區塊鏈技術近年來快速發展,技術應用已延伸到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等多個領域。
作為核心技術自主創新的重要突破口,安全問題被視為當前制約行業健康發展的一大短板,區塊鏈安全事件屢屢發生,甚至成為黑客攻擊的“重災區”。公鏈的安全問題對于公鏈發展的影響已經不言而喻,而聯盟鏈的安全問題也不容忽視,今天我們主要來跟大家探討下聯盟鏈的安全問題。
什么是聯盟鏈?
聯盟鏈是由多個機構共同參與管理的區塊鏈,每個組織或機構管理一個或多個節點,其數據只允許系統內不同的機構進行讀寫和發送。?聯盟鏈的各個節點通常有與之對應的實體機構組織,通過授權后才能加入與退出網絡。各機構組織組成利益相關的聯盟,共同維護區塊鏈的健康運轉。
國內常見的聯盟鏈有:螞蟻鏈、BSN聯盟鏈、騰訊至信鏈、百度超級鏈、京東智臻鏈、新版鏈、天河鏈、趣鏈、網易星球區塊鏈、長安鏈等。
聯盟鏈優缺點??
優勢
1)更高的處理效率
聯盟鏈的信任環境允許少數節點參與生態的治理,商業決策的處理能力較高。
波卡創始人Gavin Wood公布了一項7.77億美元的發展基金,以支持網絡的發展:10月19日消息,波卡創始人 Gavin Wood周日在推特上表示,Polkadot 的財政部已將超過1890萬個 Polkadot DOT(時價值約 7.77 億美元)分配給一個將通過社區治理支付的發展基金。 Gavin Wood就如何使用資金提出了廣泛的建議,并表示將動員資金來實現社區“建設、改善、教育”波卡生態系統的愿景,以及“波卡治理認為有價值的任何其他事情”。因此,新的開發基金可能旨在鼓勵開發人員開始在Polkadot上構建,為平行鏈上線做準備。(cointelegraph)[2021/10/19 20:40:33]
2)可擴展性更高
聯盟鏈可以根據復雜的商業環境進行技術迭代。聯盟鏈在落地時,考慮更多的是如何將過去的數據孤島打通,同時讓聯盟中流通的數據是可信的,不用像過去一樣做頻繁的校驗。
3)智能合約應用場景更多
基本上可以實現中心化機構所有的業務邏輯,且具交易最終性。
4)可控性較強
公有鏈是一旦區塊鏈形成,就不可篡改,而聯盟鏈,只要所有機構中的大部分達成共識,即可將區塊數據進行更改。
聲音 | 摩根溪創始人:盡管有持續的噪音 但比特幣一直在按計劃向前發展:12月18日,摩根溪創始人Anthony?Pompliano在推特轉發“比特幣被美國美林銀行評為十年最佳資產”相關文章,并評論稱,比特幣是十年來最好的投資。盡管比特幣仇恨者和反對者一直在制造噪音,但比特幣一直在按原計劃向前發展。[2019/12/18]
5)具有更大的隱私性
不同于公有鏈,聯盟鏈的數據不會默認公開,只限于聯盟里的機構及其用戶才有權限進行訪問,隱私性更強。
缺點
1)容易被惡意用戶攻擊
由于聯盟鏈半中心化結構的原因,它很容易被惡意玩家所攻擊。在有限的節點內,可以假定多個參與者會出現合謀的可能性。
2)缺少行業統一標準
因為缺少行業統一標準,在解決方案上免不了會有各種障礙,但是目前整個生態距離聯盟鏈的統一框架還是很遙遠。
聯盟鏈的典型應用場景??
聯盟鏈技術可以用來優化大多數傳統信息化系統的業務流程,特別適用于沒有強力中心、多方協作、風險可控的業務場景。聯盟鏈的共享賬本機制可以極大降低該類場景下的對賬成本、提高數據獲取效率、增加容錯能力、鞏固信任基礎、以及避免惡意造假。
金色相對論 | 段江:區塊鏈后繼的發展很大程度上取決于相關人才的供應和儲備:在今日舉行的金色相對論中,針對“目前四川省乃至西南地區的區塊鏈專業人才缺口和就業情況”的問題,西南財經大學教授,博導,CCF區塊鏈專業委員會委員,四川省區塊鏈研究會理事長段江表示,目前區塊鏈技術正處于爆發式增長的前期,整個產業對于區塊鏈人才的需求量正在迅速增長。我國的區塊鏈技術產業發展在全球范圍內處于領先地位,跟美國不相上下,但后繼的發展很大程度上取決于相關人才的供應和儲備,不過目前市場上不僅是四川地區,全國的區塊鏈人才的非常緊缺,而且人才缺口遠不僅僅在技術崗位,產品和市場營銷人員大多數是從傳統互聯網領域轉型過來。區塊鏈的技術落地和產業化建設必亟需這個領域的專業人才。像川內的很多區塊鏈公司都面臨人才難覓的問題。不僅面向省內挖掘技術和營銷人才,全國范圍內也在積極找尋專業人士,而基于專業人才稀缺的情況,作為高校要積極承擔起培養區塊鏈人才、傳播區塊鏈技術理念的責任。[2019/9/12]
隨著區塊鏈技術的不斷發展,越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言,聯盟鏈具有更好的落地性,受到了許多企業與政府的支持。
目前,聯盟鏈的典型應用場景有:商品溯源、公益慈善、供應鏈金融、電子政務、互助保險、物聯網等,另外在數字版權、數字身份、教育、醫療、能源、文化娛樂及民生等垂直產業和領域也都有聯盟鏈的身影。
聲音 | 國家廣電總局祝燕南:區塊鏈等技術將帶來未來媒體發展的新思路、新空間和新交互:據中國新聞出版廣電報報道,國家廣播電視總局發展研究中心主任祝燕南表示,綜合技術的誕生推動了融媒體的發展,隨著新一代信息技術進步和媒體融合進程的不斷深化,未來媒體時代正在到來,區塊鏈、5G、無界面交互等技術將帶來未來媒體發展的新思路、新空間、新交互,要用足現有的技術,將技術精細化,還要對現有技術應用客觀、冷靜地看待。[2019/4/22]
聯盟鏈有哪些安全問題?
聯盟鏈中存在的安全問題主要包括網絡安全、主機安全、鏈平臺安全和智能合約安全。
網絡安全:聯盟鏈也易遭受到傳統的網絡安全威脅,包括網絡釣魚攻擊、DNS劫持攻擊、DDos攻擊、IP欺騙、會話劫持、域名劫持等。
主機安全:主機安全主要包括服務器基礎策略配置、防火墻配置策略、權限管控、第三方模塊安全、應用服務安全、端口安全、數據庫服務安全等。
下面重點給大家介紹下鏈平臺安全和智能合約安全問題。
?聯盟鏈鏈平臺安全問題??
聯盟鏈鏈平臺安全問題包括:交易安全、共識安全、賬戶安全、合規性、RPC安全、端點安全、P2P安全等。
張首晟:中國可以利用區塊鏈發展實現“彎道超車”:丹華資本創始董事長張首晟今日在上海區塊鏈懇談會發表演講,他提到雖然區塊鏈技術根本上是一個記賬方式,但是其作用不容小覷。他還提到區塊鏈發展階段:
區塊鏈1.0主要關乎其記賬功能,對現有的金融市場產生改變;
區塊鏈2.0在于智能合約,將對現有的法律產生影響;
區塊鏈3.0將促進數據市場的產生,人們可以點對點地交換數據,使得在獲得統計信息的同時,保護個人隱私。
他提出一個方針,“民信立數”——在數學上建立信任,在社會科學建筑在數學上,將會對社會產生“根生蒂固的改變”。他認為,國際現行金融體系仍是西方的,但是中國可以抓住區塊鏈的這次機會實現“彎道超車”。[2018/6/2]
聯盟鏈的安全事故大多發生在其算法和底層設計本身,但依然有黑客出于商業目的進行攻擊。黑客攻擊聯盟鏈的手法包括:內部威脅、DNS攻擊、MSP攻擊、51%的攻擊等。
以MSP攻擊為例:MSP是Fabric聯盟鏈中的成員服務提供商的簡稱,是一個提供抽象化成員操作框架的組件,MSP將頒發與校驗證書,以及用戶認證背后的所有密碼學機制與協議都抽象了出來。一個MSP可以自己定義身份,以及身份的管理與認證規則。
針對MSP的攻擊,一般來說,可能存在如下幾個方面:
內部威脅
a)如果某個內部人員持有了可以管理MSP的證書,他將可以對Fabric網絡進行配置,比如添加或撤銷訪問權限,向CRL添加身份;
?b)如果有傳感器等物聯網設備接入聯盟鏈,其可能傳播虛假信息到鏈上,并且因為傳感器自身可能不支持完善的安全防護,可能導致進一步的攻擊。
私鑰泄露
節點或者傳感器的證書文件一般存儲在本地,可能導致私鑰泄漏,進而導致女巫攻擊、云中間人攻擊等。
DNS攻擊
當創建新參與者的身份并將其添加到MSP時,在任何情況下都可能發生DNS攻擊。向區塊鏈成員創建證書的過程在許多地方都可能發生攻擊,例如中間人攻擊,緩存中,DDOS。
CA攻擊
數字證書和身份對于MSP的運行至關重要。HyperledgerFabric允許用戶選擇如何運行證書頒發機構并生成加密材料。選項包括FabricCA,由HyperledgerFabric,Cryptogen的貢獻者構建的過程,以及自己的/第三方CA。
這些CA本身的實現都有其自身的缺陷。Cryptogen在一個集中的位置生成所有私鑰,然后由用戶將其充分安全地復制到適當的主機和容器中。通過在一個地方提供所有私鑰,這有助于私鑰泄露攻擊。除了實現方面的弱點之外,MSP的整體以及因此區塊鏈的成員資格都在CA上運行,并且具有信任證書有效的能力,并且證書所有者就是他們所說的身份。
對知名第三方CA的攻擊如果成功執行,則可能會損害MSP的安全性,從而導致偽造的身份。
?聯盟鏈智能合約安全問題??
為了提升效率,支持更加友好的設計,各聯盟鏈在智能合約上出現了不同的發展方向。聯盟鏈智能合約相較于常規公鏈在規范性、和安全性都有一定的提升,但在以下幾個方面仍可能存在安全風險:
?代碼語言安全性問題?
一種是繼續沿用主流公鏈編程語言,并在其基礎上改進(如:BCOS使用的solidity),另一種則是以通用編程語言為基礎,指定對應的智能合約模塊,不管使用什么語言對智能合約進行編程,都存在其對應的語言以及相關合約標準的安全性問題。
合約執行帶來的安全問題??
整型溢出:不管使用的何種虛擬機執行合約,各類整數類型都存在對應的存儲寬度,當試圖保存超過該范圍的數據時,有符號數就會發生整數溢出。
堆棧溢出:當定義方法參數和局部變量過多,字節過大,可能使程序出現錯誤。
拒絕服務攻擊:主要涉及到的是執行合約需要消耗資源的聯盟鏈,因資源耗盡而無法完成對應的交易。
系統機制導致的合約安全問題??
這里主要是指多鏈架構的聯盟鏈:
合約變量的生成如果依賴于不確定因素或者某個未在賬本中持久化的變量,那么可能會因為各節點該變量的讀寫集不一樣,導致交易驗證不通過。
全局變量不會保存在數據庫中,而是存儲于單個節點。因此,如果此類節點發生故障或重啟時,可能會導致該全局變量值不再與其他節點保持一致,影響節點交易。因此,從數據庫讀取、寫入或從合約返回的數據不應依賴于全局狀態變量。
在多鏈結構下進行外部鏈的合約調用時,可能僅會得到被調用鏈碼函數的返回結果,而不會在外部通道進行任何形式的交易提交。
合約訪問外部資源時,可能會暴露合約未預期的安全隱患,影響鏈碼業務邏輯。
業務安全問題??
聯盟鏈的智能合約是為了完成某項業務需求執行某項業務,因此在業務邏輯和業務實現上仍是可能存在安全風險的,如:函數權限失配、輸入參數不合理、異常處理不到位。
成都鏈安賦能聯盟鏈生態安全發展
隨著聯盟鏈生態的快速發展,基于成都鏈安“鏈必安—一站式區塊鏈安全服務平臺”,我們可以為聯盟鏈平臺提供全生命周期的整體安全解決方案,為聯盟鏈生態的安全發展保駕護航。
一方面,我們可以為聯盟鏈鏈平臺提供安全監測、聯盟鏈智能合約安全審計等服務;另一方面,還可為聯盟鏈的落地應用,諸如:區塊鏈政務、區塊鏈供應鏈金融、區塊鏈物流等用提供“區塊鏈+應用+安全”的綜合安全解決方案。
發展在左,安全在右,重視安全發展應該也必須是聯盟鏈生態發展的重中之重。成都鏈安將繼續積極發揮區塊鏈安全頭部企業優勢,依托我們的聯盟鏈安全整體解決方案,助力聯盟鏈安全健康發展。
風乍起,吹皺NFT市場一池春水。不吹不黑,接下來的thread,我將基于過去幾天對@ensdomain數字域名市場的深入觀察,并結合@duneanalytics上的鏈上數據的客觀反應,談一談我對.
1900/1/1 0:00:00具有開放、隱私和共建三大標簽的Web3.0真是打破知網霸權的鑰匙嗎?先是紅星新聞的報道:“因高達近千萬元的天價續訂費,中國科學院計劃停用中國知網數據庫.
1900/1/1 0:00:00摘要:與圖像類NFT不同的是音樂NFT流動性很強,圖像僅僅是一個靜態的過程,但虎符交易所虎符研究院Atara表示,音樂從創作到落地需要經過很多復雜的層面.
1900/1/1 0:00:00馬斯克獲得465億美元融資承諾后,推特董事會態度180度大轉變。收購得到董事會成員一致同意,預計今年內完成,尚待監管方批準。媒體稱,協議規定一旦馬斯克放棄收購,就得賠償推特、支付反向分手費.
1900/1/1 0:00:00智通財經APP注意到,在上市后不到一年,RobinhoodMarketsInc(NASDAQ:HOOD)(HOOD.US)旗下3800名員工中,有9%的員工面臨被解雇.
1900/1/1 0:00:00以太坊代幣是去中心化金融生態系統的支柱,有朝一日可能成為全球金融體系的支柱。讓我們看看到底什么是以太坊代幣,以及人們如何在零編程經驗的情況下創建自己的代幣.
1900/1/1 0:00:00