猎豹区块链安全中心:全球第4大加密货币IOTA的物联网神话
Tangle是否能在保证去中心的前提下,满足物联网行业的安全高性能需求,有待大规模落地验证。
简介:酋长评级是区块链酋长与第三方大数据机构 RatingToken 合作推出的区块链项目评级栏目。
综述
1.1 项目简介
IOTA是目前全球第四大加密货币。该项目提出初衷是为物联网行业设计一套新型的交易结算及数据资产流通系统,它不同于其它区块链项目,采用Tangle(缠结)架构,通过无区块的DAG(有向无环图)数据结构,构建服务于物联网(IOT)的分布式账本。
1.2市场空间、行业痛点及产品构想
市场空间:
2017年以来,全球物联网市场规模持续稳步增长,跨界应用不断兴起。物联网由于其天然的分布式特性,是区块链技术理想的落地方向。而IOTA最初在2015年被提出的初衷,正是为了给物联网应用行业赋能,简化交易流程,尤其是解决小额交易的问题。随着物联网的持续发展,智能设备之间交互及资源共享需求愈发强烈。
行业痛点:
针对传统物联网行业: 在长期的发展及技术革新进程中,设备安全、个人隐私、架构僵化、通信兼容等等问题,成为了物联网发展的主要瓶颈。
针对区块链领域:交易手续费及由于奖励机制引起的矿工及雇主间的矛盾始终是行业待解决的难题。通常情况下,矿工们会依据许多不同的标准对交易进行优先级排序,一般情况下费用是首要标准交易。
IOTA产品构想:
IOTA的出现,使得区块链必须支付手续费给矿工的状况得以扭转,推出没有区块、没有链、也没有矿工的新技术Tangle(缠结)。IOTA通过Tangle(缠结)技术,提供零交易手续费的服务。虽然网络是随机分布在不同的设备上,但只要交易有效,整个网络节点都会成为交易确认者。在IOTA,每个参与者都可以确认其他交易,交易发送者与交易验证者两个角色巧妙结合。
IOTA目标是将技术能力转化为潜在服务,构建多样化和开放的数据市场,以促进企业实体间的数据流动,并在公开市场上实时交易。同时,也真正意义上消除了区块链的原生性限制,如交易费、可扩展性和算力集中化等问题。而IOTA的框架及理念,极大程度地迎合了物联网时代的数据交换,加速了未来机器经济时代的到来。
总体来说,IOTA框架中的零交易费用、极快的确认速度等优势,极大程度地解决了物联网行业的痛点,同时也打破了传统区块链行业的技术壁垒。
1.3应用场景及合作案例
根据IOTA生态基金会官网的介绍,在此做部分合作案例的列举:
IOTA已经与微软、大众、三星等集团在数据安全交易方面展开合作。
IOTA基金会被东京市政府列入加速器计划。
IOTA与大众汽车展开合作,双方将合作开发联网汽车分布式技术。
IOTA基金会与台北政府达成合作,共建智慧城市。
IOTA和国际运输创新中心(ITIC)宣布合作,共同开发自动驾驶汽车试验台。
欧盟委员会批准IOTA和欧洲智慧城市联盟共同致力于创建智能积极能源城市。
1.4基金会
非营利性IOTA基金会于2017年由Dominik Schiener(IOTA董事会联合主席兼创始人)和David Sonstebo(IOTA创始人)在德国成立。该基金会也是德国第一个完全监管的非营利性基金会,以数字货币(IOTA代币)作为资本(非初始分配,而是接受了约5%的总供应量作为捐款)。这笔代币供应为IOTA基金会的捐赠基金。IOTA基金会的主要目标是研究、开发、教育以及经济的标准化建设。该基金会由正式章程管理,包括理事会,监事会和顾问委员会。
1.5团队
根据官网介绍,主要团队信息如下:
联合创始人:
创始团队:
顾问团队:
总体来看,
IOTA在官网中对团队核心成员的信息披露较为完善,主要联合创始人在Linkin等社交平台上的信息全面且更新及时。
团队技术力量强大,其联合创始人及白皮书作者Serguei Popov发表过多篇与IOTA核心技术Tangle相关的论文,根据目前了解的信息,整体开发技术团队的科研背景雄厚。
团队联合创始成员均在区块链行业有较为丰富的从业经验。
1.6 Token分析
初始代币情况:
2015年11月,IOTA通过发行100%的通证进行了众筹,IOTA通证总量恒定为2,779,530,283,277,761个,且永不增发,不需开采,无锁仓机制。初创团队未预留任何IOTA通证,因此团队激励不足的情况有可能存在。社区向非营利性IOTA基金会捐赠大约占总量5%的IOTA通证来支持该项目的运营,基金会未公布募集资金的分配情况。IOTA其特有的交易零费用,无挖矿激励,避免了矿工与使用者之间的利益冲突。
根据CoinMarketCap2019年1月31日数据显示,目前IOTA价格为¥1.82
IOTA项目整体市场表现:
点击看大图
根据 Coinmarketcap 的全市场走势图来看,IOTA项目在2017 年末到2018年初冲到高点,顶部区域明显,随后价格回落,在 2018 年 4 月反弹过程中,成交量放量有限,反弹顶点甚至未达到头肩形态的颈线阻力区。表明市场做多意愿不够强,整体价格走势仍处于弱势区间。
环境分析
2.1行业环境
欧洲智能系统集成技术平台(EPoSS)在《Internet of Things in 2020》报告中分析预测,未来物联网的发展将经历四个阶段,2010年之前RFID被广泛应用于物流、零售和制药领域,2010-2015年物体互联,2015-2020年物体进入半智能化,2020年之后物体进入全智能化。而目前,正是整个物联网行业从半智能转向全智能化的关键节点。
而区块链,作为物联网领域中极其重要的一种落地形式,正处在爆发阶段。据统计,截止2018年末,区块链物联网项目共计54个,涉及物联网平台、智能制造、车联网、农业、供应链等诸多领域,包括区块链创业企业、供应链公司和互联网巨头,阿里、京东、IBM等知名企业均在区块链物联网行业进行布局。
IOTA属于早期概念实验者,利用分布式账本技术,进行身份验证和确权,将数据资产化,从而保护数据隐私;IOTA的分布式账本技术可以实现点对点数据传输,相较于传统的中心化物联网平台,这显著降低了通信成本、存储成本和维护成本;此外,IOTA作为分布式物联网基础设施,也提供了统一的标准,极大程度提高了行业互通性。
2.2政策环境
物联网行业:
IOTA项目注册于德国,据了解,德国目前为止尚未有任何关于物联网行业的明确政策出台。但是早在德国政府提出的“工业4.0“概念构想中,已经指出,整个国家旨在提升制造业的智能化水平,建立具有适应性、资源效率及基因工程学的智慧工厂,在商业流程及价值流程中整合客户及商业伙伴。而整个理念的实现,其技术基础就是网络实体系统及物联网。
此外,在2017年,德国联邦经济部提出将努力把创新政策带向新维度,德国将积极推进具有欧洲共同利益的重要项目,以在物联网、工业4.0、自动驾驶等应用领域加强本国开发和制造能力,维护数字主权。2017-2020年将提供投资补助10亿欧元,带动企业项目投资44亿欧元。
各国对于ICO的政策:
整个欧洲地区是关于ICO政策颁布最密集的地区。据了解,加密行业的大多数项目通常都会采用集中在几个除欧洲区外的,有利于规避税收的司法管辖区,如库拉索岛、毛里求斯、尼维斯等等地区注册,以此来规避税收及监管的风险。但是,IOTA创始团队却选择在德国建立,这可能是最困难和最严格的道路。然而最终,他们成功地成为德国第一家完全受监管的非营利性基金会。这为 IOTA争取了大量的机会及合作资源。
德国:2018年3月28日,德国联邦金融监督管理局(下称“BaFin”)发布了《咨询函》,表示BaFin在个案基础上决定代币是否构成德国证券交易法或金融工具市场指引项下的金融工具,在个案基础上决定代币是否构成德国证券招股书法项下的证券,在个案基础上决定代币是否构成德国金钱投资法项下的金钱投资。BaFin在该《咨询函》中对构成金融工具和证券所需符合的特征作出了详细定义,并列明了授权要求。
美国:自2018年以来,美国就加强了对ICO的监管。2018年3月7日,美国证监会开始监管使用 SAFT 协议的 ICO,并向80家数字货币公司发出传票。3月11日,美国SEC宣布数字货币交易所必须要进行注册。SAFT,Simple Agreement for Future Tokens,中文为“未来令牌简单协议”,是数字货币开发商向合格投资者提供的投资合同。协议承诺在网络或公司未来运营时交付一定数量的代币。该协议与标准1C0不同,因为1CO会立即发放代币,而SAFT实际上是一种承诺交付。
此外,有消息称,美国监管机构可能会将所有token都认定为证券,这将对区块链项目的落地造成极大的负面影响。Token一旦被认定为证券,接受证券法监管,其流动性就将会大大降低。
前不久,美国证券教育委员会(SEC)官网发布2018年财政年度报告,报告中提到要打击欺诈性ICO。
其它国家地区对于ICO的重要举措:
Github情况和官网研发路线说明
3.1 Github情况:
IOTA项目官方GitHub公布的最新代码显示:
官方github主要有6个置顶代码库iri、entangled、iota.js、iota.go、rpchub、trinity-wallet 。IOTA项目现共有76个代码库,其中搜索显示直接引用(fork)6个项目代码库和1个WIKI。评估研究员详细查询直接引用(fork)的6个项目代码库发现,mam.client.js、docker-buildkite-plugin、libopencl-stub、PearlDiver共4个代码库直接引用(fork)外部代码库地址,iota.curl.java、iotavisualization共2个代码库直接引用(fork)IOTA代码库中的个人地址。
3.2官网研发路线:
官网研发路线有19个项目,其中分为12个正在积极发展的项目和7个仍处于研究阶段的项目。
12个正在积极发展的项目研发情况:
IOTA节点开发的主要代码iri 和JavaScript client 版本的iota.lib.js(已由iota.js代替)共计2个项目持续处于长期维护开发。
使节点运营者能够以他们认为合理的方式来维护或处理Tangle历史记录的Local Snapshots & Permanodes 、通过监控实现对Tangle性能和指标深入分析的Tanglescope 、给开发人员调试使用的PoWBox 、采用新加密哈希函数算法的Curl+共计4个项目已经开发完成。
便于服务提供商整合IOTA的Hub、从IRI中剥离coordinator实现新共识的Coo-free IRI、PC及手机版钱包的Trinity、为深入研究嵌入式物联网设备做准备的C Client、全规格及全功能重写MAM(官方定义为消息传输协议)的MAM+共计5个项目处于开发中。
官网正在积极发展的项目中也有1个未开发,这就是在Tangle上启用预言机(Oracle),外包计算和智能合约的Qubic 。
开发进度
4.1 核心技术—Tangle:
Tangle 与Blockchain相似,它是一种为建立物联网(Internet of Things,IoT )而设计的分布式网络数据结构,通过一批独立的运营者执行一系列数据传输交易,并达成共识促进一系列安全交易。
IOTA的Tangle基于DAG技术,可以通过平行验证实现较高的交易吞吐量,并不收取交易手续费。由于IOTA的网络交易量限制,暂时在Tangle网络无法保证其安全性,现使用Coordinator(协调器,详情见下文5.1)。
Blockchain与Tangle网络区别:
Blockchain网络图
Tangle网络图
可以发现,Tangle独特的拓扑结构不同于Blockchain通过添加区块形成的单一连续链式架构。Blockchain的技术三要素:交易、区块、链,在Tangle中只有交易,并没有区块和链。
数据结构及交易验证方式不同:Tangle的验证方式是后面的交易验证前面2个未经证实的交易,Blockchain的交易验证方式普遍是节点在打包一个区块的时候,会对区块里所有的交易进行验证,并且一个交易还需要得到数次确认来确保交易最后的完成。可以大致理解为:Tangle就像是并发式多线程“链”式验证,这是单节点对多条“链”的交易进行验证,不同于Blockchain多节点对单一最长链的交易验证方式。
Tangle基于有向无环图DAG(又称作定向非循环图)指的是一个无回路的有向图。如下图所示,如果有一个非有向无环图,且A点出发向B(路径1)经C(路径2)可回到A(路径3),形成一个环(闭环路径:1-2-3)。将从C到A的边方向改为从A到C(将路径3改为路径4),则变成有向无环图。
有向无环图
在Tangle网络中,当添加一个新的交易,这个新交易必须验证之前2个未经证实的交易,这些验证关系就通过有方向的边来表示,如下图所示(在图中,时间走向总是从左到右)。如果从交易A到交易B之间至少有2个有向边的路径存在,交易 A就间接地验证了交易B。这里2个以上有向边路径理解可以参考上述Tangle网络图,交易t间接的验证交易o,这里就存在4个有向边的路径,路径1的2-y-t-o,路径2的2-z-t-o,路径3的3-t-0,路径4的4-z-t-o。
共识机制创新:区块链共识是通过一个非常严格的机制完成的,区块链中添加下一个区块需要多方进行竞争,并获取区块奖励或交易手续费。正因如此,共识和交易分成是分离开的,并且由网络的一小部分人来完成,Blockchain通常会设置较高门槛,这样会导致进一步的中心化。
4.2 独创的哈希加密算法 Curl
IOTA团队创建了他们自己的加密哈希函数,称之为Curl的三进制算法。IOTA轻钱包中使用Curl哈希函数来进行PoW做功,并且提供了“Webgl 2 Curl”和”Ccurl实现“两种方法来执行Curl哈希算法。
针对物联网设备及未来AI设备,传统二进制不能简洁地反馈实际应用场景情况,三进制逻辑则可以更便捷的处理此类状况。
三进制算法的优势
传统二进制只能简单表示“1”(是)和“0”(否)状态,可是实际场景下还包含未知待确定的情况,而三进制逻辑学可以用符号“2”代表“是”;符号“0”代表“否”;符号“1”代表“未知待确定”应对未知待确定这个情况。
以铁氧体磁芯和半导体二极管举例,真空管和晶体管等传统的计算机元器件逐渐被速度更快、可靠性更好的铁氧体磁芯和半导体二极管淘汰,这是由于三进制逻辑电路比二进制逻辑电路更容易表示电压的三种状态:正电压(“1”)、零电压(“0”)和负电压(“-1”),使得铁氧体磁芯和半导体二极管这些电子元器件组成了一个很好的可控电流变压器。
在计算机算法逻辑上,三进制能更简单的表达未知待确定状态,所以采用三进制算法的Curl在这方面更符合计算机在物联网及人工智能方面的发展趋势。
4.3 建立掩码认证消息MAM
掩码认证消息(Masked Authenticated Message),简称MAM。MAM的优点是通过让数据流和交易更便宜,更安全和无处不在,而将IOTA与其他分布式账本区分开来。
当在频道上发布新消息时,发布者可以有三种选项:
Public(公共模式):掩码消息使用 root 来解密 ,每个人都可以查看。
Private(私有模式):掩码消息使用root来解密,只有你(即种子所有者)可以查看。
Restricted(受限模式):掩码消息使用 sideKey 来解密 ,你可以将一个密钥告诉某个人,授权他成为查看者。这个密钥在源代码中被命名为sideKey。
以自动贩卖机举例,公共模式就是自动贩卖机上的屏幕广告消息;私有模式就是企业可以实时通过MAM频道查看贩卖机商品销售库存及机器耗能等情况;受限模式就是企业授权区域网点员工或者合作伙伴等查看该该区域限定的贩卖机情况。
落地评估
5.1 协调器是一种中心化的方案
IOTA是为了规模应用而建立的,但目前网络交易量较小,因此出于安全原因,项目方采用了一种自主的和临时性的共识机制协调器(coordinator,以下简称Coo)。每隔两分钟,IOTA基金会创建一笔里程碑(milestone)交易,所有经它确认的交易立即被认为具有100%的确认置信度。
协调器在IOTA网络早期发展阶段充当了一种保护机制,直到完整的Tangle分布式共识算法开始发挥作用时,IOTA基金会将关闭协调器,让Tangle完全依靠自身来演变和发展。这将在迭代阶段发生,当网络成熟到可以摆脱协调员时,网络本身也会立即变得更加有效率。但作为一种中心化解决方案,从理论上讲,它存在2点逻辑漏洞:
1、它允许基金会选择哪些交易获得优先权;
2、它允许基金会冻结资金,因为里程碑会忽略那些消耗它们的交易。
这是一个攻击点:如果由于某种原因Coo停止工作或被接管,网络中的确认将停止,所以到目前为止,Coo一直是网络可扩展性的限制因素。
5.2 IOTA三进制风险系数较高
三进制代码的一个特点是对称,即相反数的一致性,因此它就和二进制代码不同,不存在“无符号数”的概念。这样,三进制计算机的架构也要简单、稳定、经济得多。其指令系统非常高效,更便于阅读,甚至能进行一定程度的抗量子攻击。但三进制算法在实际落地中仍然存在以下局限:
1、IOTA的三进制算法开发较为初级,官方主推的JINN处理器也仅仅是三进制CPU的一个探索阶段产物。此外,MIT的密码学教授Neha Narula曾经发表了一篇报告,称发现Curl哈希函数有碰撞漏洞。整体看来,现阶段IOTA开发的三进制算法距离商业化还存在不小的差距。
2、IOTA目前的代码大部分都是二进制,在程序里需要将三进制转化成二进制,处理完后再转回三进制,效率其实是大幅低于直接二进制处理的。由于与目前计算机世界主流的二进制不符,所以就算三进制算法开发完善,短期也不会对IOTA网络有本质的提升。相反的是,目前IOTA全节点代码全部由JAVA编写,而且需要大量转换,执行效率低,内存占用较高。
潜在攻击风险及解决方案
6.1 双花攻击:
a. 大权重攻击
攻击者发送一笔对原始付款进行修改伪造的交易(双重支付交易),并在原始付款交易之前,通过对双重支付交易使用所有的计算能力,尽可能地对网络中大量待验证交易进行验证,使该笔双重支付交易获得较高的权重,从而提升攻击者发送双重支付交易被确认的可能性,将自己原始付款交易花出去的token重新拿回来,完成了双花攻击。
解决方法:目前系统中没有足够的交易量来避免集中的大权重攻击,可以通过设置交易权重的上限或者设置为常数。
b.寄生链攻击:
攻击者偷偷建了一个别人看不到的次缠结(sub-tangle),一般把这个缠结叫做「寄生链(parasite chain)」。在某一个时间点,这个攻击者已经发布出一个交易A(诚实交易)到主缠结上,缠结不去直接或者间接验证原始的付款交易A。在收款方确认接受交易A后,攻击者就会在广播时,将携带着交易B的寄生链连接到公共网络上,让交易B的合法性得到公共网络的承认,使原本的交易A无效,从而将自己交易花出去的token重新拿回来,完成了双花攻击。
解决方法:加权随机行走(选择tip的mcmc算法)解决寄生链潜在攻击风险,同时解决了Lazy Tips(这里Tips指的是待确认交易)问题。
6.2分裂攻击
在高负荷状态下,攻击者将tangle分成两个分支(两个分支至少有一对相互冲突的交易,预防诚实节点将两个分支有效地合并为一个分支),并在这两个分支中均保持自己的资金余额,让它们继续增长。在高负荷状态下,假设网络中的交易分别平均分配给两个分支,从而可以「补偿」随机的涨落,即使他所拥有的只有相对较小的计算能力。若这个方法成功,攻击者便可以在两个分支中都拥有相同数目的资金,从而实现资金的翻倍,完成分裂攻击。
解决方法:优化加权随机行走(mcmc tip选择法)算法
运营评估
7.1社群建设
IOTA 官方运营的社交媒体以Facebook. Twitter, Reddit为主,尤其Twitter及Reddit的粉丝数均已破11万。官方社交媒体运营较活跃,粉丝数量较多,讨论质量较高。
IOTA各社群渠道的运营质量:
Twitter:推文700+,动态基本可以保证实时更新;
YouTube:关于IOTA解读较多,每个点击量基本保持万以上,说明项目在国外受关注程度更高;
中国社区:有中国社区官网,官网中信息全面且更新及时;微信公众号定期推送,但阅读量较少。
7.2市场热度
GOOGLE趋势
根据Google趋势显示整体市场热度表现平平,可见项目方并不注重推广宣传。而随着2017年11月3日,IOTA基金会官方宣布已经根据德国法律正式注册为非营利实体,该项目在当月的受关注程度达也到峰值。
Alexa 热度
IOTA的Alexa网站排名相对稳定,1月份一直维持在11万名附近左右。
总结
优点:
1. Tangle基于DAG技术,可以通过平行验证实现较高的交易吞吐量,并不收取交易手续费。
2.采用独创的哈希加密算法 Crul ,通过GPU执行相对于CPU要更快。
3.MAM通过使数据流和交易更便宜,更安全和无处不在,而将IOTA与其他分布式账本区分开来。
4.团队组织架构稳定,技术实力雄厚,区块链经验丰富。
缺点:
1.协调器是一种中心化的方案,如果由于某种原因Coo停止工作或被接管,网络中的确认将停止。
2.IOTA三进制风险系数较高
3.未对团队预留激励Token,后续团队开发推广落地积极性存疑。
该评估报告所有资料均基于公开渠道来源,如不包含未开源的代码库等非开公开资料,附 IOTA相关文献:
[1]IOTAWhitepaper:The Tangle
[2]IOTA官网:https://www.iota.org
[3]IOTA中国社区官网:https://www.iotachina.com
[4]IOTA GitHub:https://github.com/iotaledger
免责声明:
本报告清晰准确地反映了评估师的分析观点,力求独立、公正、客观和严谨,结论不受任何第三方的授 意或影响,特此申明;
本报告所采用数据资料均来源于项目官网、白皮书、领英等公开合规渠道,不对采用信息的准确性、完整性、可靠性作出任何保证;
本报告中的信息或所表述的意见均不构成对任何人的投资建议,在任何情况下,酋长评级主体、酋长评 级员工或关联机构不承诺投资者投资收益,也不对任何人因使用本报告中的任何内容所引致的任何损失负任何责任;
在未经区块链酋长官方授权的情况下,评级员工或关联机构、做出的任何行为均不代表官方态度;
本报告版权仅为酋长评级所有,未仅书面许可,任何机构和个人不得以任何形式翻版、复制、发表或引用。 如征得酋长评级同意进行引用、刊发的,需在允许的范围内使用,并注明出处为“酋长评级”,且不得对 本报告进行任何有违愿意的引用、修改;
若对本报告有任何疑惑,欢迎联系官方邮箱cgl@conew.com 转载本报告请注明出处,禁止商业转载;违规使用本报告,必将诉诸法律追究责任。
区块链酋长是面向加密货币及区块链技术爱好者的泛区块链自媒体,专注于区块链热点追踪、行业分析及知识科普等内容。常设栏目包括【酋长开八】、【酋长说币】、【酋长研究室】、【酋长漫谈】等。
目前,区块链酋长已在金色财经、链得得、火星财经等主流区块链媒体平台,及今日头条、搜狐、雪球等综合媒 体平台开设专栏,文章累积阅读数达 500w+。
官网:ratingtoken.io
RatingToken 基于区块链项目数据对数字货币和 ICO 评级,提供最新最全的数字货币和ICO 的排行榜单,以及 虚拟货币的研究报告和加密货币的新闻。
RatingToken 安全团队已有50 多人规模,其中大数据、人工智能和区块链研发人员占比90% 以上。团队成员 大多来源于著名安全杀毒软件金山毒霸团队。
RatingToken 延续金山安全的技术实力,致力于区块链安全领域,提供智能合约审计等安全服务。