本文來自于火星財經,作者為王峰。
宋曉冬:加州大學伯克利分校計算機系教授,OasisLabs創始人兼CEO,被媒體譽為“計算機安全教母”。研究方向包括深度學習、機算機和網絡安全、區塊鏈等。曾獲麥克阿瑟獎(MacArthurFellowship),古根海姆獎(GuggenheimFellowship),斯隆研究獎(AlfredP.SloanResearchFellowship),《麻省理工科技評論》“35歲以下科技創新35人”獎(TR-35Award)等;是計算機安全領域中論文被引用次數最多的學者(AMinerAward)。
王峰:火星財經發起人,藍港互動集團創始人,極客幫創投合伙人,曾任金山軟件高級副總裁。
以下為對話原文整理:
王峰:Hi,大家晚上好,久違了,歡迎回到火星財經“王峰十問”,今天是第二十四期。快兩個月不見了。哈哈。給大家介紹今晚的嘉賓:加州大學伯克利分校計算機系教授宋曉冬。她可是安全領域的資深大牛啊。
我們每個人都生活在信息大爆炸的時代。據福布斯報道,每一天,APP和社交網絡發送信息總計超過600億條,電子郵件發送達到2690億封,然而,信息數據的泄露、被盜用、被篡改等現象也屢屢發生,而且愈演愈烈。區塊鏈技術不可篡改、分布式的特質,讓我們有機會能掌控自己的數據隱私,但公開透明的賬本,卻讓海量用戶數據在鏈上曝光,隱私問題依舊如空中閣樓,沒有得到根本解決。
我和宋教授第一次見面是在上周的火星硅谷區塊鏈峰會上,我現場聆聽了宋教授主持的“爐火對話”,后來又一起晚餐,只可惜時間都太緊張,沒來得及和宋教授進行深度交流。
很榮幸今晚邀請宋教授參與火星財經的“王峰十問”。宋教授素有“計算機安全教母”的美譽,個人從業經歷橫跨網絡安全、人工智能和區塊鏈三個領域,相信今晚與宋教授的對話,一定能夠給我們以更多啟發和思考。下面,開始我們今天的“王峰十問”吧。
第一問
王峰:我的問題總是很長。哈哈。上周二,我們在火星硅谷區塊鏈峰會見面,您和Dfinity聯合創始人TomDing、布比網絡CEO蔣海一起參與的關于“公鏈與分布式金融”的爐火對話,令人印象深刻。我特別注意到,您和TomDing都是常駐硅谷的華人,當天出席活動的DxChain創始人張亮、QuarkChain創始人周期、CelerNetwork創始人董沫、Ultrain聯合創始人廖志宇等等嘉賓,也都是中國背景的硅谷創業者或在美留學的歸國創業者。
火星硅谷區塊鏈峰會“公鏈與分布式金融”爐火對話
然而,作為區塊鏈鼻祖的比特幣,其創始人中本聰的身份雖是未解之謎,但更大可能性來自美國、日本或者加拿大;以太坊創始人VitalikButerin和EOS創始人DanielLarimer則分別來自俄羅斯和美國。這與目前新一代公鏈,國內創業者或者灣區華裔人士唱主角的現狀大相徑庭。
我隱隱感覺到,公鏈下一步競爭的入圍者們大都來自華人。有硅谷的朋友告訴我,這一波區塊鏈創業者,估計有超過一半以上是來自硅谷大公司的華人,這個比例遠遠高于互聯網時代的硅谷華人從業者比重。您認為,龍的傳人會成為下一輪公鏈競爭,乃至區塊鏈行業的主導力量嗎?隨著區塊鏈在國內及海外華人社區的大熱,會不會從起步初期,華人在技術、產品和社區方面就更有優勢呢?
DawnSong:我從小在中國長大,1992年到1996的時候在清華讀物理。大學畢業之后去了美國讀研究生,之后做一名教計算機的教授。算起來,我在美國生活了20多年,期間親眼看著中國發生了巨大的變化,像火箭一樣快速發展。我覺得,很少有人能預見到中國今天的變化。
舉個例子吧。我在美國讀研的時候,包括計算機科學在內的頂級研究會議上,是很少找到中國人的論文的。但現在就完全不一樣了,很多領域的頂級研究會議上,中國人的論文要占很大比例。在一些新興和高精尖技術的部署方面,中國的發展也非常給力。
比如移動支付和人工智能在快速融入像人臉識別這樣的實際應用中,中國這些方面的發展比美國和世界絕大多數地方都要快。現在新技術正在快速地改變國人生活。想想來真的很激動,這些例子只是縮影,背后是中國科學家、企業家、各行各業的從業者,乃至整個中國在短時間內所獲得的驚人成就。
門羅幣惡意挖掘軟件Crackonosh已感染22.2萬臺計算機:金色財經報道,門羅幣(Monero)惡意挖掘軟件“Crackonosh”已感染22.2萬臺計算機。安全公司Avast在周四的一份報告中表示,該病已為其作者帶來了價值超過200萬美元的門羅幣。該惡意軟件通過非法下載版本的流行視頻游戲(如俠盜獵車手V)進行傳播。[2021/6/25 0:04:33]
這些現象背后有很多原因。很多中國人既聰明又勤奮,在探索新方向和新領域方面又非常的“膽大包天”。另外,中國的競爭比世界其它地方更激烈,這讓中國人反應更快,更容易適應環境,創造力更強。除此之外,中國還是世界最大的市場之一,這也為新技術的發展提供了巨大優勢。我覺得上面這些原因也適用于區塊鏈。我們現在已經看到了,很多區塊鏈項目是由中國人領導的。不少中國公司和機構也在積極嘗試不用方向的應用。如果一些創新應用最早出現在中國市場,我一點也不會覺得意外,我相信中國的人才將會成為區塊鏈領域的核心玩家。另外,人們常常關注公鏈的競爭,但我覺得合作精神也很重要。通過合作,不同的團隊和不同的辦法才能集中在一起,探索這個領域,把區塊鏈提升到一個新水平,同時催生新應用。
王峰:?我們在硅谷辦區塊鏈大會,很多人說怎么都是中國人的面孔,這和最初互聯網興起的時期氣氛不太一樣啊。
我們還記得,2000年后,互聯網很快陷入寒冬,原因是資本市場對互聯網商業模式的不確定,雖然當初用戶增長迅猛,但仍導致華爾街對互聯網項目的拋售。互聯網是經歷了漫長的煎熬才看見了錢途,而中國公司后續的崛起,與電商、游戲等直接來錢的業務成長有關。區塊鏈天生具備價值傳遞的屬性,和歷史上的互聯網比起來,顯然前者離錢更近。您認為,華人積極參與區塊鏈創業與華人對財富渴求程度有無關系?這個問題,是不是有些冒昧。
DawnSong:在我看來,中國人是實用主義和理想主義的完美結合體。而區塊鏈能夠吸引到中國人,一方面是因為探索新領域本身充滿吸引力,另一方面是區塊鏈令人遐想的未來前景和它的長遠影響。
第二問
王峰:讓我們回到今天的主題。數據泄露事件已經日益成為公眾的熱議話題。就在上周,華住旗下酒店被爆客戶數據泄露,暗網標價8個比特幣或520個門羅幣,涉及1.3億用戶的個人身份信息及隱私開房記錄;快遞行業巨頭順豐也有超過3億條數據疑似流出。加之今年3月Facebook5000萬名用戶資料泄露,去年11月Uber被爆曾隱瞞5700萬賬戶數據泄露等事件的發生,這個時代似乎已經毫無個人隱私可言。有哈佛大學學者甚至公開表示:個人隱私已死。您認為,區塊鏈技術在解決隱私保護問題方面給我們帶來了哪些新的希望?區塊鏈能否讓互聯網環境下苦不堪言的個人隱私“死而復生”?
快遞行業巨頭順豐有超過3億條數據疑似流出
DawnSong:首先,分布式賬本是在分布的、互不信任的各方之間達成協議。區塊鏈本身并不能為你提供隱私保障。比如在以太坊網絡和絕大部分現有平臺上,所有的數據和智能合約都是公開的,不存在隱私保障。但是,人們又希望能通過區塊鏈部署涉及敏感數據的應用,例如醫療保健、金融服務、物聯網等等。因此,在區塊鏈上建立隱私保障技術來支持這些應用,就顯得非常重要了。
王峰:隱私是一個自由人的權利和尊嚴。從人類抓起樹葉遮羞之時起,隱私就產生了。以我的理解,保護好隱私,可以用來防止他人對自己說三道四,給自己一個絕對封閉的心里安全空間。有人用“化名”和“匿名”來解釋,今天的區塊鏈,更多解決了“化名”身份,而不是“匿名”身份。實際上,兩者不完全一致。以比特幣系統的交易為例,使用者無需使用真名,而是采用公鑰哈希字符串作為交易標識,像一個化名,但由于用戶會反復使用公鑰哈希值,交易之間顯然能建立關聯,因此,即使是今天的比特幣,也并不真的具備匿名性,實際上就沒有隱私可言。
在我看來,隱私性正成為推動區塊鏈下一波浪潮的關鍵因素。您在今年4月份發表的論文《Ekiden:APlatformforConfidentiality-Preserving,Trustworthy,andPerformantSmartContractExecution》中,對Ekiden在保護隱私方面的技術架構進行了重點闡述。
金色相對論 | 肖臻:區塊鏈核心技術還是屬于分布式系統、密碼學等計算機傳統領域,跟機器學習也有很好的結合點:在今日的金色相對論中,針對“區塊鏈、分布式系統以及機器學習領域的研究具體應用有哪些”的問題,北京大學計算機系研究員、博士生導師,肖臻表示,雖然區塊鏈表面上是個新的領域,其實核心技術還是屬于分布式系統、密碼學等計算機傳統領域,跟機器學習也有很好的結合點,目前我們正在致力于利用該技術實現智能合約的高效、細粒度并發執行。已有的區塊鏈技術(比如以太坊中的智能合約)只支持單線程,就是因為在多核環境下并行程序的執行存在不確定性,影響區塊鏈中的節點達成共識。我的課題組開發的確定性重演技術有希望極大地提高智能合約的執行效率,成為區塊鏈3.0中的核心技術。我們的另一項成果是基于多智能體的智能決策系統,通過強化學習技術使得各智能體在去中心化的情況下獨立做出判斷,實現某個預先設定好的效益函數的最大化。[2019/9/12]
論文截圖
為什么您決定創辦的OasisLabs的時候,會把隱私保護放到如此重要的一個位置?您的團隊在這方面有什么優勢?您心目中完美的隱私保護環境是什么樣的?能否舉例并加以描述?
DawnSong:我們和很多DApp開發團隊聊天,發現大多數團隊想開發的應用都需要處理敏感數據。他們很想有一種在能使用區塊鏈平臺時保護數據隱私的方法,比如構建分散式信用評分模型,分散式欺詐檢測,基于區塊鏈的基因組數據和物聯網的數據市場,等等。所有這些應用程序都需要保護數據隱私。沒有隱私保護,這些應用根本不可能實現。現有的區塊鏈平臺無法提供這樣的隱私保護功能。我們看到了市場對于隱私保障區塊鏈平臺的需求,這也是Oasis項目受到業界及DApp開發者關注的一個主要原因。
我和團隊在安全隱私領域工作過很長時間,我本人從事安全領域幾十年。在安全領域,我們積累了很多經驗和專業知識,也開發了不少技術,包括已經在Uber應用的隱私保護數據分析技術。除此之外,我們還寫了第一篇使用安全硬件實現智能合約隱私保護的研究論文。這些經驗、知識和技術可以幫助我們構建一個以保護隱私作為主要目標之一的區塊鏈平臺。
隱私實際上是一個非常復雜的話題,許多人搞不清安全和隱私的概念,哪怕區塊鏈行業老手也常常搞混。為了幫助大家搞清楚區塊鏈中安全和隱私的概念,我們寫過一篇文章,大家可以點擊了解一下。
https://docs.qq.com/doc/BqI21X2yZIht1Wep9b0lS2Bb4FPZzf36S9eQ0ceNId363cdp0IQmKC2Cjyb92CZuFD1HtHi61OoJba3VSYkP1
文章截圖
為了最好的解決隱私保護的個種挑戰,我們集成了各種隱私保護的技術,包括安全硬件、加密算法、叉分隱私等。
第三問
王峰:我認為目前的公鏈已經是一個擁擠不堪的賽道了。2018年被許多人稱作“公鏈元年”,可能有30多條公鏈在今年內主網上線,和早已主網上線的熱門公鏈項目ETH、EOS、NEO、QTUM、TRON等展開同臺競技,激烈程度絲毫不亞于還在硝煙彌漫的數字貨幣交易所大戰。
教授您創辦的OasisLabs希望通過打造一個高性能的區塊鏈平臺,同時它還能提供完整的隱私保護,甚至提出在區塊鏈上實現諸如人工智能等計算密集型應用的目標,對投資者來說,自然充滿想象力。
OasisLabs創始團隊
實際上,很多業內同業者都試圖去同時解決去中心化、安全和效率問題,以突破所謂的“不可能三角”,但是這是非常困難的。當然,進一步拆分,安全里還有一層獨立的“隱私”問題。不如我們把問題簡單化,一步一步來,您認為,眼下最需要優先解決的是什么問題,安全性?隱私性?可擴展性?
DawnSong:隱私保護和可擴展性是目前區塊鏈需要解決的兩個最重要的問題。對于可擴展性,我覺得人們需要意識到,它不僅僅是指具備較高的TPS。為了支持區塊鏈在醫療保健、金融服務等領域得到實際應用,區塊鏈平臺還必須為復雜的智能合約提供可擴展性。
聲音 | BlockStream首席戰略官:IBM的量子計算機不對比特幣構成威脅:據Bitcoinist報道,IBM最近推出世界上第一臺商用量子計算機Q System One。BlockStream首席戰略官Samson Mow在推特上稱,信用卡不具有量子抗性。并轉發BlockStream官推上消息:即便與1972年代的計算機相比,Q System One也”超級弱“(實用性差)。此外,目前在比特幣的發展路線圖中存在很多抗量子解決方案。[2019/1/14]
王峰:很多新進入或者準備進入市場的公鏈,目標是取代以太坊,有人把他們包裝成為所謂的區塊鏈3.0。可是我發現,大量項目往往是基于以太坊的ERC20標準和EVM開發,卻大談要超過以太坊,這不由讓我想到,許多安卓上的ROM都基于安卓原生系統的開發,谷歌每次升級都影響它們的版本迭代,但這些基于安卓系統的ROM很難超越安卓本身。而在當前,無論是從應用落地還是生態建設,還沒有出現能撼動以太坊位置的公鏈,您認為其中核心的原因是什么?目前公鏈之爭的關鍵要素是什么?
公鏈想取代以太坊的現象類似于“定制安卓和谷歌原生安卓的博弈”
DawnSong:以太坊網絡是第一個建立智能合約的區塊鏈平臺,運營了不少年,社區也很活躍。現在市場上的區塊鏈平臺越來越多,DApp開發者有了更多選擇,需要評估哪些方案更適合自己的應用。就像不同的計算機語言支持不同類型的程序應用一樣,未來我認為我們也會看到不同的區塊鏈平臺支持不同類型的DApp。比如需要不同功能、信任假設、權衡機制、可用性設計選擇的DApp,可以運行在與之對應的區塊鏈平臺上。
王峰:眾所周知,以太坊目前遭遇了很多爭議,Vitalik在嘗試通過Sharding分片提高效率,通過零知識證明提供隱私保護,全力改進和優化以太坊。而據BTCmanager最新消息,以太坊團隊日前又宣布將推遲Casper開發一年,這個消息并沒有被官方確認,但市場迅速做出跳水反應,ETH下跌10%。您本人是否還看好以太坊?如果您給以太坊把脈,會給以太坊開什么藥方?
DawnSong:以太坊網絡是第一個建立智能合約的區塊鏈平臺,并擁有一個活躍的社區。我認為我們都從以太坊可以學到很多如何建立一個成功社區的經驗。當然,在開發區塊鏈平臺的治理結構,集中/分散的程度以及在系統中進行變更和新開發的容易性和速度方面都有很多取舍。
王峰:對于通用型公鏈的生態布局和未來發展機會,您是如何構想的?與通用型公鏈相對應,定制型公鏈也被很多人看好。因為不同的業務場景對底層公鏈的性能、共識機制等有不同的要求,搭建個性化的定制型公鏈成為一些行業和應用的迫切需求。在接下來的競爭中,你更看好通用型公鏈,還是定制型公鏈?未來公鏈市場上,是會出現百鏈千鏈共存,還是一兩個贏家通吃的局面?
DawnSong:正如我前面說過的,我覺得未來會看到不同的區塊鏈平臺應用于不同類型DApp,就像不同類型的計算機語言適合不同類型的應用程序。
第四問
王峰:萬向區塊鏈董事長肖風博士在最近提出,一個公鏈的貨幣價值,就看DApp能夠創造出來的經濟價值總量,未來有可能出現1萬億甚至5萬億美元價值的公鏈。您認為公鏈被業內人士看高估值背后的原因是什么?您能夠給我們描述,一個完美的公鏈以及其生態,究竟會美好到什么樣子?蘋果公司目前的最新市值也才剛剛突破1萬億美元。
今日蘋果市值快照
DawnSong:說實話,我認為人們并不了解如何評估區塊鏈平臺的價值。這是一個全新的等待開發的科學領域。在互聯網的發展史上,人們花了一定的時間來制定評估指標,例如日活躍用戶數量等。我認為確定如何評估一個區塊鏈平臺的價值,背后需要進行大量研究,特別是當我們看到新的商業模式涌現在區塊鏈中的時候。
王峰:今年7月9日,OasisLabs宣布完成4500萬美元的融資,投資方基本上囊括了市場上最主要的區塊鏈投資機構。從今年一季度后,整個區塊鏈的二級市場陷入熊市,最近2個月更進一步加劇,有悲觀者認為可能會進一步持續到整個明年。市場的整體情況是否會影響到OasisLabs后續的融資估值?
動態 | 美國醫學測試巨頭遭黑客索要比特幣以解鎖計算機:據華爾街日報報道,美國醫學測試巨頭LabCorp正在處理其遭受的網絡攻擊。該公司周一表示,已發現僅限于其診斷網絡的“可疑活動”,其藥物開發部門Covance未受到影響。據知情人士透露,該公司似乎遭到了一種名為SamSam的勒索軟件的攻擊。今年早些時候,亞特蘭大國際機場也曾遭到SamSam襲擊。該公司發言人表示,已將其網絡部分脫機,將暫時減緩測試處理和客戶對測試結果的訪問速度。根據國家健康信息共享和分析中心的警報,每臺計算機,勒索軟件向該公司索要價值6000美元的比特幣或52500美元以完成解鎖。其中一位知情人士表示,該公司無意滿足勒索軟件的任何要求,并計劃更換受影響的設備。目前該公司發言人拒絕就任何贖金發表評論。[2018/7/20]
DawnSong:我們專注于構建技術、構建底層區塊鏈平臺,以及新技術因應用而產生的長期價值。所以我們并不太關注市場的短期起伏。
第五問
王峰:鑒于新一代公鏈項目的研發所采用的技術手段越來越相似,有人認為,2019年公鏈的競爭技術因素將只有30%,70%將取決于BD和運營。過往經歷看,您的兩次創業也都是偏技術型的公司,好像并不依賴于這兩方面的建設。不知在區塊鏈社區及BD方面你是否有所布局,或者說找到合適的幫手?
技術手段越來越相似的看法,您同意嗎?
DawnSong:我們是一支非常技術化的團隊,但我們也一直在招BD和社區運營的伙伴。我們充分認識到社群生態的重要性,尤其是我們希望在平臺上構建不同種類的新應用,也幫助不同行業進行轉變。所以,我們一直都在招聘BD和社區運營團隊。兩個月前,我們剛剛開始對外啟動,目前已經有很多開發人員對Oasis平臺很感興趣,要在Oasis平臺上建應用。我們正在積極與應用開發人員建立合作關系,一起創建區塊鏈生態。
王峰:在我的印象里,OasisLabs溝通半徑更多是在海外區塊鏈及學術圈,在中國市場,通常意義的認知度是不夠的,只是在頂尖投資人圈子中有認知,中文的社區運營方面幾乎沒有開始,甚至找不到中文的網站。你怎么看中國的市場,未來在中國有多大的期望?
OasisLabs官網,無中文切換
DawnSong:我們大約在兩個月前才對外啟動。而且我們一直專注于構建底層鏈技術,和DApp開發者一起打造應用。就像我前面提到的,我堅信中國會成為全球區塊鏈的主要角色。所以我們非常期待與國內社區密切合作。
第六問
王峰:根據CBInsights統計數據,2017年,全球范圍內有152億美元的投資,被投入到AI領域,比2016年增加141%;根據零壹智庫數據顯示,2017年全球與區塊鏈+數字貨幣領域融資相關事件達63筆,融資金額49億元。而今年第一季度,區塊鏈領域融資額就已高達67.2億元,超過去年全年的融資額。我注意到很多側重AI的基金轉向區塊鏈,比如另外一位學者張首晟創辦的丹華基金。而百度ALLIN人工智能的靈魂人物陸奇,在離開百度后也提出,人工智能的數據獲取與開發需要與區塊鏈結合。是不是可以理解為,越來越多的AI的創業者和投資者們會把關注點轉移到與區塊鏈的結合上?
2017年全球與區塊鏈+數字貨幣領域融資相關事件達63筆,融資金額49億元
DawnSong:對人工智能和區塊鏈交叉領域感興趣,并且在兩個領域都有豐富經驗的人其實非常少。我偶爾遇到其他同時做過AI和區塊鏈的人時,總是很激動。我們需要更多這樣的人才。
王峰:一些學者和投資機構不愿涉足和提及區塊鏈。您在深度學習、AI的部署和發展應用等領域有很深的研究,您之前一直圍繞AI探索新技術的發展,如今將重點放在了智能合約的區塊鏈項目。在您看來區塊鏈會對AI產生什么影響?AI可以解決區塊鏈目前存在的哪些難題?兩者是如何相互賦能的?“AI+區塊鏈”首先落地的應用場景會是哪些?
DawnSong:除了區塊鏈和計算機安全,我還做過很多人工智能和深度學習方面的研究。我覺得人工智能和區塊鏈的交叉領域非常有趣,而且非常重要,里面有很多有意思的問題和新的方向值得探索。
數字貨幣學者正在積極應對后量子計算機:據Coindesk消息,后量子計算機領域的突破將對支撐整個數字貨幣的密碼學造成巨大沖擊。目前,數字貨幣學者已經在積極尋找方案應對。中山大學研究員張方國等人研究了名為“理想格子”的加密技術,它具有量子抗性和隱私性特征,該系統已開始測試。Ruffing則提出了“兩步”交易法,先隱藏公鑰,再移動到準備好的加密地址。Zamyatin也表示,在去年11月舉行的加密會議上,有許多替代現有簽名的方案被提出和討論。[2018/3/17]
舉個例子,現在在Oasis平臺上,有一些DApp開發人員開發一款可有效保護個人隱私的醫療數據交易應用。眾所周知,由于醫療數據本身十分敏感,這類信息往往十分孤立,醫學研究人員很難獲得足夠的數據用于科研工作。
利用Oasis平臺提供的隱私保護智能合約功能,醫學研究人員可以編寫含有訓練機器學習模型代碼的智能合約。智能合約還可以設置使用條款,限制全部數據僅能用于在這個智能合約中訓練機器學習模型,而不會用于其他場景。它還可以規定用戶如何通過向智能合約提供數據獲得報酬。用戶同意智能合約的使用條款后,便向智能合約提供數據。當智能合約收集到足夠的數據時,它便可以開始訓練機器學習模型。醫學研究人員可以在此基礎上評估模型的有效性。
Oasis平臺一方面可以支持智能合約確保用戶數據的隱私得到保護,另一方面利用采得的數據訓練機器學習模型。正如我們所看到的,這種方式在很大程度上減小了醫學研究人員和制藥公司獲取醫療數據的難度,進而幫助訓練機器學習模型,找到治療疾病的方法。用戶可以通過提供數據獲得報酬,在數據隱私得到保障的同時,又為社會醫療進步做出了貢獻。這只是區塊鏈幫助解決深度學習獲取數據困難的一個例子。相同的技術可以應用于許多其他領域,例如,在不同數據源之間搭建合作橋梁,建立信用評分模型、在欺詐檢測中訓練更好的機器學習模型等。
此外,我希望區塊鏈技術可以幫助AI技術民主化。隨著人工智能變得越來越強大,我們需要考慮是誰控制了人工智能的力量。我認為,對于個人用戶而言,能夠控制AI的功能非常重要,這樣AI才能按照用戶的最佳利益行事。這與現有AI的工作方式截然不同。我希望,通過使智能合約擁有機器學習功能,實現滿足用戶的最佳利益的智能合約和AIagent。
第七問
王峰:在我看來,鑒于區塊鏈技術將前所未有地推動金融革命,安全之于區塊鏈產業的重要程度,將百倍于互聯網時代。目前,區塊鏈在智能合約漏洞、節點網絡漏洞、生態及使用者安全等方面的安全隱患尤為突出。8月,騰訊發布《2018上半年區塊鏈安全報告》,2018年上半年區塊鏈領域因安全問題損失超過27億美元。
基于區塊鏈加密數字貨幣引發的安全問題造成27億美元損失
其中,智能合約漏洞,主要是集中在以太坊上,比如因為代碼的漏洞或者私鑰的泄露等原因導致的資金損失,達到了12.4億美金。智能合約的漏洞究竟給區塊鏈安全帶來了什么樣的新挑戰?我們應該如何應對?
DawnSong:智能合約的本質是代碼。代碼漏洞并不是智能合約獨有的問題,而是所有程序都會遇到的問題。代碼漏洞是導致計算機系統被攻擊的最主要成因之一。在我過去的工作中,我的小組一直在設計和開發新的技術和工具來自動查找代碼中的漏洞,包括二進制程序,Web應用程序和移動應用程序。我的第一個創業公司是構建查找移動應用程序中的漏洞和惡意行為的自動化工具。在智能合約中,這些漏洞的影響更直接-你可能會損失很多錢。
幾十年來,業界在計算機安全和程序驗證方面,一直致力于構建查找代碼漏洞并提供代碼安全性證明的技術和工具。這些技術和工具在智能合約中當然也很有用。此外,編程語言對編寫安全代碼以及驗證代碼安全性的難易程度也有很大影響。我們可以改進智能合約的語言設計,以幫助應用開發者更輕松地編寫更安全的代碼。
許多經過正式驗證的系統開發采用的另一種方法是進行代碼驗證的協同設計/開發和驗證。在編寫代碼時,開發者可以同時進行驗證。進行代碼安全性和正確性證明的過程有助于開發安全的代碼。
王峰:很多人開始關注可信賴硬件。不過,最近來自比利時、美國和澳大利亞的兩個技術團隊同時發現了SGX的一個安全漏洞。
美國政府的計算機應急準備小組在8月14日警告稱,攻擊者可能利用該漏洞可以獲取一個內存芯片內的任意信息,包括敏感數據、通往長期內存的密碼和密鑰,攻擊者還可以將敏感數據在一個安全飛地復制并獲取。有觀點認為,SGX技術達到很高的安全水準,可能需要耗費數年時間。所以,依賴單一硬件的隱私保護是否可靠?同時,TEE的原理是私鑰保存在芯片生產商處,比如SGX就是私鑰由Intel負責,所以芯片生產商就成為了一個中心化的節點,這似乎又與區塊鏈的去中心化理念有悖?
DawnSong:考慮到其強大的安全屬性,TEE可以成為構建安全系統的基石。TEE使構建安全系統變得更加容易。但是,我們需要一個值得信賴的TEE。目前市面上的的解決方案是閉源開發。因而業界很難分析評估其安全性。在我們最近的博客文章中,我們指出了現有閉源安全硬件的不足,并強調了開源安全硬件的重要性。
https://docs.qq.com/doc/BqI21X2yZIht1Wep9b0lS2Bb4FPZzf36S9eQ0SCC0i3u4FED0IQmKC2Cjyb92LwuOh0jS5Zm076rIU1YSUA10
Keystone是我們一直在與加州大學伯克利分校和麻省理工學院合作研發的一個項目,一個建立開源TEE(secureenclave)的項目:項目:https://keystone-enclave.org/。Ke/。Keystone基于RISC-V中的現有硬件功能開發TEE。RISC-V是早期在加州大學伯克利分校開發的一種開源RISC架構,已廣泛應用于行業。
我們最近舉辦了第一次關于開源安全硬件的研討會:
https://keystone-enclave.org/workshop-website-2018/。很高興看到整個業界的支持。來自谷歌、Facebook、微軟、Intel,ARM、加州大學伯克利分校、麻省理工學院、斯坦福大學和其他許多地方的知名研究人員和專家都參與了研討會,交流了最先進的技術,現有的挑戰以及如何建立開源安全硬件的方針。
我們正在與產業型合作伙伴一起構建和部署開源安全硬件。許多區塊鏈公司也聯系了我們表示支持,并表示希望加入這項工作。我們非常感謝業界對此給予的支持,并期待共同努力,實現這一目標。
王峰:我非常理解您在Keystone方向上的戰略意圖,最近有海外媒體報道說,Oasislabs大約在兩周前決定調整隱私保護的技術路線,已經放棄基于SGX以及其他TEE,您需要在這里澄清一下嗎?很多業界同仁也非常關心您的項目進展。
DawnSong:感謝業界同仁對我們的關注和支持!我來給大家講解一下我們的設計和思考。
在我們從一開始設計Oasis區塊鏈平臺時,就希望確保區塊鏈平臺的健全性和可擴展性并不依賴于任何安全硬件。Oasis區塊鏈平臺采用分層設計,具有分立運作的的共識層,存儲層和計算層。這種分層設計允許每個層獨立擴展,可實現更大的可擴展性,尤其是對于復雜的智能合約執行。共識層不使用安全硬件。為了實現隱私保護,一些計算層的節點可以使用安全硬件。Oasis區塊鏈平臺旨在提供統一的安全計算框架,包括安全硬件和加密技術,如安全的多方計算和零知證明。這種統一的安全計算框架為開發人員提供了更多的選擇和靈活性。開發人員無需成為隱私專家,便可以利用最先進的安全計算技術,并選擇使用最適合其應用的技術。
我不知道您在哪里看到的報道。我們沒有改變我們的設計。
第八問
王峰:在去年底舉行的亞太以太坊技術交流會上,VitalikButerin發表了主題為“以太坊區塊鏈中的隱私保護”演講,介紹了四種適用于以太坊區塊鏈的兼顧隱私性和安全性的解決方案:通道、混合器、環簽名及零知識證明(Zeroknowledgeproofs)。他特別提到,零知識證明是“最為強大”的解決方案,能夠被應用于以太坊區塊鏈上幾乎所有的場景。
這里,再科普一下零知識證明,即證明者能夠在不向驗證者提供任何有用的信息的情況下,使驗證者相信某個論斷是正確的。歷史上有一個故事可以幫我們理解,文藝復興時期,意大利有兩位數學家為競爭一元三次方程求根公式發現者的桂冠,就采用了零知識證明的方法。當時,數學家塔爾塔里雅和菲奧都宣稱自己掌握了這個求根公式,為了證明自己沒有說謊,又不把公式的具體內容公布出來,他們約定雙方各出30個一元三次方程給對方解,誰能全部解出,就說明誰掌握了這個公式。比賽結果顯示,塔爾塔里雅解出了菲奧出的全部30個方程,而菲奧一個也解不出。于是,人們相信塔爾塔里雅是一元三次方程求根公式的真正發現者。
對于V神推崇有加的“零知識證明”,您如何評價它在保護諸如以太坊網絡等區塊鏈網絡隱私性和安全性的作用?目前,市面上已經有Zcash、Monero等項目,通過零知識證明技術,在探索解決交易中相關信息的隱私安全問題。從應用實踐的效果看,零知識證明還有哪些不足和改進之處?
V神介紹零知識證明
DawnSong:零知識證明是密碼學中一個很迷人的領域,它具有悠久的歷史。我之前也在這個領域做過研究工作。但是,零知識證明具有很高的性能開銷,因此很難應用于復雜的現實應用。此外,零知識證明通常在計算個人私人數據時使用。如果您需要計算來自不同數據源的數據,例如我之前提到的用于隱私保護機器學習的智能合約,僅憑零知識證明,并不足以支持此類使用例子。
第九問
王峰:我們知道,硅谷盛行學生創業,可以說,沒有在車庫里的學生創業者,就沒有今天的硅谷奇跡。硅谷的創業明星中,從早期的喬布斯、拉里·佩奇和謝爾蓋·布林,到近幾年的扎克伯格、馬斯克、杰克·多西等人,大多數是在校期間就開始創業,甚至輟學創業。我感覺,硅谷創業正事兒與教授沒什么關系。而您不但一直任教于卡內基·梅隆大學、加州大學伯克利分校等頂尖學府,在學術界頗有成就,廣受尊重;同時,還是連續創業者,先后創立了EnsightaSecurity和MenloSecurity兩家安全公司,一面在常青藤任教搞研究,另一面和學生們一樣去創業,怎樣做到兩者兼顧的?@DawnSong也是連續創業者,和群里很多人一樣。
DawnSong:我喜歡在科研中尋找新的想法和技術,我也非常希望看到這些新想法和新技術能夠在日常生活場景中落地實現,從而更好地服務于人們的生活。在現實世界中部署研究技術的過程中,也有助于我們從實際案例中學習新知識,從而更好地改進技術,幫助人們解決社會發展中遇到的更多問題。
王峰:當時創立第一家公司EnsightaSecurity,您是受到了怎樣的感召?可否談談創立EnsightaSecurity和MenloSecurity這兩家公司的經歷?有沒有經歷過艱難的至暗時刻?有科技媒體把您稱作互聯網安全教母,您認為對互聯網安全的最大貢獻是什么?這些互聯網安全領域的經歷,對于現在創辦OasisLabs有什么幫助?
DawnSong:EnsightaSecurity專注于構建分析移動應用程序的技。這是用來檢測漏洞和惡意攻擊行為的自動化技術和工具。MenloSecurity旨在構建安全瀏覽的新技術,以保護用戶的計算機免受web的攻擊。兩家初創公司都是基于我實驗室開發的新技術上而成立的。
我從事計算機安全工作已有20多年,并在許多領域都開發了新的解決方案和最先進的技術。由于時間限制,我在這里無法詳細說明。這些經驗在OasisLabs技術構建上起了很大的作用。
王峰:這次創辦OasisLabs,您會有不安全感嗎?它和您過往的兩次創業有什么不同?
DawnSong:我認為構建區塊鏈平臺是一個更復雜、更具挑戰性的項目。研發有價值的技術只是難題的一部分;如何構建生態系統,也是很值得學習和研究的。我是一個很喜歡新的挑戰的人。我覺得新的挑戰是讓人進步的最有效的方式。
第十問
王峰:根據最近Coinbase與Qriously的研究報告,全球前50名的大學中,42%的大學現在至少提供一門關于加密技術或區塊鏈的課程。在中國國內,目前清華大學、同濟大學、中央財經大學、北京郵電大學等近10所高校也已經開設了區塊鏈課程。2014年,當紐約大學斯特恩商學院首次開設區塊鏈和金融服務課程時,有35名學生報名,比該校通常的選修課少了8名;而到了2018年春天,選修學生人數攀升至230人,學院被迫將該課程搬至最大的禮堂上課。您認為學生們對區塊鏈課程普遍感興趣的原因有哪些?您任教的卡內基·梅隆大學、加州大學伯克利分校開設區塊鏈的課程進展如何?
全球高校開設區塊鏈課程
DawnSong:上學期,我在伯克利給學生們上了一節非常有趣的區塊鏈課程。在學術界,以這種形式上課可能是第一次。它由三所學院共同教授:商學院、法學院、以及由我代表的工程學院的計算機科學系。班上的學生名額也是這三所學院平均分配。這堂課非常受歡迎。報名上這節課的學生人數遠遠超過了課程原定接收的人數。區塊鏈本質上就是跨學科的,涉及科學,商業,經濟,法律和許多其他領域。對我來說,教授這樣一門跨學科課程,并與來自不同學院的學生進行互動是非常有意思的。
這個學期,我們為計算機科學專業的學生提供了一節區塊鏈和加密經濟學的全新高階課程。該課程涵蓋了區塊鏈不同方面的核心知識和最前沿的技術。
王峰:我注意到,盡管早在2014年就有大學開設了區塊鏈課程,但直到2018年,都鮮有高校設立專門的本科區塊鏈專業。相對于經濟學科領域有金融學、金融工程等專業,計算機相關有電子工程和軟件工程等專業,甚至有電子商務和網絡游戲專業,區塊鏈領域橫跨了密碼學、經濟學以及軟件工程等領域,已經非常復雜了,今天的大學是否應該開設區塊鏈相關專業了?
DawnSong:區塊鏈領域仍處于初期階段。隨著它的發展,更多的學生會想要學習這個領域。區塊鏈對于學生來講無疑是一個非常充實的學習方向。
王峰:和教授對話,就是學習,所以今天也是我的九月新學期第一課。各位都是新學生了。哈哈哈。這是最后一問,你可以多說說,我們多學學。
DawnSong:我們這學期的課室沒有錄像設備。學生自己提出要給課程錄像,可見學生對課題的興趣。
我最后也可以給大家講一講我們更長遠的想法。我們在進入數字時代,這里一個最重要的問題是要確立數字產權,這不但是區塊鏈、也是整個數字經濟下一步能夠成功的經濟基礎,這個問題解決了,世界會完全不同,而現在世界在技術上與社會層面都還沒有成型。我們在OASIS在做這方面的探索,希望能和大家共同做出突破性、獨創性的貢獻。我們希望世界一流的人才能加入我們,一起從這里為人類做出特有的貢獻!謝謝大家!
王峰:如果將隱私保護作為區塊鏈發展歷程中的一次深刻的革命,那么,這場革命現在才剛剛開始,每一位從業者們任重道遠,仍需努力。希望我們能更加重視隱私保護,更加重視其價值,理解區塊鏈發展中必然需要克服的困難與把握的機會。也希望OasisLabs能夠更好地實現在安全性、隱私性和可擴展性方面的突破,給整個行業帶來更多希望,在區塊鏈沙漠中搭建起新的“綠洲”。
再次謝謝宋教授,感謝您今天能做客火星財經的“王峰十問”,祝Oasislabs未來越來越好!謝謝大家!
DawnSong:非常感謝大家!
本文發布于鏈聞,作者:LeftOfCenter。去中心化自治組織?DXdao?自啟動以來,其代幣DXD一度從45美元飆漲十倍達到467美元,雖然幣價隨后出現了明顯回落,但截至發文時仍保持在251.
1900/1/1 0:00:00鏈捕手消息,據CoinDesk報道,DeFi資產協議ConvergenceProtocol宣布完成200萬美金融資,該輪融資由Hashed領投.
1900/1/1 0:00:009月16日下午,由中國國際智能產業博覽會組委會主辦,重慶市大數據發展局、重慶市經濟信息委、重慶市渝中區人民政府聯合承辦.
1900/1/1 0:00:00近日,隱私計算網絡與分布式經濟體基礎設施?PlatON宣布與?MaskNetwork達成全面戰略合作伙伴關系.
1900/1/1 0:00:00本文系鏈捕手原創文章,作為谷昱。雖然以太坊2.0越來越近,Layer2解決方案陸續誕生,但以太坊交易Gas費仍然居高不下,用戶動輒需要花費幾十美元才能在幾分鐘內完成交易.
1900/1/1 0:00:00鏈捕手消息,針對此前AlphaFinance被攻擊事件,CreamFinance今日在其Medium博客發布官方聲明,稱相信AlphaFinance團隊會償還被盜資金.
1900/1/1 0:00:00