以太坊:是技术创新还是披着羊皮的狼?NFT市场火爆背后的安全隐忧

2021年对于币圈来讲注定是一个值得被载入史册的一年,后疫情时代各国政府为应对经济衰退而出台的一系列宏观调控政策使得数字经济突飞猛进,在货币宽松政策下大量的资金涌入币圈,从比特币到以太坊到宠物币,从DeFi到NFT到metaverse,一个个新的IP被点燃,市场热情高涨,信心爆棚。区块链的发展站上了崭新的高度,群星荟萃之间,NFT当属那颗最闪亮的星。科技赋能业务,技术赋能艺术。Uniswap一双袜子卖16万美元,推特创始人五个单词拍出250万美元,加密艺术家Beeple在佳士得的NFT拍卖作品获得975万美元出价……一夜之间,NFT火爆全网。NFT,这个脱胎于区块链的技术,因其所具有的非同质化特点可以广泛地应用在通证经济之中,在新的历史起点下,将推动知识产权保护,加速资产流通性,重塑资产数字化,重新构建数字艺术体系。“万物皆可NFT”的时代仿佛已经到来。

但是,新事物的产生和发展不是一帆风顺的,而是前进性和曲折性的辩证统一。NFT也是如此,从标准的确立到走向市场,是一个充满矛盾的过程。NFT背后的中心化安全问题一直没有很好的解决方法:如何确定从链上token到链下资产的绑定关系,以及如何保证链下资产的不可篡改性等问题一直为人们所关注。在本文中,我们就来探讨一下这些NFT背后的中心化安全问题。

NFT是什么

Anon-fungibletoken(NFT)isaunitofdatastoredonadigitalledger,calledablockchain,thatcertifiesadigitalassettobeuniqueandthereforenotinterchangeable.?NFTscanbeusedtorepresentitemssuchasphotos,videos,audio,andothertypesofdigitalfiles.Accesstoanycopyoftheoriginalfile,however,isnotrestrictedtothebuyeroftheNFT.Whilecopiesofthesedigitalitemsareavailableforanyonetoobtain,NFTsaretrackedonblockchainstoprovidetheownerwithaproofofownershipthatisseparatefromcopyright.

根据上述来自于维基百科的定义:NFT是一种被称为区块链上的数据单位,每个代币可以代表一个独特的数码资料。由于其不能互换,非同质化代币可以代表数位文件,如画作、声音、影片、游戏中的项目或其他形式的创意作品。同质化代币,即FT,互相可以替代、可接近无限拆分的token。例如,你手里有一个比特币与我手里的一个比特币,本质上没有任何区别,这就是同质化,就是同质化币。而非同质化代币,即NFT,则是唯一的、不可拆分的token,如加密猫、token化的数字门票等。也就相当于带有编号的人民币,这个世界上不会有两张编号一样的人民币,不会有两只一样的猫,也不会有两个完全一样的NFT。

国际货币基金组织:数字人民币的新趋势是技术务实,不需要非此即彼:2月10日消息,国际货币基金组织(IMF)发布央行数字货币报告,报告研究了六个国家的CBDC项目表示,没有通用的设计或方法来实现CBDC。CBDC仍处于起步阶段,仍然存在悬而未决的问题以及常见的障碍。几个司法管辖区提到的未决问题包括可持续商业模式的性质,这种模式将确保成本回收,并为私营部门的参与提供充分的激励。其他问题与推动创新的边界有关,以允许重要功能,如离线能力。技术的选择也经常被强调,包括DLT的用例和限制。未来的关键困难包括在一个非常新且快速发展的领域做出选择,以及与开发过程相关的成本。

由中国人民银行牵头的一些司法管辖区的一个新趋势是对技术的务实看法。集中式和分布式技术之间的选择不需要非此即彼。中央银行可以采用CBDC,为不同的目的使用不同的技术。还有一些悬而未决的问题,CBDC仍然是一个未知领域,既带来了挑战,也带来了机遇。加强国际信息共享,分享从单个CBDC项目中获得的见解,以及在政策和设计问题上的合作,这将是今后的一项重要工作。[2022/2/10 9:42:32]

图一、FT和NFT

关于NFT,简单来说就是区块链上资产所有权的通证化。以购买一件艺术品为例,当收藏家购买一件艺术品时,他们会签署一份转让所有权的合同,然后收到一份真品证明,以证明他们拥有这件原作。NFT就是以类似的方式运作,在区块链中创建一个不可复制的数字令牌(因此是“非同质化”),并将自动跟踪底层文件的整个所有权历史和销售价格。任何NFT资产的潜在买家都将确切地看到它是在什么时候创建,什么时候被购买和出售,价格多少以及由谁创建。因此,不仅产生正式所有权的整个过程是去中心化的,所有的交易历史也是透明的,这使估值过程变得更为顺畅。并且从数字商品到物理资产的债权都可以用NFT表示。在未来几年,我们将看到NFT在一些全新的应用场景中使用,而它们都只有在区块链上才能实现。

从技术角度来说,NFT是一个通证的概念,它规定了每一个token都有一个id,因此每个token都是独一无二的,并且token信息是保存在区块链上的,因此可以保证其唯一性、公开性、不可篡改性、安全性。NFT可以起"数字证书"的作用,每一个token对应一份特定资产。除此以外,每一个token还是不可分割的。NFT在通证经济中有着广阔的应用前景,目前来讲,NFT主要被应用于游戏以及数字艺术品领域。以太坊ERC-721协议就是NFT的一种实现标准。

观点:区块链应用最大阻力是技术共识逻辑影响了既得利益者:全国社会保障基金理事会原副理事长王忠民在《寻找区块链力量》节目中表示,今天区块链应用最大的阻力不是技术,不是前端场景的拓展,而是因为区块链是分布式的,是技术的共识逻辑替代了原有的中心化一切的金融逻辑与社会组织、社会生产逻辑。而原有的这些,无论是制度规定、制度执行、监管和组织体,一定是这当中的既得利益者。(新浪财经)[2020/9/10]

ERC-721协议规定了3种event和9种function用来实现token的转移、授权等操作以及对操作的记录。我们注意到,几乎所有的函数中都有一个叫做_tokenId的参数,该参数即为NFTtoken中用于标识每个token唯一确定的“身份证”。

注意:每个token有且仅有一个id,这也是保证NTF每个token都不一样的唯一凭证。

不同种类的NFT有着不同的实现方式,从NFT与链下世界的信息交互类型可以将NFT分为无绑定型NFT和有绑定型NFT:

注:这里的”绑定“指的是链上的NFTtoken与链下资产的绑定关系。

图二、NFT分类

首先是无绑定型NFT,如图三所示,这一类NFT指的是token的所有信息只存在于链上,没有其他的链下资产和链上的token所关联,例如CryptoKitties,该NFT是一个基于以太坊平台运行的、聚众云吸猫的游戏。用户在游戏中可以养大、买卖并繁育“电子宠物”小猫,每只小猫对应一个NTFtoken,因此每一只猫都是独一无二的。而且每一只猫的所有信息都记载在合约中,因此不需要、也没有链下额外的空间去记载猫的信息。

图三、无绑定型NFT

最近火爆全网的Loot也是以太坊链上的一个无绑定型NFT,Opensea上介绍Loot说:

Loot?is?randomized?adventurer?gear?generated?and?stored?on?chain.?Stats,?images,?and?other?functionality?are?intentionally?omitted?for?others?to?interpret.?Feel?free?to?use?Loot?in?any?way?you?want.

同济大学马小峰:区块链是技术构建的数字生态,须达成多方共识:在2020年中国国际服务贸易交易会上,同济大学区块链研究院院长马小峰提醒,中国区块链企业在“出海”的过程中,必须要注意海外的政策、法规、文化等因素,例如数据使用的范围、用户授权的标准、金融监管的侧重点等。他表示:“区块链绝不仅仅是技术,它是技术构建的数字生态,这个生态必须要达成多方共识,在这个基础框架下推进合作。”(中国新闻网)[2020/9/9]

也就是说,LootNFT是随机生成的冒险者装备,并存储在区块链上。统计数字、图像和其他功能被有意省略,供他人解释。通俗一点,Loot是一种黑色背景,只包含文本的链上NFT,任何人都可以参与铸造,将会随机获得一组奇幻冒险家装备,当然是以文本的形式,这些装备具有随机分布的稀缺特征。每个Loot都包含8种装备,因此有8行字,每一行代表着一种装备。总体来说,Loot是一种仅包含文本信息的链上NFT,是的,它只是text文字!

如图四所示,从Opensea上可以看到tokenID为2790的LootNFTtoken的售价为9ETH。

图四、LootNFTtoken信息

其所代表的信息在etherscan上通过合约提供的以下接口可以查看到。

图五、Loot合约接口

由于LootNFT的所有信息都放在了以太坊链上的Loot合约里,因此,Loot是一个无绑定型NFT,其所有的信息都放在链上。

其次是有绑定型NFT,这类NFT的特点是每一个token都和链下的某个资产有着一一对应的关系,从某种角度来讲,这种token可以视为链下资产的”证书“。因此这类NFT多用于艺术品的交易等工作。

如图六所示,这一类的NFT和上面的NFT不同,这种NFT合约内部还存储了和每一个token一一对应的一个外部链接,因此在这种NFT中,一个token的信息不仅仅保存在链上,还有一部分是保存在链下的,因此,对于这种NFT,合约中会保存token对应的外部URI信息。

现场 | 原科技部副部长张来武:区块链不仅是技术的创新 也是科学、技术、应用场景的运算:金色财经现场报道,12月5日,由海南省工业和信息化厅主办,海南生态软件园及火币中国承办的“海南自贸港数字经济和区块链国际合作论坛”在海南省海口市举行。南南合作金融中心首席经济学家、复旦大学六次产业研究院院长、中国科技部原副部长张来武做出题为“六次产业理论与数字经济发展”的主题演讲。他指出,数据作为新的生产要素,在人类经济史上首次出现,在第四产业诞生,数字经济本质上来说,产生于第四、第五、第六经济,重新书写了人类的经济史。他还表示,区块链技术不仅是技术的创新,也是科学、技术、应用场景的运算。发展至今,比特币和Libra是对区块链的发展产生巨大影响的事件,说明区块链不是单纯的技术,应用产品的设计、相关技术群的选择、密码学和共识形成整体的运算,这才是真正的区块链技术。数字货币的发展是“区块链+”的一个主要战场,同时以共享系统为主题的第六产业也是区块链发展的主战场。[2019/12/5]

图六、有绑定型NFT

如果合约中所记载的外部链接中没有再额外指向其他地方的链接,即一个外部链接中包含全部描述对应token的信息,那么这种token叫做单级绑定NFT,如图六所示。如果合约中所记载的外部链接中还有指向其他地方的外部链接,即多个外部链接嵌套循环,那么对于这种token叫做多级绑定NFT。如图七所示。如果外部链接的嵌套层数是n,我们就叫n级绑定NFT,区块链层处于第0级。

图七、多级绑定NFT

NFT的中心化安全问题

前文我们讲过,得益于区块链技术的去中心化和不可篡改等特性,NFT中每一个token的安全性是可以保证的,即合约中token本身的内容的唯一性,合法性,所属权是不可篡改的。但是在有绑定型NFT合约中不仅仅保存了token本身的内容,如图六所示的NFT合约,这种NFT合约中还保存了和token对应的外部URI的信息,外部URI指向的是token所对应的链下信息。而这种链上和链下交互的机制中就存在我们开头所讲的中心化安全问题。

虽然合约内部的tokenid、externalURI本身的内容是不可篡改的,但是URI所指向的外部页面中的内容却是可以修改的。如图八所示,如果有人修改了外部链接中的内容,仅仅通过链上数据是无法检测到的,在这种情况下,你的NFT资产随时可能被别人掉包。也就是说对于上图六、图七所示的有绑定型NFT合约来讲,是无法保证链上数据和链下资产的一致性的。这就是NFT中如何保证链下资产不可篡改性的中心化安全问题。

声音 | Blockstream首席战略官:以太坊是技术死胡同 被使用越多死得越快:Blockstream首席战略官Samson Mow转发彭博关于以太坊相关报道并评论称,以太坊是技术死胡同,被使用越多死得越快。但USDT在闪电网络上也是可以用的,闪电网络有很强的可拓展性,之后将允许为像Tether这样的资产创建闪电网络。

对此,以太坊创始人V神评论回应称:“那你知道比特币网络容量和以太坊一样也几乎满了?”而Samson Mow则回应表示,两者非常不同,所有区块链都不会扩展,但以太坊情况更糟。比特币用于验证交易。以太坊则用于填充和计算各种无关数据。

据悉,Samson Mow转发的相关文章为,彭博社8月27日报道称,USDT增发造成以太坊网络堵塞,其利用率目前已飙升至 90%。[2019/8/28]

图八、对有绑定型NFT的篡改

有绑定型NFT分为2种:弱绑定型NFT和强绑定型NFT

弱绑定型NFT即为上述所说:无法保证链上数据和链下资产一致性的NFT,例如图六、图七所示的即为弱绑定型NFT。

强绑定型NFT指的是可以保证链上数据和链下资产的一致性的NFT,也就是说存在某种机制,使得token所对应的链下资产无法被篡改,或者对篡改操作可以溯源的NFT。显然,强绑定型NFT更加安全、可靠,也更符合区块链“去中心化”的设计理念。

为了更好地了解当前的NFT生态,我们选取了截止到9月11号为止以太坊上历史交易量最多的10个符合ERC-721标准的NFT合约来进行分析。遗憾的是,目前大部分有绑定型NFT都是弱绑定的:10个NFT合约中,除了3个无绑定型NFT,其余的7个有绑定型NFT中有6个都是弱绑定的。

案例分析:ArtBlocks

ArtBlocks在上述6个头部弱绑定NFT中比较活跃且较具代表性,以下我们就以ArtBlocks作为案例分析的目标NFT。

ArtBlocks是一个专注于策划可编程生成艺术作品的平台。这些作品通常使用p5.js进行编程,p5.js是一个允许创造性编码的JavaScript库,脚本存储在链上。当铸造新艺术品时,会使用脚本随机生成一个独特的“种子”,从而生成独特的艺术品。据Opensea显示:截止到9月16号为止,ArtBlocks是七天之内成交量最大,历史上成交总金额第二大的NFT。

图九、Opensea平台上NFT7天成交量排名

如图十所示,从Opensea上可以看到tokenID为95000658的ArtBlocksNFTtoken的竞价高达398.5ETH。

图十、天价ArtBlocksNFTtoken

那么这个token背后所代表的是什么呢,我们在etherscan上通过合约接口去查看这个token的信息得到对应的URI为:https://api.artblocks.io/token/95000658。

图十一、ArtBlocks合约接口

如图十二所示,这个外部链接的内容为一个json格式的文件,其定义了艺术品相关的信息,在这个json文件中,给出了指向图片艺术品的URI。我们注意到无论是链上保存的tokenURI还是链下保存的imageURI,这些URI都指向的是ArtBlocks这个项目方私有的站点,并且没有校验机制。简而言之,如果项目方私下更改URI内的内容,那么用户的NFT收藏品就会被掉包。显而易见,作为一个多级弱绑定型NFT,ArtBlocks是存在中心化安全隐患的。

图十二、Art?BlocksNFTtoken的链下信息

此外,我们之前也提到过在弱绑定的NFT中,如果有人获得了你的token所对应的外部链接的控制权,那么他就可以修改这个链接内的内容,从而可以在神不知鬼不觉的情况下掉包你的NFTtoken。虽然弱绑定的NFT从某些方面可以省去一些成本、提高开发效率等,但是这些是以牺牲NFT的安全性为前提的。

区块链的初衷之一便是去中心化加上密码学机制所带来的安全性和不可篡改性。如果说我们抛弃了这些特性,那么存在于区块链之上的NFT又和传统的证书方式有何异处呢?

可以做得更好

目前多数有绑定型的NFT都是弱绑定型NFT,无法有效地保证链上的token和链下的数据完全一致。而强绑定型NFT,采取了特殊的方法来保证token链上链下信息的一致性。强绑定型NFT主要有以下两种实现方法:

第一种是通过以IPFS为代表的基于区块链、分布式网络存储实现强绑定机制的NFT:

图十三、IPFS强绑定型NFT

这种方式通过将文件存放在不可篡改的区块链或者分布式网络存储系统上来保证链上信息和链下信息的一致性,例如IPFS或者是Arweave,由于其文件系统的技术特点可以保证文件一旦上传便不可篡改,因此token信息的一致性不会被破坏。如图十三所示即为使用IPFS的NFT:这种NFT合约中存储了每个token对应的外部IPFSURI地址,由于IPFS文件系统是分布式、点到点、且不可篡改的文件系统,文件一旦上传到IPFS网络中就不可再更改,因此每个token所对应的链下信息也是不可更改的。RARINFT就采取了这种方式。

采用以IPFS为代表的基于区块链、分布式网络存储实现强绑定机制的NFT合约的优点是合约中只需要记载token对应的URI信息,节省了链上存储空间。缺点是区块链或者分布式网络存储系统使用起来比较麻烦,对于普通用户不友好,使用成本较高。

第二种是通过哈希指针实现强绑定机制的NFT:

哈希指针,英文为“HashPointers”,就是一个指向数据存储位置,以及该存储位置里面的数据的哈希值的指针。一个普通的指针可以告诉你数据存储的位置,而哈希指针不但可以告诉你数据存储的位置,还可以给你一种方式,让你验证数据没有被篡改过。

图十四、哈希指针强绑定型NFT

如图十四所示,在使用哈希指针实现强绑定的NFT中,链上合约内部存储了第一层外部链接的哈希指针,第一层外部链接内保存了第二层外部链接的哈希指针......每一级的存储系统都保存了指向下一级的哈希指针,在这种机制下,如果某一层的内容被篡改了,那么一定可以被追查到被篡改的地方。

采用哈希指针方式的强绑定型NFT合约的优点是易于使用,外部文件的存储不仅仅局限于区块链或者分布式网络存储系统,还可以使用http、https等万维网协议。缺点是在每一级的存储结构中都要存储下一级链接的哈希指针,较为浪费空间,尤其在寸土寸金的区块链上,多存一部分的内容的开销不容小觑。

从安全角度来讲,我们建议NFT合约的设计规范应符合以下条件之一:

1.采用非绑定式NFT,即全部数据都放在链上

2.采用类似基于IPFS机制实现的的强绑定NFT

3.采用基于哈希指针实现的强绑定NFT

总结

本文分析了以太坊上的交易量最多的10个NFT合约,这其中大多数合约都是弱绑定型NFT合约,弱绑定合约存在不容忽视的中心化安全问题,从某种程度上讲,弱绑定型合约就像是一个披着区块链外皮的中心化证书系统,而中心化的权力机构拥有对NTF的绝对控制权,在这种情况下,你口袋中的NFT不是属于你自己的,只是别人暂时赋予你它的使用权限,而且随时可收回,这在去中心化的世界中不可不谓是一种倒行逆施。

安全工作无小事,天堂地狱一念间。在去中心化的世界中技术应该帮助建立起一个公平公正的框架,而不是那种披着去中心化外皮的传统中心化体系。目前,NFT的发展方兴未艾,一系列的标准有待确立,旧的世界需要被打破,新的秩序急需建立。我们有理由相信,一个真正的去中心化的NFT世界终会到来。

附录

本文所分析的10个以太坊上的NFT合约

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

PolygonWEB3.0:"Play2Earn"收入模式会推动Web3.0的发展吗?

我们今天在互联网上的体验与20年前大不相同。你可能是通过关注帖子、电子邮件通讯或基于兴趣的算法自动提出的建议来阅读这篇文章的,这种交互范式就是我们通常所说的Web2.0,也就是我们现在所处的社交.

以太坊NFT:都江堰市建成区块链场景创新实验室

“写代码写得脑子‘糊’的时候,一抬眼看看窗外的彩色稻田,再吸一口新鲜空气,瞬间就‘满血复活’了,这样的工作环境是我向往的。”来自上海的程序员袁帆坐在新工位前兴奋地向记者说道.

[0:15ms0-3:96ms