RAN:探討：聯盟鏈智能合約與鏈平臺安全-ODAILY_區塊鏈通俗易懂的例子有哪些

2020年8月20日晚7點30分，四川省區塊鏈行業協會《BSI大應用?小故事》欄目準時開播。成都鏈安·安全負責人Frank做客欄目，深度探討了聯盟鏈智能合約與鏈平臺安全的相關問題。

本期欄目『聯盟鏈智能合約與鏈平臺安全』為主題，成都鏈安·安全負責人Frank從『智能合約安全淺析』、『聯盟鏈平臺安全淺析』、『智能合約與鏈平臺安全檢測項』三個切入點展開探討，進行了高質量與高水準的主題分享。

以下內容為本期欄目實況：

01

主持人：Frank老師，您作為成都鏈安·安全負責人，多年從事安全研究，擅長區塊鏈安全平臺的問題分析，擔任多家金融機構、互聯網公司安全顧問，并參與編寫了區塊鏈安全相關書籍，您的從業經驗非常豐富。那么您是怎么樣進入這個行業的呢？

V神以RAI系統為例探討使用預言機實現共同質押的三個解決方案:1月30日消息，以太坊創始人V神（Vitalik Buterin）近日發布題為《預言機是否可實現共同質押，類RAI系統如何安全地支持質押的ETH》的提案。V神稱其強烈傾向于嘗試找到使用質押ETH作為抵押品的方法，以避免圍繞單一主導流動性質押衍生品形成網絡效應，RAI可以成為解決方案的一部分。為此，V神提出了三個方案：1.預言機作為質押者；2.預言機作為2-of-2質押者；3.分級安全的半可信預言。這三個方案均在實施難易程度、防止壞預言機、對不良CDP持有者的保護以及預言機運行意愿等方面各有利弊。不過，V神表示，方案1似乎在短期內更易于實施，并且將成為“同時賺取其他質押收益”空間的有趣補充。但是方案2和方案3似乎更無需信任，也更持久，對預言機的信任度較低，并且更好地維護了質押去中心化，因此從長遠來看，V神更傾向于選擇后兩個方案。[2023/1/30 11:36:48]

Frank：大家好，我是成都鏈安的Frank，我最初聽說區塊鏈是在大學時期，當時只有一個模糊的概念，在2017年比特幣病攻擊安全事件發生之后，對于區塊鏈有了進一步的認識，之后便開始深入了解區塊鏈，直到與成都鏈安結緣，就開始了對區塊鏈安全的研究。

動態 | 馬來西亞證券委員會探討非上市和場外交易市場的區塊鏈應用:據Tokenpost消息，馬來西亞證券委員會（SC）披露了其在資本市場中測試區塊鏈技術應用的細節。在11月28日的官方發布中，監管機構推出了“ Project Castor ”，這是一個研究和測試使用分布式賬本技術（DLT）作為非上市和場外交易市場基礎設施的可行性的試點項目。Neuroware.io是該項目的技術合作伙伴。[2018/11/30]

02

主持人：謝謝Frank老師，我們知道您在行業中的經驗是非常豐富的，大家對于區塊鏈安全問題非常關心，現在有請您為我們帶來今晚的演講。

Frank：好的，今晚我為大家分享的主題是『聯盟鏈智能合約與鏈平臺安全』。

現場 | 挖時科技與華中區塊鏈媒體進行關于“行業生態”話題探討:8月10日，挖時科技與華中區塊鏈媒體（區塊鏈藍海，混序財經、紫色財經、鏈訊365，花生區塊鏈，幣需財經，黑色財經）進行深度探討。各方在“ 技術、社區、市場” 發表看法，提供意見，旨在為區塊鏈行業每一個生態環節提供真正的價值輸出。

挖時科技是一家專業于游戲開發、互聯網應用、區塊鏈應用研發于一體的高新技術科技企業。為創業者與企業提供符合企業“互聯網+區塊鏈”戰略的軟件產品設計、開發以及提供互動營銷云服務，以技術創新驅動企業“互聯網+區塊鏈”戰略的落地。[2018/8/10]

首先帶大家明確幾個概念：

·公有鏈是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。

動態 | 韓國當局探討加密貨幣交易所處理個人數據:當地新聞媒體Chosun報道，兩家韓國監管機構已宣布聯合調查加密貨幣交易所處理個人數據的問題。這兩家機構分別是韓國通信委員會（KCC）和韓國互聯網安全局（KISA）。KCC和KISA將調查加密貨幣交易所運營商與第三方服務提供商共同侵犯數據隱私權的潛在可能——例如，設計用于房地產，購物和旅行等服務的智能手機應用程序。據報道，該調查將檢查與用戶個人數據相關的技術和行政保護措施的狀態——包括數據訪問控制措施，防篡改措施，個人數據加密和惡意軟件防護。[2018/7/8]

·私有鏈是指其寫入權限由某個組織和機構控制的區塊鏈，參與節點的資格會被嚴格限制。

·聯盟鏈是指有若干個機構共同參與管理的區塊鏈，每個機構都運行著一個或多個節點，其中的數據只允許系統內不同的機構進行讀寫和發送交易，并且共同來記錄交易數據。

·智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易，這些交易可追蹤且不可逆轉。

隨著區塊鏈技術的不斷發展，越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言，聯盟鏈具有更好的落地性，受到了許多企業與政府的支持。為了提升效率，支持更加友好的設計，各聯盟鏈在智能合約上也出現了不同的發展方向。

目前智能合約與區塊鏈的結合，普遍被認為是區塊鏈一次里程碑式的升級，但智能合約技術發展也面臨諸多挑戰，如安全性問題。隨著智能合約數量的增多，去中心化應用的推廣，智能合約涉及的數字資產呈指數級別增長。相比傳統軟件，智能合約的安全問題更加棘手，現實情況也更加嚴峻。

總體來說，目前智能合約的主流架構是系統合約(預編譯合約)+業務合約，而代碼語言安全特性、合約執行所帶來的安全性問題、系統機制導致的合約安全問題、業務安全問題都會威脅智能合約安全。

對于智能合約的安全建議是：

1.簡化智能合約的設計，做到功能與安全的平衡

2.嚴格執行智能合約代碼安全審計(自評/項目組review/三方審計)

3.強化對智能合約開發者的安全培訓

4.在區塊鏈應用落地上，需要逐步推進，從簡單到復雜，在此過程中不斷梳理合約與平臺相關功能/安全屬性

5.考慮DevSecOps的思想

目前鏈平臺安全主要包括了共識安全、交易安全、合規、賬戶安全、端點安全、RPC安全等，相較于聯盟鏈而言，公鏈安全問題更凸顯，公鏈是匿名且無準入控制，作惡難以被發現，此外，公鏈應用發布沒有審核，上鏈應用質量參差不齊，這也是公鏈漏洞較多的主要原因之一。

在當前鏈平臺漏洞頻出的嚴峻背景下，鏈平臺深度安全檢測勢在必行，成都鏈安采用攻擊測試+專家人工代碼審計的方式對區塊鏈平臺進行深度的安全審計，審計方式為黑盒/灰盒/白盒，漏洞全面覆蓋10大項39小項，目前成都鏈安已經完成24個鏈平臺的深度安全檢測，檢測出30余個高危漏洞。以此不斷努力讓區塊鏈生態更安全。

03

主持人：感謝Frank老師為我們帶來的精彩分享。下面進入問答環節，以下都是大家最關心的問題，請Frank老師為我們作答。

Q：聯盟鏈對于公有鏈有哪些明顯優勢呢？

A：相對于公有鏈來說，聯盟鏈有一個準入機制，通過該機制能夠篩選參與方，從而了解參與方具體情況，把控其行為，杜絕攻擊者。并且聯盟鏈是由多個機構共同控制的，能采用利于性能提升的共識，從而不斷改進其功能。除此之外，聯盟鏈是針對某些業務場景開發的，在落地層面會更適應于國內業務場景應用。

Q：區塊鏈能有效保證信息安全嗎？

A：區塊鏈能夠利用密碼技術等對信息、數據進行加密，然而區塊鏈是無法完全保證信息安全的，只能作為加強信息安全的輔助手段。

Q：智能合約的未來發展方向是什么樣的呢？

A：對公鏈上來說主要還是以虛擬資產為主，但這只是發揮了區塊鏈在密碼學方面的一些功能。而聯盟鏈未來發展的主要方向應該是應用落地，在存證、共識等方向有著非常大的探索空間，能解決很多傳統應用難以解決的痛點。雖然聯盟鏈會產生信息割裂等問題，但利用跨鏈技術也能夠迎刃而解。

Tags：區塊鏈聯盟鏈RANFRA區塊鏈通俗易懂的例子有哪些超級聯盟鏈幣怎么獲得TransferChainFrax Price Index Share

屎幣