區塊鏈:區塊鏈安全保衛戰：三分技術 七分管理_DAPP

7月30日，Facebook在最新季度報告中提醒投資人，由于很多因素導致他們可能無法在2020年如期推出Libra數字貨幣，面臨的最大阻力就是監管。

而最讓監管機構擔憂的便是Facebook面臨的一系列安全問題，如何保障用戶的隱私安全，如何防止不法分子入侵…

安全是各行業發展面臨的首要問題，但絕對的安全是不存在的，只能通過技術讓它更安全而已。

浪潮涌起，泥沙俱下。近年來，交易平臺監守自盜、交易所遭受黑客攻擊、用戶賬戶被盜、私鑰丟失等安全事件層出不窮。

白帽匯2018年發布區塊鏈安全報告稱，每年因區塊鏈安全漏洞造成的損失高達數十億美元。目前，近80%的攻擊損失都是基于業務層面的攻擊所造成的，其損失額度從2017年開始呈現出指數上升的趨勢，截止到2018年第一季度，所暴露的安全事件就已經造成了8.1億美元的損失。

攻擊事件大致可分為四類安全事件：共識機制、智能合約、交易平臺和用戶自身。攻擊者主要選擇保護相對薄弱的數據層、網絡層、共識層、擴展層和業務層進行攻擊。

區塊鏈安全與傳統互聯網安全，既有共性，又有個性，既有交集，也有差異。

墨子區塊鏈安全實驗室CEO苗知秋告訴鋅鏈接，區塊鏈安全并不是一個全新的安全范疇，它運用了大量的傳統技術。

A股收盤：深證區塊鏈50指數上漲0.34%:金色財經消息，A股收盤，上證指數報3506.94點，收盤下跌0.11%，深證成指報14535.1點，收盤上漲0.35%，深證區塊鏈50指數報3624.63點，收盤上漲0.34%。區塊鏈板塊收盤下跌0.48%，數字貨幣板塊收盤下跌2.26%。[2021/5/20 22:24:56]

所以，區塊鏈安全與傳統安全之間，大部分是重疊的，小部分是區塊鏈技術獨有的特點。

從底層代碼來說，傳統安全與區塊鏈安全大同小異。但是上面的應用層安全，區塊鏈安全帶有自身的特性，比如共識機制，使互聯網的中心化單點攻擊，轉變為區塊鏈的大面積攻擊。

假設有人要攻擊一個網上銀行，互聯網的方式是入侵某臺電腦的服務器、網銀地址，修改數據庫。

在區塊鏈里，共識機制是至少要篡改超過51%的節點。因為所有節點都依托于一段代碼程序，如果程序本身有漏洞，就可以篡改大面積節點。

一個很典型的事件是美圖發布的BEC，出現了溢出漏洞，大量超發，導致BEC瞬間歸零。相當于一只螞蟻絆倒了一頭大象。

快速入場，火速退場

區塊鏈安全公司的數量多少與區塊鏈行業的發展成正相關。2017年到2018年初，區塊鏈行業處于火熱期，很多人擠進來做項目，對安全的需求增多，于是很多區塊鏈安全公司順勢而生，主要有三類：

阿里巴巴廣東成立新公司，經營范圍含區塊鏈技術相關軟件和服務:近日，阿里巴巴（廣東）科技有限公司成立。該公司注冊資本為1000萬人民幣，法定代表人為陶雪飛，經營范圍含人工智能通用應用系統；科技中介服務；人工智能基礎軟件開發；電子專用材料研發；軟件外包服務；區塊鏈技術相關軟件和服務等，該公司由阿里巴巴（中國）有限公司全資持股。(天眼查)[2020/11/9 12:04:52]

一個就是傳統安全行業轉型過來的安全服務商，比如知道創宇、白帽匯；

另一個是安全圈的新力量，因為有了區塊鏈新的場景引發了新的需求也加入進來，比如成都鏈安；

還有就是互聯網安全巨頭，比如360。

他們早期以安全研究打開局面，用安全服務、安全開發切入市場，服務主要集中在合約審計、交易所安全、錢包安全、鏈安全、黑產對抗、威脅預警等領域。

與互聯網安全發展相似，區塊鏈安全早期報的漏洞也相對比較少，但隨著技術的成熟、業務場景的增長，安全事件也會逐漸增多。

隨著業務熱點的轉移，哪個技術用得越多，安全公司研究的方向也會相應變化。

2018年，以太坊為首的智能合約是關注的重點，很多人去研究智能合約。

白帽匯聯合創始人、安全負責人鄧煥告訴鋅鏈接，“智能合約很簡單，像以太坊，幾百行代碼就能寫出一個應用，發行一個代幣。有的項目發行代幣，基于某個模板改幾個參數。只要模板有問題，好幾種代幣就都存在問題。”

聲音 | 鄂州：謹防假借區塊鏈熱點進行非法集資:近日，鄂州市防范和處置非法集資工作領導小組辦公室提醒廣大市民擦亮眼睛，謹防不法分子假借區塊鏈、虛擬貨幣等名義進行非法集資，騙取錢財。

據介紹，目前打著“區塊鏈”“虛擬貨幣”等幌子進行的非法集資活動，主要有以下特點：一是網絡化、跨境化明顯，網上交易，風險波及范圍廣、擴散速度快，很多不法資金流向境外，監管和追蹤難度大；二是欺騙性、誘惑性、隱蔽性強，不法分子利用熱點概念炒作，編造各種虛假項目，以高額回報為誘餌，幕后操縱所謂虛擬貨幣價格走勢；三是存在多種違法風險，不法分子通過公開宣傳，舉辦線下活動或在各論壇、微信群里宣傳，并利誘投資人發展人員加入，具有非法集資、詐騙、傳銷等違法行為特征。

該領導小組辦公室負責人表示，我市將本著“打早打小”的理念，充分利用網絡監測、大數據篩查、線下摸排等多種手段，加大對“炒鏈”“炒幣”等非法集資風險的監測預警力度，加強風險排查，一旦發現涉及非法集資苗頭及時果斷處置。同時，希望廣大市民發現非法集資相關線索，積極向市、區處非辦舉報，對舉報內容為偵破重大案件提供重要幫助的，將按照有關政策給予獎勵。（鄂州政府網）[2019/12/9]

隨著切入點越來越深，被爆出來很多鏈上的設計理念、業務邏輯存在問題。首先在合約或者經濟模型設計會存在漏洞，被人利用。此外，底層的安全問題也會逐漸增多。

動態 | 澳大利亞聯邦銀行與科學機構利用區塊鏈解決保險問題:據hawthorncaller報道，澳大利亞聯邦科學機構正在與該國的“四大”商業銀行之一的澳大利亞聯邦銀行（CommBank）合作，測試區塊鏈應用程序，旨在讓殘疾公民更容易支付保險金。[2018/11/13]

玩家多了，自然會產生泡沫。知道創宇CTO兼COO楊冀龍告訴鋅鏈接，在市場行情好的時候，存在大量的惡意競爭。比如，合約審計服務甚至出現了打價格戰，導致安全產品和服務的價值非常廉價。另外，割韭菜的項目非常多，“一些所謂的安全需求方可能根本不關心他們的安全問題，而只是想發錢買個安全背書”。

泡沫一年之內就被戳破了。2018年，數字貨幣市場總市值從年初的4889億美元，下跌至12月13日的1081億美元，減少了77.89%。

區塊鏈行業開始萎縮，買單的人越來越少，市場上只剩下5、6個頭部玩家。一些新型安全創業團隊已經銷聲匿跡，大部分安全公司也減少了對應的投入或者考慮轉型。

慢慢地，進來的人發現區塊鏈整個生態和實際應用要發展起來，還有很長的路要走。不做實事的團隊，沒法在短期內獲得收益。如果做實際項目，比如金融、溯源等，可能短期內無法快速落地，需要投入比較長的時間，有些人就打了退堂鼓。

金丘區塊鏈等中國代表團赴英參加ISO/TC307國際區塊鏈標準制定:倫敦當地時間5月14日至18日，ISO/TC307（區塊鏈和分布式記賬技術技術委員會）第三次全會在英國倫敦舉行。本次會議由英國標準協會主辦，來自中國、美國、印度、日本、韓國、德國、法國、加拿大、英國等35個國家成員體和國際組織的200余位代表出席會議。由中國電子標準化研究院中國區塊鏈技術標準制定組技術負責人唐曉丹、金丘區塊鏈聯合創始人韓根、前海微眾創新研究與標準化專家李斌等13人組成的中國代表團，在會議期間與各國專家代表深入開展區塊鏈和分布式記賬技術國際標準化工作。中國代表團實力杰出，有望在ISO/TC 307成立并領導新的研究課題，主導部分國際標準的制定。[2018/5/18]

鄧煥告訴鋅鏈接，當時的現象是，很多區塊鏈公司快速入場，又快速退場。整個行業一定是業務先行，市值撐起來才會有安全需求。否則，項目方自己都養活不了，安全公司更沒辦法生存。

重視不足，區塊鏈安全發展緩慢

前段時間，幣安被盜7000個BTC事件。鄧煥認為，現階段存在比較大的問題，是行業內對安全的重視不足，連頭部企業也不例外，更別說中小型企業，問題就更多了。在這樣一個環境下，區塊鏈安全公司的發展是很緩慢的。

在業務落地過程中，楊冀龍也遇到這些難點。

首先，市場監管不明朗，公司之前做了很多事情都是摸著石頭過河。隨著今年年初《區塊鏈信息服務備案管理辦法》的出臺，在監管方面還是需要與監管機構進行積極溝通。

其次，市場波動太大。從2018年初幣價創下新高，到2018年底集體抱團過冬，大部分區塊鏈從業者都經歷了冰火兩重天，導致有部分項目做到一半就停了。

第三，沒有統一的標準，無法像成熟的技術領域一樣，有完備的規范參考。各個區塊鏈安全團隊都是從自己的角度提出對安全的理解，幫助客戶做服務，難以保證服務質量。

為了解決這個問題，知道創宇聯了區塊鏈產業鏈上下游以及相關監管部門，結合各自的經驗和積累，提出了一些安全評估標準，例如《智能合約審計Checklist》以及硬件錢包評級標準等，同時也參與到相關行業標準的制定中。但區塊鏈安全畢竟起步時間較短，還需要在實踐中不斷完善。

慢霧科技合伙人兼產品負責人啟富告訴鋅鏈接，在區塊鏈圈子里，用戶群數量比較少。當你推出一些產品和應用時，真正接觸到的用戶不多，再加上有些用戶門檻比較高，需要一些背景知識，導致得不到很多的用戶反饋，得到可行性驗證的有效數據就比較少，產品沒有辦法獲得快速認可。

成都鏈安創始人楊霞告訴鋅鏈接，當前區塊鏈生態比較少，用戶的關注點還在業務邏輯上，對安全的關注不夠。應該吸取傳統信息系統建設的教訓，加強全行業的安全教育，采用最新安全理念，即業務系統和安全系統同步建設、同步上線、同步運營。

楊霞認為，安全產品目前側重于解決某個點上的問題，需要隨著區塊鏈技術的落地和規模應用同步發展，逐步形成區塊鏈行業全生態的安全解決方案。

搭建漏洞社區，共建安全生態

當欺詐性泡沫、共識被清理后，區塊鏈技術會更加符合人性，也會有更多創新型的企業和優秀的人加入進來，共同建造出更健康的區塊鏈生態。

目前，區塊鏈安全領域的5個頭部玩家分別是派盾、白帽匯、知道創宇、慢霧科技、成都鏈安。

面對區塊鏈安全的重重困難，他們也選擇了不同的發展方向。

派盾、知道創宇、慢霧與成都鏈安則想要打造區塊鏈安全生態。

派盾的漏洞挖掘能力處于一線水平。其硅谷研發中心負責人Jeff稱，漏洞監測覆蓋底層公鏈、交易所、數字錢包、智能合約等區塊鏈生態的各個環節，連續發現并命名了BEC、SMT、EDU等智能合約的重大安全漏洞。

楊冀龍向鋅鏈接介紹，知道創宇主要以云防護專業的區塊鏈安全服務為核心，解決底層基礎設施到應用層智能合約和DApp中所面臨的安全問題。

知道創宇的優勢在于，覆蓋面比較廣，從節點、鏈、智能合約、DApp應用、到區塊鏈錢包的安全基本全覆蓋。

作為中國最早專注于區塊鏈生態安全的公司，慢霧科技的特長是實戰能力強，擁有一支十多年一線網絡安全攻防實戰的團隊。

其安全解決方案包括：安全審計、安全顧問、防御部署、威脅情報(BTI)、漏洞賞金等服務并配套相關安全產品。

除了研究全球知名公鏈如比特幣、以太坊等，慢霧還特別深耕以太坊和EOS生態，圍繞DApp安全攻防對抗，安全審計與防御的知名智能合約數百份。

成都鏈安的目標是建立區塊鏈行業全生態的安全解決方案，覆蓋了鏈平臺、交易所、錢包、用戶等區塊鏈行業的各參與方。

公司建立了全面的面向區塊鏈安全的數據中臺，為上層安全產品提供豐富、準確的數據支撐，以與國家區塊鏈漏洞共享平臺合作和社區共建的方式建立了自有威脅情報庫，為其他安全產品提供情報支撐。

白帽匯的思路是切入漏洞社區。在傳統安全領域，白帽匯支撐很多政府監管部門的安全項目；在區塊鏈安全領域，白帽匯成立了DVP去中心化漏洞平臺，把在傳統安全做漏洞社區的思路放到區塊鏈安全行業，提供合法的渠道，對接安全人員與項目方——安全人員提交漏洞，項目方根據漏洞的等級給其獎勵。

至今，平臺已經發現了4000漏洞，涉及到交易所、公鏈、智能合約各方面，比較知名的D網交易所、以太坊公鏈等也曾由DVP的白帽子發現過嚴重問題。最近，白帽匯也在與監管機構溝通，制定區塊鏈安全行業標準。

啟富告訴鋅鏈接，未來區塊鏈安全領域的攻防對抗會愈演愈烈。隨著更多大規模的用戶入場，就會有更多資產在區塊鏈上，攻擊者會不斷盯著交易所等平臺，將會有更多類似硬件錢包、金庫的手段來保證巨額資產的安全。

另外，隨著公鏈的底層設計越來越完善，底層基礎的問題會越來越少，在上面運行的智能合約會越來越安全，可以規避溢出之類的基礎問題，常規的漏洞會越來越少。漏洞將會集中在業務邏輯、應用場景方面。

技術往往是第二位的，很多問題是出在管理、制度、流程方面。苗知秋談道，安全圈早就有一個說法，三分技術七分管理，過于依賴技術，不把人管好，只是把機器管好，最終不能真正解決問題。

歸根結底，踏實讓區塊鏈技術實現落地應用，解決實際問題，才是最重要的。

Tags：區塊鏈以太坊BECDAPP區塊鏈專業是冷門專業嗎以太坊價格幣走勢圖bec幣行情區塊鏈dapp開發一個多少錢

Polygon