政府涉足区块链时应考虑什么？- Trail of Bits 博客

2023年4月25日，Trail of Bits 首席安全工程师 Evan Sultanik 博士参与由海军研究生院主办的“分布式共识：区块链及超越（DC:BB）”小组讨论，与政府、学术界和产业界的九位专家共同探讨区块链、数字资产及其他Web3技术如何应对国家安全挑战。Sultanik 博士讨论了美国如何推动全球采用区块链并制定更广泛的Web3战略展望，同时指出区块链技术的固有局限性，并从培训角度提出构建更健壮生态的建议。以下是讨论的核心要点。

在项目中使用区块链技术需考虑哪些重要因素？

理解使用区块链必须做出的权衡及其安全影响至关重要。目前，所有人都意识到使用区块链在部署和与智能合约交互成本方面存在显著额外开销。尽管随着新共识机制和高级协议的出现，成本逐渐降低，但差距仍然明显。

必须认识到，公有链上存储的所有数据都是公开的。任何人都可以查看每个账户或合约的完整历史记录并理解其行为影响。如果系统有隐私要求，就需要采取额外措施来确保隐私。

公有链中的大多数参与者是不可信的。您将信任从原本的中心机构转移到可能无法控制的其他实体。您不仅信任与系统交互的智能合约开发者，还 inherently 信任运行该区块链的技术栈开发者，包括节点软件、挖矿硬件、挖矿软件、矿池协议等。技术栈中任何一环的漏洞都可能导致整个系统崩溃。

区块链允许开发者快速原型化新想法。您无需担心基础设施设置，也无需过多关注DevOps，因为这些都由区块链本身处理。这显著缩短了从创意产生到用户使用的周期。但快速开发也带来风险，紧凑的开发周期可能导致协议测试不足、设计不佳或开发草率，进而引发严重后果的漏洞，成为攻击者的主要目标。

DeFi、区块链和Web3的另一吸引人之处是能够快速原型化并立即将应用连接到整个生态。由于区块链充当巨大的共享数据库，竞争对手创建的合约和资产可以以在传统中心化平台上难以实现的方式交互。

但这种组合是有代价的。系统推理变得困难，因为您突然需要理解创建这些代币的所有不同合约，每个案例中的代码都不同。您的代码突然与区块链上的所有代码交互，因此必须注意应用可能交互的所有外部性和第三方组件。

最近，随着新型金融工具和技术的出现（尤其是在以太坊上，如闪电贷或最大可提取价值），我们看到了这种复杂性的体现。这些是深奥的技术概念，但已有数百万美元损失，因为一系列DeFi应用以无人预期的方式在单笔交易中组合。

计算机科学家Leslie Lamport在1987年写道：“分布式系统是这样一种系统，其中一台您甚至不知道存在的计算机的故障可能导致您的计算机无法使用。”这在今天仍然正确，且在区块链中永远成立。

美国应关注区块链技术吗？如果是，政府的最佳应用是什么？

美国政府涉足区块链事关国家安全：除了可能损失的税收，山姆大叔并不真正关心您是否丢失比特币。但如果朝鲜窃取它，山姆大叔应该关心。美国对手已经在利用这些技术规避制裁并破坏我们的市场。

更有效的问题是：“区块链和Web3技术能否变得安全？如果能，如何实现？”美国政府需要促进研究和创新来回答这个问题，以保持相关性并在分布式账本技术领域保持世界领先地位。

美国应如何处理Web3领域所需的培训计划？

迫切需要改变我们教育新劳动力的方式，因为传统软件开发专业知识不能直接转化为Web3。我有朋友没有计算机科学背景，但他们学了一门编程语言，写了一个移动应用，现在成了百万富翁。他们对手机的工作原理、iOS或Android如何运行或硬件如何工作没有任何技术知识。他们只需要知道那门编程语言，就足以构建非常流行和有效的东西。

Web3则不同。创建智能合约时，了解整个技术栈是有帮助的，因为您需要理解使用的编译器、运行的虚拟机、拜占庭容错和共识协议。您应该理解零知识证明或zk-SNARKs。您应该理解所有这些深奥的技术，而很少有专家了解其中任何一项，更不用说全部。您需要成为专家才能避免所有陷阱和隐患。

我们需要政策激励人们以这些必要技能进入劳动力市场。在Trail of Bits，我们开发了区块链安全学徒计划，因为在这个竞争激烈的市场中很难找到具备所有必要技能的人。有些安全人员知道如何分析C++程序或移动应用，但对区块链一无所知。然后还有没有安全背景的区块链人员。因此我们开发了这个内部计划。

对于移动应用商店，想要参与应用经济的人一直存在低入门门槛。Web3似乎并非如此，但该领域活动很多。还需要做更多工作才能使开发者在安全方面达到区块链成熟水平，哪些实体或组织应领导这项工作？

Web3的入门门槛也出奇地低，这是问题的一部分：Web3开发工具链模仿了传统应用开发的熟悉工具链。开发者友好性以安全为代价被优先考虑。我们需要现代化和改进工具链，以扭转这种优先级的平衡。

结论

政府仅对保护区块链技术表示兴趣是不够的。需要做出真正、有目的的投资。除了设计安全架构、语言、编译器和协议外，这些投资还应包括教育健壮的劳动力以满足未来的Web3需求。

如果您正在考虑区块链是否是解决问题的方案，我们推荐我们的操作风险评估 titled“您真的需要区块链吗？”，这将让您全面了解可能面临的优势和风险。

最后，如果您想听取小组其他专家关于区块链技术和国家安全的更多意见，可以在以下链接查看完整讨论：https://nps.edu/web/nps-video-portal/-/blockchain-research-opportunities-for-nps-students-and-faculty。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News