黑客能不能把我的花呗金额改成负数，让支付宝给我打钱？

作者丨凯撒

来源丨手机电脑双黑客（heikestudio）来给大家敲响警钟！ 不能。 更改配额、更改余额、更改权限的本质是修改数据库中的数据。 想要突破层层拦截，成功进入多个分布式数据库修改数据，已经是难上加难了。 支付宝曾经请过两个国内顶级“地痞流氓张三”入侵支付宝，却被完美拦截。 事实上，相比于入侵数据库更改用户权限，更改余额是一种监狱操作。 相反，黑产者更愿意寻找一些风险小、收益稳定的手段。 早些时候双十一，黑产的肆虐几乎击破了阿里的防线。 为此，阿里不断完善系统。 2016年，从判断异常流量到拦截大约需要15秒。 然而仅仅经过一年的研发，阿里安全团队就将这个时间缩短到了惊人的几毫秒，彻底缴械黑市。 如果说这些年的努力，阿里安全团队让“黑产攻陷支付宝”的命题只在理论上成为可能。 所以现在蚂蚁大力推广区块链技术，把剩下的理论上的可能性都抹杀掉了。 说起区块链，很多人对比特币还是有所了解，对区块链技术的理解还不是很清楚。 比特币不等于区块链，比特币是区块链历史上的第一个应用。 一句话解释了区块链，这是一种基于加密安全历史且不可篡改的去中心化分类账。 （对技术不感兴趣的朋友，记住这句话就可以了） Ledger：很容易理解。 比如支付宝就是一个典型的账本，里面的任何数据变动都是通过记账完成的。 普通账本可以被篡改，为什么区块链账本不能被篡改？ 我们将账单的每一页视为一个块。 当一个区块产生时（账户已经被记录），有一个哈希指针作为一个链指向它的前一个区块，一个又一个区块和哈希指针形成一个区块链，以达到将单个票据组成的目的分类帐。 而每个区块的顶部内容，我们称之为区块头，每个区块头都会用SHA256哈希（一种只能进行单向计算的加密方式）加密生成一个哈希值，通过这个值，我们可以识别区块链中的特定块，每个块头还包含其前一个（父）块的哈希值。

攻击者想要篡改之前的一笔交易，他找到这个区块，然后改变它，但是一旦改变了区块的内容，区块头中存储的区块头的Hash值也会随之改变。 但是，这个区块之后的所有区块的区块头的哈希值，都是使用变化前的区块头的哈希值来计算的。 这使得无法对应，所以记录在区块链中的历史数据无法被篡改，除非时间倒流。 去中心化：记账不是由某个人、团体甚至权威的第三方（银行、政府）来做，而是由所有参与维护区块链的节点来做，节点的权利和义务是平等的。 去中心化的目的是为了防止某个中央机构的信用崩溃，造成损失平均分摊给所有人（比如2008年美国次贷危机）。 世界上大多数国家的货币银行体系甚至政权都比较不稳定，因此人们需要一个去中心化的系统来保护自己的财产安全。 在去中心化的世界里，每个节点都有一个账本，那么如何保证自己的账本与其他节点一致呢？ 在集中式系统中，这不是问题。 比如一张银行卡插在一台ATM上，所有的ATM上都会显示相同的金额，因为数据来自于主数据库。

所以在去中心化系统中，需要一个共识算法来实现这个目标。 比如一个小组里大家都想做老大，那么每个人都会在台上说说自己的优势，最后大家投票决定。 这种思路被认为是一种共识算法。

但在成员数量庞大且不确定的系统中，这种方法效率太低。 所以在区块链世界中，一些共识算法被用来实现这个目标，包括但不限于以下几种：

1.工作量证明（PoW，Proof of Work） 2.权益证明（PoS，Proof of Stake） 3.延迟工作量证明（dPoW，Delayed Proof-of-Work） 4.授权权益证明（DPoS，Delegated Proof- of- -Stake） 5. 实用拜占庭容错（PBFT：Practical Byzantine Fault Tolerance） 6. 权威证明（PoA，Proof-of-Authority） 有兴趣的可以去了解一下这些共识算法的内容以及各自的优缺点。 其中比特币账户出现负数，众所周知的比特币是第一个工作量证明共识算法。 区块链中的候选记账人（矿工）如果要将一个区块的交易内容添加到区块链中，他们必须解决一道（复杂且无用的）数学题。 先计算出答案的节点会广播给其他节点，其他节点收到广播后会重新校验。 确认无误后，最先计算的节点获得记账权，其他节点独立扩展区块链。 这样这个区块就记录在了所有节点的账本上，大家的账本是一致的。 那么，这种方法的问题就来了。 因为网络广播存在延迟，如果节点A和B节点不分先后计算出答案同时广播，最后谁的答案会占上风呢？ 如何解决这个冲突？ 答案取决于它是谁的链长。

举例说明，节点A计算出区块1，节点C收到节点A的广播，继续以区块1为父块计算出一个新的区块，如果节点C比任何其他节点更早计算出区块，则下一个区块使得节点 A 的区块 1 的链条变长比特币账户出现负数，所以以这条链条为准。 节点 B 被淘汰是因为下一个玩家不够强大。 解决了公式算法执行时的冲突问题。 好像有些字比较远，暂时听不懂也没关系。 对底层技术本身不感兴趣的人，不需要了解底层技术，只需要知道这一切都是为了让区块链具有可追溯、不可篡改的特性。 这个特性不是由政府和银行等权威机构决定的，而是由区块链技术本身决定的。 那么这个特性有什么用呢？ 以前币圈的人总说炒币是区块链最有用的应用，其他都是傻子。 这只是部分币圈人士的片面看法。 蚂蚁金服董事长井贤栋多次在公开场合强调，区块链技术必须在现实世界中带来真正的价值。 在这方面，蚂蚁金服已经走在了世界前列。 以医疗服务为例，2018年9月，蚂蚁金服试点推出全国首个区块链电子处方。 过去，医院和患者在使用处方药方面都有自己的痛点。 患者痛点：处方药一次只能开7-14天，长年服用处方药的慢性病患者每次都要去医院领药，重新排队挂号、看病、吃药。 过程很麻烦。 会导致部分患者在没有医生处方的情况下选择去一些不规范的诊所直接购买，容易带来用药隐患和违规使用风险。

医院痛点：回流患者会大大降低医院接收新患者的效率，很多患者无法排名。 但是，完全采用网上复诊、网上开处方药的方式，在处方药监管中存在隐患。 因此，区块链技术大有可为。 医生在线开药、医院配药、物流配送、患者签药的每一步都上传到链上后，整个过程可以相互验证和追溯。 任何一个环节出现问题都能被发现，并且由于区块链不可篡改的特性，一旦一个处方被“盖章”在链上，该处方就不能再使用，保证了处方药流通的安全。 结合在线问诊，可以很好地解决医院和患者的痛点。 以很多人关心的版权问题为例。 自媒体时代，99%的内容生产者都难以维护自己内容的版权。 长时间的举报、举证、扯皮，最后只能放弃维权。 而顶级生产商通常会被维权机构收取约 50% 的回收收益。 历史上，许多书籍作者、剧本作者和作曲家都有一种保护自己版权的方法，那就是他们同时寄出两份手稿，一份给出版商，一份给自己。 有盗用时，以寄给自己的复印件上的邮戳时间为证据。 基本原则是让权威的第三方为自己作证，就像银行转账一样。

但这种方式过于原始，尤其不适合海量原创互联网内容，比如抄袭短视频，或者淘宝商家设计的商品图片被盗用。

所以区块链技术又可以发挥作用，我们可以把时间戳和作者信息、原创内容等原始数据一起打包存储在区块链中。 任何数据都是公开、透明、可追溯、不可篡改的。 在这里，区块链起到了权威机构的认证作用，效率极高，而且成本很低，人人都用得起。 至此，解决了原始工作数据快速、可追溯、不可篡改、低成本的问题。 但是像传统的版权保护，如果A的作品在发布前被B上传到链上，区块链不就保护盗版了吗？ 事实上，区块链无法处理链下因素。 因此，最好的方式是直接在链上工作，将创建过程中的关键信息和时间段存储在区块链中。 对于盗版成品，有条件和信息可供检索和验证。 同时为了避免麻烦，链下要做好实物保护措施。 这样做还麻烦吗？ 有没有“一站式”服务？ 答案是肯定的。 摄影师社区“图虫”正式上线蚂蚁区块链技术，提供“出版存证”保障服务，帮助平台摄影师将作品上传至区块链。 图虫目前拥有80万贡献者，290万张原创作品上传至链上，成为最大的链上图片平台。 从这里，我们可以嗅到区块链的应用正在如雨后春笋般逐渐涌现，第一波抢占各自行业岗位的人将迎来一大波增长红利。 您看到商机了吗？ 目前，蚂蚁金服的区块链已在公益溯源、商品真伪溯源、跨境支付、房屋租赁溯源、电子票据溯源、公积金溯源、供应链金融等领域落地。 在这个区块链元年里，阿里、腾讯，甚至美国的IBM、微软、沃尔玛都在积极涌入。而蚂蚁无疑走在了前列，2019全球区块链企业发明专利排行榜（TOP100） . 蚂蚁区块链专利申请数量超过第2、3、4位之和。 落地超过50个场景，技术上能够支持10亿账户规模，同时支持日交易量10亿，实现每秒10万次跨链信息处理能力（PPS）。