5 月 23 日黑客通過#EDU#智能合約漏洞無中生有的派生 30 億枚 EDU Token 代幣,通過拋售 EDU Token,獲得 BTC 現貨,再順勢拋售 BTC 現貨,引發 BTC 市場動盪,通過做空 OKEX 的 BTC 合約完成跨交易所變現,再一次完美的繞過火幣 Pro 數字貨幣交易平臺的監管,成功完成了對 EDU 的狙擊、變現,整個操作用時不足 4 天的時間,手法更加嫺熟老練。

5 月 29 日下午 360 安全團隊在微博上發佈公告稱,360Vulcan (伏爾甘)團隊發現了區塊鏈平臺 EOS 的一系列高危安全漏洞。經驗證,其中部分漏洞可以在 EOS 節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管 EOS 上運行的所有節點。一石激起千層浪,這個消息在網上立馬引起了軒然大波。

從以太坊到 EOS,一波未平一波又起,區塊鏈漏洞頻頻爆出,整個行業價值數百億美金的資產安全岌岌可危。是時候,我們該清醒一下了。那麼如何打造一個世界級的安全平臺呢?也許我們可以用目前國內最火的公鏈項目——比原鏈作爲一個案例剖析,來揭開區塊鏈安全世界的幕後祕密。

“比原鏈是一種多元比特資產的交互協議,運行在比原鏈區塊鏈上的不同形態的、異構的比特資產(原生的數字貨幣、數字資產)和原子資產(有傳統物理世界對應物的權證、權益、股息、債券、情報資訊、預測信息等)可以通過該協議進行登記、交換、對賭、和基於合約的更具複雜性的交互操作” ——比原鏈白皮書

比原的應用場景**

比原鏈設計的定位就是一個去中心化的資產交互協議,在比原鏈上用戶可以用智能合約來管理 / 投資他們的資產。 比原鏈有廣泛的應用場景,比如下面的幾個例子。

可以是無需信用背書的 C2C 幣幣交易工具:現階段區塊鏈的投資者如果要進行一筆幣幣交易的話,必須通過第三方的中介。而比原的優勢在於可以在鏈上完成原子化的幣幣交易。

可以是保證預測市場的協議得到公正執行:比原鏈將協議寫入智能合約,到期自動執行,不需要第三方介入擔保從而杜絕暗箱操作。

可以是公司期權分配的管理者:將公司的期權交給區塊鏈管理,期權激勵等行爲依靠智能合約來實現。

由上可見,比原鏈管理的資產都是非常有價值的,所以需要設計一個安全穩定的系統。

鏈上認證保證資產不可造假**

比原鏈是做資產管理的專用型公鏈,所以它允許任何人在上面發行自己的資產。這就會帶來一個不可避免的問題:這麼多資產的真實性如何保障?爲解決這個問題,比原鏈引入了“ODIN”技術(Open Data Index Name)爲可信任公司 / 個人提供“區塊鏈 CA 認證”,拿到了 root 級認證的公司就擁有了自證身份的能力,可以爲自己公司旗下發布的資產進行二甚至多級的資產驗證。通過這種方式可以保證資產全網的唯一性,即使在跨鏈的場景下。

合約故障隔離**

11 月 7 日一個叫做“devops199”的開發者觸發了以太坊 Parity 錢包漏洞,使 51.37 萬個以太凍結至今。 這次錯不在 Parity 錢包,漏洞出在錢包調用的一個 library (以太坊的底層庫函數,可以理解成公用合約)上。因爲以太坊的合約調用是把地址當指針使用,每次執行用戶編寫的智能合約都要調用 library。“devops199”把底層庫函數破壞的同時相當於把所有合約的指針都破壞了,從而使得所有錢包裏的資金被永久凍結,只能期待日後的硬分叉來解決這個問題。

比原鏈交易的設計思路其實更接近比特幣,即一切都基於 UTXO (Unspend Transaction Out)。每一筆比原鏈上的資產 UTXO 都是由圖靈完備的智能合約守護。比原鏈的合約調用是創建智能合約的時候就將調用合約作爲子合約加入進來,以後不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。

比原鏈的隱私設計**

比原鏈採用金字塔式的控制層級確保用戶隱私性得到保護。每一位比原鏈的用戶都可以擁有 N 把私鑰,而不同的私鑰組合方式可以生成不同的賬戶。

圖片 1

如上圖所示,每一個賬戶可能是由一個用戶的一把私鑰控制,可能是由一個用戶得到多把私鑰控制,也有可能是由不同用戶的 N 把私鑰所控制。每一個賬戶下控制着的是 N 個不同的智能合約,合約和賬戶的關係有點類似於私鑰和公鑰的關係。

在比原鏈的設計中賬戶只駐留在本地,唯一上鍊的就是智能合約,而且每一筆交易都會自動生成一個新的智能合約。這樣的設計保證比原鏈上所有資產交易呈現的是樹狀分佈,而不是環狀關係。這意味着沒有人可以通過交易行爲之間的關係,推導出比原鏈世界中的關係網絡,做到更好的隱私體驗。

隱形合約設計**

圖片 2

沒有人一定能夠肯定寫出來的智能合約是萬無一失的,比如被黑客攻擊、隱私問題、對賭協議被提前泄露等。比原鏈爲此提出“隱形合約”的概念,能夠在不被人看到合約具體內容的情況下自動執行。即用戶在寫完智能合約之後將合約進行一次哈希,然後用合約的哈希將一筆資產進行鎖定,需要解鎖這筆資產的時候再將智能合約公開。

總結**

比原鏈在設計上不像以太坊一樣涵蓋各方面的複雜功能,我們只專注於打造最好的資產管理區塊鏈。智能合約的設計也是以簡約易用爲目標,因爲越複雜的系統越容易出 BUG。雖然我們的交易設計像比特幣一樣基於 UTXO,但我們不僅支持無限種類的資產,而且擁有了圖靈完備的智能合約。 通過集萬家之所長,從而提供了企業級安全的區塊鏈平臺。

版權聲明:
by
nc"
sa 作者保留權利。文章爲作者獨立觀點,不代表巴比特立場。

來源鏈接:www.8btc.com