區塊鏈:區塊鏈安全保衛戰：三分技術 七分管理_區塊鏈dapp開發白富美

7月30日，Facebook在最新季度報告中提醒投資人，由于很多因素導致他們可能無法在2020年如期推出Libra數字貨幣，面臨的最大阻力就是監管。

而最讓監管機構擔憂的便是Facebook面臨的一系列安全問題，如何保障用戶的隱私安全，如何防止不法分子入侵…

安全是各行業發展面臨的首要問題，但絕對的安全是不存在的，只能通過技術讓它更安全而已。

浪潮涌起，泥沙俱下。近年來，交易平臺監守自盜、交易所遭受黑客攻擊、用戶賬戶被盜、私鑰丟失等安全事件層出不窮。

白帽匯2018年發布區塊鏈安全報告稱，每年因區塊鏈安全漏洞造成的損失高達數十億美元。目前，近80%的攻擊損失都是基于業務層面的攻擊所造成的，其損失額度從2017年開始呈現出指數上升的趨勢，截止到2018年第一季度，所暴露的安全事件就已經造成了8.1億美元的損失。

攻擊事件大致可分為四類安全事件：共識機制、智能合約、交易平臺和用戶自身。攻擊者主要選擇保護相對薄弱的數據層、網絡層、共識層、擴展層和業務層進行攻擊。

區塊鏈安全與傳統互聯網安全，既有共性，又有個性，既有交集，也有差異。

墨子區塊鏈安全實驗室CEO苗知秋告訴鋅鏈接，區塊鏈安全并不是一個全新的安全范疇，它運用了大量的傳統技術。

基于Nervos區塊鏈的穩定幣協議Nexis即將上線:據官方消息，基于公鏈Nervos Network的開源去中心化自治組織NexisDAO將于近期上線內測。據了解，NexisDAO運行一個名為“Nexis協議”的穩定幣系統。在該系統中，用戶可通過鏈上資產的足額抵押，生成擔保型美元穩定幣TAI。作為Nervos區塊鏈上的穩定幣協議，Nexis或將成為Nervos生態中的基礎設施之一。[2021/8/19 22:24:00]

所以，區塊鏈安全與傳統安全之間，大部分是重疊的，小部分是區塊鏈技術獨有的特點。

從底層代碼來說，傳統安全與區塊鏈安全大同小異。但是上面的應用層安全，區塊鏈安全帶有自身的特性，比如共識機制，使互聯網的中心化單點攻擊，轉變為區塊鏈的大面積攻擊。

假設有人要攻擊一個網上銀行，互聯網的方式是入侵某臺電腦的服務器、網銀地址，修改數據庫。

在區塊鏈里，共識機制是至少要篡改超過51%的節點。因為所有節點都依托于一段代碼程序，如果程序本身有漏洞，就可以篡改大面積節點。

一個很典型的事件是美圖發布的BEC，出現了溢出漏洞，大量超發，導致BEC瞬間歸零。相當于一只螞蟻絆倒了一頭大象。

快速入場，火速退場

聲音 | BBC：區塊鏈技術是尚未完全發生的革命:2月11日，英國廣播公司BBC官網刊文《區塊鏈：尚未完全發生的革命》。文中提到，區塊鏈技術已經存在了十多年，一些大企業已將區塊鏈技術納入運營，區塊鏈的沖擊肯定會持續。航運巨頭馬士基（?Maersk）在TradeLens中使用了區塊鏈技術，可用于跟蹤國際運輸商品海關文件。盧森堡大學金融服務專家Gilbert Fridgen教授建議采用分布式分類帳系統，該系統可以追蹤大學頒發的證書和學位。支持者認為，它可能是傳統數據庫更好的替代品。[2020/2/12]

區塊鏈安全公司的數量多少與區塊鏈行業的發展成正相關。2017年到2018年初，區塊鏈行業處于火熱期，很多人擠進來做項目，對安全的需求增多，于是很多區塊鏈安全公司順勢而生，主要有三類：

一個就是傳統安全行業轉型過來的安全服務商，比如知道創宇、白帽匯；

另一個是安全圈的新力量，因為有了區塊鏈新的場景引發了新的需求也加入進來，比如成都鏈安；

還有就是互聯網安全巨頭，比如360。

他們早期以安全研究打開局面，用安全服務、安全開發切入市場，服務主要集中在合約審計、交易所安全、錢包安全、鏈安全、黑產對抗、威脅預警等領域。

與互聯網安全發展相似，區塊鏈安全早期報的漏洞也相對比較少，但隨著技術的成熟、業務場景的增長，安全事件也會逐漸增多。

聲音 | 全國社保基金前副理事長：基于區塊鏈的點對點的價值交易 才能走向大數據世界:據金融界3月28日報道，今日由北京市金融工作局、北京市石景山人民政府主辦的2018中國銀行保險業國際高峰論壇在北京保險產業園召開主體論壇，全國社保基金前副理事長王忠民參加本次論壇，并發表主題演講。王忠民在談到“中美貿易摩擦影響、機遇與挑戰”時表示，要以短期、長期和遠期三個視角來看看它的影響。心急吃不了熱豆腐，我們要在遠方超越他，基于區塊鏈的點對點的價值交易，才可以走向大數據未來的世界。[2019/3/28]

隨著業務熱點的轉移，哪個技術用得越多，安全公司研究的方向也會相應變化。

2018年，以太坊為首的智能合約是關注的重點，很多人去研究智能合約。

白帽匯聯合創始人、安全負責人鄧煥告訴鋅鏈接，“智能合約很簡單，像以太坊，幾百行代碼就能寫出一個應用，發行一個代幣。有的項目發行代幣，基于某個模板改幾個參數。只要模板有問題，好幾種代幣就都存在問題。”

隨著切入點越來越深，被爆出來很多鏈上的設計理念、業務邏輯存在問題。首先在合約或者經濟模型設計會存在漏洞，被人利用。此外，底層的安全問題也會逐漸增多。

玩家多了，自然會產生泡沫。知道創宇CTO兼COO楊冀龍告訴鋅鏈接，在市場行情好的時候，存在大量的惡意競爭。比如，合約審計服務甚至出現了打價格戰，導致安全產品和服務的價值非常廉價。另外，割韭菜的項目非常多，“一些所謂的安全需求方可能根本不關心他們的安全問題，而只是想發錢買個安全背書”。

聲音 | 國家技術轉移東部中心薛寅：2019年臨港將發起區塊鏈產業引導基金:12月31日訊，近日，在上海區塊鏈大會暨區塊鏈結合實體經濟創新峰會上，國家技術轉移東部中心區塊鏈產業中心執行主任薛寅表示，2019年臨港會發起區塊鏈產業引導基金，以人才培養、技術驅動、資本助力、產業賦能的方式，協助區塊鏈試驗港打造區塊鏈產業的沃土。[2018/12/31]

泡沫一年之內就被戳破了。2018年，數字貨幣市場總市值從年初的4889億美元，下跌至12月13日的1081億美元，減少了77.89%。

區塊鏈行業開始萎縮，買單的人越來越少，市場上只剩下5、6個頭部玩家。一些新型安全創業團隊已經銷聲匿跡，大部分安全公司也減少了對應的投入或者考慮轉型。

慢慢地，進來的人發現區塊鏈整個生態和實際應用要發展起來，還有很長的路要走。不做實事的團隊，沒法在短期內獲得收益。如果做實際項目，比如金融、溯源等，可能短期內無法快速落地，需要投入比較長的時間，有些人就打了退堂鼓。

鄧煥告訴鋅鏈接，當時的現象是，很多區塊鏈公司快速入場，又快速退場。整個行業一定是業務先行，市值撐起來才會有安全需求。否則，項目方自己都養活不了，安全公司更沒辦法生存。

重視不足，區塊鏈安全發展緩慢

現場 | DIGIBUILD聯合創始人：2026年后將見證區塊鏈行業成熟:據cointime.com現場報道，今日在2018西雅圖區塊鏈大會上，DIGIBUILD聯合創始人兼首席執行官Robert Salvador表示，區塊鏈可以通過釋放資金，降低交易成本，加快流程和提供安全性和信任使企業受益。 Salvador預測，2018年到2020年，整個行業將繼續推出加密用例，進行更多的案例研究和早期采用；2021年到2025年，早期采用者和標準活動將提供更大的清晰度，并最大限度地減少不確定性，這將推動廣泛的采用; 2026年及以后將見證區塊鏈行業的成熟，區塊鏈將被廣泛采用并被視為供應鏈和生態系統的一個組成部分。[2018/8/22]

前段時間，幣安被盜7000個BTC事件。鄧煥認為，現階段存在比較大的問題，是行業內對安全的重視不足，連頭部企業也不例外，更別說中小型企業，問題就更多了。在這樣一個環境下，區塊鏈安全公司的發展是很緩慢的。

在業務落地過程中，楊冀龍也遇到這些難點。

首先，市場監管不明朗，公司之前做了很多事情都是摸著石頭過河。隨著今年年初《區塊鏈信息服務備案管理辦法》的出臺，在監管方面還是需要與監管機構進行積極溝通。

其次，市場波動太大。從2018年初幣價創下新高，到2018年底集體抱團過冬，大部分區塊鏈從業者都經歷了冰火兩重天，導致有部分項目做到一半就停了。

第三，沒有統一的標準，無法像成熟的技術領域一樣，有完備的規范參考。各個區塊鏈安全團隊都是從自己的角度提出對安全的理解，幫助客戶做服務，難以保證服務質量。

為了解決這個問題，知道創宇聯了區塊鏈產業鏈上下游以及相關監管部門，結合各自的經驗和積累，提出了一些安全評估標準，例如《智能合約審計Checklist》以及硬件錢包評級標準等，同時也參與到相關行業標準的制定中。但區塊鏈安全畢竟起步時間較短，還需要在實踐中不斷完善。

慢霧科技合伙人兼產品負責人啟富告訴鋅鏈接，在區塊鏈圈子里，用戶群數量比較少。當你推出一些產品和應用時，真正接觸到的用戶不多，再加上有些用戶門檻比較高，需要一些背景知識，導致得不到很多的用戶反饋，得到可行性驗證的有效數據就比較少，產品沒有辦法獲得快速認可。

成都鏈安創始人楊霞告訴鋅鏈接，當前區塊鏈生態比較少，用戶的關注點還在業務邏輯上，對安全的關注不夠。應該吸取傳統信息系統建設的教訓，加強全行業的安全教育，采用最新安全理念，即業務系統和安全系統同步建設、同步上線、同步運營。

楊霞認為，安全產品目前側重于解決某個點上的問題，需要隨著區塊鏈技術的落地和規模應用同步發展，逐步形成區塊鏈行業全生態的安全解決方案。

搭建漏洞社區，共建安全生態

當欺詐性泡沫、共識被清理后，區塊鏈技術會更加符合人性，也會有更多創新型的企業和優秀的人加入進來，共同建造出更健康的區塊鏈生態。

目前，區塊鏈安全領域的5個頭部玩家分別是派盾、白帽匯、知道創宇、慢霧科技、成都鏈安。

面對區塊鏈安全的重重困難，他們也選擇了不同的發展方向。

派盾、知道創宇、慢霧與成都鏈安則想要打造區塊鏈安全生態。

派盾的漏洞挖掘能力處于一線水平。其硅谷研發中心負責人Jeff稱，漏洞監測覆蓋底層公鏈、交易所、數字錢包、智能合約等區塊鏈生態的各個環節，連續發現并命名了BEC、SMT、EDU等智能合約的重大安全漏洞。

楊冀龍向鋅鏈接介紹，知道創宇主要以云防護專業的區塊鏈安全服務為核心，解決底層基礎設施到應用層智能合約和DApp中所面臨的安全問題。

知道創宇的優勢在于，覆蓋面比較廣，從節點、鏈、智能合約、DApp應用、到區塊鏈錢包的安全基本全覆蓋。

作為中國最早專注于區塊鏈生態安全的公司，慢霧科技的特長是實戰能力強，擁有一支十多年一線網絡安全攻防實戰的團隊。

其安全解決方案包括：安全審計、安全顧問、防御部署、威脅情報(BTI)、漏洞賞金等服務并配套相關安全產品。

除了研究全球知名公鏈如比特幣、以太坊等，慢霧還特別深耕以太坊和EOS生態，圍繞DApp安全攻防對抗，安全審計與防御的知名智能合約數百份。

成都鏈安的目標是建立區塊鏈行業全生態的安全解決方案，覆蓋了鏈平臺、交易所、錢包、用戶等區塊鏈行業的各參與方。

公司建立了全面的面向區塊鏈安全的數據中臺，為上層安全產品提供豐富、準確的數據支撐，以與國家區塊鏈漏洞共享平臺合作和社區共建的方式建立了自有威脅情報庫，為其他安全產品提供情報支撐。

白帽匯的思路是切入漏洞社區。在傳統安全領域，白帽匯支撐很多政府監管部門的安全項目；在區塊鏈安全領域，白帽匯成立了DVP去中心化漏洞平臺，把在傳統安全做漏洞社區的思路放到區塊鏈安全行業，提供合法的渠道，對接安全人員與項目方——安全人員提交漏洞，項目方根據漏洞的等級給其獎勵。

至今，平臺已經發現了4000漏洞，涉及到交易所、公鏈、智能合約各方面，比較知名的D網交易所、以太坊公鏈等也曾由DVP的白帽子發現過嚴重問題。最近，白帽匯也在與監管機構溝通，制定區塊鏈安全行業標準。

啟富告訴鋅鏈接，未來區塊鏈安全領域的攻防對抗會愈演愈烈。隨著更多大規模的用戶入場，就會有更多資產在區塊鏈上，攻擊者會不斷盯著交易所等平臺，將會有更多類似硬件錢包、金庫的手段來保證巨額資產的安全。

另外，隨著公鏈的底層設計越來越完善，底層基礎的問題會越來越少，在上面運行的智能合約會越來越安全，可以規避溢出之類的基礎問題，常規的漏洞會越來越少。漏洞將會集中在業務邏輯、應用場景方面。

技術往往是第二位的，很多問題是出在管理、制度、流程方面。苗知秋談道，安全圈早就有一個說法，三分技術七分管理，過于依賴技術，不把人管好，只是把機器管好，最終不能真正解決問題。

歸根結底，踏實讓區塊鏈技術實現落地應用，解決實際問題，才是最重要的。

Tags：區塊鏈NEX以太坊穩定幣區塊鏈dapp開發白富美DigiFinex以太坊官網app下載注冊比特幣是穩定幣嗎

幣安交易所app下載