比特幣:慢霧創始人余弦：2020 后區塊鏈世界及安全的一些思考

在這作為已經是區塊鏈世界的局內人，我有一些思考寫出來和我的關注者們聊聊。

三個魔盒

區塊鏈發展史，我認為有三個魔盒般的里程碑，既然是魔盒，那一定是帶來足夠影響力的，雖然不一定帶來足夠的落地。

第一個就是比特幣，中本聰共識的世界，這個其實不用多說，比特幣/中本聰已經是這個世界的最高信仰。

說個有趣的，在維基百科上“密碼朋克”人物列表里，一個是中本聰，另一個是阿桑奇。阿桑奇是維基解密(WikiLeaks)創始人，2006 年底就開始運作維基解密，維基解密是通過協助知情人讓組織、企業、政府在陽光下運作的、無國界、非盈利的互聯網媒體，由于發布了大量機密文件而其飽受爭議，反正許多強大的國家不喜歡他們，最終這些國家忍無可忍，2019 年，正式把阿桑奇給抓了...

回到 2010 年，當時阿桑奇看到了比特幣的發展，宣布維基解密要接收比特幣贊助，這是個非常天才的想法，除了比特幣，維基解密的法幣贊助渠道都被各國監管嚴密封堵，而比特幣很難被封堵。當時中本聰很著急，覺得阿桑奇你這樣高調宣布，這對才發展 2 年的比特幣來說可不是個好事，畢竟維基解密是什么局面？中本聰又不是傻子，萬一一個不小心，才 2 年的比特幣被超級力量干掉，那如何是好。當時中本聰留下了一段話：

慢霧xToken被黑事件分析：兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息，以太坊 DeFi 項目 xToken 遭受攻擊，損失近 2500 萬美元，慢霧安全團隊第一時間介入分析，結合官方事后發布的事故分析，我們將以通俗易懂的簡訊形式分享給大家。

本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一）xBNTa 合約攻擊分析

1. xBNTa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 BNT，使用的是 Bancor Netowrk 進行兌換，并根據 Bancor Network 返回的兌換數量進行鑄幣。

2. 在 mint 函數中存在一個 path 變量，用于在 Bancor Network 中進行 ETH 到 BNT 的兌換，但是 path 這個值是用戶傳入并可以操控的

3. 攻擊者傳入一個偽造的 path，使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制，進而達到任意鑄幣的目的。

二）xSNXa 合約攻擊分析

1. xSNXa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 xSNX，使用的是 Kyber Network 的聚合器進行兌換。

2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控，擾亂 SNX/ETH 交易對的報價，進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取

3. 攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

總結：本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性，其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗，同時在獲取價格的地方需要防止預言機操控攻擊，可使用 Uniswap 和 ChainLink 的預言機進行價格獲取，并經過專業的安全團隊進行審計， 保護財產安全。詳情見官網。[2021/5/13 21:57:48]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(馬蜂窩), and the swarm is headed towards us.

慢霧：Furucombo被盜資金發生異動，多次使用1inch進行兌換:據慢霧MistTrack，2月28日攻擊Furucombo的黑客地址（0xb624E2...76B212）于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH，并將147ETH從Compound轉入到自己的地址，截至目前該黑客地址余額約170萬美元，另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

2011 年，中本聰消失了...我們不好推測他為什么消失，但確實比特幣已經開始失控地發展。現在回頭來看，比特幣過去的歷史波瀾成就了比特幣的今天，比特幣打開了加密貨幣世界的第一個魔盒。

第二個魔盒是以太坊打開的，引入了圖靈完備的智能合約，讓區塊鏈不僅是跑加密貨幣，還可以跑自定義計算，雖然這種計算并沒想象的那種“智能”，雖然這個魔盒的打開帶來了許多亂象，但我們現在知道：“哦，區塊鏈能做這樣的事。”

第三個魔盒是 Libra 打開的，這個魔盒的開啟，讓非加密貨幣世界的人都關注到：“哇，原來區塊鏈能被這樣的玩...”Libra 這個一攬子全球穩定幣由 Facebook 主導，整個官網充滿了數字貨幣革命的感覺，愿景極其霸氣：

知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選:1月6日，據霍比特HBTC官方消息，知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選，投票均已超過50萬HBC，其中派盾節點名稱PeckShield；慢霧科技節點名稱SlowMist Zone。

截止至今日18:00，HBTC Chain主網節點投票競選上線10天，成功競選主網節點數量達16個，HBC總投票數量為6457124.38，HBC總投票質押率30.75%，質押價值已近2500萬USDT。

HBTC Chain基于DPoS共識算法，精選優質節點作為HBTC Chain主網區塊驗證者。HBTC Chain將對競選節點進行篩選及管理，意欲參選的項目方及個人可通過HBTC Chain節點競選投票頁面進行申請操作。更多詳情請點擊原文鏈接。[2021/1/6 16:34:50]

建立一套簡單的全球貨幣和金融基礎設施，為數十億人服務。

重新創造貨幣。重塑全球經濟。讓世界各地的人們過上更美好的生活。

Libra 之后，大家也很快看到了我們國家對區塊鏈的大態度：“區塊鏈一定要干！”“加密貨幣不行，要嚴格監管！”無論如何，區塊鏈在我國是真的火了...

慢霧科技啟富：去中心化錢包安全核心在于私鑰、助記詞的存儲及加密:11月6日消息，慢霧科技合伙人啟富在做客《HyperPay焦點》欄目時提及：去中心化錢包的安全涉及到很多方面，最核心的是對私鑰、助記詞的存儲及加密。用戶在選擇錢包時盡量選擇國際知名、一流的錢包，同時注意看錢包App的代碼是否開源、代碼是否經過安全審計、團隊內是否有CSO或安全負責人，這些都可能影響到錢包不斷迭代、升級過程中的安全是否有保障。同時，作為用戶一定要從錢包的官網下載App，避免誤入釣魚網站下載到被植入了后門的錢包App。[2020/11/6 11:51:30]

一個割裂

三個魔盒打開后，這個世界有一個明顯割裂：公鏈與聯盟鏈。

公鏈上的加密貨幣雖然在一些發達國家及第三世界國家已經得到某種程度的認可，比如承認這是“個人財產”，甚至在小范圍內還可以作為合法支付貨幣，但這些都在嚴格的監管法案下進行，尤其特別強調反洗錢。但加密貨幣對于現有世界秩序來說，普遍還是個被非常警惕對待的新事物。

但聯盟鏈不一樣，聯盟鏈是現有世界秩序喜歡的形態，因為可自主也可控，縱觀現有聯盟鏈場景都可以發現一個共同特點“許可模式”。只有被許可的單位才能參與進聯盟鏈，才可以成為聯盟鏈的一個關鍵節點。聯盟鏈對應的場景一定有某種形式存在的“超級監管方”，這個“超級監管方”負責監控及管理這個場景下各方單位的活動博弈，當然這個“超級監管方”也可能被分權為“超級監控方”及“超級管理方”。你看，聯盟鏈是多好的東西。當然聯盟鏈也存在許多魚龍混雜情況，這些就不談了。

聲音 | 慢霧創始人余弦：優秀的公鏈是敬畏黑客 但又不懼黑客的:區塊鏈安全公司慢霧創始人余弦在線上表示，至少有四個理由表明黑客攻擊事件多的公鏈反而更可能快速發展：1、只要不會出現超巨額不可挽救損失，積極的社區治理總能渡過難關，而且可以大大提高公鏈的知名度；2、公鏈如果關注度低或價值低，攻擊者也不一定會感興趣，機會成本的問題，除非攻擊者本身就屬于這條公鏈生態的一部分或可以輕易了解這條公鏈；3、越偏應用層的攻擊會越多，比如 DApp 越多，原則上被攻擊成功的數量也會多，這可能會造成一種假象：這條公鏈似乎很不安全，但真相可能恰恰相反；4、類比早期的 Windows XP，安全問題極多，但卻奠定了個人電腦操作系統生態的霸主地位。與此同時，余弦總結道：持續黑客攻擊導致破產倒閉、低價被收購的血淋淋案例。所以優秀的公鏈是敬畏黑客，但又不懼黑客的。[2019/3/5]

公鏈生態

特別提下公鏈生態，聯盟鏈生態沒什么好提的，讓子彈多飛會再說:-)

既然是公鏈，那就是全世界的公共區塊鏈，野蠻發展是其最大的基因，如何有效監管這是個大話題，這里不談。這里簡單羅列下公鏈世界里我認為有趣的目前是小范圍的一些剛需。

支付需求：具有全球廣泛共識的加密貨幣，如比特幣、門羅幣、以太坊，在某些場景可進行支付與結算，包括運行其上的穩定幣

金融需求：去中心化金融(DeFi) DApp，這個目前在以太坊上已經有不錯的小范圍應用出現，不過主要圍繞抵押借貸，但在向現有世界金融場景努力借鑒并在去中心化場景努力改進

娛樂需求：一些游戲競技類 DApp，比如運行在以太坊、EOS、波場上的，有高質量的，雖然相比現有世界的游戲場景來說，玩家實在太少太少

隱私需求：Web3.0，用戶掌握私鑰即掌握了資產及隱私權力，說白了就是 Web3.0 可以讓人民比較好地“當家作主”，我覺得這是個非常有意義的長遠方向，但推進速度并不會很快

炒幣需求：這個在哪個世界都是這樣“東西不炒，動力就少”，這就是為什么那么多加密貨幣交易所的存在，這也誕生了許多亂象

存儲需求：有不少人和我類似，喜歡的加密貨幣會長期持有著，那就得安全存儲著呀，加密貨幣錢包也就這樣百花齊放了

算力需求：無論是 PoW，還是 PoS/DPoS 等，本質都是擁有“算力”即擁有“出塊權”，也即擁有“鑄幣權”。當然“鑄幣權”不一定要靠“算力”來擁有，比如 USDT/TUSD/USDC/GUSD/PAX 等本質是很中心化的加密貨幣穩定幣，再比如黑客掌握了某類型漏洞也是可以有“鑄幣權”，但是黑客的這種“鑄幣權”不長久，這種漏洞在全球頂級公鏈里也不容易擁有

大概這 7 個點，可能還有一些，先這樣。這些需求的融合與進化讓我對 2020 之后的區塊鏈世界充滿期待。公鏈的進化會誕生真正的隱私、自由與安全的群體；公鏈的進化會解決國家、種族、群體之間的某些信任邊界。嗯，說的有些大，但會是這樣。

說到安全

公鏈世界里的安全是強剛需，可以認為這是一種新型的金融安全方向，所有新秩序都在“摸著石頭過河”，對于安全來說，除了一起跟著“摸著石頭過河”并沒特別清晰的指引。但我覺得這樣才有趣，方向足夠新，空間足夠大，帶著安全隊伍開疆拓土。

安全附屬在生態里，上面提的公鏈生態每個點都有絕對的安全剛需，除了傳統網絡安全攻防，更多的是公鏈本身的安全攻防，我們把這兩部分成為“鏈下安全及鏈上安全”。關于安全在區塊鏈世界的重要性，可以見我之前的一篇文章，這里不做過多講解。

安全是區塊鏈生態里的基礎設施之一，無論公鏈還是聯盟鏈。但從剛需的生意角度來看，安全在公鏈世界里是強剛需，可以誕生足夠強大的區塊鏈安全公司；安全在聯盟鏈世界里是“偽需求”，安全公司在這個世界里和在已有的世界秩序里的存在感差不多，會有，不是沒有市場，但嚴重缺乏想象力。關于聯盟鏈安全再補充一點：聯盟鏈的太多場景，安全是非常滯后的，并未如公鏈的許多場景那樣經歷過足夠的安全對抗考驗。其中一個非常可怕的安全攻防入口是“超級監管方”，這個可以直接決定一條聯盟鏈的生死。

不得不說的一點：在安全這個基礎設施之上構建的安全衍生品才是真正大的市場。這個世界需要安全的支付場景、安全的金融場景、安全的娛樂場景、安全的隱私場景、安全的炒幣場景、安全的存儲場景、安全的算力場景等等。場景里已經不是純粹的安全攻防需求，而是基于安全的衍生品需求。

在這，我們已經將安全分為兩大部分：安全產品及安全衍生品。

安全產品本身就有不少的創造空間，鏈上安全及鏈下安全的一些獨特創造：

鏈上層面可以有自己的漏洞掃描、防火墻、反洗錢等，核心組件一定是在鏈上實現的，比如在智能合約層，在智能合約的用戶層及智能合約的系統層都可以做些工作。

鏈下層面有更大的創造空間，可以有自己的漏洞掃描、威脅分析、事件分析、防火墻、反洗錢等等，核心組件在鏈下實現，通過區塊鏈的幾個入口進行相關安全策略實施，如 RPC、P2P、智能合約虛擬機等。

至于安全衍生品，需求上面有提，這里就不展開談了:-)

談了怎么給區塊鏈世界做安全，那區塊鏈技術的運用能否解決現有世界的某些安全問題呢？

當然可以呀，區塊鏈有個非常核心的能力是解決了信任的問題，前面有提到的 Web3.0，“人民當家作主”，人民掌握了私鑰即掌握了自己的資產與隱私，這個如果應用的好，可以很好解決當前互聯網隱私大爆炸（泄露）的痛點，這些隱私為什么會大爆炸呢，就是因為現有的隱私安全模型在當前的互聯網下比較脆弱。那么可以完美解決嗎？我倒是不這樣認為:-)

私鑰是個神奇的東西，是密碼學光輝的一種體現，基于私鑰是可以有許多有趣的創造，私鑰不僅個人可以使用，也可以多方使用，比如安全多方計算的運用可以解決多方角色需要授權使用資產或隱私的安全問題。雖然這些過程，不需要區塊鏈也行，但結合了區塊鏈也等同于結合了某種信任模型，區塊鏈讓密碼學的光輝應用得到進一大步的發揮。我們的創造著力點一定是在這些可信環節上。

區塊鏈不是萬能藥水或銀彈，但卻是魔法藥水，在多方博弈的場景下可以降低信任成本，降低審計成本。那是不是一定要用區塊鏈技術？這個真不是。那是不是所有公鏈都有價值？必然也不是。看事情看本質，做事情做客觀。敬畏力量，但遠離非黑即白者。

最后

最后我想說：未來虛擬世界是絕對的獨立智慧體（硅基生命），加密世界是絕對的一個大勢，加密貨幣是絕對的一個剛需存在，雖然這個未來還有不少距離，但這個未來是一座燈塔。

區塊鏈安全也追隨這這座燈塔，創造空間無限，市場空間無限。

In Blockchain We Trust;-)

感謝我的關注者與支持者們，感謝我的區塊鏈安全團隊，其中一個是慢霧，另一個是？2020 年，慢慢的，大家就會知道啦。

Tags：區塊鏈聯盟鏈比特幣加密貨幣區塊鏈幣在中國合法嗎超級聯盟鏈幣怎么獲得比特幣新浪美元價格加密貨幣行情分析

DYDX