事都有兩面性,這些公開的交易記錄也可以為黑客追蹤、虛擬幣違法打擊、生態應用數據分析帶來便利。

區塊鏈它是不是真的能保障我們的數據隱私或者是保障數據的價值,真正地成為我們的信任的機器,可能還需要很多的技術去做事情。

比如咱們現在有專門做隱私公鏈的,有隱私計算的,還有這種隱私幣的,這些在將來可能會解決數據隱私問題,帶來真正的信任的機制。

問題五

UNIBFF News主理人焦仕可:

您認為公鏈這個賽道現在發展到了哪個階段?

鄧永凱先生認為,

像William說的,它處于很早期,導致整個賽道它都處于很早期。現在基本上還沒有出現象級的應用產品。

目前整個公鏈賽道,技術層面創新點較多,但大多數新公鏈的生態還沒有發展起來,生態發展、應用構建門檻、網絡實際表現、用戶量、代幣價值捕獲能力,都有待觀察。

多數新公鏈的開發進度還處在核心技術開發完成、測試網階段,網絡節點質押量和用戶數量,產品和生態項目數量并不多。

未來很長一段時間肯定還是在區塊鏈“不可能三角”這個上面做文章,就看最終誰能獲得更多的開發者,建立豐富的生態應用,留住用戶,也可能在不同的場景也有特殊的公鏈來滿足這些特殊需求。

多鏈部署已成為區塊鏈行業的重要趨勢,比如以太坊鏈上應用在其他公鏈部署已成常態,新公鏈需要非常重視兼容性和互操作性這塊。

公鏈賽道機會很多,挑戰也很多,但是在Web3時代,用戶對于隱私保護、數據去中心化存儲、DID等有助于提升用戶鏈上數據安全性和私密性的應用的需求逐步提升,近兩年隱私賽道的熱度逐漸提升,有望成為新的熱門賽道。

問題六

UNIBFF News主理人焦仕可:

作為行業從業者,您認為應該如何推進公鏈賽道的合規與監管工作?

鄧永凱先生表示,

每一個公鏈都承擔著自己的使命,有其自己的去挖掘的價值和追求的特點,公鏈作為一個基礎設施,它應該也有一定自己的責任。

因為公鏈上可以開發任意的應用,發行token,這些去中心化的應用項目,需要建立適當合理的管理和治理措施,比如提升項目的跑路成本,或提高不跑路項目的激勵,使所有的項目都長期去發展做貢獻,去真的把它做成一個創新應用的方向。讓整個行業的正向發展,保障公鏈的安全地運營,提升公鏈生態的用戶體驗,保障用戶權益。

免責聲明：市場有風險，選擇需謹慎!此文僅供參考，不作買賣依據。

關鍵詞：