一篇來自金色財經的直播筆記，關於區塊鏈的安全話題。

演講嘉賓介紹：中國電子學會區塊鏈分會專家委員、《區塊鏈安全技術指南》第一作家、雲安全聯盟大中國區區塊鏈安全工作組主席、中國行動通訊聯合會區塊鏈專委會首席安全專家、國際標準組織W3C的數字身份工作組成員、元界DNA技術聯合創始人、知道創宇技術顧問、2018斯坦福大學區塊鏈與人工智慧比賽評委、美國DistributedApps CEO、亞洲區塊鏈產業研究院國際專家諮詢委員會委員、全國高校人工智慧與大資料創新聯盟區塊鏈專家常務委員、美國CISSP、前華為高階區塊鏈科學家。

以下開始：

我先自我介紹一下，我叫黃連金，一直從事與區塊鏈安全與技術領域的工作。在2018年與其他一些安全專家合作，出了一本區塊鏈安全技術指南的書。

最近這些天比特幣漲得很厲害，要恭喜那些信仰者一直持有比特幣。

總結一下原因不外：有機構的投資；有傳統分析師的看好；有減半帶來的流通減少；有交易所比特幣的純流出；還有因為新冠肺炎造成的各個政府特別是美國的救市計劃；最基本的原因還是比特幣的精神：去中心化、稀缺性、全球化、儲藏的精神。

回到今天的話題——安全。為什麼安全這麼重要？我下面會和大家介紹區塊鏈安全技術的九個方面。

我們在2018年透過機械工業出版社出版的《區塊鏈安全技術指南》，現在已經過去兩年多了。我們發現有些內容需要增加，有些需要修改。所以我們希望透過線上的新形式，就是開源的形式來做。就透過雲安全聯盟。

雲安全聯盟是一個國際著名的開源研究的安全聯盟。包括亞馬遜、谷歌，微軟都在這個聯盟組織。在國內也有云安全聯盟的一個峰會。這個峰會是全世界雲安全聯盟最大的峰會，其中專門成立了區塊鏈安全工作組，有一百多位專家。

1、智慧合約

耶魯大學的訪問學者和中國科技大學的副教授，現在是nb （音）ceo 國語（音）老師做領軍人物在做智慧合約的安全。

區塊鏈最重要的技術就是智慧合約。智慧合約在區塊鏈領域會會鎖定很多的資產。但它有個特徵，一旦釋出了，就不能去修改。而且它是開源的。所以駭客可以去研究程式碼，可以想辦法去尋找漏洞。如果智慧合約存在漏洞，且漏洞被駭客找到，資產就沒有了。

其實這裡要強調一下，因為智慧合約是由人編寫的，所以基本上不存在沒有錯誤，沒有漏洞的智慧合約。只是有些智慧合約在測試過程中，在第三方審計中就發現了問題並加以修正。而有的智慧合約，因為其上承載的資產比較少，沒有吸引駭客的注意。

但在區塊鏈的發展過程中，因為智慧合約出事的資產依然是非常多的。應該說大部分割槽塊鏈的安全事件或多或少都有智慧合約有關。

在十二月初，我們剛剛舉辦了一個年會，釋出了智慧合約安全的最佳實踐。這本白皮書馬上會開源，大家感興趣可以去網上查詢。

對於智慧合約的安全，我們要關注智慧合約是誰寫的，寫了以後有沒有透過第三方的審計，是誰釋出在鏈上的。合約的地址、私鑰是誰在掌握，合約是否能夠升級。

能夠升級的合約，也容易出現漏洞。比如最近Aave專案出現的問題。有家安全公司發現了Aave合約上的漏洞。它的可以升級的智慧合約上有一個潛在的漏洞可以被駭客利用。幸虧發現得早，否則整個專案就會有大的問題。

關於智慧合約的安全，網上也有很多的資料，我們白皮書中也有很多的具體的例項，就不一一具體講了。

2、錢包安全

錢包是數字貨幣，區塊鏈應用的入口。而且錢包包含了私鑰，私鑰如果被駭客偷走，那上面的數字財產都不在了。

可以這麼說，區塊鏈數字資產是在鏈上的，誰擁有私鑰，誰就擁有鏈上的數字資產。所以錢包不是儲存你的資產，而是儲存你的私鑰。怎麼保護好自己的闢謠，這是數字錢包最重要的問題。

這次雲安全聯盟的會議上，我們也釋出了數字錢包安全白皮書。《數字錢包安全開發與應用實踐》。

所有參與數字貨幣或者是區塊鏈專案的使用者都需要去關注數字錢包的安全。大家要知道數字錢包到底有幾種形式，比如什麼是冷錢包、熱錢包，什麼是軟體錢包、紙錢包、雲錢包。不同的錢包型別，安全要求是不同的。包括私鑰、密碼與助記詞之間的關係，以及公鑰、簽名等基本概念必須要自己能理解。

3、共識演算法的安全

區塊鏈與其他的計算系統不一樣，因為區塊鏈上是不同的伺服器或者說節點對同一個交易，因此它必須確認交易是否發生，是否合理，是否存在double spending 雙花現象。因此共識演算法非常重要。

共識演算法有很多不同的種類，有傳統的資料庫共識演算法，比如RAFT 分散式資料庫的共識演算法，主要特徵是因為有多臺機器分散式進行處理，所以對於宕機問題，可以允許其中某臺機器宕機。

但傳統的RAFT 這些演算法。如果有惡意節點存在，就沒有辦法。所以比特幣的POW 演算法應運而生，就是工作量證明。POW能夠防止一些惡意節點作惡，所謂的51%。如果有49%的節點惡意攻擊都沒關係，能夠防止。

還有在聯盟鏈中經常使用的拜占庭容錯的演算法。它能夠容納少於30%的節點錯誤。

再就是權益證明，就是以太坊2.0用的共識演算法。包括eos上面的dpos。權益證明也會容許某些節點的錯誤。

共識演算法在理論上已經存在了一些比較成熟的理論，包括剛提到的拜占庭，還有flp不可能性，指的是在非同步的環境下，如果一個節點是有問題的，那整個系統不可能有一致性的演算法。

研究共識演算法的安全專家，必須從四個不同角度進行研究：

一是網路的質量。網路質量取決於兩個因素：security 和liveliness，安全性和活性。安全性就是會不會有double spending 雙花問題；活性是指鏈一直要持續記錄、穩定執行。鏈要能夠容納合理的交易，所有合理的交易都會在鏈上面記錄。

二是從最終確認性方面考慮。因為有些共識演算法不會有最終確認。比如pow 工作量證明是基於機率的一種確認性，所以它不是最終的。拜占庭容錯一旦確認就是最終確認了。從是否為最終確認的角度來去討論鏈的安全與活性，使用的假設會不一樣。

三是從區塊鏈不同型別考慮。區塊鏈有私有鏈、聯盟鏈和公鏈。它們的共識演算法都不一樣，也不需要一樣。因為不同的應用場景，鏈的安全性和活性肯定也會不一樣。

四是從博弈論的理論角度去討論區塊共識演算法的安全性。這是一個非常好的研究領域。如果共識演算法安全不夠，比如pow規定要51%的節點確認，這些節點就承擔了安全的貢獻。但如果有的鏈只需要百分之一的節點驗證就可以，沒有博弈的過程，那肯定就有問題了。

4、交易所安全

大家可能對交易所都比較熟悉，因為交易所是價值交換，價值實現的場所。無論是專案方還是個人投資者，都需要依靠交易所實現價值。所以交易所也更容易成為駭客主要的攻擊目標。交易所的安全問題也經常發生。

我們透過雲安全聯盟釋出了十大交易所安全問題。包括ddos攻擊，即拒絕服務攻擊，包括apt持續性攻擊等。建議交易所的人員可以去看下我們釋出的白皮書。

另外我也與csc 安全聯盟的美國總部的一些專家合作，也在寫交易所的安全指南，這個是英文的，明年年初會發表。

5、dapp 的安全

dapp 是去中心化的應用。今年我們看到大部分去中心化的應用就是Defi。我們釋出的白皮書一共寫了五章，其中一章內容，就專門講去中心化的金融的安全。

去中心化的金融，過去一段時間很火，但是安全事件不斷的發生。基本上每個星期都會有安全事件出現。不是幣被駭客偷了，就是哪個專案本身rug pool 了，把地毯抽走，意思就是專案跑路了。還包括Defi本身通證設計的安全問題。

dapp 的安全首先就涉及智慧合約的安全，這個前面已經介紹過了。還包括私鑰的保護，通證設計本身的安全。再就是監管，如果Defi沒有符合監管要求，這也會給未來造成隱患，因為涉及金融領域的應用，無論再怎麼去中心，最終依然要和實體經濟接觸，只要和實體經濟有接觸，想完全脫離監管就不現實。Dapp安全相關的白皮書我們會在一個月之後對外公開。

6、去中心化的數字身份

最終區塊鏈的專案需要交付給人以經濟價值，而如何確認經濟價值的擁有者，往往要透過數字身份來實現。現在的數字身份只有簡單的一個私鑰，但無法從私鑰知道DID，就是去中心化的身份。

現在w3c這家機構也在研究DID領域的安全問題和規範。w3c之前做了很多關於網路的定義。我們透過雲安全聯盟也對去中心化數字身份的安全和隱私考慮等問題，花了很大的篇幅寫了很多的內容。大家如果感興趣，可以看一下：《使用者自治數字身份安全白皮書》2020.08.13

7、網路安全

區塊鏈使用的是點對點的網路。在這網路安全方面，我們要考慮到資料的隱私保護，點對點傳輸的資料，要怎麼樣進行加密。又要加密還要保證資料能夠通暢的傳輸。

8、資料安全

在資料安全方面，就要考慮到能否用零知識證明，或者同態加密，或者是多方安全計算等等。區塊鏈的資料安全方面，武漢大學的曾經教授和何琨教授他們了組織團隊，寫的安全方面的白皮書，也在這次雲安全聯盟大會上發表了。對外公開也會在一個月左右以後。

9、關於aml

aml就是反洗錢，或者說數字貨幣的溯源與安全方面。這個主要涉及我們如何能夠保證合規，從某種層面上，aml對促進整個行業的發展是有好處的。

整體來說就是透過大資料分析的方法，對一些可疑的非法的洗錢的交易進行標註。之後就可以和執法部門一起把非法的交易，特別是涉及洗錢，或者是恐怖組織融資，這些交易進行封鎖，抓出幕後的人。這是整個行業良性發展所需要的研究方向。這次雲安全聯盟也釋出了這方面的白皮書，也馬上會跟大家見面，也會開源。

以上就是我今天講的，區塊鏈安全的九個問題。

互動提問：

1、有人問到比特幣下面怎麼走。我認為現在能夠突破現在這個高點的話，應該是2021年。這個我以前也預計過，但我個人確實不對價格做任何的預測，投資都是有風險的，大家還是要自己去思考。

具體的價格只是個人的看法。我個人認為比特幣在2021年可以到三萬美金。而且我個人認為比特幣本身比黃金更有避險的能力。很多有避險需求的機構，已經開始更多的投向比特幣，而不是黃金，這是可能的趨勢。

2、關於DNA專案

dna技術一直在做，包括智慧合約方面一直在做。但關於幣價本身我是不負責任何關係的。幣價怎麼走不是我關心的，我主要是關心dna的技術，希望大家不要問我關於DNA幣價的事情。

3、關於以太坊

以太坊我個人認為現在還在半山腰。比特幣已經是突破了最高點，以太坊還在半山腰。所以以太坊應該還是有增長的空間。畢竟以太坊的團隊還是挺牛，思想也挺先進的。而且上面的生態發展得也不錯。以太坊的最高點，曾經到過1400美金。按現在的價格看，應該說它還是有增長的機會。