嘉宾介绍:
黄连金——著名区块链专家、核聚链创始人、联合国旗下世界区块链组织(WBO)首席技术专家、NULS 技术顾问。
同时,黄连金也是美国 ACM Practitioner Board 委员,美国 DistributedApps CEO和创始人,硅谷 Dynamic Fintech Group 管理合伙人,中国电子学会区块链专家委员,中国人民大学大数据区块链与监管科技实验室和法链实验室特聘研究员,亚洲区块链产业研究院,国际专家咨询委员会委员。
曾经就职于美国CGI公司18年,任CGI安全技术总监,CGI云安全主管和首席安全架构师等职务,黄连金创建了CGI联邦身份管理和网络安全能力中心。在CGI工作时,曾为美国联邦政府、金融机构和公用事业公司提供金融、人工智能、区块链、安全等方面的专家咨询。
作为美国 CISSP (ISC注册信息系统安全专家),黄连金是多个非常成功的区块链项目的技术顾问。
此外,黄连金曾作为特邀嘉宾,在加州伯克利分校,斯坦福大学,北京大学,清华大学,纽约共识大会Consensus,万向区块链全球峰会,美国ACM AIDencentralized 年会,网易经济学家年会夏季论坛,韩国TokenSky区块链峰会等国际一流高校和全球顶尖峰会上发表演讲。
拥有丰富的IT开发和区块链技术经验,黄连金也是机械工业出版社出版的《区块链安全技术指南》一书的第一作者。
安全:
1、了解您之前在美国有多年的IT架构从业经历,为什么后来转向了区块链安全和技术的专门研究?
黄连金:因为我以前是做IT的,做面向对象、语言的开发,开发过银行的一些比较重要的系统。在开发系统的时候,数据库、安全、点对点网络这些都用到过。大家都知道,区块链技术不是凭空产生的,它是基于一些分布式数据库、点对点的网络、安全和密码学的知识等,这些我在之前的工作中都接触过。
11年的时候,我看到了中本聪的白皮书,当时就感到很激动,因为这确实是可以改变世界的技术。但后来因为工作的原因断断续续,直到2014才开始着力研究区块链技术。到16年底的时候,我已经开始完全投入到了区块链当中。
而且刚开始11年的时候,也挖过矿,虽然没怎么成功,但对这个技术有了基本的把握。后来在华为的时候,我们内部有一个专门讲区块链的群,我就在里面专门回答一些比较难的技术问题。再后来有个机会,我作为身份管理系统的高端专家去做了一个区块链讲座,讲座取得了很大成功。随着16年底,华为内部成立了一个专门负责研究区块链在金融领域落地应用的部门,我也因此完全投入到了区块链的研究中去。
2、您觉得现在区块链主要的安全问题是什么?应该如何来解决?
黄连金:安全问题对项目方和交易所来说都非常重要,这在认知上其实是一个很大的问题。很多项目方基本都是裸奔,安全意识薄弱。且因为数字资产被盗后很难追溯,所以现在区块链还没有大规模落地就已经有很多的安全问题了。
从技术上来说,大家可能都知道的是智能合约的安全。智能合约可以绑定很多的资产,而且都是开源的,黑客一旦发现漏洞,把资产转走,就相当于为黑客打工了。这个问题非常严峻,所以我一直在说,一个项目至少要投资5%到10%的预算到安全里面,否则就会有问题。此外,除了智能合约的安全,其他的区块链安全,比如身份管理,节点本身的安全,数据加密,还有最重要的私钥的安全也很重要。
当然,解决的方法有很多,比如可以用离线钱包,即所谓的“冷钱包”来保护数字资产的安全。就是说,安全问题需要多方位地去解决,而非单方面。
3、怎么看待智能合约带来的意义以及智能合约的安全问题?
黄连金:智能合约在目前的状态下既不是智能,也不是合约。因为我们讲到“智能”,讲到的是人工智能、深度学习,但是目前的智能合约没有利用到这些。同时现在的智能合约没有法律的约束,所以也不是合约。我们离真正的智能合约还很远。
智能合约给我们带来的意义非常大,以后也会有越来越多的政府认识到其重要性。如果智能合约成为真正的智能合约,它的最大意义就在于能在公平、公正、公信的前提下,没有人干预的情况下去执行合约。
一旦智能合约部署好以后很难修改,如果有漏洞也很难撤回,不像一般的计算机上的一些程序。所以智能合约在部署上,特别是在公链的部署上,安全问题就非常重要。智能合约已经出过很多安全漏洞,比如以前的DAO,因为递归程序没有写好,黑客发现这个漏洞后转走了六千七百万美金的ETH,相当于现在的几十亿美金,这个问题也导致了以太坊的分叉。
且智能合约的安全还远不止于此,所以我一直这样跟项目方讲,智能合约是你的生命线。智能合约写出来以后,必须经过内部的审计,包括安全的审计、语义的审计等,除此之外还要经过外部的审计,智能合约不是可以随便乱发的。
4、虽然区块链上的个人是匿名的,但也存在着一些个人隐私安全的漏洞,比如可以通过大数据推断交易双方,怎么解决这个问题?
黄连金:第一代和第二代区块链的匿名性做得不够,其匿名性是伪匿名性。因为其所有的交易地址都是公开的,可以用大数据行为分析的方法推断出交易双方。在这方面,现在也有了一些改进的技术,包括Zcash用的零知识证明,把交易双方的地址、交易的内容都进行加密。此外其他的一些匿名的数字货币,还有联盟链也都想在这方面做出一些贡献。
5、一些传统安全巨头,比如360也进入了区块链安全领域,其伏尔甘团队在发现了“价值百亿美金”的EOS区块链漏洞后不久前又称EOS智能合约底层asset 类存在严重缺陷,您怎么看待传统安全巨头的入场?
黄连金:现在360等一些安全公司进入到区块链绝对是好事,因为区块链太需要一些大的安全公司的进入。之前360发现的EOS的问题,确实非常严重,如果EOS那时候已经上线了,且是黑客发现这个问题的话,就有可能把整个的EOS价值归零,分叉都没用。我非常高兴360这些安全公司可以加入到区块链中来。
6、身份的确认和管理、访问权限等这些安全问题您觉得解决的关键是什么?
黄连金:关于身份问题,我想讲的一个方面就是解决真实的身份上链。我们现在在做的项目叫核聚链,就是通过一个可信的计算环境,在这个环境里置入区块链的底层协议,然后在这个可信环境里产生一个私钥,从某种程度上来说有确权,且整个确权的资产上链的过程我们也考虑得非常细致,使得身份的确权有办法可以解决。
关于权限的控制,特别是智能合约权限的控制。这其实是每个项目方都必须重视的,因为没有一个方案能够适合所有的人,需要看具体的情况。但有一些基本的原则,比如最小权限原则和所谓的“need to know”原则——“知道你所必须所知道的”,用这样的方法去界定一些权限,包括智能合约的调用,数据的调用等,这两个其实是最好的。
7、您和机械出版社联合写了《区块链安全技术指南》,这本书最大的亮点是什么?
黄连金:我们有三个最大的亮点:第一是我们是从多方位的角度去看一个区块链项目怎么去安全保护,而不是仅仅从智能合约或者身份管理的角度;第二是这本书确实是区块链安全技术的第一本书;第三个亮点就是我们的作者都是战斗在区块链一线上的一些非常成功的企业家,我们一共有九个作者,他们都是根据自己的感受来写的这本书。
实体经济和趋势:
8、在国家相关部门的扶持下,目前区块链已经开始实现一些落地应用,您认为距离大规模落地应用还有多久?
黄连金:现在区块链的落地应用仍不多。大规模的落地应用还需要解决一些问题,其中最重要三个问题就是:信任必须提高;必须解决隐私保护的问题,因为大部分的应用都需要隐私保护;保证实体经济上的一些数据在上链的时候是真实的。怎么保证链外的资产正确地反映在链上还是一个比较难的问题,但这也是大规模落地需解决的关键问题。
前面也提到过,我们的核聚链就是致力于解决这个问题。我们的BNP (blockchian network protocal)是一个协议,在区块链底层里增加了一个物理层和接入层。在物理层,我们定义了一个身份,这个身份是不可篡改的,以私钥的形式放在可信的环境里。然后,这个资产的信息是用私钥进行签名的,且确权的信息就放在链上,也是不可篡改的。数据在采集过程中,采集完成后就立即进行签名,在上传的过程之中也不会被篡改。而且这个芯片本身有我们的协议植入进去,要上链需按照我们的协议,离开了物理主体私钥也会失效,所以伪造也不行。
9、很多传统互联网巨头比如BAT都早已布局区块链,您认为他们在发展区块链技术上最大的优势是什么?
黄连金:他们的最大优势应该是拥有雄厚的资金和强大的技术团队,但我个人认为他们在区块链领域很难成功。因为他们的整个商业流程和顶层设计都是中心化的,要完全打破非常困难。他们有很大的包袱,总的来说是劣势大于优势的。相对来说,现在的那些的初创企业,更有机会成为未来的BAT, 所以我一直认为以后的区块链的BAT都是从小企业里面产生的,不会是大企业。
10、人民网近日发布文章称区块链市场中金融业占60.5%,您认为区块链技术除了在金融领域,落地价值和潜力最大的领域是哪些?
黄连金:区块链可以说最早就是应用在金融领域。区块链技术本身自带金融属性,特别是它的通证经济模型和资产的转移,所以区块链技术在金融领域的应用确实比较多,比如供应链金融,跨境支付。
但是在其他各行各业也已经开始逐步落地了,虽然还不多,但是大家都非常有想象力。技术不会造就一个项目,倒是理想会造就一个项目。一个好的理想,基于公平、公正、公信的思想去做区块链,可以引起技术的改变,最后能够落地应用。所以以后各行各业的落地应用都有可能,房地产、教育、游戏、粉丝经济,甚至是大健康、旅行也都是有可能的,这需要一个过程,但是以后都会落地的。
11、您怎么看待中美之间监管的差异,这会给中美两国区块链产业的发展带来哪些优劣势?
黄连金:关于两国的监管,我认为有两个共通点是很对的。第一就是大家都在用比较谨慎的态度去看待通证经济。第二就是整体来说,对区块链本身的技术,中美两国都是非常认同的,都作为一个策略性的技术在发展。关于有币无币,不同的国家有不同的看法,这可能也会影响到未来通证经济的发展方向。
但是通证经济本身没有问题,关键在于我们怎么去用它。毫无疑问,我们要通过监管去杜绝一些别有用心的人参与通证经济,把空气币、欺骗币和传销币杜绝掉,这也是监管能够做好的最重要一部分和未来监管的方向。未来中美两国谁能做好监管,谁就在通证经济里有话语权、定价权、清算权、税收权和监督权。这些都取决于未来两国在这一领域监管的创新,我们也拭目以待。
12、您认为区块链技术当前处于那个发展阶段,未来的发展趋势和方向是什么?
黄连金:我认为目前区块链还处于非常初期的发展阶段,就像95年的互联网,所以我们很多应用还不知道,这就需要我们用开创性的思维去考虑一些新的问题。现在大家听得比较多的“链改”,其实非常难,目前95%的应用不可能用区块链去进行改造。所以,区块链要真正服务于实体经济,利用区块链去进行商用模式的创新才是真正的出路。不要讲“链改”,应该是“链创”,应该奔着减低成本,提高效率,奔着为实体经济服务去创新,而不是单纯的“链改”。
在未来的发展趋势上,区块链技术必须服务于实体经济,所以以后会看到3个大方向:
1、“区块链+”。区块链+人工智能、大数据、物联网等。这也是核聚链的目标,基于物联网与人工智能去让数据在上链的过程中不被篡改。有了这些技术,区块链才能最终服务于实体经济。
2、区块链底层技术的改进,包括性能的提高、隐私的保护、数据的存储、跨链和子链的一些技术等。但这些都不应该是纯粹的技术的改进,应该奔着有真正的落地应用去考虑的。
3、联盟链与联盟链、公有链的结合。区块链服务于实体经济往往以联盟链的形式出现,所以联盟链与联盟链、公有链的结合有着巨大的市场,也是区块链发展的必然方向,并将通过“链创”的方式来实现。
(免责声明:本文是根据受访嘉宾观点整理而成,旨在以中立的立场对嘉宾个人和项目进行问答,不代表作者观点,本文也不作为一切投资依据)
