2022年9月14日20:00,区块链安全攻防专家、零时科技创始人&CEO邓永凯先生受UNIBFF NEWS特邀,与全球首个具有隐私保护功能和可拓展性的去中心化区块链网络Oasis Network中国区生态产品经理William在火星财经直播间共话《公链隐私保护及生态安全》。

直播回顾链接:

https://www.marsbit.co/live/24313573


公链作为Web3.0的基础设施,是生态项目发展的保障。近年来,数据和信息的价值一直被社会各界讨论,强调去中心的Web3.0世界真的可以为用户带来数据价值挖掘、隐私保护和安全保障吗?2022年,Web3.0领域公链及跨链桥黑客攻击事件频发,加密货币混币器Tornado Cash被美国财政部下属机构海外资产控制办公室(OFAC)制裁,资产的损失和监管的介入,链上隐私和安全的现实遭遇与Web3.0的初衷似乎变得矛盾。面对这样的情况,事实到底如何呢?行业是否有解决方案?

邓永凯先生对直播中提到公链及安全问题进行了分享,以下为直播实录(略有删减),一起看过来吧!

问题一

UNIBFF News主理人焦仕可:

公链是区块链最底层的基础设施,您认为它的核心技术是什么?如何应用?相比比特币和以太坊网络,目前又有了哪些创新?

邓永凯先生认为:

从区块链“不可能三角”即安全性、去中心化、可扩展性来看,公链的技术分别对应密码学、分布式技术、共识算法等。比如隐私公链,需要用到零知识证明,多方安全计算,TEE等技术,所以公链是一个技术要求极高的赛道。

从比特币、以太坊再到现在各种新公链,大家一直在追求一些共同的问题。比如,新公链专注于高性能、高扩展性、EVM兼容性、隐私保护等方面,技术层面创新点较多。

目前大多数新公链的生态还没有发展起来,生态应用的丰富程度、网络实际表现、用户量有待观察,需要去有时间去积累。

通过技术革新、区块链迭代,新公链正在努力实现三者兼得,朝着不可能三角的兼容性去挑战,也都围绕这几个技术核心在做创新和完善。不管它怎么发展,开发者、社区、项目、极客的目的都是为了给开发者和用户提供更好的Web3体验。

/

问题二

UNIBFF News主理人焦仕可:

您认为公链的网络生态里都包括哪几类项目或机构?大家又是如何参与其中的?

邓永凯先生表示:

刚刚William说到,公链发展这么多年,有专注吞吐的、隐私的、兼容的、EVM的、扩容模块化的各种各样的公链等,每个公链针对的场景和特点不一样,针对性地去解决一些问题。

在新公链中,热度比较高的是以Aptos为代表的Meta背景公链、以zkSync为代表的Layer2新公链、以Oasis为代表的隐私公链,还有兼容EVM的公链,主打扩容的公链,模块化公链等。

不管哪一类公链,都离不开节点、钱包、安全设施、社区、生态应用等项目。

比如节点,需要保障整个公链能稳定运行,不同的共识算法,可能还需要矿机矿池的配合;

比如钱包,我们在了解、使用或者参与公链上的应用项目的时候,钱包是作为整个生态应用的一个流量入口,必不可少。公链本身可能也会附带开发自己的专属钱包,其他的一些钱包厂商也会来支持公链;

比如社区,社区用户是整个公链最忠实的用户,他们也是很重要的参与者和建设者。除了用户社区,还需要开发社区等。

只有有了用户社区,才能更好的去打造公链生态的活跃度,持续地去做运营,拥有自己的私域流量,为了吸引更多的用户来参与到公链生态里面来,他们要有许多的玩法和应用。比如dex,借贷,各种defi,nft,dao,gamefi等;

最重要的一点就是,整个生态中需要非常丰富的安全机制,包括比如公链开发过程中本身的源代码安全,节点安全维护、安全配置、安全管理,合约安全,资产安全,钱包安全管理措施等,需要一起来建设,否则很容易沦为黑客的提款机。

所以说,公链生态是一个非常庞大的设施,单方或几方都很难建立起来,需要所有人一起来建设,提建议,不断地完善修改,才真正能够健康长期稳定地运营下去。

不然可能一段时间后,热点没有了,流量没有了,或被黑客攻击了等,都会影响公链的发展。

对于区块链安全公司在公链生态里的位置,另一位嘉宾Oasis William表示:区块链安全公司非常重要。

首先行业在很早期,很多的智能合约和代码都有实验性质,以前没有人做过,行业也没有非常完善成熟统一的一套标准,势必在你写智能合约代码的过程中,可能会出现一些漏洞。

另外一点是,智能合约是开源公开的,所以不管你是开发者,还是黑客,大家都可以在网上轻易地看到你的源码,也给他们去发现里面的一些漏洞提供了很大的便利。

作为一个黑客去攻击漏洞获利比一个发掘漏洞的开发者获利高得多。这也是我们行业非常奇怪的一点,说明它目前仍在非常早期的阶段,许多东西都不完善,但是它涉及的资金量又这么大。

比如传统的公司,你受到攻击了,可能损失资金量不是很大,但是在区块链行业里面,因为一开始很多都是DeFi应用,特别是跨链桥,动辄资金量涉及数10亿美金,它巨大的锁仓量,只要其中一环出现了漏洞,黑客就可以把里面的钱全部拿走,这对于黑客来说是多么大的一个激励。

William认为,区块链安全公司可以在以下几个方面对生态进行保护。

首先,公链上线主网之前,可以给你做智能合约代码的审计,尽量确保你的智能合约里面没有比较明显的、原则性的一些漏洞。

其次,是你上链之后,安全公司可以对你的应用做一个实时的安全检测。一旦发现有系统风险,就可以预警。

另外即使发生安全事件、黑客攻击事件,它可以去给你进行攻击的溯源分析,找出问题所在,解决问题,减少未来发生攻击的可能性。

在一个早期发展阶段,安全公司是非常重要的,当然我们相信区块链行业也会在发展的过程中,变得越来越成熟和完善。

/

问题三

UNIBFF News主理人焦仕可:

2022年,黑客攻击事件频发和资产被盗事件频发,从安全角度考虑,公链面临哪些风险?又如何保障自己与生态的安全呢?

邓永凯先生分享到:

关于公链如何做安全建设,首先我给大家讲几个最近刚发生的比较重大的公链安全事故。

2022年3月29日,以太坊的一个侧链Ronin Network 出现安全漏洞,共 17.36 万枚 ETH 和 2550 万枚 USDC 被盗,损失超 6.1 亿美元,原因是攻击者通过 gas-free RPC 节点发现了一个后门,最终攻击者设法控制了五个私钥,从而完成签名,盗走资产。

2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币,涉及资金5.8亿美金,原因是Solana的钱包Slope 钱包发生供应链攻击,Slope 钱包在开发过程中使用了第三方服务,第三方服务可能被黑客控制,恶意收集Slope 钱包用户的私钥。

公链是一个很复杂的综合基础设施,涉及很多技术领域,导致暴露问题的面很多。比如源代码安全、算法安全、私钥安全、RPC接口安全、节点安全、智能合约安全、交易安全、钱包安全等。

源代码和智能合约,是安全审计的重点。源代码审计可以是全量代码,也可以是部分模块。

零时科技安全团队采用人工+工具的策略对目标代码的安全测试,使用开源或商业代码扫描器检查代码质量,结合人工安全审计,以及安全漏洞验证。我们支持所有流行语言,例如 C/C++/C#/Golang/Rust/Java/Nodejs/Python。

在P2P和RPC这块,需要注意劫持攻击,拒绝服务攻击,权限配置错误等;

在共识算法及加密这块,需要注意51%攻击,长度扩展攻击等;

在交易安全这块,需要注意假充值攻击,交易重放攻击,恶意后门等;

钱包安全也是重点,需要注意私钥的安全管理,资产的安全监控,交易的安全风控等;

再就是公链项目的相关工作人员,要有良好的安全意识,办公安全,开发安全等常识,最大的漏洞就是人。

零时科技也有一套完整的公链安全测试标准,可登陆零时科技官网查看:https://noneage.com/security ,包括智能合约审计标准和自动化工具,以及加密资产地找回、追踪、监控等服务。

/

问题四

UNIBFF News主理人焦仕可:

区块链被称为信任的机器,它真的可以做到保护数据隐私和发挥数据的价值吗?

邓永凯先生表示:

首先我们要想一个问题,区块链为什么会被称为信任的机器?

是因为区块链不可篡改,可追溯的特性,在一些溯源、存证、版权等领域就有很重要的技术意义。但是目前大部分公链都不支持其公共网络上的隐私,因为所有记录都记录在区块链上,任何人都可以阅读其内容,包括发送数据对象、时间、数量等。

由于有可能将分布式账本地址与真实身份联系起来,这会带来隐私问题,比如最近币安的账户冻结问题,鲸鱼地址监控,部分知名加密爱好者地址监控等,都是通过链上数据追踪分析得到的。

区块链公开透明的特性让用户的交易转账记录、链上活动记录能够被任何人查看,用户敏感信息有可能被轻易获取,用户面临在Web3世界“裸奔”的困境。

所以从数据隐私方面来说,确实没有做到足够隐私,但凡事都有两面性,这些公开的交易记录也可以为黑客追踪、虚拟币违法打击、生态应用数据分析带来便利。

区块链它是不是真的能保障我们的数据隐私或者是保障数据的价值,真正地成为我们的信任的机器,可能还需要很多的技术去做事情。

比如咱们现在有专门做隐私公链的,有隐私计算的,还有这种隐私币的,这些在将来可能会解决数据隐私问题,带来真正的信任的机制。

/

问题五

UNIBFF News主理人焦仕可:

您认为公链这个赛道现在发展到了哪个阶段?

邓永凯先生认为:

像William说的,它处于很早期,导致整个赛道它都处于很早期。现在基本上还没有出现象级的应用产品。

目前整个公链赛道,技术层面创新点较多,但大多数新公链的生态还没有发展起来,生态发展、应用构建门槛、网络实际表现、用户量、代币价值捕获能力,都有待观察。

多数新公链的开发进度还处在核心技术开发完成、测试网阶段,网络节点质押量和用户数量,产品和生态项目数量并不多。

未来很长一段时间肯定还是在区块链“不可能三角”这个上面做文章,就看最终谁能获得更多的开发者,建立丰富的生态应用,留住用户,也可能在不同的场景也有特殊的公链来满足这些特殊需求。

多链部署已成为区块链行业的重要趋势,比如以太坊链上应用在其他公链部署已成常态,新公链需要非常重视兼容性和互操作性这块。

公链赛道机会很多,挑战也很多,但是在Web3时代,用户对于隐私保护、数据去中心化存储、DID等有助于提升用户链上数据安全性和私密性的应用的需求逐步提升,近两年隐私赛道的热度逐渐提升,有望成为新的热门赛道。

/

问题六

UNIBFF News主理人焦仕可:

作为行业从业者,您认为应该如何推进公链赛道的合规与监管工作?

邓永凯先生表示:

每一个公链都承担着自己的使命,有其自己的去挖掘的价值和追求的特点,公链作为一个基础设施,它应该也有一定自己的责任。

因为公链上可以开发任意的应用,发行token,这些去中心化的应用项目,需要建立适当合理的管理和治理措施,比如提升项目的跑路成本,或提高不跑路项目的激励,使所有的项目都长期去发展做贡献,去真的把它做成一个创新应用的方向。让整个行业的正向发展,保障公链的安全地运营,提升公链生态的用户体验,保障用户权益。

/

零时科技是专业的区块链安全解决方案提供商,公司团队专注于区块链生态基础设施安全研究,包括安全审计、资产安全、以及Web3.0安全攻防技术研究;

零时科技官网:https://noneage.com/