到底什么是区块链，它到底有什么用？看完你就全懂了
新华金典理财
这几天，区块链的话题被炒得火热。A股、美股、港股，好多区块链概念股一片欣欣向荣。
妈：“小新啊，什么是区块链？”
我：“（惊！）......妈，你从哪里听来的区块链。”
妈：“隔壁你蔡姨说他老公在炒什么币，老是喊着区块链balabala，楼上李大哥也喊着区块链创业balabalabala，区块链能卖钱吗？”
我：“妈，区块链很复杂，我下次再解释......”
妈：“你晚饭想吃开水拌面？”
我：“好吧 Σ(っ °Д °;)っ 我想想怎么说。”
有一个同事问我，咱们现在去炒币晚不晚，我说连你这么外围的人都开始动心思要去投机了，这一局短期看当然是风险很大了，有点像是牛市后期，饭桌上全是聊股票，电梯里全在看行情。
我今天搜了一下“区块链”这个关键词的百度指数，果然我的感觉没有错，最近热度爆炸式增长。
号已经达到了有史以来最高指数108728。
虽然大家都在说区块链，但你真的知道区块链吗？真的了解区块链的用途吗？恐怕大多数人的回答是“不”。
那么让我们看下这几个问题：
· 区块链究竟是什么?
· 工作原理是什么?
· 有什么用途？
区块链是什么?
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法[1] 。
区块链（Blockchain）是比特币的一个重要概念，货币联合清华大学五道口金融学院互联网金融实验室、新浪科技发布的《全球比特币发展研究报告》提到区块链是比特币的底层技术和基础架构[2] 。本质上是一个去中心化的数据库，同时作为比特币的底层技术。区块链是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次比特币网络交易的信息，用于验证其信息的有效性（防伪）和生成下一个区块。
说到区块链，就不得不说比特币。
2008年底，比特币之父中本聪发表了一个关于他研究的电子现金系统的九页白皮书，2009年初，中本聪在位于芬兰赫尔辛基的一个小型服务器上挖出了比特币的第一个区块——创世区块，并将当天泰晤士报头版一则关于救助银行的新闻标题写入创世区块，这也代表着比特币诞生了。
区块链是比特币的底层技术，它可以理解为一种公共记账的机制（技术方案），它并不是一款具体的产品。其基本思想是：通过建立一组互联网上的公共账本，由网络中所有的用户共同在账本上记账与核账，来保证信息的真实性和不可篡改性。而之所以名字叫做“区块”链，顾名思义，是因为区块链存储数据的结构是由网络上一个个“存储区块”组成一根链条，每个区块中包含了一定时间内网络中全部的信息交流数据。随着时间推移，这条链会不断增长。
区块链的原理？
区块链具有去中心化、去信任化、可扩展、匿名化、安全可靠等特点。
去中心化：由于区块链是靠各个节点共同实现系统的维护和保证信息传递的真实性，基于分布式存储数据，而没有某个中心进行集中管理，因此某一个节点受到攻击和篡改不会影响整个网络的健康运作。
这个例子也许可以让你更加清晰的理解“区块链”这一概念，并且抓住“区块链”应该读懂的重点！
在没有微信之前，我们是怎么组饭局的？
所有的人都给一个叫班长的家伙打电话，告诉班长你要参加饭局的信息， 然后班长用个“账本”来记录这些信息，这个叫“中心化账本”。
这个有很多问题，但是在没有微信之前，我们的确大部分时候是这样做的。
但有了微信之后，我们通常用“微信接龙”的方式进行召集和记录。
比如，有个人发了一个帖子召集大家参加饭局，每个人在上一个人的发言后面累加一个序号并加上自己的名字，最后能记录全部的报名人员和人数，如下：
微信组局中的“接龙发帖”，对应在区块链中的概念即“链式数据结构”。
微信组局中的“规则：每个人发帖=上一个帖子内容+下一个编号+自己名字”，对应在区块链中的概念即“共识机制，根据严格规则和公开的协议形成”。
微信组局中的“规则定下来后，大家自发登记”，对应在区块链中的概念即“去中心化，没有任何单一用户能够控制它”。
微信组局中的“在微信群里登记情况”，对应在区块链中的概念即“点对点对等网络”。
微信组局中的“只要联网就能得知最新进展”，对应在区块链中的概念即“博弈机制”。
微信组局中的“为了形成N个人的报名记录，至少要有N个人发N篇帖子，并且群友手机都有存档”，对应在区块链中的概念即“分布式、多点备份、高冗余”。
微信组局中的“每篇帖子大家都能看见，更新的记录是否数字错了，人重复了，每个人都可以检查”，对应在区块链中的概念即“共享账簿”。
微信组局中群里的人大都认识，各有各的名字/代号，在区块链中则“通过非对称加密技术保证陌生人可信”。
区块链都有哪些应用场景？
区块链有三个基本阶段：
区块链1.0阶段，电子货币，包括比特币、瑞波币等等。电子货币阶段可以做最简单的去中心化交易。
区块链2.0时代，也就是我们目前所处在的时代，以区块链为重要标的的阶段，最重要的是智能合约、数字资产还有去中心化的各种商业应用，包括认证、支付等。
区块链3.0阶段，是未来我们希望能够形成的一个完全去中心化的社会网络，如果能够达到这一点，就意味着我们可以以极低的成本形成社会的信任关系，从而使整个社会运行成本大幅下降。
区块链技术一旦走进大众的视野必将带来一种趋势。我们来看看区块链在未来的运用场景吧...
银行金融业：世界经济论坛金融服务行业主管GianCarlo Bruno在该报告声明中说，“区块链技术不再是金融行业的边缘领域，而是会占据核心位置”。该报告估计，全球约有80%的银行将会在明年启动分布式账本项目。
巴克莱银行和以色列一家初创公司日前共同完成了全球首个基于区块链技术的贸易交易。通过区块链技术，传统需要耗时7至10日的交易处理流程被大幅缩短至仅不足4个小时。
在可预见的未来，世界各大银行会在区块链基础上发行加密货币，股权市场会通过区块链加强股权管理，货币、债券、股票的清算也会通过区块链解决方案进行。
商业积分：积分是一种商家为了吸引用户二次消费的营销手段，当前的积分体系下，每个商户都是独立的，商户之间的积分体系也是孤立的，对拥有积分的用户来说，所在商户提供的商品没有兑换欲望，用户积分消费的观念很难形成，积分几乎是没有价值的；对商户来说积分无法带来二次消费，且还需要费时费力建立积分发行与兑换体系，花费巨大却达不到营销的效果。
一家叫摩令技术的公司正在利用其区块链为基础的技术为银联商务提供的积分平台，可以实现“通换、通兑”，帮助用户自由兑换积分合理消费的同时，刺激用户的积分消费欲望，挖掘积分背后所隐藏的经济效益。
投票系统：很多商业机构正在积极的打造区块链投票系统，全球证券交易巨头纳斯达克于今年2月宣布，它正在开发一种基于区块链技术的股东电子投票系统。
纳斯达克首席执行官鲍勃·格雷菲尔德（Bob Greifeld）宣布“我们打算将代理投票放置在区块链上，在这种不可更变的总账系统上，人们可以用自己的手机进行投票，并永远记录于区块链之上。”想象一下，如果今年美国大选运用了区块链技术系统，美国人可能就不太会担心选举舞弊而选择人工重新计票。
能源系统：美国的能源公司 LO3 Energy 与比特币开发公司 Consensus Systems 合作，在纽约布鲁克林Gowanus 和 Park Slope 街区为少数住户建立了一个基于区块链系统的可交互电网平台 TransActiveGrid。
平台上每一个绿色能源的生产者和消费者可以在平台上不依赖于第三方自由的进行绿色能源直接交易。包括碳排放的交易也可以在全世界的网络上进行。
打车服务：uber的出现改变了我们出行方式，但在欧洲很多国家uber是非法的，他们认为uber的出现破坏了出租车的市场规则。
有家创业公司在利用区块链做真正的去中心化拼车，做法就是发明了一种币，司机只要把自己的资源贡献出来就可以获得这一种币，其实就像挖矿一样的。实际上就是这些出租车司机拥有这个公司的股份。理性的解决了uber在欧洲市场面临的问题。
随着区块链技术的日趋成熟，未来的网络安全、银行业、支付转账、选举、股票交易、司法公证等都会用到区块链技术。
当然，区块链的技术发展不会一蹴而就，这些应用场景的真正使用也需要其他各种条件的跟进，包括法律、模式、运营、使用习惯教育等等。
整理：新华金典理财APP
编辑：小新
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点为什么说“区块链”也不是什么好东西
文 / 俞见（ID：gh_f9）
导语：用技术提高的效率来弥补组织架构的低效，这是去中心化的实质。有人说，区块链是一场去中心化的革命。如今，在大众创业浪潮下，被掀起的区块链风口已不得不引起重视。无论如何，to be or not to be, it is a question.
区块链，与其说是一种技术，不如说是一个思维方式。
从技术层面看，区块链和之前存在的IT技术之间没有显著的技术壁垒，并无革新性的进步。但从思维方式看，区块链的核心理念“去中心化”——即通过全体用户的共识消除中间环节，实现用户之间直接的信息、价值交换——这想法自农耕社会结束以来已经多年未见了，算是有点复古的新意。
很多人会跳出来说：这正是区块链革命性的所在，它能让并不互信的用户之间，基于区块链的“真实性、不可篡改性”达成共识，做到“去信用化”。换言之，只要隔着区块链，对面的坏人就无法作恶。
若论混淆概念扰乱视听，区块链的炒作是我见过最明目张胆的。
但凡骗术，必不能让人一眼看透。放在古代，装神弄鬼展示异象乃是“大师们”惯用的手法；时至今日，骗子们转而用“高科技”粉饰套路。
几天前有人向我安利一个二手车项目ICO，号称能通过区块链的“机器信用”，让买卖双方直接匹配供求，确保信息透明，交易公平，消除中间商差价。听完天花乱坠的忽悠，我问道：“即便区块链能确保链上信息不被篡改，那谁来保证卖家上传的车况信息一开始就是真实的？”说的再直白一些，用虚拟币买到的实体商品，就一定不会是假货次货吗？
来者无言以对。
然而，就是这样侮辱智商的项目，竟然已经有投资人出钱抢份额了。不由感叹，ICO真是一块试金石。
拨开区块链看似深奥的“高科技”面纱，究其背后的逻辑，充其量只是个保证信息安全的加密共享系统，可惜的是，信息安全和共享机制从来都不是信用管理的关注点。
就以二手车行业为例，交易中最大的信用问题是卖方以次充好，而买家没有足够的专业知识来判断卖方是否作假，这就是所谓的信息不对称性。于是人们就需要专业的、具有一定公信力的第三方来认证车况、评估价格。如果没有这些专业人士会怎样？经济学里有个著名模型叫柠檬车，简而言之就是：如果信息不对称性无法消除，那么市面上成交的大多数二手车都将是以次充好的劣质车，真正的优质车是无法以公允价格卖出的。
敢问，一心踢开第三方的区块链应用在这个交易场景中有任何用武之地吗？
答案当然是，没有。
区块链的拥趸们会说：如果一辆车从出厂起，所有事故、里程、保养信息全部真实地共享在区块链上，那就能有效控制信用风险。
这看似很美好，但实际上完全无厘头。
打个比方，A修理厂会如实共享修理报告，而B厂会帮忙粉饰报告，抑或根本不共享，那么有心以次充好的二手车卖家，会把泡过水的汽车拉到哪家去修呢？
说得更专业些，实体经济信用管理流程中难度最大的一环无非就是对原始数据真实性、准确性和完备性的验证（这个工作在金融业内被称为“尽职调查”），这是信用管理产生价值的源泉，要是这个难关被攻克了，普通互联网技术就完全可以胜任数据传输、储存、加密和共享的功能，并非区块链不可。
从另一个角度看，如果一个主体花费心血完成了尽职调查，他完全可以凭借信息不对称性进行套利。这个简单的道理是金融业和其他一切中介业务获得收益的理论依据，而中介机构的专业性和高效性是支持其社会存在的现实依据。
区块链理念无视这些基本的经济逻辑，试图通过用户直接交易（P2P）的方式驱除中间人，这极大地增加了交易节点，降低了交易的专业性，注定只能是个乌托邦式的空想。
综上，仅凭区块链技术不可能满足实体经济对信用风险管理的要求，所谓的“去信用化”只是一个纯粹的忽悠。
那么，仅仅放在虚拟世界里，区块链就是一个好技术了吗？
可惜，答案也是否定的。
大家都知道，比特币是区块链技术目前最成功的应用，活跃用户数约500万人。每一笔比特币交易都需要全网所有用户认证通过才会记账成立，每个用户都分布式储存了不可修改的公共账本。
用通俗易懂的方式来解释这个过程：蛋疼村有一条村规，不论是张三买了酱油还是李四打牌输了钱，只要是有交易发生，一定要全村人一起记上账才算完。这看似是一个很有公信力的规矩，但实际操作起来却非常脑残。我跟张三根本就不认识，凭啥他买东西还要我跟着一起记账？
有人会说，比特币公共账本都是电脑自动操作的，和一村人记账的麻烦程度没有可比性。确实，电脑不用睡觉吃饭，24小时随时响应，不需要手动操作，方便的很——但是，电脑它费电啊。
2017年，全球比特币交易笔数约3000万笔，为了认证这3000万笔交易量用了多少电呢？外媒Digiconomist公布了一个天文数字——300亿度电，占全球耗电量的0.13%，超过数十个国家的全国年用电量。
那大家知道日这一天时间里支付宝完成了多少笔交易吗？——全球14.8亿笔。这是比特币全年交易笔数的约50倍，那支付宝服务器用了多少电呢？不值一提，所以无人统计。
任何经济活动都要讲效益和成本的问题。比特币作为电子货币能提供的效益是：隐私性、安全性（？）、逃脱监管。为了这几个“好处”，全人类在2017年花费了300亿度电。这个数字还在迅速增长，根据2018年前两个月的统计，今年比特币和其他各类虚拟币的挖矿电费将轻松突破全球用电量的千分之三。
区区五百万活跃用户的比特币，为了完成3000万单交易，居然用了这么多电。那如果有一天比特币有了5亿用户，要完成30亿单交易，需要多少电呢？
依愚见，大家不必惊慌，因为这一天是不会到来的。
区块链机制下，每一笔比特币交易都会被放进交易池中，当这些交易（理论上单笔255个字节，实际应用中大概500-800字节）凑满1M容量时，会被封包出块，由全网用户去认证并记录。目前的经验数据是平均每10分钟系统就会出一个块，内含大约2000笔交易。言下之意，目前比特币系统每秒只能处理大约3-4笔交易。
就算有朝一日比特币10秒钟就能出一个块，那这个系统的全年交易处理能力也就和现在支付宝的日处理能力相当。这个系统需要多少电呢？大概是全球五分之一的电能吧。
摩尔定律的信徒会跳出来说，技术进步终有一天能让这成为现实。
或许吧，不过有好好的阳关道不走，为啥要去走这崎岖的山路呢？抛开所有纷扰的技术噱头，区块链的公共账本和传统中心账本相比，有一条鸿沟是在逻辑上无法逾越的——公共账本的交易处理节点永远是中心账本的乘数倍。
假设有1亿笔交易需要处理，普通中心账本视其备份验证和加密机制不同，可能会记账2亿次，抑或10亿次。而在一个5亿用户的区块链系统中，这些交易需要被记账00000次。
海量冗余的处理量，一定代表着低效和浪费。
多么有趣，IT界的去中心化和社会领域的自由民主化，效果竟然是可类比的。
区块链教徒对此当然是不承认的。他们认为公共账本有中心账本不能比拟的优点。比方说，如果微信和支付宝系统崩溃了，连备份也都丢失了（不可能事件），我们的虚拟财产数据将无处可寻。但如果用了区块链技术，只要有任何一个用户保存了完整的公共账本，那全网所有用户的财产就都不会丢失。
这看上去也是一个很强大的优点，当然事实并没有这么美好。
以比特币为例，目前完整的比特币公共账本大小已经超过150GB，并以每年数十G的速度快速递增——只是为了支持500万用户每年3000万笔交易。如果通过技术革新，真的达到了前述10秒出一块的处理容量，那每年比特币账本的大小将增加超过2T，也就是正常2个移动硬盘的大小——虽然这仅相当于支付宝双11一天的交易量。
其蛋疼之处是显而易见的：为什么我连张三是谁都不知道，我的电脑里却要储存他买酱油的信息？
为了解决这个问题，比特币系统现在允许大家存储不完整的公共账本。但我们试想，当公共账本大到所有人都无力完整存储的时候，你又如何在前述的系统崩溃时刻找回完整的账本呢？
大家也应该注意到了，基于全网共识的认证机制，区块链技术的处理能力是极其低下的，完全不能满足大规模应用。且不论架构设计非常原始的比特币，即便是公认更先进的以太坊，每秒也只能处理几十笔交易，以至于因为一个小小的虚拟养猫游戏Cryptokitty，造成了严重堵塞。
为了扩容，以太坊启动了雷电网络项目（Raiden Network），可以将交易容量提高到每秒几十万笔。但是极具讽刺意味的是，雷电网络的核心是一个中心账本——一个旨在“去中心化”的技术，最终需要靠中心账本来实现其大规模应用。
如果一个东西身上悖论太多，那这东西多半有妖。
有粗浅经济学常识的人都知道，在以物易物的时代，交易是在个体间直接发生的（现在时髦的叫法就是P2P），交易节点随着用户数几何增长，效率非常低下。为了满足大规模的经济活动，于是就有了中间媒介——物化的媒介是货币，人格化的媒介是商人——其最终目的是减少交易节点，提高社会总效率。
所以从理念上讲，要求全网共识的P2P机制，和大规模商业应用是背道而驰的。
那如果把区块链应用规模缩小，把用户数限制在几百或几千人（比如单位内网），情况会不会好转呢？答案是肯定的。
但是，这就带来了另一个问题——51%算力攻击。做个形象的比喻：如果蛋疼村里超过51%的人是坏蛋，合伙做伪证，声称张三欠李四10000块钱，那么即使张三并不欠钱，也得被迫给李四10000块。
51%算力攻击在用户极多的时候是很难发起的，但是在小范围，尤其是特定应用场景下，这就是传染一个木马的小case。毕竟，攻破1000台普通个人电脑，比起攻破一个重重防守的中央服务器，实在是容易太多了。
说白了，在小规模应用场景下，区块链引以为傲的信息安全性是不成立的。
这便是区块链高不成低不就的悖论——你没法把它做大，也不能让它太小。所谓鸡肋，无过于此。
回想当年的郁金香，芬芳迷人，赏心悦目，看似非常美好；众人趋之若鹜，一株难求，造富奇迹不胜枚举。
但是出来混，迟早是要还的。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点周鸿祎：至今不觉得懂区块链 比较懂的就是安全_网易财经
周鸿祎：至今不觉得懂区块链 比较懂的就是安全
用微信扫码二维码
分享至好友和朋友圈
（原标题：周鸿祎：至今不觉得懂区块链，比较懂的就是安全）
摘要： “我至今也不觉得自己懂，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。”5月29日，EOS被360安全团队爆出存在“价值百亿美元的安全漏洞”，360进军区块链是蓄谋已久了吗？蓝港互动创始人、火星财经发起人王峰向360公司董事长周鸿祎发起对话。在对话中回应说，这些漏洞EOS官方是确认真实有效的，周鸿祎称自己是从年前开始学习区块链，在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。最近发现很多区块链系统、交易所系统、钱包系统存在问题。周鸿祎表示，区块链技术很火，但安全问题还没有被大家重视起来，他认为真正的安全问题其实还没出来，“在行业里，有两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改，还有一种是知道了不爆出来，最后被人利用，这两个才是最可怕的。”关于360在方面的布局，周鸿祎称主要会在钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案三个方向。“搞安全是一件需要耐得住寂寞，需要长久投入努力的事情。”周鸿祎说希望360能充当“守护者”，为区块链应用保驾护航。以下是二人对话的主要内容：王峰：在今年春节之后，3点钟微信群火爆区块链期间，你也从未轻易表达过对区块链的看法，可是昨天，通过爆料EOS严重安全漏洞之际，360闪电出击，在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？看起来你是蓄谋已久啊，后面还有大招？周鸿祎：其实也没有谋多久，从年前开始，我自己也在努力学习区块链的东西。我在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。但在安全上我们是专家，所以在17年年底18年年初，实际上我们就已经在关注区块链安全，开始研究区块链技术和相关的安全问题。在这个过程中，我们和业内很多项目也都有过接触沟通和交流的，我们的心态还是比较开放的，我们也希望大家都能够关注安全问题，所以当大家主动来找我们，希望在区块链安全方面有些深入沟通交流，我们也非常愿意为区块链行业提供更安全的解决方案。后面我们肯定还是会继续深入研究区块链安全问题，也会继续保持开放心态，欢迎大家来交流合作。尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来bug和漏洞，bug和漏洞被人利用，就会带来风险，就会有安全问题。区块链技术也一样，现在比较火热，我们现在关注的也比较多，我们最近发现很多区块链系统、交易所系统、钱包系统存在问题。之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题，最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。没有大家想象的什么蓄谋已久，也没有什么大招，我们的大招就是踏踏实实帮助区块链行业排除风险 。我至今也不觉得自己懂区块链，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全，所以我们希望和大家一起交流，让区块链行业更安全。至于很多人和我们合作，说明大家开始重视安全，是个好事。我们也很开放，我们没有任何立场，对所有的玩家来说，我们都愿意帮助他保护用户的安全。我们希望把区块链行业的安全生态发展起来。王峰：你如何看待昨天披露安全漏洞的严重程度？为什么称这个漏洞价值百亿美元？为什么360安全卫士在微博上将之称为“史诗级”漏洞？周鸿祎：我们没有立场，是中立，我们提出任何一个系统的漏洞，都是为了帮助这个系统改善安全性，保证它的安全，不是为了打击它。区块链这个行业里，大家其实是在一条船上，作为新生事物，某一家不安全会让大家对整个行业产生质疑、失去信心，对行业是不利的。所以我们反对大家利用安全问题做文章，把安全问题变成竞争的工具。我先来解释下这个漏洞被人利用可以用来干什么。如果漏洞被人利用，可以控制EOS网络里面的每一个节点每一个服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。拿到服务器权限，就可以为所欲为了。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。再说“史诗级”，EOS在区块链发展史上的重要性大家肯定知道，如果说，这个漏洞我们没有提出来，EOS没有修复，等到EOS主网上线了，被恶意的发现并利用了，那时候EOS会不会一夜之间就被搞掉了，我们都不好说。EOS现在的估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张。另外就是这个其实是我们安全圈内部的说法，是半个舶来语。“史诗级”是从“Epic”翻译过来的，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。当然我从公关的角度来看，史诗级这个词大家理解不一样，太文艺青年了，所以说成百亿美金的漏洞，大家会不会觉得更接地气一点。因为很多标题党 “吓尿了、吓哭了 、吓软了、崩溃了”都被滥用了 ，所以用了个“史诗级 ”，其实说百亿美金级别最好了。王峰：今天凌晨，EOS创始人BM的回应，暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？周鸿祎：没问题，慢慢来，让子弹先飞一会，你说的消息其实已经不是最新的，最新的慢慢说。对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步骤就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。BM的回应有点让人混乱，看起来以为是我们报告前他们已经修复了，其实是我们遵循了负责任的行业标准流程，报告-&修复-&公开。非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞 ，希望他们先修复 这都是有聊天记录截屏的，等到EOS修复了，我们再对外发布这个漏洞公告。今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢。这也是安全圈的行业通行做法，对方不修复，我们不会公告。这事我们一直在和BM单独沟通，他在Telegram上的留言截图是昨天晚上的，比较断章取义。实际上那个留言之后，他很快回复说，漏洞是真实存在有效的，但是就被截了一点儿。至于制造恐慌，如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多。我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。在这整个过程中，360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。我们作为国内最大的一家安全厂商，在全球也是排名前三的安全厂商，我们希望和全球同行和科技公司一起，解决网络安全问题，降低网络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞，让大家提供安全放心的产品给用户，是我们共同的责任。区块链作为新兴的技术方向，我们参与进来，无论是这次披露EOS漏洞，还是之前和其他区块链机构的沟通，都是希望和大家一起共同构建安全放心的区块链产品和服务。王峰：以360安全技术团队评估，EOS Dawn 4.0的公网版本是否有可能推迟发布？周鸿祎：我认为应该延迟上线的，我们的安全团队还在发现一些EOS的漏洞，我们也会第一时间及时的提交给他们，我们建议修复之后再上线。王峰：此次发布EOS漏洞事件，让Vulcan（伏尔甘）团队一战成名，可是此前行业内很少有关于他们的消息，大家对他们依旧很陌生，能否向我们具体介绍下他们？坊间说，你们和EOS很快有合作要公布，你方便在这里透露吗？周鸿祎：你们说的行业内，肯定不是安全圈子里面。360 Vulcan团队在安全圈子里，大家应该多多少少都知道。Vulcan最早是我们360安全卫士的攻防研究团队，有一年他们要参加Pwn2Own，这是个比较厉害的世界黑客大赛，要参加这种大赛，所以他们组了一个小组，就是Vulcan团队。他们在攻防研究、挖掘厂商漏洞和帮助厂商修复漏洞上实力很强的。上面那张照片，应该是他们2015年组队去参加Pwn2Own 2015获奖的，当时用了17秒攻破了微软的IE11，是历史上首支成功攻破IE的亚洲团队。Pwn2own 黑客大赛上，Vulcan团队连续多年斩获了十几项冠军，在Pwn2own 2017上更是拿到了世界总冠军。所以圈子内部，对他们是绝对不陌生的。Vulcan参加Pwn2Own2017，拿下“Master of Pwn”（世界破解大师）总冠军时的合影。跟BM团队联系是我们安全团队直接联系沟通的，最早应该就是28号的时候。我们和EOS方面目前没有直接合作的，区块链安全是我们一直关注的问题，此外360也是互联网科技企业，像EOS这些主要的公链，我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴，就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。王峰：让我们直面一下阴谋论，虽然我不相信，但坊间有传闻，360联合某些组织在做空EOS。抱歉我不得不问这个问题，因为在国内有很多EOS超级节点的参与者，他们中有很多人是EOS的狂热支持者，昨天360曝光安全漏洞，引发了各种猜测和起哄，有群友要求提出这个问题。周鸿祎：大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。假如我真想恶意做空的话，完全可以捂着，等EOS主网上线，直接爆出来。我们现在的做法是什么？是安全行业标准的漏洞通报机制，先和EOS团队联系，提交漏洞详情，然后等他们修复完成了，我们才对外公布，这是非常负责任的做法。我们是希望EOS乃至整个区块链行业发展的更好。王峰：你认为区块链企业自身应该采取哪些措施，加强区块链的安全性？周鸿祎：区块链领域里面，我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞，我们希望是让大家能够重视区块链安全问题。在网络安全行业里，有两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改，还有一种是知道了不爆出来，最后被人利用，这两个才是最可怕的。我最近还在提一个概念，叫“大安全”，简单说，就是网络安全的影响已经从最初简单的信息安全，演变到现在，从线上到线下，都会受到网络攻击的威胁，并且新威胁越来越多。区块链作为这两年新火起来的技术，它遇到的安全威胁，我也把它归到新威胁里面。这种情况下，光靠某个企业，比如区块链行业里，你某个项目自身，安全防护能力肯定是有限的，反过来光靠360这样一家安全公司也不行，所以应该是整个安全行业需要得到发展。所以，区块链行业，要能够与网络安全行业，做到协同开放，大家一起来做这个事情。你上一个区块链项目，区块链本身，王峰你肯定比我懂得多，但是安全问题上，肯定我的人更专业，那如果我们来给你们做一下安全检测，是不是安全风险就会降低很多？我们一定要记住，有这么一句话，叫“没有攻不破的网络”，只有没被发现的漏洞，或者被发现没公开的，不存在没有漏洞的网络。所以，我们希望无论是区块链行业，还是其他行业，要能够正视网络安全问题的重要性。做法上除了我刚刚说的利用网络安全行业的外部公司力量，你还可以做一些漏洞奖励计划，让整个安全社区都来帮助你解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题，他们都有自己的漏洞奖励计划，对提交漏洞的团队给予奖励。王峰：如果360进入区块链行业，360的机会在哪里？你如何评价目前区块链行业数字货币交易所处于中心地位的状况？周鸿祎：我们现在看区块链，涉足区块链，肯定还是围绕安全。安全问题不是说这次我们披露了，大家热闹一天就完了。我希望大家记住，EOS这个漏洞，不是最后一个，也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题，之前传统互联网领域里面遇到的安全问题，区块链行业里面一定也会遇到。这就是我们在其中的机会，当然我们也有自信和实力在其中担起责任，保护区块链行业健康稳定安全发展。王峰：能否介绍下360在区块链安全方面的布局和方案，比如：交易所安全怎么做？矿池安全怎么做？智能合约安全方面又怎么做？周鸿祎：过去这段时间，360在区块链方向上，我们的安全团队还是很用心的研究了很多，也拿了一些方案。我们未来会基于区块链安全生态推出三个系统，主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。第一个，数字货币钱包安全审计系统，这里面会详细地列一些审计的要点，阐述如何做一款比较安全的数字钱包，从而保障用户的财产安全。第二个是区块链安全态势感知系统，这个系统是基于360安全大脑的，可以自动对异常区块、异常交易、异常地址和智能合约进行监控，不仅可以将交易风险降到最低，而且还可对非法数字货币进行溯源。最后一个是区块链节点安全解决方案，目前主要会针对EOS。王峰：未来几年，区块链行业会出现一家像PC互联网时代的360这样有影响力的安全企业吗？在区块链时代，360安全产品是否能否全面开源？周鸿祎：区块链行业里会不会出现一个360，我觉得应该不会出现这种情况，区块链方面的问题的解决会是产业化的，360肯定会是其中的主力，但不会像PC时代那样一枝独秀，会有很多从事安全的企业和个人一起来保障区块链的安全。王峰：360定义的安全业务的边界有多大？360定义的安全业务的边界有多大？AI/IOT/区块链？周鸿祎：我们关注人工智能或者区块链，其实不管是AI和区块链的安全，都有一个共同点，就是无论是AI的算法，还是区块链的算法，都是要写代码实现的，而代码是人写的，肯定会有漏洞的。我之前看到过一个数据，开源软件中，每千行平均就有6-8个安全漏洞。所以对于新生事物，不管是新兴技术还是什么，看到美好一面的同时，作为搞安全的，我会不自觉的看到他们潜在的安全风险。搞安全的人更像是一个“看门人”，时刻都要保持一颗怀疑之心、守护之心。关于边界这个事情，我们现在在进入一个大安全时代，为云计算、大数据、人工智能还有物联网这些新技术的发展，网络安全已然不是最初的信息安全，而是从个人的信息安全、金融安全、家庭安全、出行安全，到企业安全，再到社会的公共安全，再到国家的信息基础设施安全、政治安全、军事安全……所以我觉得不能把安全业务的边界框死了，网络安全行业，有越来越多的安全问题会出现，这对于360来说，是我们面临的挑战，但也是我们的机遇。作为一个创业者的角度看，或者从企业运营者的角度看，企业也不应该是框死在一个事情上的，我们核心是安全基因，基于此，我们的边界是一个有限的无限边界。王峰：在移动互联网时代，今日头条、小米科技、美团点评等等迅速崛起，与PC互联网时代占尽先发优势不同，360优势并不明显，这会不会让你感觉到失落？我们都知道你是一个不服输的人，这会不会是360有一天大举进军区块链很大的动力？周鸿祎：其实做安全这个行业，说刺激也很刺激，你看不管是去年5月的勒索病毒，还是昨天的EOS漏洞，一下子就让全行业都关注到你了。但与此同时，实际上，搞安全是一件需要耐得住寂寞，需要长久投入努力的事情。比如上面我说Vulcan他们参加黑客大赛11秒攻破IE11，但在那之前，他们扒代码的时间你是想象不到的。然后，不参加比赛了，虽然帮助微软帮助谷歌帮助苹果修复了很多漏洞，你们都不知道，我们更像是一群守护者，站在大家身后的人。PC时代那时候，病毒木马横行，我们顺应潮流用360安全卫士、360杀毒帮大家解决了安全问题，可能获得的关注比较多。但在移动互联网时代，实际上我们也做了很多事情，你们可以看看去年谷歌致谢榜单里面，我们在安卓上，帮助谷歌修复两百多个漏洞，全球第一，是第二名的三倍。除了这类工作，我们还和公安合作，比如推出猎网平台，打击电信电话网络诈骗。这些事情，可能不会像当年一样刺激，但我觉得我们是做了非常有价值的一些事情，从内心来说，我们还是比较骄傲的。
这些年，我们在原创核心技术上积累也是非常多的，比如上面说的安全大脑，其实是我们多年技术积累的结晶。360安全大脑的网络安全空间大数据，现在是全球规模最大的。也因为有这些大数据和数据中心，360安全大脑的态势感知、智能查杀、攻防与溯源，包括应急响应上，现在在全球都非常具备竞争力。我不服输，但不是说非要进军区块链什么的，而是说，在大安全这个新时代里面，希望能够继续发挥360安全守护者这个作用。区块链应用以后有可能深入生活、生产的多个方面，360作为国内最大的安全公司，当然希望充当一个“守护者”的角色，为区块链应用保驾护航。
本文来源：钛媒体
责任编辑：初硕涵_NBJS6319
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈