内部人士总是喜欢将区块链描述为“不可变分布式分类账技术”。他们喜欢强调它的分布式属性,而且一定要用“分类账”而非数据库这样的词汇。更重要的是,他们坚信区块链拥有“不可变”这一核心特性,这意味着它具备坚不可摧的加密技术,能够配合其它机制共同构建起能够抵御一切黑客入侵的软件方案。
对于当下软件漏洞频出,黑客入侵、破解乃至其它犯罪活动频发的世界而言,加密技术的出现确实是极大的“福音”。也正因为如此,才会有那么多个人与企业不断跳上区块链这艘代表新时代的巨轮。更具体地讲,目前很多人甚至生活在一种错失恐惧(即害怕错过机遇而被时代抛弃)当中。
尤其是在区块链领域,许多支持者们甚至罔顾过去几年当中客观存在的一系列事实,比如:区块链可能确实属于分布式分类账,但却说不上绝对“不可变”。实际上,它和任何其它软件一样有可能遭到攻击,甚至安全风险更高。同时,也正因为默认安全这一定位,导致其长期处于无人保护的状态。
与早些事故带来的损失相比,最近一段时间区块链确实没有捅出太大的娄子。2019年1月8日曝出的Ethereum Classic(以太坊经典)事件“仅仅”造成20万美元的损失。但其中真正可怕的是,此次遭受攻击的是区块链的核心。很明显,攻击活动是由矿工执行的——所谓矿工,是指区块链运营与安全所依赖的基础服务器,其负责执行加密操作以防止负面问题的出现。另外,此次黑客攻击本身也带来了加密货币所面临的最为严重的滥用方式——约有4万枚以太币被用于双重花费。
这已经不是区块链领域出现的第一起安全事故。大家应该还记得Mt. Gox黑客劫案,其中造成的损失高达近5亿美元,而且事件发生在大概五年之前。Mt. Gox之后,我们又亲眼见证了一系列攻击活动以及由此带来的巨额损失。其中一大著名案例是去中心化自治组织(简称DAO)所遭受的入侵并损失约5000万美元。2018年虽然单一区块链黑客行为的规模与知名度有所下降,但在全年之中仍然造成了超过1000万美元的损失。更可怕的是,这种犯罪活动不断得逞的态势并没有任何放缓的趋势。
面对如此严峻的现实问题,加上如山的种种铁证,我认为任何有理智的人都不可能单纯凭一句“不可变”就无脑支持将区块链作为象征未来的替代性方案。但很明显,就目前来看很多人在刻意无视这些现象。
要讨论这个问题,我们还需要结合对应的场景。如果这类黑客入侵活动发生在传统银行机构当中,也就是因为过时的软件无法抵御当下的网络盗窃行径,那么情况又会如何?虽然很多传统银行每年都会遭到抢劫,但其往往属于小规模事件,而且大部分肇事者都会被缉拿归案。举例来说,联邦调查局一直在定期发布关于银行抢劫案的最新消息,也有大量敢于以身犯险的犯罪分子被定罪与监禁。
那么,银行抢劫案的最高涉案数量是不是十分巨大?据维基百科记录,这份清单可以追溯到一个多世纪之前,但即使是最大规模的抢劫活动在数额上也完全无法与区块链盗窃相提并论。最近的一次重大案件发生在20年前,美国银行当时被抢劫接近200万美元。高下立判!
那么,其它网络犯罪呢?这方面的案例倒是很多,而且深入研究这些犯罪活动的确切性质与犯罪行为也非常有趣。但更重要的是,虽然在理论上可能存在,但我从来没有找到过任何核心银行系统遭受黑客入侵的案例。另外,我也没听说哪套中央数据库(相当于区块链)被恶意分子攻破过。在我看到过的每一个案例中,都只发现了普通的陈旧系统网络以及/或者内部人员恶意活动成为导致问题的原因。其中部分事件涉及庞大的盗窃金额,例如孟加拉国中央银行盗窃案。但它的问题出在内部人员,而与银行软件本身的安全性根本没有关系。
如果普通银行遭受的黑客入侵与区块链网络案件相同,那么肯定会出现核心银行系统本身受到破坏,或者中央数据库被渗透的情况。但纵观各个案例,我都没有找到这样的问题。这意味着虽然存在历史还很短暂,而且承载的资金总额也较低,而区块链则引发了在规模与深度方面远超任何普通银行软件的黑客攻击活动。那么,“不可变”的意义何在?
从这些事实当中,我们可以得出以下简单明了、且几乎没有争议的结论:
• 区块链极易受到各种各样黑客攻击的影响
• 过去五年多的客观现实已经证明了这一点,而黑客活动还在继续
• 黑客活动引发了数额极大的资金损失
• 黑客们没有被缉拿归案,更不用说受到应有的惩处
• 虽然传统银行频繁遭受实体抢劫,但一般涉及的金额很小,而且肇事者通常会被快速逮捕,消费者也不会受到实质性损害
• 虽然传统银行也面临黑客攻击影响,但其至少在美国的银行中几乎没有成功案例,而且引发问题的核心往往在于各种各样的网络安全漏洞。
• 无论如何,银行软件所遭受的攻击在深度方面都远远低于区块链网络
关于这个话题当然还有很多值得讨论的空间,但我们可以将其归结为一个结论:如果您打算保障自己的资金安全,那么请将其存放在传统银行当中,传统软件系统才真正具有“不可变”性。而与传统银行使用的软件相比,任何区块链存储都更易受到攻击并带来严重损失。