瘋狂比特幣的致命弱點(diǎn)

李垚

謹(jǐn)防被僵尸網(wǎng)絡(luò)利用

加密貨幣取決于區(qū)塊鏈的完整性

比特幣熱潮來(lái)襲，許多中國(guó)企業(yè)想擴(kuò)大加密貨幣業(yè)務(wù)或是進(jìn)軍這個(gè)熱門領(lǐng)域，籌資活動(dòng)驟然增加。大型上市公司從公開(kāi)市場(chǎng)籌資，小企業(yè)則從風(fēng)險(xiǎn)投資家那里籌錢，加密貨幣價(jià)格跳漲，主流機(jī)構(gòu)對(duì)加密貨幣相關(guān)技術(shù)的接納度越來(lái)越高，這些都對(duì)市場(chǎng)起到推波助瀾的作用。

去年6月在納斯達(dá)克市場(chǎng)掛牌上市的中國(guó)比特幣礦機(jī)生產(chǎn)商億邦國(guó)際控股光在2月就進(jìn)行了兩輪融資，籌到1.7億美元，盡管它在11月就融過(guò)一次資。

加密貨幣領(lǐng)域的新軍，中國(guó)固廢回收公司碼鏈新大陸2月通過(guò)配股籌集了2500萬(wàn)美元，用于投資比特幣挖礦。中國(guó)香港的區(qū)塊鏈及加密貨幣投資基金Kenetic Capital的創(chuàng)始合伙人朱沛宗表示，在私募市場(chǎng)，“競(jìng)爭(zhēng)已經(jīng)白熱化，經(jīng)常需要爭(zhēng)搶。每一個(gè)優(yōu)質(zhì)的融資輪，從宣布完不到一周就超額認(rèn)購(gòu)了?！彪m然市場(chǎng)對(duì)比特幣的態(tài)度有些復(fù)雜，但這個(gè)市場(chǎng)仍然在繁榮發(fā)展。

繁榮的背后，同樣存在隱患，安全研究人員最近發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)（指黑客利用自己編寫(xiě)的分散式阻斷服務(wù)攻擊程序?qū)?dǎo)致數(shù)萬(wàn)個(gè)機(jī)器淪陷，即常說(shuō)的傀儡機(jī)或肉雞），具有新穎的防御機(jī)制。通常當(dāng)局可以通過(guò)接管僵尸網(wǎng)絡(luò)的命令和控制服務(wù)器來(lái)禁用它，但是多年來(lái)，僵尸網(wǎng)絡(luò)設(shè)計(jì)者已經(jīng)想出了讓反擊更加困難的方法。比如內(nèi)容交付網(wǎng)絡(luò)Akamai（阿卡邁科技）報(bào)告的一種新方法：使用比特幣區(qū)塊鏈來(lái)進(jìn)行分類賬，由于區(qū)塊鏈?zhǔn)侨蚩稍L問(wèn)的并且很難拆除，因此僵尸網(wǎng)絡(luò)的操作員似乎更隱蔽了。

了解比特幣區(qū)塊鏈的數(shù)學(xué)原理，需要了解一個(gè)概念，區(qū)塊鏈?zhǔn)且环N“分布式分類賬”：自開(kāi)始以來(lái)的所有交易記錄，每個(gè)使用區(qū)塊鏈的人都需要訪問(wèn)并引用它的副本。如果有人在區(qū)塊鏈中放入非法材料怎么辦？

布魯斯·施耐爾是一名安全技術(shù)員，曾在哈佛大學(xué)肯尼迪學(xué)校任教，他是《點(diǎn)擊這里殺死所有人：超連接世界中的安全與生存》一書(shū)的作者。他認(rèn)為，并非每個(gè)使用區(qū)塊鏈的人都擁有整個(gè)分類賬的副本。許多購(gòu)買比特幣和以太坊之類加密貨幣的人，不必費(fèi)心使用賬本來(lái)驗(yàn)證購(gòu)買，甚至許多人實(shí)際上并沒(méi)有完全持有貨幣，而是信任交易所。但是人們需要在賬本上不斷驗(yàn)證區(qū)塊鏈的歷史，以確保系統(tǒng)安全，這就是系統(tǒng)的工作方式。

幾年前，人們開(kāi)始注意到嵌入在比特幣區(qū)塊鏈中的各種事物。有數(shù)字圖像，有比特幣徽標(biāo)，以及由其所謂的創(chuàng)始人中本聰（Satoshi Nakamoto）描述比特幣的原始論文，甚至有非法內(nèi)容和機(jī)密文件泄露，所有這些都是匿名的比特幣用戶輸入的。

一旦有人向比特幣分類賬中添加了一些東西，它就變得棘手了，刪除某些東西需要區(qū)塊鏈的分支，其中比特幣分成多個(gè)并行的加密貨幣（和相關(guān)的區(qū)塊鏈）。由于法律上的強(qiáng)制，反復(fù)分叉會(huì)破壞比特幣作為穩(wěn)定貨幣的地位，所以很難清除這些內(nèi)容。

僵尸網(wǎng)絡(luò)的設(shè)計(jì)者正在使用這種思想來(lái)創(chuàng)建一種侵權(quán)行為，在比特幣和大多數(shù)其他公共區(qū)塊鏈中，沒(méi)有中央可信賴的機(jī)構(gòu)。世界上任何人都可以執(zhí)行交易或成為礦工，每個(gè)人都等于他們擁有執(zhí)行密碼計(jì)算的硬件和電力的程度。這種開(kāi)放性也是一種漏洞，它為不對(duì)稱威脅和小規(guī)模惡意行為者打開(kāi)了大門，任何人都可以將信息放入唯一的比特幣區(qū)塊鏈中。

在過(guò)去的三十年中，全世界見(jiàn)證了開(kāi)放網(wǎng)絡(luò)的力量：區(qū)塊鏈、社交媒體、網(wǎng)絡(luò)本身?；ヂ?lián)網(wǎng)技術(shù)如此強(qiáng)大的原因在于它們的價(jià)值不僅與用戶數(shù)量有關(guān)，而且與用戶之間潛在鏈接的數(shù)量有關(guān)。這是梅特卡夫定律——網(wǎng)絡(luò)中的價(jià)值是用戶數(shù)量的二次方，而不是線性關(guān)系，現(xiàn)在看來(lái)每個(gè)開(kāi)放網(wǎng)絡(luò)都遵循了這個(gè)預(yù)言。

隨著比特幣的增長(zhǎng)（即使用途尚不清楚），其貨幣價(jià)值也已飆升。加密貨幣的炒作毫無(wú)進(jìn)入門檻，區(qū)塊鏈空間一直是創(chuàng)新與違法的邊緣。但是今天，許多杰出的擁護(hù)者認(rèn)為比特幣應(yīng)該成為一種全球通用的貨幣，在這種情況下，諸如嵌入式非法數(shù)據(jù)之類的非對(duì)稱威脅成為主要挑戰(zhàn)。

比特幣背后的哲學(xué)可以追溯到開(kāi)放式互聯(lián)網(wǎng)的最早時(shí)代。在約翰·佩里·巴洛1996年的《網(wǎng)絡(luò)空間獨(dú)立宣言》中已明確表述過(guò)，過(guò)去和現(xiàn)在都是科技創(chuàng)業(yè)公司的精神：代碼比機(jī)構(gòu)更值得信賴。信息是免費(fèi)的，沒(méi)有人有權(quán)（也不應(yīng)有能力）對(duì)其進(jìn)行控制。

但是信息必須駐留在某個(gè)地方，代碼由人們編寫(xiě)并為人們編寫(xiě)，存儲(chǔ)在國(guó)家/地區(qū)內(nèi)的計(jì)算機(jī)上，并嵌入到我們創(chuàng)建的機(jī)構(gòu)和社會(huì)中。信任信息就是信任它的監(jiān)管鏈和它所來(lái)自的社會(huì)環(huán)境，代碼和信息都不是價(jià)值中立的，還是要依賴人類環(huán)境。

如今，每個(gè)社會(huì)都控制著人們可以訪問(wèn)的信息，還有一些通過(guò)權(quán)力為自己的利益而設(shè)計(jì)的民法，例如美國(guó)版權(quán)法或英國(guó)誹謗法。比特幣和類似的區(qū)塊鏈正在與這些法律發(fā)生沖突。當(dāng)強(qiáng)權(quán)者的利益與法律一道對(duì)抗開(kāi)放式區(qū)塊鏈時(shí)，會(huì)發(fā)生什么？讓我們想象一下我們的各種場(chǎng)景可能會(huì)如何發(fā)揮作用。

比如非法的色情內(nèi)容和泄露的機(jī)密數(shù)據(jù)，這些已經(jīng)在比特幣區(qū)塊鏈上存在了多年，就像僵尸網(wǎng)絡(luò)的示例一樣，可能不會(huì)威脅到現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，但將這些非法圖像保存在用戶硬盤(pán)上是重罪，可能會(huì)對(duì)涉及比特幣的任何人產(chǎn)生重大影響。無(wú)論哪種情況發(fā)生，這都可能是比特幣作為全球貨幣的致命弱點(diǎn)。

碎片化更易被攻擊

假設(shè)比特幣可能按地理位置分為10個(gè)較小的區(qū)塊鏈：一個(gè)在中國(guó)，另一個(gè)在美國(guó)，以此類推，這些片段可能會(huì)保留其原始用戶信息，但梅特卡夫定律（一個(gè)網(wǎng)絡(luò)的用戶數(shù)目越多，那么整個(gè)網(wǎng)絡(luò)和該網(wǎng)絡(luò)內(nèi)的每臺(tái)計(jì)算機(jī)的價(jià)值也就越大）意味著這些blockchain（比特幣錢包）片段的整體價(jià)值組合將是原來(lái)的僅僅十分之一。

這是因?yàn)殚_(kāi)放網(wǎng)絡(luò)的價(jià)值和你可以與之通信的其他數(shù)量有關(guān)，并且可以在區(qū)塊鏈中進(jìn)行交易。由于比特幣貨幣的安全性是通過(guò)昂貴的計(jì)算實(shí)現(xiàn)的，因此碎片化的區(qū)塊鏈也更容易（通過(guò)51%的攻擊）被有組織的攻擊者進(jìn)行攻擊，如果較小的區(qū)塊鏈都使用相同的哈希函數(shù)，風(fēng)險(xiǎn)更大。

哈希函數(shù)不僅是比特幣協(xié)議的重要組成部分，還是整個(gè)信息安全的重要組成部分。哈希函數(shù)是一個(gè)數(shù)學(xué)過(guò)程，它接收任意大小的輸入數(shù)據(jù)，對(duì)其進(jìn)行運(yùn)算，然后返回固定大小的輸出數(shù)據(jù)。在一個(gè)更具體的示例中，這可以用于將任意長(zhǎng)度的字母序列作為輸入（我們稱為字符串），并返回固定長(zhǎng)度的字母序列。

用戶使用任何需要密碼的Web服務(wù)創(chuàng)建用戶賬戶時(shí)，密碼將通過(guò)哈希函數(shù)運(yùn)行，并存儲(chǔ)消息的哈希摘要。輸入密碼登錄時(shí)，對(duì)輸入的單詞運(yùn)行相同的哈希函數(shù)，然后服務(wù)器檢查結(jié)果是否與存儲(chǔ)的摘要匹配。

在比特幣世界中，私鑰代表一切，一旦私鑰泄露或遺忘，意味著你的比特幣財(cái)富也將失去，且他人無(wú)法幫你找回丟失的比特幣。并且比特幣無(wú)央行發(fā)行，無(wú)政府部門為其交易和安全保駕護(hù)航，這也讓比特幣的價(jià)值充滿變數(shù)。比特幣的系統(tǒng)目前雖然很健壯，但它的交易平臺(tái)（通常是一個(gè)網(wǎng)站）是脆弱的，易遭受黑客攻擊 ，例如Mt.Gox曾是世界最大的比特幣交易所，被惡意攻擊后宣布破產(chǎn)，這個(gè)倒霉鬼一共被盜了85萬(wàn)個(gè)比特幣（也有陰謀論說(shuō)是監(jiān)守自盜）。

相比之下，傳統(tǒng)貨幣通常不容易受到這類不對(duì)稱威脅的影響，網(wǎng)絡(luò)攻擊對(duì)美元或任何其他法定貨幣沒(méi)有效果。盡管貨幣惡性通貨膨脹，但賦予貨幣價(jià)值的制度和信念是根深蒂固的。對(duì)法定貨幣的唯一值得注意的攻擊是偽造形式，造假者需要專用設(shè)備，并且容易受到執(zhí)法人員的發(fā)現(xiàn)和逮捕，近年來(lái)的鈔票防偽能力提升后，偽鈔已經(jīng)大幅度減少。

結(jié)語(yǔ)：比特幣的開(kāi)放性和不受控制的吸引力吸引了眾多追隨者，它的目標(biāo)是創(chuàng)建一個(gè)用密碼能力取代文化力量的世界：用代碼進(jìn)行驗(yàn)證，而不是對(duì)人類的信任。但是如今該功能已成為一個(gè)漏洞，當(dāng)人類的信任系統(tǒng)與區(qū)塊鏈貨幣無(wú)信任驗(yàn)證發(fā)生沖突時(shí)會(huì)發(fā)生什么，相信在不久的將來(lái)我們將見(jiàn)證它的成敗。

Mt.Gox曾是世界最大的比特幣交易所，因安全問(wèn)題被盜后，有20000多名受害者，美國(guó)交易所CoinLab也是其中之一，它對(duì)MtGox索賠160億美元

比特幣系統(tǒng)中涉及的相關(guān)密碼技術(shù)，包含簽名、哈希函數(shù)以及區(qū)塊鏈技術(shù)，尤其是區(qū)塊鏈技術(shù)，以鏈狀結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)，以密碼技術(shù)為數(shù)據(jù)傳輸提供機(jī)密性和認(rèn)證性服務(wù)，從而形成一條分布式存儲(chǔ) 、無(wú)法篡改 、永無(wú)止息的數(shù)據(jù)庫(kù)。但比特幣等諸多數(shù)字貨幣在一定程度上具有匿名性，使得監(jiān)管問(wèn)題日益嚴(yán)峻，如何在保護(hù)實(shí)體隱私的同時(shí)實(shí)施有效的監(jiān)管是數(shù)字貨幣領(lǐng)域的一大挑戰(zhàn)。另一方面，由于區(qū)塊鏈技術(shù)能擺脫第三方機(jī)構(gòu)制約，使得它不再局限于數(shù)字貨幣領(lǐng)域。目前，區(qū)塊鏈技術(shù)在金融服務(wù)、公共服務(wù)和IoT 等領(lǐng)域的應(yīng)用尚處于探索階段，有待進(jìn)一步發(fā)掘。