研究人員一直在努力展開著對加密貨幣和區塊鏈公司的安全研究工作，看起來他們當中有人獲得了認可。獲悉，三名區塊鏈的研究人員將參加今年的Pwnie Awards。被稱為是安全奧斯卡獎的Pwnie Awards每年都會頒出年度資訊保安最佳獎和最差獎，玩具小馬則將被送給做出卓越貢獻的駭客和安全研究人員。

MIT數字貨幣專案負責人Naha Narula、波士頓大學研究員Ethan Heilman因在人們加密貨幣IOTA中破解了雜湊函式而受到了“最佳加密攻擊獎(Best Cryptographic Attack)”的提名。另外，Consensys的安全工程師Bernard Muller因在Ethereum智慧合約安全工作上作出的貢獻而受到“最具創新研究獎(Most Innovative Research)”的提名。

根據Narula和Heilman的說法，偽造IOTA的交易在幾分鐘內就能完成。他們發現了一種可以直接從使用者錢包中竊取資金的方法。他們將這個安全漏洞直接歸因於IOTA雜湊演算法的執行。該漏洞最初於去年被發現，IOTA爾後則在一系列的部落格文章中已經解決了這一問題。儘管Narula和Heilman很清楚地表示，可利用的攻擊載體已經被堵塞了，但IOTA平臺上的某些部分仍在使用有問題的雜湊函式。

Muller在《Smashing Smart Contracts for Fun and Real Profit》論文中介紹了一種全新的智慧合約安全分析工具Mythril。這位工程師笑稱科學界自1996年以後就沒再學到多少東西，因為在創造智慧合約時大量的安全漏洞仍舊源於對舊程式語言的依賴。a以此同時，他還讚賞了現代的駭客技術基礎設施。不過他也指出，Ethereum的“世界計算機”及對其的持續安全擔憂仍讓人不自覺地想到了早期的網際網路時期。

據悉，Pwnie Awards將在當地時間8月8日晚些時候公佈獲獎名單。

應該說區塊鏈本身是一種技術，技術是個概念或者工具，無所謂漏洞的提法。但是，區塊鏈產品則可能會有很多的漏洞，比如EOS的Dapp經常被駭客攻擊。目前區塊鏈技術還處於早期發展階段，很多產品很不成熟，所以有漏洞存在是正常的。

有些漏洞是程式設計不嚴謹造成的，給駭客留下了機會。有些漏洞是經濟模型本身的問題，使得套利者可以獲取非正常利潤。所以，在做一個區塊鏈專案的時候，或者想把自己的公司業務進行“區塊鏈+”的時候，務必要有專業的團隊，在經濟模型、技術層面進行把關，否則，後面再出現風險和漏洞，損失會很大。

比如：去年幾個專案的智慧合約出現問題，損失都是成百上千萬的，包括蔡文勝的美圖專案BEC幣，還有火幣、徐小平真格基金投資的教育專案EDU，以及做的還不錯的公鏈SMT等，駭客利用智慧合約漏洞增發了很多幣出來，專案損失慘重。

經濟層面的漏洞也有很多，比如交易挖礦模型，就是典型的高通脹模型，平臺幣則是這一模型的最大受害者，包括Fcoin的FT，下跌99%之多，要清洗很長時間，才有可能再度上漲，元氣大傷。所以，經濟模型也非常重要，有漏洞都不可小覷。

區塊鏈的漏洞其實很多，最主要的專案的安全漏洞。由於區塊鏈專案也是人們用計算機語言編寫的自運營程式，所以它無法避免的會存在一些設計上的漏洞，這是由程式設計師的開發水平決定的（沒有全知全能從不出錯的程式設計師）。例如，上一次的以太坊君士坦丁堡升級就是因為一個小的安全漏洞而造成延誤，雖然以太坊已經是最為成熟的區塊鏈專案之一，但它仍不可避免的存在缺陷。

因此區塊鏈專案的整體結構上總會存在一些不是那麼完善的地方，平時的時候可能看不出來，但是在某些特定情況下它就會暴露，甚至是無限放大造成不必要的損失。

為了儘可能的避免這些狀況出現，程式設計師們在設計的時候都儘可能的採用最簡練的邏輯結構去編寫程式，並將程式碼開源，讓更多的程式設計師進行檢驗，查缺補漏，最終完成一個沒有漏洞的完整程式。

第二個漏洞來自於圍繞區塊鏈專案開展的應用程式，他們的安全漏洞也很明顯，比如交易所、錢包和一些客戶端。我們總會聽到XXX交易所被盜，XXX錢包被盜，就是因為這些應用程式和平臺存在漏洞，從而被駭客攻破。

第三個漏洞來自於整體的共識機制設計。共識機制的初衷是用自由參與的條件打造龐大的隨機節點基數，然後應用少數服從多數的原則保障區塊鏈資料的公平性、穩定性和準確性。但由於某些區塊鏈專案在開始的時候節點數太少，因此就存在人為堆砌節點數，從而形成“人為多數”的局面，達到控制區塊鏈專案的可能。

例如目前比特幣區塊鏈的全節點數有9098個，要達到其中的多數就要佔有超過51%的全節點，也就是4640個；或者將這9098個節點變成少數的49%，也就是增加9470個節點，想想其中的資金投入得有多大！所以在節點基數大的區塊鏈專案中，要達到“人為多數”的局面基本上是不現實的。

而在一些新的區塊鏈專案中，它的節點即基數才幾十上百個，要達到“人為多數”的局面就較為輕鬆，所以這就是合理的人為漏洞。

大多數時候區塊鏈的漏洞主要來自這幾個方面，還有其他的因素也會影響區塊鏈的穩定。但技術總是在進步的，有漏洞就有修補，所以不用擔心。相信新技術的發展。