如何應(yīng)對(duì)區(qū)塊鏈技術(shù)安全難習(xí)題

1、PAGE4作為全球智能合約安全的早期從業(yè)者，Peter Vessenes是第一個(gè)跟美國財(cái)政部探討比特幣的人，也曾作為顧問，接受來自美國財(cái)政部、美國國土安全部、德勤等提出的咨詢。他是如何看待目前全球智能合約安全的現(xiàn)狀，又有何應(yīng)對(duì)方式The DAO攻擊事件，一直被稱為史上最大的智能合約漏洞事件。2016年6月，黑客攻擊the DAO轉(zhuǎn)走了300多萬ETH資產(chǎn)，當(dāng)時(shí)價(jià)值為6千萬美元，兩年后，若以2018年6月的ETH價(jià)格計(jì)算，其價(jià)值已達(dá)到了15億美元。事實(shí)上，比特幣基金會(huì)創(chuàng)始主席Peter Vessenes在該事件發(fā)生前，就發(fā)表了一篇有關(guān)具體安全性弱點(diǎn)的論文，指出像DAO這樣的智能合約完全建立它們的

2、代碼之上，一旦發(fā)布在以太坊區(qū)塊鏈上，DAO的代碼將無法修改。隨著The DAO “重入式攻擊”事件的發(fā)生，Peter Vessenes越發(fā)意識(shí)到智能合約安全對(duì)區(qū)塊鏈產(chǎn)業(yè)發(fā)展的重要性。他選擇在2016年成立New Alchemy，一家專門提供代幣化服務(wù)和軟件的企業(yè)，同時(shí)也會(huì)提供智能合約安全相關(guān)的咨詢服務(wù)。近日，鏈得得App獨(dú)家專訪了Peter Vessenes，就“目前全球智能合約安全的現(xiàn)狀”、“交易吞吐量、安全性和去中心化的三角要如何權(quán)衡”、“熊市下安全技術(shù)公司該如何生存”等問題進(jìn)行探討。鏈得得App了解到，New Alchemy早期的開發(fā)項(xiàng)目包括為Bittrex創(chuàng)建安全存儲(chǔ)客戶代幣的錢包以及

3、大量的智能合約軟件系列。Peter Vessenes稱：“如今，通過New Alchemy的軟件交易的電子加密貨幣價(jià)值數(shù)十億美元，并且沒有一美元丟失過?！敝悄芎霞s有所進(jìn)步，但整體創(chuàng)新速度變慢“在某些程度上來講，現(xiàn)在的智能合約比兩年前進(jìn)步很多了。” Peter Vessenes表示：“但是不幸的是，人們害怕做一些新嘗試，在我看來這是比較失望的結(jié)果，因?yàn)槲覀兿Ｍ谥悄芎霞s上看到更多的創(chuàng)新，而不是保守地、更少地用智能合約?！闭鏟eter Vessenes所言，現(xiàn)在很多人都知道怎樣讓ERC20智能合約更安全地運(yùn)行，但是只有非常少的人在真正研究怎么樣將Solidity編程語言應(yīng)用在區(qū)塊鏈技術(shù)行業(yè)上。他

4、坦言：現(xiàn)在做“類似基于Solidity的語言”這樣應(yīng)用的人越來越少，創(chuàng)新的速度變得越來越慢。即使市場(chǎng)上的交易體系相比之前是較完善的，很多軟件工程師也知道怎么樣去設(shè)計(jì)一個(gè)安全的智能合約或安全的程序。但是很多工具，并沒有讓這些工作變得更簡單，或者讓更多的開發(fā)者更容易地去完成這樣的事情。這跟很多現(xiàn)實(shí)的因素掛鉤，智能合約的設(shè)計(jì)門檻相對(duì)較高、容錯(cuò)率較差，隨著技術(shù)的不斷完善，創(chuàng)新成本也變得越來越高。智能合約有一個(gè)最基本的特點(diǎn)，就是一旦公布后，就會(huì)無條件一直運(yùn)行下去。這種性能讓它本身非常強(qiáng)大，同時(shí)也非常危險(xiǎn)。因?yàn)橐坏┲悄芎霞s執(zhí)行中涉及到一些負(fù)面的事情，無法關(guān)閉停止它的運(yùn)作。因此，寫智能合約的程序這件事變得非

5、常嚴(yán)謹(jǐn)，Peter笑談就像給太空飛船或火箭寫程序一樣，在設(shè)計(jì)網(wǎng)頁程序或前端程序的時(shí)候，錯(cuò)誤率是在每1000行代碼里面有30個(gè)錯(cuò)誤。但是像NASA應(yīng)用在太空技術(shù)、航天技術(shù)里的程序里，他們的錯(cuò)誤率在每1000行代碼里面只能有個(gè)錯(cuò)誤。熊市之下：縮減部門、關(guān)注研發(fā)從今年一季度后，整個(gè)區(qū)塊鏈的市場(chǎng)陷入熊市，且一直沒有回暖的跡象。Peter Vessenes認(rèn)為在這樣熊市的市場(chǎng)里，大家應(yīng)該縮減開支，真正把錢花在更創(chuàng)新、更優(yōu)秀的技術(shù)應(yīng)用和開發(fā)上。他很遺憾告訴鏈得得App表示：在短時(shí)間內(nèi)整個(gè)安全性相關(guān)的市場(chǎng)會(huì)比較小，所以在New Alchemy，已經(jīng)把安全部門和技術(shù)服務(wù)的部門合并成一個(gè)部門?！拔以敢鉃槟切┈F(xiàn)在

6、愿意在熊市的情況下需要擴(kuò)張的公司提供區(qū)塊鏈安全方面、或更多技術(shù)上的解決或服務(wù)，幫助他們度過區(qū)塊鏈的寒冬，或者讓他們加入我們的團(tuán)隊(duì)來。因?yàn)閺拈L期的角度看，如果區(qū)塊鏈公司做了很多新技術(shù)開發(fā)，會(huì)變得非常有價(jià)值。”Peter Vessenes認(rèn)為大家應(yīng)該把注意力轉(zhuǎn)移到積極的一面去，需要看到更多技術(shù)上面的創(chuàng)新，可以達(dá)到更多、更高量的交易頻率和速度。他談到：很多區(qū)塊鏈的項(xiàng)目，不論是有幣區(qū)塊鏈，還是無幣區(qū)塊鏈都面臨著處理速度和安全性的問題。對(duì)于高速率的處理，現(xiàn)有的側(cè)鏈技術(shù)，可以支持非常高效的交易速度和過程。當(dāng)然，最終側(cè)鏈上面的信息和所有的交易都會(huì)被放到主鏈上進(jìn)行記錄。另一方面，智能合約雖很難做到無懈可擊，但也在不斷研發(fā)新的技術(shù)避免成為黑客攻擊的對(duì)象。目前市場(chǎng)上常用的解決方案是采用更嚴(yán)格的代碼審計(jì)和形式化驗(yàn)證。Peter Vessenes認(rèn)為代碼審計(jì)是一個(gè)非常有用的工具，可以讓所有的開發(fā)者很快速地檢查他們所寫的代碼里的錯(cuò)誤。但是形式化驗(yàn)證不是一個(gè)很好的解決方案，因?yàn)樾问交?yàn)證會(huì)限制開發(fā)者在形式化設(shè)計(jì)的框架下面進(jìn)行技術(shù)上的開發(fā)和應(yīng)用。不管形式化驗(yàn)證這套解決方案有多好，如果它很難大規(guī)模被程序員采用，比如如果只有10個(gè)程序員能采用