區塊鏈:CBC100 | 黃連金：區塊鏈安全的9個主要問題_DEF

區塊鏈安全一直是區塊鏈發展進程中至關重要的議題。如何設置更完善的KYC和AML系統、如何防止私鑰被盜、如何實現去中心化數字身份確認等等，都是我們需要日益關切的問題。

本期《CBC100》邀請到黃連金老師為我們解析區塊鏈安全中的9個主要問題。

1.?智能合約

智能合約是區塊鏈中最重要的技術之一，其特征是可以鎖定大量資產且在發布后不可更改，但智能合約是開源的，如果被黑客研究出代碼的漏洞，則會出現資產流失等問題。在整個區塊鏈發展中，大部分的安全事件都與智能合約漏洞有關，由于智能合約的安全問題而造成的資產損失量不可小覷。

在智能合約的安全審查中，需要關注是誰寫的、是否通過第三方審計、是誰將其發布上鏈、合約地址的私鑰由誰掌握以及是否可以升級等方面。智能合約的編程需要遵循開源的最佳實踐。例如云安全聯盟大中華區最近發布的《智能合約安全指南》白皮書和機械工業出版社的《區塊鏈安全技術指南》的第三章內容。

Custodia CEO：加密行業的托管方最終將是銀行:金色財經報道，加密貨幣友好銀行 Custodia Bank CEO Caitlin Long表示，盡管加密行業中存在很多監管問題，但對受監管的托管機構（即銀行）的需求才是出路。她認為，這個行業的托管方最終將是銀行，就像證券行業的托管人是銀行，而不是信托公司或其他非銀行實體一樣。Long 表示，Custodia 所采取的路線與加密其他參與者“快速行動、打破常規”的精神相反，因為“銀行為客戶提供比非銀行機構更優越的保護”。

金色財經此前報道，Custodia已正式開始為美國部分州的客戶接受美元存款，并將很快開放比特幣托管服務。[2023/8/12 16:21:44]

2.?數字錢包

數字錢包是數字貨幣和區塊鏈應用的入口，且包含了私鑰。

區塊鏈的數字資產是鏈上資產，而擁有這些數字資產的人就是私鑰的掌握者。也可以將錢包理解成是存儲私鑰的地方而非數字資產的地方，因為誰擁有了私鑰，誰就擁有了該私鑰地址下所有的數字資產。因此，如何保護私鑰的安全是區塊鏈安全問題中研究的重要領域。

幣安首席戰略官：路透社報道不實，用戶從幣安購買 BUSD 時會轉到帶有“存款”一詞的交易頁面:5月23日消息，幣安首席戰略官 Patrick Hillmann 針對路透社關于“幣安曾于 2020 年和 2021 年將客戶資金與公司收入混合在一起，違反美國要求客戶資金分離的金融規則”回應稱，當用戶從幣安購買 BUSD（Paxos）時，會轉到一個帶有“存款”一詞的交易頁面。用戶正在購買可由 Paxos 贖回的穩定幣，這在頁面上有明確說明。路透社報道中有關“路透社沒有發現幣安客戶資金丟失或被拿走的證據”的言論，則是試圖保護自己免受誹謗訴訟。[2023/5/23 15:21:26]

不同類型的數字錢包，其安全需求是不同的。因此，我們需要了解各類型錢包的情況以及私鑰、公鑰和密碼、簽名等之間的關系，這樣才能更全面的解決錢包安全問題。關于錢包安全的問題，大家可以參考云安全聯盟大中華區最近發布的《數字錢包安全開發與應用實踐》

數據：自以太坊合并以來，總凈發行量僅為2,317 ETH:金色財經報道，Glassnode數據顯示，自以太坊合并以來，總凈發行量僅為2,317 ETH。總共向PoS驗證者發放了131,454個ETH，同時通過EIP1559銷毀了129,137個ETH。明年3月開放質押提現后，可能會發生變化。[2022/11/30 21:12:32]

3.?共識算法

區塊鏈如果作為計算平臺，那么它有別于其他計算平臺的主要特征是共識算法。不同的節點或者服務器對于一個交易進行確認，決定這個交易是否發生、發生的順序，交易是否合理、是否雙化的算法就是共識算法。共識算法有很多種類。有傳統數據庫的共識算法，例如RAFT，?PAXOS，這兩種算法的主要特征是Crush?Tolerant也就是可以容許出現宕機，當其中一臺機器宕機，還有別的機器在運作，可以用?RAFT或者PAXOS作為底層的共識算法保證分布式系統的正常運行。但是當這些傳統算法遇到惡意節點時，傳統的共識算法就會失效。因此需要能夠容錯的算法，例如比特幣的POW算法，就可以防止一些惡意節點，其可以容納49%的惡意節點；同時還有在聯盟鏈中通常使用的拜占庭容錯，可以容納少于33%的節點錯誤。而以太坊2.0使用的權益證明和EOS上的DPOS也可以容許一定量的節點錯誤。

Animoca Brands聯創：GameFi在亞洲的增長機會巨大:金色財經報道，Animoca Brands聯合創始人Yat Siu認為，GameFi在亞洲擁有最大的增長機會，因為那里的游戲玩家不像西方那樣討厭NFT。Siu認為，亞洲對游戲和技術進步，如NFTs、數字財產和Play-to-Earn（P2E），普遍有一種歡迎的文化。他補充說：“西方的游戲公司必須應對消費者的抵制，而亞洲的游戲公司則不必如此。”（Cointelegraph）[2022/9/27 22:33:07]

在共識算法安全問題的研究中可以從四個不同角度進行思考：

1.在網絡質量方面研究其安全性和活性。安全性即不會雙化，而活性則是指所有合理的交易都會被記錄在鏈上。

2.最終確認性。有些共識算法沒有最終確認，例如POW是基于概率的確認性，而拜占庭容錯確認則為最終確認。因此從這個角度看其安全和活性，所用的假設都不一樣。

Optimism總鎖倉量為38.4億美元，近7日下跌7.48%:金色財經消息，據L2BEAT數據顯示，截至目前，以太坊Layer2上總鎖倉量為38.4億美元，近7日下跌13.77%。其中鎖倉量最高的為擴容方案Arbitrum，約19.6億美元，占比51.02%。其次是dYdX，鎖倉量7.15億美元，占比18.62%。Optimism占據第三，鎖倉量6.9億美元，占比17.98%，近7日下跌7.48%。[2022/6/21 4:42:38]

3.區塊鏈不同類型私有鏈、公鏈、聯盟鏈的共識算法都不一樣，應用場景也不同，其中安全性和活性也都不一樣。

4.從Game?Theoretical博弈論的角度考慮算法安全性和活性。

目前共識算法的安全性和活性的研究在學術界和區塊鏈初創企業都獲得廣泛的重視。作為云安全聯盟區塊鏈安全工作組的成員單位，北京大學正在這方面展開研究。

4.?交易所

價值交換和價值實現的地方，因此也常收到黑客的攻擊。云安全聯盟對于經常出現的交易所安全問題進行分析，在2020年12月發布了《數字貨幣交易所Top10安全風險》可以作為從業者和用戶的參考。

5.?DAPP和?DeFi

DAPP就是去中心化的應用。今年大部分去中心化應用都出自DeFi。

去中心化金融很火，但卻頻發Rug-Pull即項目跑路等問題，當然除此之外也存在自身通證設計的安全問題。DeFi項目需要注意三方面的安全，第一就是智能合約的安全，第二就是通證經濟設計方面的安全，第三就是監管的安全。智能合約的安全前面已經提到過。這里就說一下通證經濟和監管的安全。如果通證經濟沒有設計好，會造成死亡螺旋的問題。就是你價格越低，參與的人越少，然后逐漸的就價格就歸零了，或者趨近于零，這就是死亡螺旋，你怎么樣去避免死亡螺旋，促進價格和生態可持續的發展，這個其實是通證經濟與DAO設計的一個關鍵。或者因為通證經濟設計參數方面有漏洞，可以被黑客利用。總體來說DeFi的90%的項目，因為有可能會因為共識不夠，通證經濟設計不合理，可能技術還可以，但是最后還是要靠生態，靠通證經濟，因為它是多學科的領域，其中某個領域沒做好，最后可能不能成功偃旗息鼓。DeFi第三方面的安全：是監管安全。現在DeFi生態還小，監管還沒有開始。但是到某個程度就要受監管，那么有些如果不符合監管的話，整個生態會受到打擊，所以這個風險就嚴重了。比如去中心化交易所EtherDelta項目被美國政府罰款是一個例子。需要注意的是DeFi項目最終都一定要符合本地的監管，所以首先項目需要有自律的精神，絕對不能夠去做非法的一些事情。DeFi要能夠真正地進行發展，一定要有行業的自律，現在國內有一些DeFi的仿盤，內在還是中心化的，不是去中心化，有可能會圈錢跑路的，所以大家要小心，保證好項目的安全工作，及時規避風險。

6.?去中心化數字身份

數字身份是保障數字經濟安全的信任基石，業界目前的數字身份體系一般都

是中心化的，區塊鏈作為解決可信問題的分布式技術，給數字身份自治的場景打開了天窗，比如減少云計算中心化身份數據大量聚合的泄露風險，在邊緣計算分布式系統中使可信身份認證管理更加便捷私密等等。去中心化數字身份的標準是W3C正在開發的一系列標準，包括DID數據模型，DID方法，DID通訊等等。利用DID標準來進行技術開發或者應用落地的項目或公司需要注意的一些安全與隱私的問題，開源組織云安全聯盟在2020年9月發布了《用戶自治數字身份安全白皮書》可以作為參考。

7.?網絡安全

區塊鏈中點對點網絡的安全非常重要。數據隱私保護，點對點傳輸的數據如何進行加密并保證數據通暢和不被篡改。在加密過程中，是否可以用零知識證明，或同態加密、多方安全計算等。北京理工大學作為云安全聯盟區塊鏈安全的成員單位正在這方面展開研究。

8.?數據層

區塊鏈數據層次包括鏈上和鏈下的數據，數據的保密性，完整性和可用性是數據安全需要關注的問題。區塊鏈本身的不可篡改的安全屬性在區塊鏈數據的完整性方面作出非常好的保證。但是在數據保密性和可用性方面，需要做進一步的研究。對于區塊鏈數據進行分類和安全與隱私方面的需求進行分析是利用區塊鏈發揮數據價值的必要條件。云安全聯盟區塊鏈安全工作組成員單位武漢大學在這方面正在開展研究。

9.?AM和數字貨幣溯源技術層

通過大數據研究的方法，對可疑、非法、洗錢、恐怖主義融資等不正常交易進行標注，并提供給政府相關部門協助進行整治。關于這方面的內容，建議大家看一下，云安全聯盟最近發布的《數字貨幣溯源技術白皮書》。

總而言之，在這9個方面中，智能合約是使得區塊鏈能夠真正用于實踐的工具，但在安全方面卻一直未受到重視；而錢包作為各方面應用的入口，安全問題也絕對不容小覷。而對于共識算法而言，安全性和活性格外重要。交易所安全事件同樣頻頻發生，因此解決交易所安全問題以及DAPP、去中心化數字身份，網路層次和數據層次和AML安全問題同樣刻不容緩。

來源：金色財經

Tags：區塊鏈EFIDEFIDEF區塊鏈專業方向好就業嗎WEFINDefiskeletonsDOGDEFI

DOT