Forrester区块链分析报告:区块链热潮背后的五大技术隐忧
美国的一家技术和市场咨询公司Forrester近日发布一份名为《前瞻2018:准备好了吗?直面区块链热背后的现实》的分析报告。报告指出,尽管目前区块链是一项激动人心的新兴技术,给予了人们重塑商业流程的美好承诺,但就本质而言,其尚处于萌芽阶段,隐忧不少,漏洞频出。
尽管在当前,区块链正显示出在各行各业中重塑商业流程和模型的强劲势头,它仍然处在发展的极早期阶段,其分布式账本的广泛迭代距离合规监管也还有很长一段距离。
的确,这项新兴的技术拥有巨大的发展潜力,但不少业内专家和分析师都警告称,它并不适用于每一项交易业务流程。以太坊交易所Leverj的创始人Bharath Rao就对区块链在虚拟货币之外的应用持有怀疑态度--他认为,在具体部署应用中,与采用了集中式关系型数据库等传统交易技术相比,区块链技术效率低下且成本更高。
“为了实现去中心化,它牺牲了效率。”Rao说道。他解释,在每一次上载交易记录时都需要通过密码验证,对于实时性要求极高的交易解决方案来说,区块链在商用上显得极其效率低下。
“其次,由于其链状性质,每一个区块的新增都要经过序列化,而这意味着和传统的数据库相比,上载的速率很慢,原因在于后者能够并行更新数据。”
不是只有Rao一个人对于区块链的广泛应用成功与否持怀疑态度。Forrester的这份调查报告将焦点放在区块链的狂热兴起和真实现状上,得出结论:“从来没有如此之多的信众,在对一项技术了解如此之浅的情况下这么狂热地去追求它。”
根据Forrester的这份报告,目前区块链技术共有以下五大缺陷:
区块链之新兴与配套软件之落后
自2008年中本聪首次提出“分布式区块链”的概念以来,该项技术在现实世界中的应用历程仅仅走过了数年的时间,且还只是围绕着分布式账本限于数字加密货币和其他虚拟货币的交易流程中应用。
Hyperledger与以太坊,目前最为流行的两大区块链底层平台,仍极其不成熟和不稳定,在落地部署的过程中可能会出现许多无法预料的问题。有鉴于此,Forrester建议,采用了区块链技术的企业的决策层要对可能隐藏严重漏洞的区块链配套软件进行审视排查,有必要的话还要下马相关项目来规避风险。
“配套软件隐藏着重大漏洞--这不仅仅存在于大型的区块链社区,对于那些对于项目还不是那么深入了解的企业而言亦是如此,在其中,有些漏洞甚至是可以避免的。”Forrester首席分析师兼报告的主要作者Martha Bennett这样说道。
比如,在以太坊区块链平台上一个用于执行智能合约的项目Solidity,实际上并不支持小数点的使用,而这将促使开发人员们去寻找变通的办法,有时候还要推掉重来。
“我见过太多这样的情形了,”Bennett说道,“当我和那些正奋战在区块链大型项目上的人交谈时,他们告诉我,和这项技术相关的工作进行得越多,他们越意识到它有多么的不成熟。”就在这周,Parity安全事故发生以后,超过三亿美元价值的以太坊数字货币被锁死冻结。
事故发生的原因在于,在这个Parity Technologies公司管理的区块链项目中,用户们需达成共识来改变等分布式账本的条款,却由于一个代码漏洞导致其中一个用户成为这这条区块链中所有虚拟加密货币钱包的所有者。
区块链:并非存储数据的万能钥匙
区块链最为突出的优点在于,其一经记录书写,即被发送多个分布区块的特性--这使得它能够很轻易地被部署在网络上不同的节点上。同时,每一条记录都包含着其独有的散列值签名,这使得它们无法被篡改。
Bennett说道,通过区块链网络,分布式分类账本能够记录更为丰富和全面的交易历史记录,而不是像以往一样,只有特定的用户才能通过内部系统或者黑名单才能看到。
尽管如此,这也不意味着交易中产生的相关数据就属于区块链网络的一部分。
比如,如果区块链的用户将图片当作是交易的一部分,数据的存储量将会极速增长,占用的网络空间也会越来越大。他解释道,由于区块链的分布式特性,所有的数据都会被复制到区块链网络中所有的节点。
这也是为什么和去中心化的区块链网络相比,更优于选用关系型数据库,它们采用互相独立的网络存储方式来处理交易任务,而数据的存储量在区块链网络中的不断膨胀增长将极易导向失控的局面。
“这里有一个首要原则:所有关系型数据库能完成的工作,都不要去尝试使用区块链架构。”Bennett说道。
区块链:并非百分百的安全
就目前来看,通常来说区块链有两种类型:公有链和私有链。公有链对所有人都开放准入门槛,比如比特币就是一个很好的公有区块链的范例。在比特币区块链网络上,任何人只要想要买入这种虚拟加密货币都可以加入它。正是其开放和透明的特性,使得在区块链网络上的用户能看见所有的交易记录。
而私有链网络则实行集中化管理,需要得到允许才可进入,这使得它适用于单一组织内部或几个合作机构之间的运作。只用通过了授权用户才能进入到私有链网络上。
然而,区块链同样建基在应用软件和密码学之上,在现在,有成百上千家开发公司正对区块链技术进行研发--而它们并没有使用经过测试验证的算法。
比如,比特币使用SHA-256算法进行散列运算来设立密钥。但是研究表明,量子算法已经能攻破该算法。其他的区块链也在应用着一些新的加密算法,而开发者所能保证的,仅是它们能正常工作而已。
“密码学家们告诉我,每一套加密算法自研制成功到真正被人们接受广泛使用,中间需要好几年的时间,”Bennett说,
“当一家初创公司推出一套全新的加密算法,没有人有机会对其在数学上进行验证,你会真的愿意在它上面赌一把吗?我们已经目睹了很多起出初创企业携着全新的哈希算法而来,却最终走向惨败的悲剧。”
一位密码学家兼安全专家Bruce Schneier称,迄今为止,尚未得到区块链网络被黑入的消息,但并不代表在将来不会发生。“区块链狂热的神话不会因为其本身而衰败,但是会因配套软件设施中的不安全因素而遭破灭。”
举个例子,2016年的The Dao事件,该通过分散式区块链运作的风险投资基金,就因为一个代码漏洞,被窃取了价值超过600万美元的以太坊数字货币。
同样是在2016年,香港的一家数字货币交易所Bitfinex,有12万枚当时市值达6800万美元的比特币被盗。有报道指出,Bitfinex的比特币钱包供应商BitGo,其可能存在着软件上安全漏洞,从而招致攻击。
规模扩充与机密信息——规模化和隐私
“对于区块链而言极其重要的一点是,其通过数学原理逐步取代了人和机构之间的相互信任。但越依赖数学原理,所需的成本就越来越高--原因在于,投入运作的节点越多,网络环境的计算密度就越大,维护运营的成本也就越高。”Bennett如此说道。
Rao对此表示同意。“在全球性的网络环境中,使用如此缓慢且昂贵的网络环境无可厚非,我们必须对他人有所防备,”他说道,“但在企业内部的网络环境中,所有的参与者都在管控之中,花费如此大量的精力和时间在它上面没有任何意义。”
另外,作为区块链最普遍的形式,公有链是公开且透明的,这导致在链上的每个人都能看到每笔交易。比特币就是这样一个例子。
然而,在商业环境中工作的时候,完全透明毫无机密并非一件好事。比如,如果将区块链用作股票交易平台的一部分,把它作为即时结算的机制,那么链上的每一个用户都将能看到其他用户的交易动作,使得一个用户针对另一个用户发起恶意交易攻击变为可能。
对于智能合约的过分期待
智能合约,或者叫自主执行合约,是区块链最为吸引人的衍生特征之一。通过它,人们不仅能大幅削减管理成本,更为重要的是,一旦合约中的具体条款被确定了,款项、资产、或者其他商品都能被自动执行交易。例如,一家保险公司能够在触发现实事件的前提下,通过智能合约来支付索赔资金,如飓风或者干旱。
但是在Bennett看来,所谓的“智能合约"既不智能,甚至可能还不合法。
“从理论上来说,这确实是一个很棒的想法。就本质而言这是一种业务流程自动化的表现形式。但为了实现业务流程自动化,人们必须先对该流程达成共识--该制定什么样的规则去应用于该流程,还有,还需要将规则转换成代码,”Bennett说道,“这根本不像人们想象中的那么简单容易。”
不可忽略的是,区块链的脚本语言目前还不成熟,这对开发人员而言增添了更多的学习难度,甚至在编写程序的过程中极易出现错误或漏洞。
区块链的参与者们还需对合约的具体执行方式达成共识,以及,当合约出现分歧导致争执的时候该怎么办?Bennett称,“为了提防忘记将一些具体事务编入代码写进合约,需要以链下代码的形式进行代码编写,设计一种紧急开关。当合约出现的意外的时候,能够及时关闭。”他建议道。
前瞻2018:商业性质的区块链需要更多学术研究
Forreester最后在报告中表示,随着区块链技术的不断发展成熟,以区块链为重点的学术研究将会越来越多,尤其是在数学方面的研究。它还提到,一些公司已经开始对于区块链项目的潜在解决方案从数学角度进行重新审查,而这些,都是2018年市场希望看到的新动态。
包括Bennett在内的不少业内人士都表示,他们都理解为何区块链是这样一个具有革命性的概念--原因就在于,它塑造了全新的业务与交易信任模型,然而这一切仍待市场考验和观望,这些模型在未来,将会如何发展下去。
Bennett说道,“当人们今天再来审视大部分的这些企业的区块链项目,发现这些企业几乎都是在优化现有已上马的项目。但是关于包括在公共场景在内的实际的区块链运作过程这一创新点,在未来还有很长一段路要走。因为这项技术,还需要做得更多才能称得上‘成熟’。”
通过区块链重塑业务流程同样需要背景各异的用户们就具体合作条款达成共识。但目前的现状就是有许多的区块链项目被搁置,原因在于人们无法在这些本应进一步落实的具体条款形成共识。所以,就技术形式而言区块链是关乎IT的一项技术,但它同时也是关乎用户们的合约条款的商业精神的体现。
Bennett最后总结道,“区块链技术实质上是80%商业元素加上20%的技术元素。”