EFI:CBC100 | 黃連金：區塊鏈安全的9個主要問題

區塊鏈安全一直是區塊鏈發展進程中至關重要的議題。如何設置更完善的KYC和AML系統、如何防止私鑰被盜、如何實現去中心化數字身份確認等等，都是我們需要日益關切的問題。

本期《CBC100》邀請到黃連金老師為我們解析區塊鏈安全中的9個主要問題。

1.?智能合約

智能合約是區塊鏈中最重要的技術之一，其特征是可以鎖定大量資產且在發布后不可更改，但智能合約是開源的，如果被黑客研究出代碼的漏洞，則會出現資產流失等問題。在整個區塊鏈發展中，大部分的安全事件都與智能合約漏洞有關，由于智能合約的安全問題而造成的資產損失量不可小覷。

在智能合約的安全審查中，需要關注是誰寫的、是否通過第三方審計、是誰將其發布上鏈、合約地址的私鑰由誰掌握以及是否可以升級等方面。智能合約的編程需要遵循開源的最佳實踐。例如云安全聯盟大中華區最近發布的《智能合約安全指南》白皮書和機械工業出版社的《區塊鏈安全技術指南》的第三章內容。

兩名“90后”通過出售游戲外掛并使用比特幣結算，一年獲利超億元:金色財經報道，兩名“90后”聯手兜售一款名為“雞腿”的外掛程序，號稱能幫助玩家輕松“吃雞”。不想，這竟然涉及到非法加載程序，當事人通過出售該外掛非法獲利。為隱藏收入，不法分子利用比特幣進行交易。短短一年的時間，獲利就超過上億元。近日，經江蘇省昆山市檢察院提起公訴，法院以侵犯著作權罪判處被告人何某、王某有期徒刑四年，并各處罰金2000萬元，同時追繳違法所得及孳息。[2023/8/13 16:23:49]

2.?數字錢包

數字錢包是數字貨幣和區塊鏈應用的入口，且包含了私鑰。

區塊鏈的數字資產是鏈上資產，而擁有這些數字資產的人就是私鑰的掌握者。也可以將錢包理解成是存儲私鑰的地方而非數字資產的地方，因為誰擁有了私鑰，誰就擁有了該私鑰地址下所有的數字資產。因此，如何保護私鑰的安全是區塊鏈安全問題中研究的重要領域。

CNBC：華爾街仍然看好區塊鏈技術:金色財經報道，CNBC7月26日的一則新專題強調，華爾街對區塊鏈技術的看法仍然樂觀，因為市場發展的壓力和創新的需求推動美國金融體系探索區塊鏈技術以實現未來增長。CNBC撰稿人Tanaya Macheel稱，華爾街將區塊鏈視為解決當前金融體系中效率低下且耗時的流程的解決方案。這種去中心化、透明且快速的交易方法在受基礎設施孤立和傳輸緩慢困擾的系統中大有希望。

摩根大通Onyx首席執行官Umar Farooq向CNBC表示，相信區塊鏈技術可以徹底改變和改寫金融市場基礎設施。這種跨平臺集成和速度的潛力讓摩根大通和高盛等銀行押注于區塊鏈的變革力量。喬治城大學商業教授James Angel表示，代幣化（將現實世界的資產轉換為區塊鏈上的數字資產的過程）并不是一個新概念，幾個世紀以來一直是金融市場的一部分。[2023/7/27 16:00:54]

不同類型的數字錢包，其安全需求是不同的。因此，我們需要了解各類型錢包的情況以及私鑰、公鑰和密碼、簽名等之間的關系，這樣才能更全面的解決錢包安全問題。關于錢包安全的問題，大家可以參考云安全聯盟大中華區最近發布的《數字錢包安全開發與應用實踐》

MATIC跌破0.6美元，日內跌幅達25.32%:金色財經報道，行情顯示，MATIC跌破0.6美元，現報0.59美元，日內跌幅達到25.32%，行情波動較大，請做好風險控制。[2023/6/10 21:28:04]

3.?共識算法

區塊鏈如果作為計算平臺，那么它有別于其他計算平臺的主要特征是共識算法。不同的節點或者服務器對于一個交易進行確認，決定這個交易是否發生、發生的順序，交易是否合理、是否雙化的算法就是共識算法。共識算法有很多種類。有傳統數據庫的共識算法，例如RAFT，?PAXOS，這兩種算法的主要特征是Crush?Tolerant也就是可以容許出現宕機，當其中一臺機器宕機，還有別的機器在運作，可以用?RAFT或者PAXOS作為底層的共識算法保證分布式系統的正常運行。但是當這些傳統算法遇到惡意節點時，傳統的共識算法就會失效。因此需要能夠容錯的算法，例如比特幣的POW算法，就可以防止一些惡意節點，其可以容納49%的惡意節點；同時還有在聯盟鏈中通常使用的拜占庭容錯，可以容納少于33%的節點錯誤。而以太坊2.0使用的權益證明和EOS上的DPOS也可以容許一定量的節點錯誤。

馬斯克再次表達對狗狗幣的支持:6月6日消息，推特創始人 Jack Dorsey 在社交平臺上表示支持 Coinbase 將其業務重新聚焦在比特幣上，馬斯克在此推文下表達對狗狗幣的支持。受此消息影響，DOGE 短時漲超 2%。[2023/6/6 21:20:14]

在共識算法安全問題的研究中可以從四個不同角度進行思考：

1.在網絡質量方面研究其安全性和活性。安全性即不會雙化，而活性則是指所有合理的交易都會被記錄在鏈上。

2.最終確認性。有些共識算法沒有最終確認，例如POW是基于概率的確認性，而拜占庭容錯確認則為最終確認。因此從這個角度看其安全和活性，所用的假設都不一樣。

3.區塊鏈不同類型私有鏈、公鏈、聯盟鏈的共識算法都不一樣，應用場景也不同，其中安全性和活性也都不一樣。

4.從Game?Theoretical博弈論的角度考慮算法安全性和活性。

SBF：加密市場未出現持續性資金流出，監管制度明確將對市場產生重大影響:10月8日消息，FTX 創始人 SBF 在接受 Laura Shin 采訪時表示，當前加密市場處于觀望期，未出現持續性資金流出，且在 Terra 和三箭資本事件后也沒有出現更多的災難性事件，整體比較穩定。未來最有可能對市場產生重大影響的事件是行業監管制度明確，特別是美國的監管制度明確。這將使行業參與者可以有一個清晰的發展路徑，同時保證客戶受到充分保護。相信這一點在不久的將來即可實現。[2022/10/8 12:49:17]

目前共識算法的安全性和活性的研究在學術界和區塊鏈初創企業都獲得廣泛的重視。作為云安全聯盟區塊鏈安全工作組的成員單位，北京大學正在這方面展開研究。

4.?交易所

價值交換和價值實現的地方，因此也常收到黑客的攻擊。云安全聯盟對于經常出現的交易所安全問題進行分析，在2020年12月發布了《數字貨幣交易所Top10安全風險》可以作為從業者和用戶的參考。

5.?DAPP和?DeFi

DAPP就是去中心化的應用。今年大部分去中心化應用都出自DeFi。

去中心化金融很火，但卻頻發Rug-Pull即項目跑路等問題，當然除此之外也存在自身通證設計的安全問題。DeFi項目需要注意三方面的安全，第一就是智能合約的安全，第二就是通證經濟設計方面的安全，第三就是監管的安全。智能合約的安全前面已經提到過。這里就說一下通證經濟和監管的安全。如果通證經濟沒有設計好，會造成死亡螺旋的問題。就是你價格越低，參與的人越少，然后逐漸的就價格就歸零了，或者趨近于零，這就是死亡螺旋，你怎么樣去避免死亡螺旋，促進價格和生態可持續的發展，這個其實是通證經濟與DAO設計的一個關鍵。或者因為通證經濟設計參數方面有漏洞，可以被黑客利用。總體來說DeFi的90%的項目，因為有可能會因為共識不夠，通證經濟設計不合理，可能技術還可以，但是最后還是要靠生態，靠通證經濟，因為它是多學科的領域，其中某個領域沒做好，最后可能不能成功偃旗息鼓。DeFi第三方面的安全：是監管安全。現在DeFi生態還小，監管還沒有開始。但是到某個程度就要受監管，那么有些如果不符合監管的話，整個生態會受到打擊，所以這個風險就嚴重了。比如去中心化交易所EtherDelta項目被美國政府罰款是一個例子。需要注意的是DeFi項目最終都一定要符合本地的監管，所以首先項目需要有自律的精神，絕對不能夠去做非法的一些事情。DeFi要能夠真正地進行發展，一定要有行業的自律，現在國內有一些DeFi的仿盤，內在還是中心化的，不是去中心化，有可能會圈錢跑路的，所以大家要小心，保證好項目的安全工作，及時規避風險。

6.?去中心化數字身份

數字身份是保障數字經濟安全的信任基石，業界目前的數字身份體系一般都

是中心化的，區塊鏈作為解決可信問題的分布式技術，給數字身份自治的場景打開了天窗，比如減少云計算中心化身份數據大量聚合的泄露風險，在邊緣計算分布式系統中使可信身份認證管理更加便捷私密等等。去中心化數字身份的標準是W3C正在開發的一系列標準，包括DID數據模型，DID方法，DID通訊等等。利用DID標準來進行技術開發或者應用落地的項目或公司需要注意的一些安全與隱私的問題，開源組織云安全聯盟在2020年9月發布了《用戶自治數字身份安全白皮書》可以作為參考。

7.?網絡安全

區塊鏈中點對點網絡的安全非常重要。數據隱私保護，點對點傳輸的數據如何進行加密并保證數據通暢和不被篡改。在加密過程中，是否可以用零知識證明，或同態加密、多方安全計算等。北京理工大學作為云安全聯盟區塊鏈安全的成員單位正在這方面展開研究。

8.?數據層

區塊鏈數據層次包括鏈上和鏈下的數據，數據的保密性，完整性和可用性是數據安全需要關注的問題。區塊鏈本身的不可篡改的安全屬性在區塊鏈數據的完整性方面作出非常好的保證。但是在數據保密性和可用性方面，需要做進一步的研究。對于區塊鏈數據進行分類和安全與隱私方面的需求進行分析是利用區塊鏈發揮數據價值的必要條件。云安全聯盟區塊鏈安全工作組成員單位武漢大學在這方面正在開展研究。

9.?AM和數字貨幣溯源技術層

通過大數據研究的方法，對可疑、非法、洗錢、恐怖主義融資等不正常交易進行標注，并提供給政府相關部門協助進行整治。關于這方面的內容，建議大家看一下，云安全聯盟最近發布的《數字貨幣溯源技術白皮書》。

總而言之，在這9個方面中，智能合約是使得區塊鏈能夠真正用于實踐的工具，但在安全方面卻一直未受到重視；而錢包作為各方面應用的入口，安全問題也絕對不容小覷。而對于共識算法而言，安全性和活性格外重要。交易所安全事件同樣頻頻發生，因此解決交易所安全問題以及DAPP、去中心化數字身份，網路層次和數據層次和AML安全問題同樣刻不容緩。

來源：金色財經

Tags：區塊鏈DEFDEFIEFI區塊鏈的未來發展前景論文DEFLCT幣Phoenix Defi FinancePINETWORKDEFI

幣安app下載