比特币及区块链技术持续火热。昨日,中国社会科学院金融研究所法与金融研究室副主任,兼任中国社会科学院金融法律与金融监管研究基地秘书长尹振涛在深链财经群分享了他对区块链系统性风险特征的看法。
事实上,2月中旬,他曾对巴比特资讯分享过他对区块链监管的看法。
中国的监管正逐渐转向自我的路径
因为数字货币和区块链诞生于全球市场德特殊性。所以监管层能做的只能是在监管权限内做到有效监管。对此尹振涛提到,区块链和数字货币面临的是互联网,金融网,资本网三网全球流动的市场,对于监管来说是极大的挑战。
从国内大环境看,我国监管的态度和思路还是很明确的:允许风险,但要防范系统性风险,ICO是非法的,交易是禁止的,区块链技术是支持的。
在昨天的分享中,尹振涛从以下三个方面阐述了区块链金融风险特征。“随着区块链的发展,比特币市场在不断蓬勃,特别是在17年下半年发生井喷之后,当前很多区块链的产品模式、计划书、演讲,其实是把简单的问题复杂化了。”
那么,区块链金融、互联网金融、金融科技有什么关系?
金融互联网互联网金融的科技应用比较简单,他提到,金融互联网的最初产品和模式,其实就是将传统的金融业务线上化,比如银行优盾密码卡,将传统的金融内容放到了PC端,这是发展的第一阶段。
第二阶段,是互联网金融。从支付宝、余额宝的出现,特点,技术手段就是智能手机,用手机从事金融业务,开始用移动支付,互联网公司进行金融化。
金融科技作为第三阶段,不单是传统的简单复制,它增加了传统业务的线条,比如货基投资。
而金融科技的出现,虽然有很多说法,但它最突出的是技术,科技公司和金融企业(传统和互联网电子商务公司)的融合 。
随着这个发展逻辑,区块链技术作为底层技术就出现了。“这种技术什么技术?比如人工智能、大数据、云计算、区块链这个大线条。目前来看,绝大应用的技术,不完全是在金融领域,这是在整个社会,经济框架下都可以用的底层科技。”
区块链技术在货币金融领域的应用、以及与比特币、ICO之间的关系。
首先,区块链概念特点大家都耳熟能详了,从技术角度,官方是非常支持的。因为好的技术您呢高造福老百姓的生活。
其实是,比特币是区块链技术最成功的运用,区别于Q币等虚拟货币,比特币的安全应该是受保障的。而ICO的发行实质类似IPO,目的是需要获得普通投资者货币,通过交易平台,再把比特币和以钛币转化成钱,从而获得项目资金。所以,ICO的交易是禁止的。
区块链金融风险在哪里?
信用风险、从技术风险,与当前的金融监管体系的不匹配。尹振涛提到,区块链技术可在各行各业应用,但是有三个主要因素涉及风险。
“第一是,跨界:金融的跨界就很大风险,金融监管的框架是分行业的,技术与金融部门的大跨界,与金融监管不匹配,监管处于模糊真空状态、挑战太大。第二:去中心化,与当前的金融体系不匹配。当前的监管是集中化与中心化的、机构化与平台化矛盾,一行三会。但区块链却与此相反的。第三是,区块链技术本身不成熟。”
正如,中国科学数据处理(SDP)联盟执行委员会主任、上海市数据科学重点实验室副主任、解放军信息工程大学斯雪明教授在《区块链与系统安全》报告中指出,目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。例如,据雷锋网了解,2016年6月17日,黑客攻击了众筹超过1.5亿美元的分布式自治组织 THE DAO,导致项目失败。2016年8月2日因为多重签名漏洞,香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障,个人私钥的安全性也存在较高风险。”
区块链的安全挑战、系统安全性分析、安全性威胁应对方法
以下是演讲原文,雷锋网作了不改变原意的编辑:
区块链的安全挑战
目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。
信心系统安全有三要素,分别是保密性、完整性、可用性,区块链系统也必须有三种属性。
从保密性来说,以公钥的变型作为交易地址,为用户提供了保密性;零知识证明、环签名等为交易提供了保密性,比如Zcash和门罗币;同态加密对数据提供了保密性;属性基家解密,实现对系统的保密性、分权处理。总的来说,区块链系统大量应用了密码学前沿技术。
第二,从可用性来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。
第三,从完整性来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构冗余结构,保证了系统的完整性。
系统安全性分析
分析区块链安全性,需要从综合安全性、算法安全性、使用安全性、实现安全性以及协议安全性五方面进行分析。
首先是算法安全性。目前密码货币的算法是相对安全的。但是随着数学、密码学和计算基数的发展会变得越来越脆弱,况且区块链中的密码算法在使用过程中也存在问题。另外,量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。当然,算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。
第二个是使用安全性分析。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。
第三从实现安全性分析。国家互联网应急中心在2016年10月曾选取了25款具有代表性的区块链软件进行检测,在代码层面发现高危安全漏洞和安全隐患共746个,所以区块链的代码安全性是非常令人担忧的。此外,还有去年11月的parity钱包事件,就是由于误操作,库代码被抹掉掉,导致多重签名智能合约无法使用。
最后一个是综合安全性,或称系统安全性。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。美国已经高度重视区块链的安全问题了,在去年9月通过一项7000亿美元的国防法案。
安全性威胁应对方法
那么,我们应该如何面对这些安全问题?
针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名侧、门限签名策略,总之是要采用新的、本身经得起考验的密码技术。
针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约。
针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,我们也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标。
最后针对黑客的攻击,我们在终端提出了拟态防御的方法。上图为拟态防御的架构模型,拟态防御是一项技术,在上海政府的支持下,由信息工程机械大学团队联合上海高校和科研机构取得了重大的突破。利用拟态防御技术,我认为对于提高区块链系统安全性会起到非常好的作用。