耶鲁CS系主任邵中教授与哥大顾荣辉教授联手解决安全问题痛点,打造区块链理想世界

简介: 编程语言界的顶级科学家邵中教授带领的形式化验证智能合约项目CertiK,是此前经形式化验证过的无漏洞、无法被黑客攻破的CertiKOS的延伸。

自2014年比特币交易所运营商MT.Gox遭黑客攻击破产倒闭以来,至2018年1月日本另一家数字资产交易所CoinCheck价值约5.3亿美元资产失窃;从2016年The DAO因代码漏洞致五千万美元以太币失窃,到2017年11月Parity过亿美元以太币被冻结,在迅猛的发展势头下,日益壮大的数字资产市场一直摆脱不了安全事故频发的阴影,安全问题成为了区块链这一新兴技术寻求突破、实现大规模落地最为主要的阻碍之一,业内正集体呼唤着,解决这一痛点的可靠技术方案出现。

在上世纪九十年代概念被首次提出后,由于缺乏可信执行环境,智能合约这一概念一直被看作是空中楼阁的设想。直到支持图灵完备的脚本语言的以太坊的诞生,支持可编程合约的数字系统和区块链技术的发明让尼克·萨博的这一技术设想真正落地。但由于智能合约代码编写难度极高,编译器缺少代码库和漏洞导致的系统崩溃等技术问题随着区块链发展历程的推进被不断放大,对于提升智能合约安全性的各种方案的探讨也逐渐成为了业内探讨的技术热点。

早在2016年以太坊开发者大会(Devcon2)上,形式化验证就成为了社区的热门话题。但用数学算法验证软件程序,在确保不同的网络元件接受指令并以用户的身份模拟执行预定程序的过程中,本身就有着需要人工输入等技术限制,如何运用各种工具包来整合形式化验证,存在着诸多制约。

16


由耶鲁大学计算机科学系教授邵中(详见雷锋网(公众号:雷锋网)此前报道:《最牛华人“程序员”邵中,全世界程序员的命运都可能因他而变》)及其弟子、哥伦比亚大学计算机系助理教授顾荣辉带领的形式化验证智能合约项目CertiK,在耶鲁大学数十年的研究成果的基础上,致力于为现有所有的区块链应用提供最先进的安全性服务(官网:certik.org)。

在以往,基于区块链去中心化的思想和技术特性,智能合约一旦提交至链上,合约的源代码无法再被更改。正因为这一点,当黑客发现并利用其存在的漏洞来窃取资金时,唯一制止这种不法行为的方法只有硬分叉(hard forking):将链强行分叉,并且使之前所有的交易信息作废,还需所有社区里的用户升级其本地的区块链。以太坊(ETH)和以太坊经典(ETC)即为一个最具说服力的前车之鉴,其通过硬分叉追讨回失窃资金后使得社区内部分裂,遭致违背去中心化的技术信仰的声讨,爆发的争执蔓延至今,仍影响着社区的稳定和发展。

面对这样巨大的安全风险和不确定性,区块链上的财富似乎可以被轻易攫取,也能被轻易掠夺。对此,顾荣辉教授表示,“区块链建立于信任之上,但是它却并不安全,它的代码实现和所有的复杂系统一样,都可能存在漏洞。甚至区块链因为其去中心化的特性,在其上编写代码极易发生错误,却很难更正代码漏洞。”

从这一现实痛点出发,邵教授认为区块链安全性问题亟需得到解决,在他看来,一旦所有的区块链的代码在上链前全部被形式化的数学证明验证后,开发者和用户们就无须再为区块链上的系统遭受黑客攻击而担心,区块链的安全性问题能够真正得到解决。

17


2018年3月7日,耶鲁大学在其官网上发表新闻称,Certik项目的顺利实施,对区块链的安全问题提供了可靠的保障,使其在迈向落地应用的过程中大大提高了可行性。文章提到,CertiK提供的首创性的安全服务,能够帮助区块链上的每笔交易避免程序错误(bug-free),并且无法被黑客所攻破(hack-resistent)从而造成用户的资金损失,而这将会改变整个区块链行业的规则和未来走向。

据透露,CertiK目前的首要目标是实现比特币、以太币等数字货币交易的完全安全性;而在远期的宏大目标上,CertiK愿景为在世界范围内实现透明、公平、安全的区块链生态。作为耶鲁大学的终身教授,邵中教授在过去二十多年来,致力于利用数学证明的方法开发形式化验证过的软件系统。

雷锋网此前曾报道,这位计算机程序语言设计的权威专家已经研发了经形式化验证过的无漏洞、无法被黑客攻破的操作系统:CertiKOS,而CertiK正是CertiKOS研究的一个延伸,利用数学证明的形式化验证方法开发完全可信经过验证的智能合约与区块链生态体系。

顾荣辉教授:CertiK构建安全性编程社区打人类知识数据库

而CertiK在大大提高各种丰富多样的区块链应用的可行性、改善区块链应用生态的同时,目光也放得更为长远,不仅仅将自己定位为一个提升区块链交易安全性的科技初创公司,更是一个致力于建设安全性编程社区的基金会,如顾教授所言,这其实是在建立一个经过形式化验证的人类知识数据库。

具体来看,是如何一步步构建这个如此宏大的数据库?顾教授透露,基金会将首先会为社区的开发者们提供大量的形式化验证的教程。他表示,CertiK的验证过程体现了化整为零的解题思想,将一个难以证明的大问题拆分为许多容易证明的小问题,然后再将证明过的小问题重新组合回分解之前的较难的大问题,并且保证其中从端到端的正确性(end-to-end guarantees)。

在这个过程中,前述所有的这些小问题都将发送给整个社区,社区的开发者们可以利用CertiK提供的方法,也可以运用自己的算法来证明这些问题。一旦某个问题通过多方独立的开发者的验证,那么其便可以用来作为建立其他理论的依据,从而形成互助协作的技术机制和良好的社区氛围。

可编程化区块链塑造理想世界:商业业务迁移上链杜绝人为错误

展望未来,邵教授认为:“可编程化的区块链拥有超越互联网的潜力”,他为我们勾画了这样一个理想世界:在这个世界里,包括保险、银行、法律、会计等在内的越来越多重要的服务,都将会移植到不用担心人为错误的网络世界,人们将在区块链上完成各项商业活动。“

他特别强调:

“在未来,或许虚拟世界将会扮演比现实世界更为重要的角色。“

而在丹华资本董事总经理Judy Yan看来,一旦安全性问题被解决,将没有任何东西能够阻碍区块链的扩张。作为CertiK的早期投资者,其表示:“比特币仅为一条区块链,还有其他更多的公链和私链。目前有很多金融机构和相关团体都想打造自己的区块链,但无论如何,他们都需要解决区块链的安全性问题。“

来自学界同行的评测同样对CertiK寄予了厚望。斯坦福大学物理系的JG Jackson and CJ Wood教授张首晟表示:“CertiK 是第一批提出利用数学证明的形式化验证方法来检查工程系统和智能合约安全性的团队。这将是区块链技术领域、甚至是科学领域的一大跨越式进步。”

一直以来,耶鲁大学合作研究办公室(Yale Office of Cooperative Research,OCR)都与邵教授和顾教授有着紧密的合作,来寻求研究成果的商业化之路。OCR的高级业务发展经理Richard Anderson称:“目前的区块链技术社区,极其容易受到黑客的攻击,但是耶鲁的这项技术将会改变世界。”

原文发布时间为:2018-03-07
本文作者:AI金融评论
本文来源:雷锋网,如需转载请联系原作者。

目录
相关文章
|
1月前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
1月前
|
存储 供应链 安全
重塑信任:区块链技术如何打造数字世界的全新安全生态
【10月更文挑战第32天】区块链技术自比特币诞生以来,以其去中心化特性吸引了全球关注。本文通过最佳实践探讨区块链如何重塑数字世界的信任体系,包括保障数据真实性、身份验证与隐私保护以及提升投票系统的安全性和透明度。通过智能合约示例,展示了区块链在供应链管理、身份管理和投票系统中的应用。区块链技术正推动各行各业的创新与发展。
89 2
|
3月前
|
人工智能 监控 安全
引领区块链安全新时代,绽放创新光芒
在区块链安全需求不断升级的时代,AI StarTowerChain 以创新安全体系,引领区块链安全新潮流。其分散式架构通过智能设备节点的协作,增强抗攻击能力;安全审计如专业医生,全面审查交易与合约;监控功能实时警报异常;社区参与提升透明度与安全性,共同守护区块链安全。
|
4月前
|
Rust 安全 算法
揭秘Rust语言如何重塑区块链安全:打造坚不可摧的分布式账本新篇章!
【8月更文挑战第31天】自比特币诞生以来,区块链技术凭借其去中心化和不可篡改的特点备受关注。为了应对安全性挑战,Rust 语言凭借其内存安全特性逐渐成为区块链开发的优选。本文探讨了 Rust 如何助力区块链实现更安全的分布式账本。通过示例展示了 Rust 在避免内存泄漏、空指针引用及数据竞争等方面的优势,预示着 Rust 在高性能、高安全性需求的区块链应用中拥有广阔前景。
115 1
|
4月前
|
区块链 C# 存储
链动未来:WPF与区块链的创新融合——从智能合约到去中心化应用,全方位解析开发安全可靠DApp的最佳路径
【8月更文挑战第31天】本文以问答形式详细介绍了区块链技术的特点及其在Windows Presentation Foundation(WPF)中的集成方法。通过示例代码展示了如何选择合适的区块链平台、创建智能合约,并在WPF应用中与其交互,实现安全可靠的消息存储和检索功能。希望这能为WPF开发者提供区块链技术应用的参考与灵感。
70 0
|
6月前
|
安全 算法 定位技术
[Solidity][区块链安全入门]Solidity语言关于密码学知识的运用以及存在漏洞
密码学在区块链中扮演关键角色,确保机密性、完整性、身份认证和不可否认性。对称密钥加密用于快速加密,但不支持不可否认性。非对称加密(如RSA)解决了这一问题,每个用户拥有公钥和私钥。散列函数(如SHA-1、SHA-2)用于数字签名,保证信息来源和完整性。同态加密允许在不解密情况下处理加密数据,增强隐私保护。零知识证明则能验证信息正确性而不泄露额外信息,如ZCash使用该技术隐藏交易详情。环签名技术(如在门罗币中)隐藏签名者身份。区块链隐私保护措施包括混币技术,旨在混淆交易路径。网络和应用层面上也存在隐私挑战,需要综合策略来防御。
|
6月前
|
安全 算法 区块链
量子计算:区块链安全的下一个重大威胁?
量子计算的飞速发展对依赖RSA和ECC加密的区块链安全构成潜在威胁。量子计算机的高效计算能力可破解传统加密,允许恶意攻击者篡改交易或盗取加密货币,影响经济安全。为应对这一威胁,研究人员正在开发抗量子加密算法,区块链平台也在考虑整合这些新算法以防御未来的量子攻击。尽管挑战重重,积极采取措施的区块链技术有望在量子时代保持安全可靠性。
|
安全 Go 区块链
呃哦:区块链可能没有我们想象的那么安全
呃哦:区块链可能没有我们想象的那么安全
|
存储 安全 算法
基于区块链的IoT的安全模型
基于区块链的IoT的安全模型
|
安全 网络安全 区块链
《2016阿里安全峰会-网络安全与区块链》电子版地址
2016阿里安全峰会-网络安全与区块链
79 0
《2016阿里安全峰会-网络安全与区块链》电子版地址