区块链技术资源分享
追寻中本聪先生的脚步

Libra与区块链安全问题_苗知秋博士_白墨子安全实验室@锌链接

Libra在安全上有哪些比较好的设计?

Libra吸取了很多前期的经验教训。

首先,在总体架构设计上,Libra采用了可信计算方面的概念。Libra把可信计算基(Trusted Computing Base)的思想用在了核心代码的架构设计和编写中。

另外,作为区块链系统的底层基础,Libra的P2P网络使用了Noise协议,这个协议也用在国外的社交应用Whatsapp中,有效提升Libra在网络通信方面的安全等级。

其次,智能合约的实现方面,专门引入了一种新语言Move。

Move 是从迄今为止发生的智能合约相关的安全事件中吸取经验而创造的一种编程语言,能从本质上令人更加轻松地编写符合作者意图的代码,降低了出现意外漏洞或安全事件的风险。

最后,在实现语言方面,Libra选择Rust实现。

Rust语言的特点是注重安全性,在编译环境强调安全规范的使用和检查。通俗地说,只要编译通过,安全方面就具有了较高的水准,因此Rust安全性较高。

Libra在安全设计上还有哪些不足?

首先, Libra采用了基于LibraBFT共识协议的BFT机制。这种协议的特点是几乎不会分叉,实时确定性好,特别有利于Libra未来很可能会重点关注的支付、汇兑和资产交易场景。

但是,前段时间有人在eprint上提交一篇文章,指出Libra的共识机制存在严重安全问题。作者称,Algorand在BFT不超过1/3的情况下,可能发生分叉,并且指出BFT解决方案中的一个普遍假设“大多数节点是诚实的”并不合理。BFT类的共识协议适合联盟链或私有链,一旦要用于公链,需要非常慎重。

其次,在区块链行业常见的计算溢出处理机制上,除了引入一个对静态代码审计更加友好的Move语言之外,没有看到Libra有什么特别的建树。如果机制仍依赖合约的自我约束和代码检查,那么距离理想的解决方案还有一段距离。

再次,在随机数种子产生机制和第三方库依赖方面,无较大创新,与之前的区块链项目持平,前期项目存在的安全问题,有很大的可能在Libra中依然存在。

第四,Libra选择了一个小众但宣称安全的语言Rust。然而,过于小众的语言往往缺乏长时间的锤炼,导致隐藏的问题较多。Rust语言虽然具有安全的特色,但是并不完美,不排除有可能成为Libra项目的阿喀琉斯之踵。

第五,过于依赖Rust语言有可能带来单一性依赖问题,如果Rust语言出现安全问题,则会波及整个Libra系统。

最后,Libra曾含混地提到当私钥泄露时,可更换公私钥对,而账户地址保持不变,用户也可轮换一个账户里的密钥。由于传统区块链地址是由公钥变换得到的,而私钥和公钥是一一对应的,不知道Libra采用什么方式实现公钥和地址的脱离。但是我们看目前代码中的账户地址还是公钥的keccak哈希值,不具备更换的能力。

我们也很期待看到Libra项目在这里有所突破。

区块链安全主要涉及哪些方面?有哪些热点问题?核心问题是什么?

对于区块链行业来说,没有安全就没有一切。目前信息安全已经成为区块链产业发展的关键环节。

高额收益、容易变现、极易逃避追查、攻击门槛低,这四者的叠加,使区块链安全事件将持续处于高危期。

墨子安全实验室把区块链安全分成两类。

第一类,区块链自身安全,这一类包括两个方面:区块链底层安全和上层智能合约安全。

第二类,区块链配套设施安全,这一类包括三个方面:钱包、交易所和矿池。

这五个方面都属于区块链安全范畴,我们认为其中三个方面是需要特别关注的热点问题,即智能合约、交易所和钱包。这也是安全问题比较多、安全事件比较频发的地方。

如果要说区块链安全的核心是什么?

我们认为就目前的区块链发展现状,安全问题虽然很多,但核心只有一个,那就是数字资产安全。区块链安全领域的攻守两方基本上都是围绕着这一点来的。

这也影响到了区块链安全行业对安全漏洞的评级标准的制定。与其他行业不同的是,区块链行业中,凡是威胁到数字资产安全的,一律评定为高危漏洞,否则评定为中危或低危漏洞。

作为一种新兴技术,区块链的安全性威胁是其面临的重要问题之一。据统计,2018年区块链安全事件数量高达138起,造成经济损失22.38亿美元。

Libra 具有后发优势,针对区块链技术前期的安全问题提出了自己的解决方案,展示了Facebook公司在区块链技术方面的积累和思考。

但是,Libra依然存在很多不足。比如,富有争议的共识机制、计算溢出处理的因循守旧、实现语言的单一依赖、伪随机数问题、宣称的同地址私钥替换技术尚未落地等。

Libra能否承载Facebook宣称的宏伟蓝图呢?区块链的安全问题有哪些?技术人员应该如何防范?

8月7日,在 “锌式派对” 第31期分享会上,锌链接创始人龚海瀚邀请墨子安全实验室创始人苗知秋围绕“Libra与区块链安全问题剖析”这一主题,解答上述问题。

锌链接
微信号:xinlianjie-
功能介绍:探索产业区块链价值

©本文版权归“锌链接”所有,欢迎加入我们的社群,公众号后台回复"入群"即可。


推荐阅读:《苗知秋博士_白墨子安全实验室创始人

分享到:更多 ()
靠谱免费最好的手机挖矿app推广 炒币圈交易所注册链接 手机挖矿微信群联系方式

来评论吐槽 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

快手号:神吐槽shentucao

交易所地址更多手机免费挖矿APP