如何全面控制區塊鏈上數據的“讀”權限_WED

經常有人問到一個問題：“怎么在合約里實現鏈上數據的讀取權限？”

這樣的需求背后，是開發者想把一些數據上鏈，讓智能合約管理和運算，以達成業務上的共識，但又不希望數據公開可見，避免鏈上其他未授權參與者讀取，導致信息泄露。

最直觀的實現思路，就是在合約代碼里寫一段過濾邏輯，判斷調用者滿足某些條件才允許返回數據，否則拒絕。

我們設定一個案例：有一個積分聯盟鏈，鏈上參與者有Alice、Bob、Carl、Dave等多方以及他們的家人，每個人的積分余額希望設定只有自己和家人可見，其他參與者不可見。

客戶端通過區塊鏈的應用級接口，發送請求到某個節點，調用智能合約的get方法查Bob的積分，智能合約寫了權限控制邏輯，拒絕越權訪問。

因為智能合約在每個節點上的運行邏輯是一致的，因此無論請求發往哪個節點，結果都一樣。這看起來貌似沒啥問題，但實際是否也是如此？

這里先說結論：這是個“治標不治本”的做法，并不能確保數據不泄露。

觀點：英國加密監管的關鍵因素是如何處理零售問題:4月5日消息，在IFGS會議的第二天，金融服務行業集團Shearman & Sterling全球負責人Barnaby Reynolds在“Crypto重啟：2021年及未來”的發言中，淡化了英國財政部日前關于英國穩定幣使用的監管聲明的重要性。Reynolds稱：英國正在考慮如何監管加密貨幣，但昨天宣布將穩定幣納入支付體系的聲明相對沒有太大影響。就加密貨幣監管而言，倫敦和紐約是值得關注的兩個重要市場，因為這兩個市場是全球“脈搏”所在。Reynolds解釋說，英國的關鍵因素是如何處理零售問題。英國對加密貨幣交易的禁令是爭議所在，因為零售市場非常希望進入加密貨幣市場。

此前消息，英國財政部在官網宣布推出一系列舉措，將把穩定幣視為一種有效的支付方式，作為使英國成為全球加密資產技術和投資中心的計劃的一部分。（Finextra）[2022/4/5 14:05:21]

現在開始我們要用“多中心、去信任”的思維重新去審視這個案例。

我們先分析下：鏈上數據是怎么存儲？在什么情況下會被泄露呢？

區塊鏈網絡節點分布在不同參與者的環境里，出于區塊鏈的數據一致性特性，每個節點都持有一份完整的數據副本。無論這個數據庫是LevelDB/RocksDB這樣的文件型數據庫，還是Mysql這樣的關系型數據庫，數據都會落到每個節點的數據庫實例里。

波卡社區正在討論如何限制驗證者大幅更改傭金:剛剛，Web3基金會技術教育主管Bill Laboon發推提醒用戶小心騙局。Web3基金會、Polkadot官方以及Parity都沒有贈送DOT和KSM代幣。與此同時，Bill Laboon還公布波卡項目進展。內容顯示：1.目前驗證者可以隨意更改傭金比例。目前社區正在討論如何限制傭金變動以避免傭金大幅變動，例如在獲得足夠多的提名者后，將傭金由0%改為100%。2.財政部已經開始討論Elara 0.2提案。Elara 0.2是Patract Labs是為以Substrate為基礎的鏈提供的基礎設施。[2020/10/29]

也就是說Bob的積分余額，在所有的節點硬盤上都存了一份，在MySQL數據庫工具里看，大概這個樣子：

如果鏈上存在某個有點兒區塊鏈技術經驗的參與者，暗戳戳地懷揣“惡意”（也就是俗稱的拜占庭玩家)，他可以用工具打開本地的數據庫，直接查詢Bob的余額。這樣，用合約去防止數據泄露的控制邏輯就會完全被繞過。就這么簡單。

聲音 | 陳純：除了研究區塊鏈技術本身外 還需要研究如何監管:1月12日，中國工程院院士陳純在CCF通訊刊文《聯盟區塊鏈關鍵技術與區塊鏈的監管挑戰》，文中提到，區塊鏈作為重要的底層基礎設施，在其快速發展的過程中，我們要高度重視安全問題。因此，我們除了研究區塊鏈技術本身外，還需要研究區塊鏈如何監管。公有鏈已經成為新媒體的傳播媒介，因為公有鏈本身具有去中心化、不可篡改、不可刪除、低成本的特點。利用區塊鏈去傳播有害信息、網絡謠言、煽動性與攻擊性信息，會給區塊鏈技術的產業布局和發展帶來不利影響，同時給監管部門帶來很大的挑戰。[2020/1/13]

另外，區塊鏈的數據不僅與合約相關，還和交易記錄密切相關。

在發送交易的時候，交易參數會包含一部分或全部數據，交易會打包進區塊，最終也寫入節點數據庫里。

對區塊和交易數據的查詢一般不會用合約邏輯實現，于是，僅僅在合約里寫過濾邏輯并無法防止這些數據的讀取。拜占庭玩家可以在本地數據庫里遍歷區塊數據，獲取交易歷史明細，從頭到尾回放交易流水，得知現在Bob的余額是300。

聲音 | 日本金融廳長官：針對區塊鏈等分布式金融系統，如何確保公眾利益已成為新課題:據日經新聞消息，今日在日本福岡舉行的G20峰會上，日本金融廳長官遠藤俊英發表演講指出“監管規則可能抑制創新，監管規則也會跟不上技術變革”。此外，以區塊鏈技術為首的分布式金融系統在沒有金融機構充當中介的情況下，可能實現顧客和市場參與者之間的直接交易，因此金融機構的地位存在下降的可能性，在這種情況下，如何確保公眾利益已成為新的課題。[2019/6/8]

從整個技術棧來看，拜占庭玩家用工具訪問本地數據、遍歷區塊和交易都算是小意思了，他甚至可以修改區塊鏈系統代碼，從區塊鏈網絡接口、程序內存、智能合約引擎等層面切入，從協議包、區塊、交易流水、合約上下文、狀態數據等環節嗅探和攔截到明文數據，即使數據落盤是加密的，密鑰也在節點持有人手里，他照樣能解開。

所以，從區塊鏈底層代碼入手去控制讀數據的權限，同樣也是不管用的，畢竟開源的代碼，誰都可以改，俗話說：“壞人會武術，誰都擋不住”，而懂技術的“壞人”更是無所不能、防不勝防。

動態 | 馬耳他研討會探討如何改進涉及區塊鏈的反洗錢法:據Times of Malta消息，馬耳他區塊鏈協會主席Patrick Young和管理者Max Ganado發文稱，近日在由馬耳他區塊鏈協會和馬耳他財政部共同組織的Blockfinance研討會中，包括馬耳他金融服務管理局（MFSA）、馬耳他金融情報分析部門（FIAU）和在內的利益相關者參與了活動。發言者初步進行了差距分析，使行業參與者可以就涉及區塊鏈的反洗錢法（AML）的進一步發展提出具體建議。 文章指出，這個新興產業需要表現出高標準的誠信以及合規性。此外，區塊鏈行業參與者需要為AML-CFT戰略做出貢獻。[2019/4/7]

總之，區塊鏈強調“分享”和“一致性”，只要明文數據在鏈上廣播，別人就有無數種方法去獲取。無論是在合約層還是底層代碼，幾乎所有的讀控制邏輯都像窗戶紙一捅就破，像馬其諾防線一樣形同虛設。

看到這里，有人可能會問：讀數據如此不設防，那區塊鏈上的“寫”權限還有意義嗎？回答是：有的。

回到積分這個例子，我們設定Alice是積分管理員，她才能發起轉移積分的交易，然后Bob也只接受Alice給自己的積分。轉移積分的交易需要經過全網共識，所有共識節點會檢查合約里寫的規則，不符合就拒絕簽名，越權交易無法得到共識，則數據不會被修改。

這時即使有少量的拜占庭節點，無論在本地節點怎么折騰，也篡改不了全網數據。

“寫”交易追求共識，所以客戶端發交易時，要打上數字簽名，區塊鏈系統驗證簽名，確認是哪個外部賬戶發過來的交易，可以進行嚴格地校驗和準確地追溯。

“讀”操作更強調共享，讀數據的操作其實并不經過共識流程，在自己的節點翻翻數據就行了。通常區塊鏈系統在讀接口并不用嚴格填寫發送者，也無需打上數字簽名，所以，在合約的讀方法里判斷外部賬戶，其實是無效的。

綜合以上種種分析，可以得出結論：在鏈上實現讀控制并不是簡單的事情。

如果對讀控制邏輯考慮不足，那么效果將是：你在自己的節點上讀一下數據來測試驗證，表象看起來OK，你以為歲月靜好，卻不知道在一個拜占庭玩家那里，數據已經被翻得底朝天了。

考慮到多方協作中的去信任化，追求數據共享、公開、透明的取向，一般來說，如果是關鍵的、不能泄露的敏感數據，一定要慎重上鏈，能上鏈的，一定是大家說好可以分享的“最大公約數”。

事實上很多區塊鏈系統里的交易和余額等狀態都是全網可見的，所謂的匿名性或隱私性，只是用公私鑰和地址體系代替了明文賬戶，這個級別的“匿名”，在業務模型復雜且強調全面隱私的金融、政務等領域并不適用。

那么我們還有什么方法，在兼顧共享、透明、開放的同時，適當地控制數據可見性呢？

第一個思路是與鏈外治理結合，約定責權利邊界。我在合約、接口層面做好權限設計和實現，保證在我的業務系統里不泄露數據，我的區塊鏈應用層、展示界面、報表、日志、數據庫等環節都不會被越權訪問，消除我內部操作風險。

至于別人的節點，我管不著，那是他們的責任，誰泄露濫用數據，就重罰誰。這種邏輯其實有點“各掃門前雪”的意思，在這種模式下，我的敏感數據還是不能上鏈給到別人。

第二個思路是引入密碼學。這里舉幾個例子。

非對稱加密：上鏈的數據用接受方的公鑰加密，則只有接收方才能用自己的私鑰解開。

密碼信封：上鏈數據采用某個口令加密，口令通過鏈外信道給到接收方，只有知道口令的接收方才能解密。

屬性加密：數據采用屬性加密算法進行加密，符合指定屬性的才能解密。這些方案的考量在于運算、傳輸、存儲的開銷都會大一點，另外加密的數據不支持明文運算，難以實現復雜的業務合約邏輯。還要注意的是，即使加了密，本質上數據的全部信息還是都上鏈了，隨著時間推移，計算能力和算法的進化，存在被暴力破解的可能性，或者因為密鑰泄露/太簡單被猜到，鏈上的數據又無法撤回，就有被昭告天下的風險。

第三個思路是僅摘要上鏈，數據明文根本就不上鏈。

其實，區塊鏈的作用并不一定是全面掌握數據和執行復雜的業務規則，而是憑借多方見證的公信力，驗證數據的準確性、完整性，并起到存證和追溯的作用，事實上現階段很多區塊鏈系統主要是這么個邏輯，客觀上已經能起到信任的錨點作用。

如果需要明文數據，再通過摘要里的尋址信息去鏈外系統獲取數據，在這個環節上做精細的權限控制，并和鏈上摘要進行互驗。

但，數據不上鏈還是有點不甘心呀，區塊鏈這么創新的理念，智能合約這么強大的功能，怎么充分發揮呢？

這就要講到隱私計算了，包括但不限于零知識證明、同態加密、安全多方計算、聯邦學習等一系列重武器，可以做到隱秘數據、身份的同時，對加密數據進行加減乘除運算、邏輯運算、排序、統計分析，更進一步還可以做到“前臺匿名，后臺可審計”的效果，以符合監管合規要求。這就是在區塊鏈上實現“可用不可見”的最終奧義。

限于篇幅，這里不展開隱私計算的細節，可以參考WeDPR隱私保護相關的開源場景方案，尤其是其中的幾個場景，如VCL區塊鏈可驗證密文賬本，可以用于解決前面提到的積分案例里的一些隱私問題。

WeDPR隱私保護相關開源場景方案：

https://fintech.webank.com/wedpr/

VCL區塊鏈可驗證密文賬本：

https://sandbox.webank.com/wedpr/confidentialpayment/#/start

結語

本來只是想聊聊“怎么寫合約讀權限”這樣一個小問題，結果變成了長篇。

其實面對區塊鏈編程和開發時，真的不能像寫單機或集群軟件那樣考慮問題，而要充分考量多方參與、去信任環境下的協作關系，在共享、透明、可追溯的基本哲學之上，關注隱私保護訴求，掂量數據的重要性和敏感性，再深入到技術棧，考慮各種算法的功效和成本、綜合現在和未來的風險和收益以選擇合適策略，這樣才能全面保護數據和隱私，安全地發展業務，維護自身和用戶權益。

來源|??FISCOBCOS開源社區

Tags：區塊鏈BOBWEDEDP區塊鏈幣圈大佬排行榜bob波幣錢包容易被抓嗎Wedex Token V2EDP幣

LTC