据市场上不完全统计,2011-2018年期间,区块链因安全事件导致的金额损失高达31亿美元。值得注意的是,从2017年开始区块链安全事件损失金额呈现一个指数级上升趋势,仅2018年发展以来它的损失已达到19亿美元,安全问题已经成为区块链发展的核心关键。除了安全问题,区块链密码算法、签名标准、底层技术框架、行业应用、测评认证等方面行业尚未达成统一共识,可交互和可操作性缺失,碎片化发展严重。11月28日,由Odaily星球日报与36Kr集团共同主办的2018P.O.DNewBlockTrend新区势峰会在北京举行。会上,Odaily星球日报高级分析师李雪婷、工信部互联网金融安全技术重点实验室主任吴震、中国民生投资集团新业态研究中心副主任刘燕、中国电子信息产业发展研究院赛迪全球公有链技术评估负责人蒲松涛、Cobo高级副总裁李尧展开了一场关于《区块链技术标准建设》的圆桌讨论。圆桌主要讨论了:1.区块链安全的主要风险点,产生风险的原因;2.区块链技术标准的维度、可量化的指标;3.目前我国区块链测评方面取得的进展;4.区块链存储方案,如何确定安全指标,建立安全指标体系;5.第三方验证机构的发展概况;6.区块链标准建设中仍需改善的问题。以下是圆桌讨论实录:
李雪婷:大家好我是Odaily星球日报分析师李雪婷,是这场圆桌讨论的主持人,我首先介绍一下我们圆桌讨论的背景,我们知道区块链在供应链管理、跨境支付、版权管理等分布式信任管理中有不错的应用前景,但在安全存储等数字资产管理方面仍然存在很多问题。今天非常荣幸地邀请到几位嘉宾,跟我们一起来探讨区块链技术标准建设这个话题,再次感谢几位嘉宾,接下来我们以问答的形式来进行。首先第一个问题是关于区块链一些安全事件,我们有统计到2017年区块链安全数据是15起,2018年是75起,增长率大概是373%这样的一个比例,从这个数据上来看是非常惊人的。我先请教一下吴主任,目前区块链安全的一些风险点主要在哪些方面,产生这些风险点的原因是什么?吴震:区块链作为一种特定信息系统,既包含信息系统所拥有的风险点,例如说P2P网络攻击等等,同时区块链安全又有自己的特点。我感觉主要是表现在三个方面:第一个是密码算法、第二个是共识机制、第三个是智能合约。密码算法既有算法的选择,也有密钥全生命周期的管理,安全也是比较大的隐患。共识机制是区跨链技术的核心,但很多共识机制无论逻辑上还是实现上都存在较多的隐含。智能合约方面,有大量开源的APP应用,一直是黑客攻击的重灾区。从总体看,区块链既有逻辑上的风险,也有实现上的风险,很多代码实现质量不高,目前已发生的攻击多出现在实现层面。李雪婷:吴主任从密码算法、共识机制、智能合约等技术层面来讲了这个问题。我想请问一下蒲总,您从公有链的角度、从业务层面分析一下目前的风险点主要包括哪些方面?蒲松涛:刚才你也提到2018年的安全事件比2017年多很多,不仅是因为本身具有的安全风险,有可能是因为市场更活跃、关注度更高以及黑客带来的安全问题。从用户、项目方面来讲,不同的层面有不同的层级,大概的安全问题可以分为三大类,链稳定性的问题、数字货币的丢失的问题以及智能合约存在的漏洞问题。后两个问题更重要,今年也有发生过有公有链遭受到攻击的,包括近期有一条公有链出现了长时间没有出块的问题。像钱包丢失的问题,是区别于传统互联网领域问题的。关于智能合约的问题,今年上半年我有跟360相关的朋友交流过,发现问题特别多。李雪婷:那蒲总提到钱包丢失的问题,我想请教一下李总,您能从钱包这个角度大概分享一下钱包安全方面有哪些风险点?李尧:我非常同意前两位的观点,我们观察市场发现,最主要的损失还是来自数字资产的损失,我们先将数字资产进行定义,从20世纪90年代开始,人类科技向虚拟化和数字化两个方向发展,变得更加地数字形态化,不仅包括数字货币,我们提到的数字IP、虚拟产品,还有商业化的信息流都归为数字资产。从钱包行业来看,在区块链的世界中,密钥即资产,密钥的生成、分发、存储、更新甚至到销毁都会出现重大问题。比如说销毁,用户只是普通的删除,但是在BIP32协议下,黑客通过你的子私钥和主公钥,就可以直接拿到你的主私钥,进而转移你的全部资产。所以对密钥的管理非常重要,这也是我们做钱包公司重要原因,帮助用户守护资产。同时我们也发现除了安全问题以外,由于不像标准建设比较完善的传统互联网公司,区块链行业很多标准都没有形成,很多创业公司造成了大量的资源浪费,没能得到有效的统一,导致事故经常发生。所以第一是要对密钥进行管理,第二是要大家一起去探讨这个事情。李雪婷:刚刚三位从技术和业务层面来分析了安全风险点,比如说51%的攻击、智能合约这些,大概跟互联网的一些安全风险特别像。我想请问一下刘主任,有没有一些风险点是区块链独有的?刘燕:区块链本身是技术,刚才提到了很多技术漏洞造成的投资者和参与方的损失,这些问题的解决所需要的工作不仅仅在技术层面。不能忽略的是公司治理的问题,比如说相应的信息披露问题。在传统金融行业中,当投资者参与一个项目的时候,两者之间是有契约关系的,对双方所履行的责任、资金的用途都有非常清晰的标准,也有相应的金融中介机构来负责相关事项。反观区块链发展到今天,2018年是白皮书发表的第十年,区块链正与我们的生活发生融合,过程中必然会与我们传统的规则、法律、制度相融合,也应该有更合理、更健全的治理机制相融合,以保证对参与方和投资者切身利益的保护。尽管区块链产生的初期是完全出于去中心化的机制设计,实际业务融合过程中,在业务场景方面,传统存在的机制还是有很大的意义。我个人认为安全问题也不是单纯技术层面的问题。李雪婷:刘主任提到传统机制、标准问题,很多人都不太了解区块链技术标准,这个技术标准有没有一些维度或者可量化的指标,请吴主任给我们普及一下。吴震:谈到技术标准,首先是可行性,另外是必要性。从可行性来说,目前区块链技术发展处于早期,很多东西处于探索的阶段,所以现在定的一些标准如果过于严格会对这个行业产生一定的限制作用。从必要性来说,为什么会有标准,以通信行业为例,它的标准比较完善、健全,包括ITU等等。因为没有一个企业业务可以囊括整个通信行业,各家企业间需要相互协作、互相理解,于是标准制定就成了整个行业的呼吁。除非假定一个企业能力很强,比如说苹果,可以做到自成一体,所有东西都可以在企业内部做随意调整,那它可以不用标准。对应区块链来说,第一整个区块链需要一些定义和参考架构的标准,大家因此可以达成共识;第二应该有监管的标准,因为监管是行业和外部的接口,但至于监管怎么用是监管的事;第三是安全方面的标准,包括整体的安全要求和测评标准。大家知道安全不可能做到100%,但参考标准对行业安全有推动意义。李雪婷:如果一些定义和标准可以达成共识的话,对行业的良性发展可以起到一个指引性的作用。刚才吴主任提到测评,从区块链测评方面来讲,目前我国取得哪些进展?蒲松涛:在回答您的问题之前,我接着吴主任的话简单讲一讲。我认为行业里大家关注的并不是组织或者国家制定的标准,更关注的是事实的标准。前几年我们在研究云计算的时候大家在讨论一个新的技术,讨论Docker是什么?华为认为Docker就是标准,现在的事实也是这样。回到区块链行业,代币的标准是什么?代币的标准就是ERC-20。如果发展到一定程度、有影响力,就会成为事实标准。我们看到很多底层架构就是以比特币为标准做的。关于测评,现在的区块链领域,大概有四类标准:密码相关的、技术架构方面的、面向应用的、测评的。测评这块主要是各个组织去设定相关标准去做评级,国内有很多机构做测评,每个机构都有自己的一套标准,但行业内没有一个统一的标准体系,大概是这样一个情况。李雪婷:各家都有一个标准体系的话,会不会产生碎片化,从而阻碍行业的共同发展?蒲松涛:我认为不会。一件产品出来以后,各家测评机构通过各自的标准体系对产品进行测评,并颁发相应证书,对行业不会带来多大的影响。李雪婷:对于测评刘主任有没有补充的内容?刘燕:测评推进整个行业往前发展需要跨越比较大的门槛。目前存在的挑战有很多,比如说技术本身是不是成熟的问题。判定一个行业的技术是否成熟,需要产生被这个行业大多数应用方接受的技术标准,以及需要标准在产业端落地、实施方面的龙头型企业来进行标准的实施。目前而言,还没有达到成熟阶段。一项成熟的技术能够和产业、场景相融合,并推进在各个场景中落地的实现。技术和标准的发展是相辅相成非常动态的过程,一方面需要找到适合区块链的应用场景,为产业端生产找到突破点,另一方面也需要在实施过程中形成一定的技术标准。需要一定的技术标准来评判一个项目是不是区块链项目,同时保证我们在链上的数字资产的安全,保证链运行过程中的效率提升。李雪婷:刘主任刚才说到链上数字资产安全,我想问一下李总,关于数字资产存储方案,这个方案是怎么去确定一些安全指标来建立安全指标体系的?李尧:刚才三位说的标准我比较同意。我们观察到行业的技术鉴定非常初步,初创企业需要一个行业标准,这样对行业监管和企业自身行为规范有极大的帮助。另外我想谈一谈在行业内目前不规范的标准,比如说助记词的格式,在不同平台上出现的标准存在多种形式,有的用英文字母,有的用汉字表示,应该要进行统一规范化。再比如行业数据为什么会被盗,我分享一个案例,去中心化漏洞平台DVP此前检测到,有超过600家交易所使用存在漏洞的已被废弃的开源程序,该漏洞可使攻击者绕过交易所原本的限制,违规修改信息,或在未授权的情况下删除交易所的数据。就是没有一个好的基础协议选择标准,这对用户来讲是非常可怕的。那什么是好的标准的维度?在我们看来这个标准能达到在共识机制安全的标准、算法安全的标准、网络安全的标准、应用层面的安全标准以及合约安全标准这六个层面的统一,对行业有促进意义,就也是我们Cobo钱包希望推动的标准。李雪婷:好的,大家都是从行业的角度来讲标准建设,我想再问一下吴主任标准建设有什么进展?吴震:首先已经在制定区块链参考架构的国家标准,现在正在立项和起草过程中,会对区块链的术语、参考架构、角色、功能模块进行定义。我们国家互联网应急中心也牵头成立了一个区块链平台安全技术要求的标准,现在也完成了草案,正在征求意见。我们中心在ITU也牵头了一个区块链版权国际标准的制定工作。总的来说,框架性标准是有的,但是区块链应用的标准目前还处于早期,也不成熟,暂时也不是特别迫切。李雪婷:好的,刚才提到测评,据我了解到这个标准制定除了评价指标体系,还需要第三方验证机构,蒲总对第三方验证机构的发展有何看法?蒲松涛:其实任何行业的发展除了行业自身提供技术产品之外都需要第三方的负责,包括投融资的服务等,这些都需要。对于区块链来讲,第三方机构的介入是非常有必要的。至少我了解到的,工信部下属的科研单位,实际上都在技术测评等方面提供一些服务。李雪婷:各位嘉宾都介绍了目前区块链行业标准建设的进展,我想请教一下各位,在区块链标准建设当中有没有存在一些问题目前是没有办法攻克,或者是仍需改善的?吴震:处于市场上形成的符合实际情况的标准比较有生命力。比如说大家都知道的TCP/IP协议,出现地比较早,虽然存在不足但迅速占领了市场。非市场形成的标准因为缺乏支持容易被束之高阁。实际上标准制定上来说不存在什么问题,问题是制定的标准能否达成共识、能否落地使用。刘燕:我个人觉得技术标准制定和技术本身发展之间需要达到一个动态的平衡。区块链技术尚处于早期阶段,它的发展还需要从各个维度不停地去提升其基础功能。区块链不是一个单一的技术,加密、算法、共识机制设计,激励机制设计等所有底层技术的成熟,和各个领域的科学家对于某个方面的突破,都会推进技术的发展。如果标准制定得覆盖面过广,可能会限制技术的发展。我们希望技术标准可以防范一些比如说数据上的重大风险,对应用场景或者一些敏感性数据上,采取一些类似于沙盒监管的措施,既在中间把控严重的漏洞风险,也符合现阶段技术发展的特征,给技术发展留有比较健康的推动力。蒲松涛:我非常同意这两位的发言,我觉得有两个问题是值得去探讨的。第一个问题是,技术标准制定的必要性,当前整个区块链行业十分活跃,过早制定标准是有影响的;第二个问题是,标准制定后是否有效,如何让大家接受你的标准?特别像我负责的公有链的研究,每一条链都有自己的模式,协议做出来了,各个公有链团队会不会认可就是问题。技术标准制定的必要性、制定的标准是否能推广出来。我觉得有四个方向值得研究:1.哪些是我们现在紧缺的、必须制定的标准。我觉得最重要的是术语,这是最基本、最底层的。参考架构也很必要,更多是对于新初创团队,这是必需的。2.发展空间。各个测评机构、团队、组织都有自己的测评体系,这方面的标准可以有自由发展的空间,基于测评的沙盒也是有可能的。3.迁移。区块链里很多都是传统行业中有的技术,在传统行业里都是有国标的。据我所知,应该是在国秘算法有19项,电子签名大概有20项,这些标准能不能迁移到区块链中来。围绕着密码应用的体系相对比较健全,密码的安全大概有10项左右的国家标准,包括密码应用的接口大概有20项国家标准,这些怎么迁移到区块链行业。4.值得探索的。刚才也提到像区块链的行业应用相关的标准,包括各家行业组织也没有提出标准,将来真有可能形成事实的行业标准,变成行标、国标。李尧:简单说下我的感受。链分为联盟链、私有链、公有链,联盟链和私有链一般不涉及到分布式节点,是公司治理而非社区治理,因此标准容易制定。公有链的标准多元复杂,链本身也在不断演变,不断突破,例如比特币的闪电协议,未来可能实现毫秒级到账,以及以太坊的雷电协议等都会极大地提高支付效率。同时对于区块链的共识机制也在不断演进,从POW到POS、DPOS等,当这些公链技术和标准非常完善统一后,再反推到联盟链和私有链,会是比较好的尝试,从企业端来看,也会更效率化一点。李雪婷:四位嘉宾从不同角度对区块链技术标准建设进行了一些展望,确实区块链标准化建设能打通应用通道、防范应用风险,对区块链应用落地有积极作用。但现在由于区块链处于发展的早期,过早严格地制定一些标准可能会限制技术的发展。技术标准的建设不是一蹴而就的,是慢慢推进的。我们期待区块链技术标准建设在团体层面和行业层面的共同努力下来推进,从而促进行业的良性发展。今天非常感谢四位精彩的讲解,由于时间原因我们圆桌论坛先到这里,再次感谢四位嘉宾。
工信部就《区块链和分布式记账技术标准体系建设指南(2023版)》公开征求意见:金色财经报道,工信部就《区块链和分布式记账技术标准体系建设指南(2023版)》(征求意见稿)公开征求意见。其中提出,到2023年,明确区块链和分布式记账技术标准体系顶层设计,研究标准体系建设和标准研制的总体规则,明确标准间的关系,重点开展基础共性标准研制,基本满足我国区块链和分布式记账技术标准化需求。到2025年,进一步完善国家区块链和分布式记账技术标准体系,持续推动区块链和分布式记账技术基础共性、关键应用示范和安全保障等标准,有效指导我国区块链产业建设,提升技术与应用服务水平。[2023/3/28 13:30:57]
四川:探索建立基于区块链技术的数字资产交易平台:9月10日消息,《四川省加快推进新型基础设施建设行动方案(2020—2022年)》正式发布,方案基本思路中提到加快建设区块链等信息基础设施,主要目标在三年内建设区块链技术应用示范场景20个以上。在区块链和数字货币方面,《方案》指出:抢先布局区块链。加快推进区块链隐私保护、跨链控制、网络安全等核心技术攻关、集成创新和融合应用,建设区块链产业创新中心等创新平台,提升区块链核心创新能力。推动区块链在政务服务、金融服务、物流仓储、数字版权、农产品溯源等领域创新应用,打造政府数据开放共享区块链试点平台、“蜀信链”等区块链基础设施,建设基于区块链技术的知识产权融资服务平台,探索建立基于区块链技术的数字资产交易平台。打造区块链高端合作交流平台,提升我省区块链技术产业的全国影响力。(四川省人民政府办公厅)[2020/9/10]
乐清市检察院批准逮捕一起以区块链和虚拟货币为幌子的案犯罪嫌疑人:近日,乐清市检察院经审查,依法对该市首例利用区块链、虚拟货币实施非法的犯罪嫌疑人陈某、王某作出批准逮捕决定。根据经办检察官调查,发现陈某等人推广所谓的“乐存大健康理财基金平台”和虚拟货币“NBY”,就是披了件“区块链”概念外衣的项目。(浙江新闻)[2020/7/3]
声音 | BB:SEC委员Hester Peirce支持区块链和加密创新:Block.one CEO Brendan Blumer 昨晚转推CNBC在Blocksburg峰会上采访SEC委员Hester Peirce的视频,并评论道:SEC委员Peirce支持区块链和加密创新 ,区块链技术是安全的港湾,具有清晰的规则,保护用户隐私权利以及认可比特币。[2019/11/22]
历史上的今天 | 纽约州试图通过法案澄清区块链及智能合约法律地位:1.2018年5月30日,纽约试图澄清区块链和EDCC(又名智能合约)的法律地位,引入了一项名为“修改与区块链技术和智能合约相关的州级技术法”的法案。
2.2018年5月30日,外汇结算服务提供商CLS向R3投资了500万美元。R3首席执行官David Rutter表示,对于区块链领域的公司来说,继续让他们的产品和服务变得更快、更便捷、更安全、更符合最终用户的需求,这才是正确的思路。[2019/5/30]
标签:区块链数字资产BLOCBLO魔兽币是有使用区块链技术吗数字资产管理系统blockchain手机安卓版blocsport.one
本文来自Bianews,星球日报经授权发布。 2017年10月,短视频App抖音对外宣布启动商业化,推出原生信息流品牌广告,用户在抖音平台下滑观看短视频时或会看到推广内容.
1900/1/1 0:00:00本文来自:蓝狐笔记,作者:TimEnneking,译者:Leo,星球日报经授权转发。前言:比特币已经探底了吗?没有人知道,试图找到精确底部是不可能的.
1900/1/1 0:00:00编者按:本文来自:白话区块链,作者:JackyLHH,odaily星球日报经授权转载。最近,关于ofo小黄车退押金的新闻不断刷屏,长时间占据微博热搜榜.
1900/1/1 0:00:00事件新年伊始,深冬的大地寒意渐浓,经历了萧条时期的区块链行业和通证市场也仍然处于冰封之中。但是,18年末开始,隐私通证Grin成为了区块链社区久违的热点话题,得到了市场的广泛关注.
1900/1/1 0:00:00“我很惊喜,当我们跟纽约监管局提到稳定币时,他们认为这是个好主意。”PaxosCEOCharlesCascarilla告诉Odaily星球日报.
1900/1/1 0:00:00昨日,澳本聪发推特说,2019年我们将开始教人们如何构建真正的SPV系统。语气一如既往的自信。而BTCABC这边的“新闻发言人”江卓尔则在微博回应网友,BCH是最好的比特币.
1900/1/1 0:00:00