文 《法人》特約撰稿 董毅智

區(qū)塊鏈技術安全隱憂

文 《法人》特約撰稿 董毅智

區(qū)塊鏈技術正在突飛猛進，今后，越來越多的領域將應用到區(qū)塊鏈技術，正因為技術過于超前，監(jiān)管才顯得如此難以完善。就區(qū)塊鏈中的安全技術而言，仍然需要我們保持謹慎的態(tài)度，避免過于樂觀而引發(fā)大規(guī)模安全事件

區(qū)塊鏈，從默默作為比特幣的底層技術到獨立站在世界前沿科技的聚光燈下，仿佛只是一瞬。

據(jù)報道，截至2017年4月底，全球總共455家區(qū)塊鏈公司累計獲得融資額為19.47億美元。在獲投公司數(shù)量上，中國共有61家，位列全球第二，隨著區(qū)塊鏈+的日益深入，有望引領技術投資新浪潮。

區(qū)塊鏈的前世今生

說到區(qū)塊鏈，大家首先想到的可能就是比特幣。比特幣（BitCoin）的概念最初由神秘的作者中本聰在2009年提出。而區(qū)塊鏈是比特幣的基礎技術，中本聰在2008年發(fā)布的《Bitcoin: A Peerto-Peer Electronic Cash System》論文中第一次詳細描述它。

雖然“區(qū)塊鏈”一詞在中本聰?shù)脑颊撐闹芯捅欢啻翁峒埃侵钡浇鼛啄?，區(qū)塊鏈才能真正成為一個通用的術語名詞。區(qū)塊鏈其實是一個分布式的計算網絡，這網絡中的每一個節(jié)點都執(zhí)行和記錄相同的交易事務，這些交易事務最終被歸入一個個區(qū)塊，一次只能向這個網絡中添加一個區(qū)塊，每一個區(qū)塊都包含了一個數(shù)學上的證明，用來確保此次添加的區(qū)塊和網絡中已經添加的區(qū)塊是處在一個序列里面的。

通過這種方式，區(qū)塊鏈的“分布式數(shù)據(jù)庫”就能在所有的網絡節(jié)點中保證數(shù)據(jù)的一致性。個人與總賬的交互由強大的密碼保護。在以太坊的協(xié)議中，驗證和維護這網絡的人會有一份獎勵。這“驗證和維護”就是我們平時說熟知的挖礦，“驗證和維護這網絡的人”就是我們平時所說的礦工，而“獎勵”在比特幣中就是指一個比特幣令牌。

在比特幣中，這分布式的數(shù)據(jù)庫被當作一個存儲賬戶余額的大表，一本總賬，交易事務是指為促進個人與個人之間無須信用的金融交易而進行的比特幣的令牌轉移。但是隨著比特幣受到越來越多的技術專家的注意，越來越多的新項目開始使用比特幣網絡，而其目的不僅僅是轉移比特令牌。

現(xiàn)在，許多山寨幣被開發(fā)出來，它們都使用了自己獨立的區(qū)塊鏈和加密貨幣，升級了原始的比特幣協(xié)議，添加了許多個性化的功能和能力。 在2013年，以太坊的發(fā)明者Vitalik Buterin 提出一個可以執(zhí)行任意復雜運算的區(qū)塊鏈。

和其他任何的區(qū)塊鏈一樣，以太坊也包含了一個點對點的網絡協(xié)議。以太坊的數(shù)據(jù)庫是由鏈接著網絡的各節(jié)點來維護和更新的。網絡中的每一個節(jié)點都運行著相同的虛擬機，并且執(zhí)行著相同的指令操作。正因為這個原因，以太坊有時候被稱為是一個“世界計算機”。

以太坊整網的大規(guī)模并行計算不是為了提高運算效率。事實上，這過程使得在以太坊上的運算比傳統(tǒng)的電腦慢得多而且要付出更多的代價。相反，每個以太坊虛擬機的運算是為了保證區(qū)塊鏈全網數(shù)據(jù)的一致性。全網中的每一臺虛擬機的運行都是為確保全網數(shù)據(jù)的一致性。分散的一致性給予全網極端的容錯能力；永不宕機的能力；抗審查能力。并且使得存儲在區(qū)塊鏈上的數(shù)據(jù)保持永不改變。

以太坊框架本身并沒有什么特別的功能。就好像程序語言一樣，它做什么，都是由企業(yè)或開發(fā)者來決定的。比如，復雜的金融合約的自動化。比特幣可以讓用戶不通過第三方機構，如銀行、政府等就可以直接兌換貨幣。以太坊的介入可能會產生更加深遠的影響，任何復雜的金融操作都是可以自動被執(zhí)行的，并且可以寫成代碼在以太坊上運行。除了金融外，任何情況下，只要對信用、安全和持久有極高的要求，如資產注冊登記、投票、管理和物聯(lián)網等都有可能受到以太坊平臺的影響。

突飛猛進的區(qū)塊鏈技術

結合定義區(qū)塊鏈的定義，區(qū)塊鏈主要有這四個特征：去中心化（Decentralized）、去信任（Trustless）、集體維護（Collectively maintain）、可靠數(shù)據(jù)庫（Reliable Database）。并且由四個特征會引申出另外2個特征:開源（Open Source）、匿名性（Anonymity）。如果一個系統(tǒng)不具備這些特征，將不能視其為基于區(qū)塊鏈技術的應用。

當前區(qū)塊鏈的應用部署類型有三種：

一是公有鏈，比如比特幣、萊特幣這樣的貨幣網絡，只要你愿意參與這個交易，你就可以成為這個網絡里的一分子。

二是私有鏈，一些企業(yè)的私有鏈項目主要用在審計和跟蹤上。因為區(qū)塊鏈不可逆的特性，發(fā)生一個業(yè)務馬上在區(qū)塊鏈里面就能留下痕跡，因此不需要大量審計人員進行數(shù)據(jù)復核，并識別賬目真假。這也是為什么全球四大會計師事務所會關注區(qū)塊鏈的原因。區(qū)塊鏈還可以解決公司數(shù)據(jù)存儲問題。數(shù)據(jù)無論存放在哪個服務器都有可能丟失，而區(qū)塊鏈技術底層已經具備分布式存儲的概念了，數(shù)據(jù)任意存儲得以實現(xiàn)，許多技術上的壁壘得以破除。

三是聯(lián)盟鏈，該聯(lián)盟鏈的每個參與方不用擔心自己數(shù)據(jù)存在哪里，自己產生的數(shù)據(jù)都只有自己看到，只有通過對方授權的密鑰才能看到其他參與者的數(shù)據(jù)，這樣就解決數(shù)據(jù)隱私和安全性問題，同時能夠實現(xiàn)去中心化。

從公有鏈、私有鏈到聯(lián)盟鏈，三者依次迭代發(fā)展，但是隨著區(qū)塊鏈技術的快速發(fā)展，不排除當前公有鏈和公有鏈的界限會變得比較模糊。由于每個節(jié)點可以有較為復雜的讀寫權限，也許有部分權限的節(jié)點會向一切人開發(fā)，而部分記賬或者核心權限的節(jié)點只能向答應的節(jié)點開放，那就會不再是純粹的公有鏈或者公有鏈。

技術變革下的監(jiān)管難題

筆者認為，區(qū)塊鏈技術未來有幾個大的發(fā)展方向。

首先是轉賬與支付。目前，區(qū)塊鏈技術最成熟的應用便是支付與轉賬，區(qū)塊鏈技術能夠避開繁雜的系統(tǒng)，可以省卻銀行間對賬和審查的流程，加速了資金結算速度；同時，運用虛擬貨幣無須清算所的介入，還極大地減少了交易費用。

其次是泛金融業(yè)務。區(qū)塊鏈技術可以用于資產交易、快速審計等領域。用戶雙方達成交易意向，交易信息被添加到區(qū)塊鏈上交易即完成，無須登記結算所等多方進行數(shù)據(jù)的反復溝通、核對和發(fā)送，提高了效率；區(qū)塊鏈具有共享、可信、可追溯的特點，也為審計提供了便利。

最后是其他應用。區(qū)塊鏈技術還可以與云計算和物聯(lián)網結合，應用前景極為廣闊。

隨著越來越多的公司意識到區(qū)塊鏈技術市場的廣闊前景，高盛、IBM、花旗等巨頭紛紛出資入股區(qū)塊鏈領域初創(chuàng)公司，區(qū)塊鏈領域的風險投資總金額也屢創(chuàng)新高。

說到“區(qū)塊鏈監(jiān)管”，似乎沒有人清楚了解這包含什么內容。例如，俄羅斯政府上周宣布其將在2019年之前實現(xiàn)區(qū)塊鏈監(jiān)管，然而細節(jié)卻很難講清。目前正在進行中的數(shù)百個試點項目以及概念驗證只不過是這項技術潛在應用的冰山一角。

此外，對于這種不同尋常的公私網絡分離現(xiàn)象也需要兩種不同的方法。雖然可以就私有區(qū)塊鏈的發(fā)展起草相關法律，但是鑒于分布式網絡這種國際性自由訪問的性質，根據(jù)公有網絡的用途來進行監(jiān)管顯然是無法起作用的。

誰來進行監(jiān)管呢？沒有人知道比特幣創(chuàng)始人的真實身份，更不用說他（或她）法定地點的具體位置了，因此甚至都不可能去適用其居住地的管轄法律。

所以，現(xiàn)在可以將重點轉移到構建在公有區(qū)塊鏈之上的應用程序。而即使是這樣，監(jiān)管可及之范圍也會受到限制，因為任何人都可以在不確定司法管轄區(qū)的情況下在任何地方發(fā)布應用程序。在這種情況下，監(jiān)管機構除了讓市場做出決定外，別無選擇。

區(qū)塊鏈是一次互聯(lián)網技術的大變革，它使得人們看到全球性的協(xié)同計算正成為可能。在區(qū)塊鏈帶來巨大科技創(chuàng)新的同時，區(qū)塊鏈的安全也正日益引起科研工作者的濃厚興趣，一系列問題還有待進一步從理論層面和應用實踐中得到解決和驗證。

就目前區(qū)塊鏈中的安全技術而言，仍然需要我們保持謹慎的態(tài)度，避免過于樂觀而引發(fā)大規(guī)模安全事件。也建議國家或機構投入大量人力開展區(qū)塊鏈安全問題研究，制定具有我國獨立知識產權的區(qū)塊鏈相關安全規(guī)范和標準，提升區(qū)塊鏈安全監(jiān)控能力，保障區(qū)塊鏈產業(yè)健康發(fā)展和持續(xù)創(chuàng)新。