李垚

謹(jǐn)防被僵尸網(wǎng)絡(luò)利用

加密貨幣取決于區(qū)塊鏈的完整性

比特幣熱潮來襲，許多中國企業(yè)想擴(kuò)大加密貨幣業(yè)務(wù)或是進(jìn)軍這個熱門領(lǐng)域，籌資活動驟然增加。大型上市公司從公開市場籌資，小企業(yè)則從風(fēng)險投資家那里籌錢，加密貨幣價格跳漲，主流機(jī)構(gòu)對加密貨幣相關(guān)技術(shù)的接納度越來越高，這些都對市場起到推波助瀾的作用。

去年6月在納斯達(dá)克市場掛牌上市的中國比特幣礦機(jī)生產(chǎn)商億邦國際控股光在2月就進(jìn)行了兩輪融資，籌到1.7億美元，盡管它在11月就融過一次資。

加密貨幣領(lǐng)域的新軍，中國固廢回收公司碼鏈新大陸2月通過配股籌集了2500萬美元，用于投資比特幣挖礦。中國香港的區(qū)塊鏈及加密貨幣投資基金Kenetic Capital的創(chuàng)始合伙人朱沛宗表示，在私募市場，“競爭已經(jīng)白熱化，經(jīng)常需要爭搶。每一個優(yōu)質(zhì)的融資輪，從宣布完不到一周就超額認(rèn)購了?！彪m然市場對比特幣的態(tài)度有些復(fù)雜，但這個市場仍然在繁榮發(fā)展。

繁榮的背后，同樣存在隱患，安全研究人員最近發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)（指黑客利用自己編寫的分散式阻斷服務(wù)攻擊程序?qū)?dǎo)致數(shù)萬個機(jī)器淪陷，即常說的傀儡機(jī)或肉雞），具有新穎的防御機(jī)制。通常當(dāng)局可以通過接管僵尸網(wǎng)絡(luò)的命令和控制服務(wù)器來禁用它，但是多年來，僵尸網(wǎng)絡(luò)設(shè)計者已經(jīng)想出了讓反擊更加困難的方法。比如內(nèi)容交付網(wǎng)絡(luò)Akamai（阿卡邁科技）報告的一種新方法：使用比特幣區(qū)塊鏈來進(jìn)行分類賬，由于區(qū)塊鏈?zhǔn)侨蚩稍L問的并且很難拆除，因此僵尸網(wǎng)絡(luò)的操作員似乎更隱蔽了。

了解比特幣區(qū)塊鏈的數(shù)學(xué)原理，需要了解一個概念，區(qū)塊鏈?zhǔn)且环N“分布式分類賬”：自開始以來的所有交易記錄，每個使用區(qū)塊鏈的人都需要訪問并引用它的副本。如果有人在區(qū)塊鏈中放入非法材料怎么辦？

布魯斯·施耐爾是一名安全技術(shù)員，曾在哈佛大學(xué)肯尼迪學(xué)校任教，他是《點(diǎn)擊這里殺死所有人：超連接世界中的安全與生存》一書的作者。他認(rèn)為，并非每個使用區(qū)塊鏈的人都擁有整個分類賬的副本。許多購買比特幣和以太坊之類加密貨幣的人，不必費(fèi)心使用賬本來驗(yàn)證購買，甚至許多人實(shí)際上并沒有完全持有貨幣，而是信任交易所。但是人們需要在賬本上不斷驗(yàn)證區(qū)塊鏈的歷史，以確保系統(tǒng)安全，這就是系統(tǒng)的工作方式。

幾年前，人們開始注意到嵌入在比特幣區(qū)塊鏈中的各種事物。有數(shù)字圖像，有比特幣徽標(biāo)，以及由其所謂的創(chuàng)始人中本聰（Satoshi Nakamoto）描述比特幣的原始論文，甚至有非法內(nèi)容和機(jī)密文件泄露，所有這些都是匿名的比特幣用戶輸入的。

一旦有人向比特幣分類賬中添加了一些東西，它就變得棘手了，刪除某些東西需要區(qū)塊鏈的分支，其中比特幣分成多個并行的加密貨幣（和相關(guān)的區(qū)塊鏈）。由于法律上的強(qiáng)制，反復(fù)分叉會破壞比特幣作為穩(wěn)定貨幣的地位，所以很難清除這些內(nèi)容。

僵尸網(wǎng)絡(luò)的設(shè)計者正在使用這種思想來創(chuàng)建一種侵權(quán)行為，在比特幣和大多數(shù)其他公共區(qū)塊鏈中，沒有中央可信賴的機(jī)構(gòu)。世界上任何人都可以執(zhí)行交易或成為礦工，每個人都等于他們擁有執(zhí)行密碼計算的硬件和電力的程度。這種開放性也是一種漏洞，它為不對稱威脅和小規(guī)模惡意行為者打開了大門，任何人都可以將信息放入唯一的比特幣區(qū)塊鏈中。

在過去的三十年中，全世界見證了開放網(wǎng)絡(luò)的力量：區(qū)塊鏈、社交媒體、網(wǎng)絡(luò)本身?；ヂ?lián)網(wǎng)技術(shù)如此強(qiáng)大的原因在于它們的價值不僅與用戶數(shù)量有關(guān)，而且與用戶之間潛在鏈接的數(shù)量有關(guān)。這是梅特卡夫定律——網(wǎng)絡(luò)中的價值是用戶數(shù)量的二次方，而不是線性關(guān)系，現(xiàn)在看來每個開放網(wǎng)絡(luò)都遵循了這個預(yù)言。

隨著比特幣的增長（即使用途尚不清楚），其貨幣價值也已飆升。加密貨幣的炒作毫無進(jìn)入門檻，區(qū)塊鏈空間一直是創(chuàng)新與違法的邊緣。但是今天，許多杰出的擁護(hù)者認(rèn)為比特幣應(yīng)該成為一種全球通用的貨幣，在這種情況下，諸如嵌入式非法數(shù)據(jù)之類的非對稱威脅成為主要挑戰(zhàn)。

比特幣背后的哲學(xué)可以追溯到開放式互聯(lián)網(wǎng)的最早時代。在約翰·佩里·巴洛1996年的《網(wǎng)絡(luò)空間獨(dú)立宣言》中已明確表述過，過去和現(xiàn)在都是科技創(chuàng)業(yè)公司的精神：代碼比機(jī)構(gòu)更值得信賴。信息是免費(fèi)的，沒有人有權(quán)（也不應(yīng)有能力）對其進(jìn)行控制。

但是信息必須駐留在某個地方，代碼由人們編寫并為人們編寫，存儲在國家/地區(qū)內(nèi)的計算機(jī)上，并嵌入到我們創(chuàng)建的機(jī)構(gòu)和社會中。信任信息就是信任它的監(jiān)管鏈和它所來自的社會環(huán)境，代碼和信息都不是價值中立的，還是要依賴人類環(huán)境。

如今，每個社會都控制著人們可以訪問的信息，還有一些通過權(quán)力為自己的利益而設(shè)計的民法，例如美國版權(quán)法或英國誹謗法。比特幣和類似的區(qū)塊鏈正在與這些法律發(fā)生沖突。當(dāng)強(qiáng)權(quán)者的利益與法律一道對抗開放式區(qū)塊鏈時，會發(fā)生什么？讓我們想象一下我們的各種場景可能會如何發(fā)揮作用。

比如非法的色情內(nèi)容和泄露的機(jī)密數(shù)據(jù)，這些已經(jīng)在比特幣區(qū)塊鏈上存在了多年，就像僵尸網(wǎng)絡(luò)的示例一樣，可能不會威脅到現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，但將這些非法圖像保存在用戶硬盤上是重罪，可能會對涉及比特幣的任何人產(chǎn)生重大影響。無論哪種情況發(fā)生，這都可能是比特幣作為全球貨幣的致命弱點(diǎn)。

碎片化更易被攻擊

假設(shè)比特幣可能按地理位置分為10個較小的區(qū)塊鏈：一個在中國，另一個在美國，以此類推，這些片段可能會保留其原始用戶信息，但梅特卡夫定律（一個網(wǎng)絡(luò)的用戶數(shù)目越多，那么整個網(wǎng)絡(luò)和該網(wǎng)絡(luò)內(nèi)的每臺計算機(jī)的價值也就越大）意味著這些blockchain（比特幣錢包）片段的整體價值組合將是原來的僅僅十分之一。

這是因?yàn)殚_放網(wǎng)絡(luò)的價值和你可以與之通信的其他數(shù)量有關(guān)，并且可以在區(qū)塊鏈中進(jìn)行交易。由于比特幣貨幣的安全性是通過昂貴的計算實(shí)現(xiàn)的，因此碎片化的區(qū)塊鏈也更容易（通過51%的攻擊）被有組織的攻擊者進(jìn)行攻擊，如果較小的區(qū)塊鏈都使用相同的哈希函數(shù)，風(fēng)險更大。

哈希函數(shù)不僅是比特幣協(xié)議的重要組成部分，還是整個信息安全的重要組成部分。哈希函數(shù)是一個數(shù)學(xué)過程，它接收任意大小的輸入數(shù)據(jù)，對其進(jìn)行運(yùn)算，然后返回固定大小的輸出數(shù)據(jù)。在一個更具體的示例中，這可以用于將任意長度的字母序列作為輸入（我們稱為字符串），并返回固定長度的字母序列。

用戶使用任何需要密碼的Web服務(wù)創(chuàng)建用戶賬戶時，密碼將通過哈希函數(shù)運(yùn)行，并存儲消息的哈希摘要。輸入密碼登錄時，對輸入的單詞運(yùn)行相同的哈希函數(shù)，然后服務(wù)器檢查結(jié)果是否與存儲的摘要匹配。

在比特幣世界中，私鑰代表一切，一旦私鑰泄露或遺忘，意味著你的比特幣財富也將失去，且他人無法幫你找回丟失的比特幣。并且比特幣無央行發(fā)行，無政府部門為其交易和安全保駕護(hù)航，這也讓比特幣的價值充滿變數(shù)。比特幣的系統(tǒng)目前雖然很健壯，但它的交易平臺（通常是一個網(wǎng)站）是脆弱的，易遭受黑客攻擊 ，例如Mt.Gox曾是世界最大的比特幣交易所，被惡意攻擊后宣布破產(chǎn)，這個倒霉鬼一共被盜了85萬個比特幣（也有陰謀論說是監(jiān)守自盜）。

相比之下，傳統(tǒng)貨幣通常不容易受到這類不對稱威脅的影響，網(wǎng)絡(luò)攻擊對美元或任何其他法定貨幣沒有效果。盡管貨幣惡性通貨膨脹，但賦予貨幣價值的制度和信念是根深蒂固的。對法定貨幣的唯一值得注意的攻擊是偽造形式，造假者需要專用設(shè)備，并且容易受到執(zhí)法人員的發(fā)現(xiàn)和逮捕，近年來的鈔票防偽能力提升后，偽鈔已經(jīng)大幅度減少。

結(jié)語：比特幣的開放性和不受控制的吸引力吸引了眾多追隨者，它的目標(biāo)是創(chuàng)建一個用密碼能力取代文化力量的世界：用代碼進(jìn)行驗(yàn)證，而不是對人類的信任。但是如今該功能已成為一個漏洞，當(dāng)人類的信任系統(tǒng)與區(qū)塊鏈貨幣無信任驗(yàn)證發(fā)生沖突時會發(fā)生什么，相信在不久的將來我們將見證它的成敗。

Mt.Gox曾是世界最大的比特幣交易所，因安全問題被盜后，有20000多名受害者，美國交易所CoinLab也是其中之一，它對MtGox索賠160億美元

比特幣系統(tǒng)中涉及的相關(guān)密碼技術(shù)，包含簽名、哈希函數(shù)以及區(qū)塊鏈技術(shù)，尤其是區(qū)塊鏈技術(shù)，以鏈狀結(jié)構(gòu)存儲數(shù)據(jù)，以密碼技術(shù)為數(shù)據(jù)傳輸提供機(jī)密性和認(rèn)證性服務(wù)，從而形成一條分布式存儲 、無法篡改 、永無止息的數(shù)據(jù)庫。但比特幣等諸多數(shù)字貨幣在一定程度上具有匿名性，使得監(jiān)管問題日益嚴(yán)峻，如何在保護(hù)實(shí)體隱私的同時實(shí)施有效的監(jiān)管是數(shù)字貨幣領(lǐng)域的一大挑戰(zhàn)。另一方面，由于區(qū)塊鏈技術(shù)能擺脫第三方機(jī)構(gòu)制約，使得它不再局限于數(shù)字貨幣領(lǐng)域。目前，區(qū)塊鏈技術(shù)在金融服務(wù)、公共服務(wù)和IoT 等領(lǐng)域的應(yīng)用尚處于探索階段，有待進(jìn)一步發(fā)掘。