区块链应用：监管和安全不容忽视
区块链应用：监管和安全不容忽视
来源： 经济参考报
核心提示今年以来“区块链”概念在全球变得日益火热，但迄今为止仍很难看到某项区块链技术在大众日常生活中获得高频应用和万众追捧。
　　今年以来“区块链”概念在全球变得日益火热，但迄今为止仍很难看到某项区块链技术在大众日常生活中获得高频应用和万众追捧。对众多网民来说，区块链依然“像雾像雨又像风”，看不透、摸不着，听着很热，用得很少。
　　其实，区块链技术在C端日常应用中大有可为。比如说，在微信和支付宝间转账、发红包等，这样的使用场景在现有支付体系下很难实现。不过，据业内人士透露，借助于区块链技术，上述应用场景完全可以成为现实。
　　如何让区块链技术在大众生活中更好地应用落地已成为当前业界努力探索的一大焦点。专家表示，区块链未来将和每个人的生活息息相关，区块链技术融入大众生活将是必然趋势。但值得注意的是，当前区块链仍处于“野蛮生长”的早期阶段，应用场景仍待探索，同时要符合监管和法律的要求，而网络安全同样不容忽视。
　　市场仍待“杀手级应用”激活
　　眼下区块链概念横飞，但对许多人来说仍不明就里，因为行业仍处发展早期，落地的应用十分有限，还没有像一些成熟的互联网、移动互联网应用那样广为人知、不可或缺。
　　区块链在日常生活场景中的应用也在悄然进行，一些项目已在不断探索和实践。近日，在上海举行的“2018CESASIA·上海——暨区块链DemoDay·ACES专场”活动上，德鼎创新基金管理合伙人李忠强透露，德鼎创新基金早在2015年即投资了一个位于巴塞罗那的区块链应用项目，该项目将区块链技术用于移动支付。“实际上我们投资了不少类似的将区块链技术融入日常生活场景的项目，和应用场景结合都比较密切，数量也很多。”李忠强说。
　　志顶科技Tokenpos创始人王玮也在从事区块链支付领域的相关业务。在他看来，区块链行业依然是一个早期行业，应该更多关注发展前景。比如目前CDR独角兽回归，需要多方自主设计才能实现。将来在区块链上，用户通过手机简单操作即可实现。“未来，区块链对每个人都会造成影响，尤其是金融、财产等方面。”
　　在早前的“链·接未来——央广TMT沙龙”上，工信部信息中心工业经济研究所所长于佳宁就曾表示，区块链的核心在于解决协作信息化的问题。“用一个双方共同认可且不可篡改的机制来解决协作和对账的问题，解决一个在新型环境下信息化的问题，这是一个最核心的场景，数据资源共享等都是在这个场景下衍生下来的。”他认为，区块链对实体经济的效果比较明显，主要体现在降低成本、提升效率、优化协同环境和引导资金脱虚入实几个方面。
　　在实体经济领域，区块链产业的快速发展正带来广阔的想象空间。工信部信息中心发布的《2018年中国区块链产业发展白皮书》显示，截止到2018年3月底，我国以区块链业务为主营业务的公司数量达到456家，覆盖上游的硬件制造、平台服务、安全服务和下游的产业技术应用服务，以及保障产业发展的行业投融资、媒体、人才服务等各个领域。未来三年，区块链将在实体经济中广泛落地，成为数字中国建设的重要支撑。
　　而在一些垂直领域，区块链也有着不可估量的应用前景，例如征信领域。中诚信征信副总裁兼CTO姚明表示：“区块链可以实现数据自治、隐私保护、评估透明、交易透明，还可以做资产溯源，资产数字化等等。”中诚信征信已经在整个区块链应用方面进行了一些探索，包括在黑名单共享、资产证券化和信用信息的管理上。姚明认为，要实现信任从量变到质变，还需要中介服务的透明化。区块链的出现，有望解决这一问题。
　　分布式资本合伙人姚镜仪认为，区块链技术带给人们生活的改变，不像其他技术那样直观，“区块链最大的价值，就是对传统行业业态的重塑。虽然目前技术层面的瓶颈仍在制约着区块链的应用和成长，但区块链能带给人们商业形态和思维方式的巨大变革”。
　　目前，区块链的潜力正在获得越来越多的认同。在金融、制造、零售、互联网等行业，已经出现了很多区块链的应用案例。国际数据公司（IDC）近日发布报告预计，这一趋势将在未来三年延续，到2021年，中国区块链市场规模将突破10亿美元。但同时，目前大部分区块链应用尚处于尝试阶段，交易低效、场景非刚需、商业模式单一等问题普遍存在。预计未来三到五年内区块链“杀手级应用”很难出现，技术平台、开发服务将是支撑区块链市场增长的主要模式。
　　产业成长需要“容错”
　　区块链应用正加速落地。创业邦发布的《2018年区块链发展报告》显示，区块链应用将率先在金融领域落地。随着区块链技术的成熟、应用普及和社会认知度的提高，区块链将逐渐向社会征信、医疗、教育、物流、文化娱乐等多领域渗透。
　　作为一项崭新技术，区块链应用也面临诸多挑战和难题。据王玮介绍，股票采用区块链技术很早之前就已经有尝试，比如纳斯达克。具体到CDR这种模型是不是通过区块链来实现，可以确定的是技术已经得到实现，而主要取决于各国监管机构、交易所和证券公司对这件事情的认可。
　　增强区块链行业监管已是共识和趋势。央行数字货币研究所所长姚前曾指出，面对不断演进的区块链技术，需要同步考虑相应的法律法规和技术标准，以加强监管，防范风险。在近日举行的“第十届陆家嘴论坛”上，国家金融与发展实验室理事长李扬指出，“像区块链这种东西，不能让它走歪了，不能让它仅仅去造币，然后去造百万富翁，而要用它来改造我们的基础设施，改造我们的认证系统、信任系统、产权识别系统，改造我们金融交易的成本。”
　　“区块链社交本质是全世界的人都可以联系和交流，社交平台变成最大的社区和流量入口，未来还会作为数字资产的流通工具。”李忠强认为，监管最大难点是区块链的社交和通信。
　　“智能合约和token是区块链的灵魂。”姚镜仪表示，她坚信智能合约的未来，但现在也看到智能合约出现了很多问题和事件。分布式资本的投资策略就是“容错”。如果没有足够的容错性，区块链生态中就无法生长出足够的多样性。
　　安全监管“箭在弦上”
　　区块链应用尚处探索期，频频上演的网络安全事件则进一步凸显出行业的短板和不足。近日360宣称发现区块链“史诗级漏洞”，为新生区块链行业上了一堂深刻的安全课。
　　针对当前智能合约出现很多安全漏洞现象，李忠强表示，在公有链飞速发展时，安全问题往往来不及考虑，现在有团队把公有链做出来以后才去考虑安全问题。正是为增强安全防范，德鼎创新基金也投入了一个团队，专门做一些底层的安全研究。
　　而在王玮看来，安全在区块链领域可以分为三个层次：第一个层次是智能合约本身有漏洞，这是一种全新的安全问题；第二个层次是交易所和应用平台，他们自身有安全漏洞，可能导致黑客攻击以及资产流失；第三个层次比较特殊，因为区块链目前还是一种密钥体系来管理资产，如果个人泄露或丢失了密钥也会导致资产的流失。
　　在上述三类安全问题中，后两类安全问题可以通过传统方式去解决，但不代表他们不重要。而第一类是区块链体系和智能合约带来的安全问题，凡是程序一定会有BUG，区块链底层也有BUG，这方面的漏洞最难解决。
　　“安全问题的主要矛盾是区块链天然带有资产属性。”王玮称，互联网刚诞生时，并没有数字资产或电商，安全漏洞显得不那么尖锐，这些年矛盾变得更加尖锐。区块链也是类似情形，伴随区块链发展，攻防漏洞会一直存在，不会产生一劳永逸的解决方案。
　　“安全问题会成为一个长期的博弈。”姚镜仪同样表示，大家要做的就是在生态布局时，尽量多考虑到安全因素。分布式资本目前也投资了三四家安全服务类企业，“我们希望尽量涉足安全行业，让更多人才进入我们的生态，做好长期斗争准备。”
责任编辑：陈爱
后参与评论
暂无相关推荐22 条评论分享收藏感谢收起赞同 2添加评论分享收藏感谢收起写回答后使用快捷导航没有帐号？
& 查看内容
区块链安全保卫战打响！如何保护好自己的币？
文|靠谱的阿星上市之后的360似低调了一些，直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐，安全产品负责人孙晓骏在媒体沟通会上说过，“这回黑客有点‘人性化’，还手把手教你怎么用支付勒索费用。”无巧不从书的。比特币至去年5月份之后开始一路飙升，在5月30日EOS对比特币的价格走势是略跌0.37%（更多人相信安全漏洞发现等于提前“排雷”）。周鸿祎虽公开称自己不懂，其实他懂不懂不要紧，底下的人懂就行了，他坚信“代码是人写的，肯定会有漏洞的。”在区块链的数字世界中，漏洞同样也会无所不在。区块链风口刮来的重要因素是，区块链的确比一般互联网在理念和架构上更加注重“安全”，“分布式机制”保证了数据流的完整一致、不可篡改的特点。举个例子更容易理解，阿星最近了解到国内已有做智能锁老板开始研发“区块链锁”了，而现有移动互联网提供“中心化”云端服务器，黑客攻击能够砰砰同时打开非常的房门，而在“去中心化”网络中安全系数无疑高出很多。一、比特币“交易所”为何成为黑客攻击的头号目标？下手者目的很简单，就是为窃取钱财而来，技术手段极为缜密，比特币、区块链安全问题显然也比传统网络安全更为复杂。2017年12月份告破的全国首例比特币被盗案，戴某把正版钱包软件破解之后植入获取用户账户名和密码的爬虫文件，在聊天群中丢给吴某下载安装，随后吴某的电子钱包软件中181个比特币被清空。戴某让多人下载其钱包软件的说辞极其简单：“比特币放在交易所不安全”，这是有前车之鉴的。交易所目前是所有数字加密币的存储中心和流通中心，自然是黑客头号目标。2014年，当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击，其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护，而Mt.Gox是否监守自盗成为一桩未了公案。三年后，“黑客”再次成为背锅侠，日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产，故事惊人的相似。传统网络攻击往往是挂木马病毒，或者制造一些伪正常访问的DDos攻击让网站宕机；现在的网络攻击则是在“挖矿”时就挂了恶意脚本，黑客下手重点攻击的目标的确是交易所存储的加密货币，如果这个时候交易所缺乏职业操守的话，情况会非常不妙，据资深币圈玩家小K向阿星爆料：“不怕交易所跑路，就怕交易所套路。定点爆仓、回滚、拔网线、机器人交易、冻结账户会造成亏损，而维权太难了，现在交易所服务器都在境外。”赵长鹏从OKCoin跳槽出来创办“币安”，取这个名字是别有深意的。由于比特币交易还处在消息极易影响市场行情的阶段，黑客除了直接窃取货币，还能通过碰瓷“做空”来牟取暴利，成为极其隐秘的“庄家”。今年3月币安遭受黑客攻击，币安及时中止了用户加密币提现，未发生盗币，但是比特币因此下跌10%；据比特律动报道称，一些用户账户加密币被黑客换成比特币之后，大量买入VIA（维尔币），由此将后者价格拉升了110倍......二、智能合约、数字钱包是区块链安全事件频发“重灾区”目前区块链交易所共有数百家，谁家的技术对黑客防御指数高、抗风险能力强，运营规模及时间更长，就更能够聚集起用户的币，相应的赔付能力也更有保障，所以交易所极易“头部化”，并成为现阶段产业中心的原因。除了交易所攻击之外，黑客以及一般蟊贼智能合约和数字钱包领域神出鬼没，同样影响深远。1. 智能合约可能被黑客利用日，众筹超过1.5亿美元的TheDAO由于出现安全漏洞，黑客攻击导致价值超过6000万美元的300万个以太币被盗。经大量讨论、投票、争取、尝试后失败、再次尝试，在以太坊区块链官方的提议下，以太坊进行了“硬分叉”，数据回滚至整个网络中由于安全攻击而被影响的以太币，最终TheDAO黯然退市。由于以太坊网络中所有矿工没有达成完全一致的回滚共识，最终酿成以太坊网络分裂成至今“以太坊”（ETH）和“以太坊经典”（ETC）的格局。区块链的技术特性决定了智能合约带有病毒的传播特性，一旦本身出现漏洞被黑客加以利用，影响是传统网站的百倍计，并且很难短时间修复。从某种程度上，去年WannaCry勒索病毒就是典型的区块链“智能合约”的应用场景之一，黑客把勒索病毒的智能合约发到网上，无须黑客进行任何其他操作实现比特币到账即自动解锁电脑自动化。 （WannaCry就是典型的区块链智能合约应用，黑客玩的很溜了）庆幸的是，合约发布方们已经意识问题严重性，开始执行严格的智能合约审计，为智能合约筑起区块链“马其顿防线”成为趋势。2. 数字钱包中的资产不翼而飞原因多样“数字钱包”是用来存储数字货币的软件载体，其中，不联网存储私钥的是“冷钱包”，目前市面上的硬件钱包就是冷钱包；而把私钥托管在网络的叫“热钱包”，比如如电脑客户端钱包、手机App钱包、网页端钱包等等。数字钱包就像是直接在区块链世界里的“余额宝”，现在已经有一些实体店开始支持比特币支付了。但与余额宝、银联卡的货币存储在银行，即便被偷被骗也可追溯，毕竟银行账户都有实名认证，而数字货币往往相对更难追溯，一旦被骗就很难找回，目前比特币及代币的监管难度比较高；而不可篡改则意味着钱一旦被骗走，交易就不可能回退，基于这两点，数字钱包成为黑客眼中的“肥肉”。从数字钱包从设计、发布、下载、安装、运行的途中但凡出现问题，均有可能中招。比如，是否通过官方渠道下载钱包，如果从第三方软件平台下载，会不会下载到有恶意插件的？即便通过官方渠道，是否处于安全的wifi环境？即便网络环境没问题，官方渠道的下载地址会不会遭到攻击？就算这些雷一一避开，数字钱包本身是否可靠？厂商有没有为了使用便捷而忽略安全运维？厂商是否具备安全存储用户私钥的能力？三、如何保护好自己的数字货币？有哪些实用干货安全是区块链的“地基”，但是在区块链的江湖里，有最优秀的创业精英，也有最优秀的骗子，基础的确并没有小白们想象的那么牢靠。提出安全隐患得有针对性的解决办法才算圆满，阿星在采访众多老韭菜和老师之后，拿到了不少压箱底的干货建议，经过授权后拿出来发表，值得普通投资者拿小本本记下来：（1）市面大多数加密货币钱包是中心化钱包，一旦发生意外，用户资产丢失后难以追回；对于投资者而言，倘若持有大量的数字资产，更适合选用“去中心化钱包”，毕竟大量的资产由自己掌握才最放心。而对于短期的小额投资者而言，中心化的钱包的优势在于，使用体验更加便捷，不过分批存放入不同的钱包更稳。（2）普通比特币持有者账户可以“币托”服务实现权益转移，当交易所发生不可抗力因素用户失去控制账户能力情况下，可通过“币托”来实现与权益人（家人、朋友等）共同管理账户，实现账户权益的传承。（3）个人数字钱包的“私钥”绝对不能外泄，“公钥”是收款地址，就好比自己的门牌号码，而私钥/助记词/keystore等相当于自家的“钥匙”，这三类中任何一项均不要随便泄露给别人，最好是能够离线保存或保存在加密本地存储硬盘或U盘里。（4）数字货币投资者在转账时要反复确认转币对象和地址，因为钱包地址一般一串很长的字符，最好直接复制，并核对一遍；因而交易是不可逆的，一旦打过去就是别人的了。注意不要因为一些“更低的手续费”、“更多的额度”等承诺而绕过平台担保，进行私下点对点交易，一旦发生很难追回。（5）平时用户养成良好的使用习惯，多留个心眼，比如选择主流交易平台，从官方渠道下载钱包客户端；备份好自己的钱包文件；设置复杂的密码；在不同的平台使用不同的登录口令；谨慎下载论坛、社群里的文件，不要点击来路不明的链接防止钓鱼软件中招；钱包地址尤其是私钥绝对保密，在访问平台时，反复确认域名以防止进入山寨网站；尽量在私人的局域网和自己电脑或手机设备上网操作，杀毒软件定期清理和更新必不可少等等。阿星怎么看：移动支付的流行是由于阿里和腾讯在安全投入很多看不见的技术支撑一样，在区块链安全上挑战更大、情况更为复杂，目前数字货币及token是目前区块链最主要的应用场景之一，利益激励让目前的区块链成为利益告诉流通的新兴领域，如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话，区块链美好的数字世界生态图景都将是空中楼阁，区块链安全也是一件不可能有终结的工作，这将是未来新的“道魔较量”！
本文仅代表作者个人观点，不代表巨推链平台发声，对文章观点有疑义请先联系作者本人进行修改，若内容非法请联系平台管理员，邮箱。更多，请到百万区块链发烧友聚集平台巨推链www.jutuilian.com学习请到巨推学院www.jutuiedu.com
蛆块链高效，低耗，安全？我呸
五行与四季五行的命名，充分展现了中华文明的实践与智慧，古人是由于对一年四季的观察
当全世界都在为创造一个更真实的世界,为保护设计师、艺术家、科学家、程序员等品牌无
根据美国专利和商标局（USPTO）公开披露的文件显示，一家由韩国政府资助的机构向他们
2018年区块链网（QKLW）打假频道最新公布的十大骗子排行榜，并且还官方发行了十大骗子
网贷备案制推迟已成定局，P2P平台风险正在加速度暴露。尤其是进入7月份以来，12天时间
互联网改变着生活的方方面面女性创业者在这样的发展趋势中，占有先天优势女性善于运用
一个良好的厨房环境离不开一台好的吸油烟机，尤其是对于中式厨房来说，中餐的精髓在于
在金融交易这行，成功者总是极少数，因此可以自然而然地得出结论：绝大多数人脑子里的
市场因素比特币价格在7月初开始反弹，但由于关于比特币的负面评论和交易所再现黑客攻
【卡车之家 原创】凡事预则立，不预则废，任何事情的成功，都离不开高瞻远瞩的布局与
请输入图片描述前不久，身边有一个朋友跟我说：“哎呀，我们隔壁的那个老王最近迷上了
区块链虽尚处于发展初期，但人们对它前景持有乐观的态度，特别对区块链与大数据两项前
世界杯结束了，法国队二次捧杯，而全世界都记住了魔笛看着法国队庆祝时落寞的眼神。但
北京时间周四早上4点，数字货币整体下跌。比特币上涨0.79%，报9250美元。以太币下跌0.
今天的热搜上有一条很&有意思&的话题：#42天，108家P2P公司爆雷#。很明显，这是一条形
作者：潘建伟来源：清华大学经管学院（ID：Tsinghuasem1984）近日，中国科学院院士、
周末看了场电影《我不是药神》，很火的电影，之所以火是因为它展现了病人的生存困境，
泛家居区块链公众号ID:wangjianguosz有人说认为拼多多物美价廉，也有人说低质低价，当
摘要：比亚迪广告罗生门，比亚迪究竟是不要脸还是被冤枉，看链圈的技术大咖了，币圈的
首先我们要了解什么是“去中心化”在一个分布有众多节点的系统中，每个节点都具有高度
Copyright &
Powered by一文看懂区块链技术安全，在安全行业区块链又有什么用一文看懂区块链技术安全，在安全行业区块链又有什么用雷锋网百家号雷锋网注：本文作者，360CERT 。原文出处： Seebug Paper 。区块链技术是金融科技（Fintech）领域的一项重要技术创新。作为分布式记账（Distributed Ledger Technology，DLT）平台的核心技术，区块链被认为在金融、征信、物联网、经济贸易结算、资产管理等众多领域都拥有广泛的应用前景。区块链技术自身尚处于快速发展的初级阶段，现有区块链系统在设计和实现中利用了分布式系统、密码学、博弈论、网络协议等诸多学科的知识，为学习原理和实践应用都带来了不小的挑战。区块链属于一种去中心化的记录技术。参与到系统上的节点，可能不属于同一组织、彼此无需信任；区块链数据由所有节点共同维护，每个参与维护节点都能复制获得一份完整记录的拷贝，由此可以看出区块链技术的特点：维护一条不断增长的链，只可能添加记录，而发生过的记录都不可篡改；去中心化，或者说多中心化，无需集中的控制而能达成共识，实现上尽量分布式；通过密码学的机制来确保交易无法抵赖和破坏，并尽量保护用户信息和记录的隐私性。虽然单纯从区块链理解，仅仅是一种数据记录技术，或者是一种去中心化的分布式数据库存储技术，但如果和智能合约结合扩展，就能让其提供更多复杂的操作，现在活跃的各个数字货币就是其中一种表现形式。0x01 区块链安全性思考由于区块链技术的特性，在设计之处就想要从不同维度解决一部分安全问题：01 Hash唯一性在blockchain中，每一个区块和Hash都是以一一对应的，每个Hash都是由区块头通过sha256计算得到的。因为区块头中包含了当前区块体的Hash和上一个区块的Hash，所以如果当前区块内容改变或者上一个区块Hash改变，就一定会引起当前区块Hash改变。如果有人修改了一个区块，该区块的 Hash 就变了。为了让后面的区块还能连到它，该人必须同时修改后面所有的区块，否则被改掉的区块就脱离区块链了。由于区块计算的算力需求强度很大，同时修改多个区块几乎是不可能的。由于这样的联动机制，块链保证了自身的可靠性，数据一旦写入，就无法被篡改。这就像历史一样，发生了就是发生了，从此再无法改变，确保了数据的唯一性。02 密码学安全性以比特币为例，数字货币采用了非对称加密，所有的数据存储和记录都有数字签名作为凭据，非对称加密保证了支付的可靠性。03 身份验证在数字货币交易过程中，由一个地址到另一个地址的数据转移都会对其进行验证：- 上一笔交易的Hash(验证货币的由来)- 本次交易的双方地址- 支付方的公钥- 支付方式的私钥生成的数字签名验证交易是否成功属实会经过如下几步：- 找到上一笔交易确认货币来源- 计算对方公钥指纹并与其地址比对，保证公钥的真实性- 使用公钥解开数字签名，保证私钥真实性04 去中心化的分布式设计针对区块链来说，账本数据全部公开或者部分公开，强调的是账本数据多副本存在，不能存在数据丢失的风险，区块链当前采用的解决方案就是全分布式存储，网络中有许多个全节点，同步所有账本数据（有些同步部分，当然每个数据存储的副本足够多），这样网络中的副本足够多，就可以满足高可用的要求，丢失数据的风险就会低很多。所以建议部署区块链网络时，全节点尽量分散，分散在不同地理位置、不同的基础服务提供商、不同的利益体等。05 传输安全性在传输过程中，数据还未持久化，这部分空中数据会采用HTTP+SSL(也有采用websocket+websocketS)进行处理，从而保证数据在网络传输中防篡改且加密处理。0x02 数字货币安全性思考01 BTC比特币（Bitcoin，代号BTC）是一种用去中心化、全球通用、不需第三方机构或个人，基于区块链作为支付技术的电子加密货币。比特币由中本聪于日，基于无国界的对等网络，用共识主动性开源软件发明创立。比特币也是目前知名度与市场总值最高的加密货币。比特币区块结构钱包和交易比特币钱包的地址就是公钥通过 Base58 算法编码后的一段字符串，使用该算法可以将公钥中的一些不可见字符编码成平时常见的字符。Base58 相对于 Base64 来说消除了非字母或数字的字符，如：“+”和“/”，同时还消除了那些容易产生混淆的字符，如数字 0 和大写字母 O，大写字母 I 和小写字母 l。这一段用作比特币钱包地址的字符串就相当于一个比特币账户。交易属于比特币中的核心部分，区块链应用到数字货币上也是为提供更安全可靠的交易。交易之前会先确认每一笔笔交易的真实性，如果是真实的，交易记录便会写入到新的区块中去，而一旦加入到区块链中了也就意味着再也不能被撤回和修改。交易验证流程大概为：验证交易双方的钱包地址，也就是双方的公钥。支付方的上一笔的交易输出，前面也说到了钱包里面是没有存放你的比特币数量的，而你每一笔交易都会产生交易输出记录到区块链中。通过交易输出可以确认支付方是否能够支付一定数量的比特币。支付方的私钥生成的数字签名。如果使用支付方的公钥能解开这个数字签名便可以确认支付方的身份是真实的，而不是有人恶意的使用当前的支付方的钱包地址在做交易。一旦这些信息都能得到确认便可以将交易信息写入到新的区块中去，完成交易。受比特币区块大小的限制（目前的为 1MB，一笔交易信息大概需要 500 多字节），一个区块最多只能包含 2000 多笔的交易。因为区块链中记录了所有的交易信息，所以每个比特币钱包的交易记录和币的数量都是可以被查到的，但是只要没有对外公开承认钱包地址是属于你的，也不会有人知道一个钱包地址的真实拥有者。还有一种交易叫做 coinbase 交易，当矿工挖到一个新的区块时，他会获得挖矿奖励。挖矿奖励就是通过 coinbase 交易拿到手的，也一样是需要把交易信息添加到新的区块中去，但是 coinbase 交易不需要引用之前的交易输出。安全问题比特币基于区块链，具有去中心化结构，用户通过一个公开的地址和密钥来宣示所有权。某种程度上，谁掌握了这个密钥，谁就实质性地拥有了对应地址中的比特币资产。而区块链的防篡改特征，是指比特币的交易记录不可篡改，而非密钥不会丢失。同时，也正因为区块链不可篡改，密钥一旦丢失，也意味着不可能通过修改区块链记录来拿回比特币。因此针对比特币的盗币事件屡有发生，主要是通过下面三个手段：交易平台监守自盗交易所遭受黑客攻击用户交易账户被盗交易平台监守自盗可以向平台索回，但是黑客攻击导致的盗币，很难被追回。因为黑客一旦盗取比特币，接下来便会通过混币等手段进行洗白，除非有国家力量强力介入，否则追回的可能性仅仅停留在理论层面。02 ETH以太币（Ether，代号ETH）为以太坊区块链上的代币，可在许多加密货币的外汇市场上交易，它也是以太坊上用来支付交易手续费和运算服务的媒介。以太坊（Ethereum）是一个开源的有智能合约功能的公共区块链平台。通过其专用加密货币以太币提供去中心化的虚拟机（称为“以太虚拟机”Ethereum Virtual Machine）来处理点对点合约。智能合约以太坊与比特币最大的一个区别——提供了一个功能更强大的合约编程环境。如果说比特币的功能只是数字货币本身，那么在以太坊上，用户还可以编写智能合约应用程序，直接将区块链技术的发展带入到 2.0 时代。以太坊中的智能合约是运行在虚拟机上的，也就是通常说的 EVM（Ethereum Virtual Machine，以太坊虚拟机）。这是一个智能合约的沙盒，合约存储在以太坊的区块链上，并被编译为以太坊虚拟机字节码，通过虚拟机来运行智能合约。由于这个中间层的存在，以太坊也实现了多种语言的合约代码编译，网络中的每个以太坊节点运行 EVM 实现并执行相同的指令。如果说比特币是二维世界的话，那么以太坊就是三维世界，可以实现无数个不同的二维世界。安全问题ETH最大的特点就是智能合约，而智能合约漏洞也就导致了ETH的安全问题。2016年黑客通过The Dao，利用智能合约中的漏洞，成功盗取360万以太币。THE DAO持有近15%的以太币总数，因此这次事件对以太坊网络及其加密币都产生了负面影响。The DAO事件发生后，以太坊创始人Vitalik Buterin提议修改以太坊代码，对以太坊区块链实施硬分叉，将黑客盗取资金的交易记录回滚，得到了社区大部分矿工的支持，但也遭到了少数人的强烈反对。最终坚持不同意回滚的少数矿工们将他们挖出的区块链命名为Ethereum Classic（以太坊经典，简称ETC），导致了以太坊社区的分裂。在虚拟货币历史上，这是第一次，也可能唯一一次由于安全问题导致的区块链分叉事件。无独有偶日, 多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个ETH被盗,共价值3000万美元。两次被盗事件都是因为智能合约中的漏洞。让我们看到，虚拟货币的安全不仅仅是平台和个人，区块链上的应用，也是我们应该关注的内容。03 XMR门罗币（Monero，代号XMR）是一个创建于2014年4月开源加密货币，它着重于隐私、分权和可扩展性。与自比特币衍生的许多加密货币不同，Monero基于CryptoNote协议，并在区块链模糊化方面有显著的算法差异。隐蔽地址隐蔽地址是为了解决输入输出地址关联性的问题。每当发送者要给接收者发送一笔金额的时候，他会首先通过接收者的地址（每次都重新生成），利用椭圆曲线加密算出一个一次性的公钥。然后发送者将这个公钥连同一个附加信息发送到区块链上，接收方可以根据自己的私钥来检测每个交易块，从而确定发送方是否已经发送了这笔金额。当接收方要使用这笔金额时，可以根据自己的私钥以及交易信息计算出来一个签名私钥，用这个私钥对交易进行签名即可。环签名隐蔽地址虽然能保证接收者地址每次都变化，从而让外部攻击者看不出地址关联性，但并不能保证发送者与接收者之间的匿名性。因此门罗币提出了一个环签名的方案——事实上，在古代就已经有类似的思想了：如图5所示，联名上书的时候，上书人的名字可以写成一个环形，由于环中各个名字的地位看上去彼此相等，因此外界很难猜测发起人是谁。这就是环签名。除了交易地址，交易金额也会暴露部分隐私。门罗币还提供了一种叫做环状保密交易（RingCT）的技术来同时隐藏交易地址以及交易金额。这项技术正在逐步部署来达到真正的匿名。这项技术采用了多层连接自发匿名组签名（Multi-layered Linkable Spontaneous Anonymous Group signature）的协议。安全问题比特币交易私密性方面做的不太好，关于货币隐私的两个基本属性：不可链接性（Unlinkability）：无法证明两个交易是发送给同一个人的，也就是无法知道交易的接收者是谁。不可追踪性（Untraceability）：无法知道交易的发送者是谁。比特币交易要发送地址信息，很明显不符合之上的要求。门罗币通过隐蔽地址来保证不可链接性，通过环签名来保证不可追踪性，从而给用户的交易信息提供了很好的隐私性。另一方面，比特币挖矿主要依赖于大量专业化的专用集成电路（ASIC）。它的算法在ASIC上的运行速度远超于在标准家庭电脑或者笔记本电脑上运行。相比之下，门罗币的挖矿算法要精良得多。它并不依赖于ASIC，使用任何CPU或GPU都可以完成，这就意味着门罗币具有更低的挖掘门槛。门罗币的这些特性，使其成为黑产挖矿的不二之选。过去的一段时间，出现了许多以门罗币挖矿为目的的网络攻击事件。04 小结在以太坊这种平台区块链上，如果运行智能合约，应用程序出现漏洞，同样也会威胁其上的数字资产。以太坊解决了比特币的单应用的局限，使得区块链像一个操作系统，开发者可以在其上搭建自己的“应用”。门罗币降低了挖矿的门槛，同时又满足了交易私密性需求。这些特性都符合黑产的需要，过去的一段时间，以门罗币挖矿为目的的网络攻击事件时有发生。0x03 交易平台安全性思考随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台，部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计，然而交易平台背后的经营者能力与平台的自身的安全性并没有很好的保障。从14年至今据不完全统计，单纯由于交易所安全性导致的直接损失就达到了1.8亿美元之多。随着虚拟币的水涨船高，交易所就成了黑客们的首要目标，据统计入侵一家交易所给黑客带来的直接利益大约1000万美元左右，然而交易所的安全性参差不齐和各个国家对这类平台基本都暂时没有好的管控策略，这给黑客带来了很大的便利，同时也直接威胁着用户的资金安全。01 平台被黑事件回顾比特儿(Bter.com) 比特币交易平台被盗事件 事件简介： 比特儿是一家中国的山寨币交易所。NXT等山寨币都在上面交易。 由于POS币的钱包必须上线运行才能获取利息。因此NXT钱包必须在线运行，给了入侵的机会。POS币不能冷钱包保存，暴露出POS的重大安全隐患。黑客盗走NXT后与平台方通过交易留言进行了谈判：并要求平台方支付BTC作为赎金换回NXT最终平台支付了110个BTC，却未能完全赎回NXT，只能要求社区回滚NXT的交易区块。本次比特儿被黑是历史上第一次完全公开展现的网络犯罪，暴露出交易平台和数字货币在当时没有监管野蛮生长的严肃问题。以太币组织The DAO被黑事件2016-06 事件简介： 以太币的去中心化组织The Dao被黑，价值逾5000万美元的以太币外溢出DAO的钱包。以太币（ETH）市场价格瞬间缩水，从记录高位21.50美元跌至15.28美元，跌幅逾23%。 在此前的智能合约写法中，有三个严重漏洞，黑客也正是利用这几个漏洞攻击The DAO窃取以太币。fallback函数调用向合约地址发送币有两种写法：二者都是发送20个ether,都是 个新的message call, 同的是这两个调 的gasli mit 样。send()给予0的gas(相当于 call.gas(0).value()() ), call.value()() 给予全部(当前剩余)的gas。 当我们调 某个智能合约时,如果指定的函数找 到,或者根本就没指定调 哪个函数(如发送ether)时,fallback函数 就会被调用。当通过 addr.call.value()() 的 式发送ether,和send() 样,fallback函数会被调 ,但是传递给fallback函数可 的 是当前剩余的所有gas,如果精 设计 个fallback就能影响到系统,如写storage, 新调 新的智能合约等等。递归调用一段用户从智能合约中取款的代码如下：如果付款方的合约账户中有1000个ether，而取款方有10个ether，此处就有严重的递归调用问题，取款方可以将1000个ether全部取走。调用深度限制合约可以通过message call调用其他智能合约， 被调用的合约继续通过message call在调用其他合约，这样的嵌套调用深度限制为1024。如果攻击者制造以上的1023个嵌套调用，之后再调用sendether()，就可以让add.send(20ether)失效，而其他执行成功：在DAO的代码当合约执行到withdrawRewardFor(msg.sender);进入到函数withdrawRewardFor判断putOut如下：和此前的举 类似,DAO通过 addr.call.value()() 发送以太币 没有选择 send() 从 客只需要创建fallback再次调 splitDAO() 即可转移多份以太币,PoC如下:The DAO事件给整个以太坊社区带来了重大影响，也导致了之后的硬分叉和ETC(以太经典)的剥离。Bitfinex遭黑客攻击事件2016-08 事件简介：Bitfinex是交易比特币、ether和莱特币等数字货币的最大交易所之一。根据Bitfinex在8月2日凌晨发布的公告，该交易所在发现了一个安全漏洞后便停止了交易。发布在官网上的声明表示：Bitfinex负责社区和产品开发的主管塔克特(Zane Tackett)证实，119,756个比特币遭窃，该公司已经知道相关系统是如何被入侵的。以周二的价格计算，失窃比特币价值约6,500万美元，受此消息影响，全球比特币价格应声下跌25%。随后Bitfinex官网发布公告称这次损失将由平台上所有用户共同承担，这将导致每位用户的账户平均损失36%对于类似比特币这样的数字货币，由于是通过数学算法挖矿形成，与实体质地的纸币不同，这些数字货币交易的安全性就完全体现在交易所的风险控制能力以及防黑客能力上。Parity多重签名钱包被盗事件2017-07 事件简介： Parity是一款多重签名钱包，是目前使用最广泛的以太坊钱包之一，创始人兼CTO 是以太坊前CTO黄皮书作者Gavin Woods。7 月 19 日，Parity发布安全警报，警告其钱包软件1. 5 版本及之后的版本存在一个漏洞。据该公司的报告，确认有150，000ETH(大约价值 3000 万美元)被盗。据Parity所说，漏洞是由一种叫做wallet.sol的多重签名合约出现bug导致。后来，白帽黑客找回了大约377,000 受影响的ETH。本次攻击造成了以太币价格的震荡，Coindesk的数据显示，事件曝光后以太币价格一度从235美元下跌至196美元左右。此次事件主要是由于合约代码不严谨导致的。我们可以从区块浏览器看到黑客的资金地址可以看到，一共盗取了153,037 个ETH，受到影响的合约代码均为Parity的创始人Gavin Wood写的Multi-Sig库代码。通过分析代码可以确定核心问题在于越权的函数调用，合约接口必须精心设计和明确定义访问权限，或者更进一步说，合约的设计必须符合某种成熟的模式，或者标准，合约代码部署前最好交由专业的机构进行评审。否则，一个不起眼的代码就会让你丢掉所有的钱。USDT发行方Tether遭受黑客攻击事件2017-12 事件简介： Tether公司是USDT代币的发行公司——USDT是一种与美元挂钩的加密货币，如今正在被交易所广泛用于进行交易。该公司在公告中声称其系统遭受攻击，已经导致价值3000万美元的USDT代币被盗。被盗的代币不会再赎回，但Tether公司表示他们正在试图恢复令牌，以确保这些交易所不再交易或引入这些被盗的资金，不让这些资金回到加密货币经济。此次被黑事件后，比特币的价格下降了5.4%，是11月13日以来的最高纪录。然而，Tether被盗声明一出，国外社区有用户认为，该地址中被盗的3000万美元只是Tether掩耳盗铃的第一步。实际面临的兑付危机远远不止3000万美元。此次事件不仅单纯的一次虚拟币被盗事件同时导致了Tether的信任危机。Youbite交易所被入侵事件事件简介：12月19日，韩国数字货币交易所Youbite宣布在当天下午4时（北京时间3时）左右，交易平台受到黑客入侵，造成的损失相当于平台内总资产的17%。 这家平台是韩国一家市场份额较小的数字货币交易平台，在今年4月，这家平台也曾经遭受过黑客攻击，损失了近4000个比特币。Youbit表示，在4月份遭遇黑客攻击之后，其加强了安全策略，将其余83％的交易所资金都安全地存放在冷钱包里。尽管如此，运营该交易所的公司Yaipan还是于本周二申请了破产，并停止了平台交易。公告显示，该交易所将所有客户的资产价值减记至市场价值的75%，客户可立即提取这部分资产。该公司表示，将在破产程序结束时偿还剩余的资金，届时将提出保险索赔并出售公司的经营权。03 小结虚拟币的火热，直接搅动着金融市场与科技市场，也面临着各种安全问题。现在各个国家也开始对区块链市场与虚拟币市场相继出台政策与治理方案，对交易所也开始纳入管控范围，韩国前段时间对其国家7家大型交易所进行了安全测试均被成功入侵，但每个交易所每天交易量是数以亿计的。可见这类安全问题不是个例，作为虚拟币交易平台，是否有资质有能力保护在线虚拟货币啊安全性成为一个值得考究的问题，虚拟币已经渐渐的从网络进入到现实世界中，然而这个过程的进步同样带来了很大的隐患，这也促使着政府企业以及个人对交易平台以及虚拟币本身更加的慎重选择与投入。0x04 区块链在安全行业的应用区块链社区非常活跃，人们经常认为，这项技术不仅有效地推动了虚拟货币的发展，而且还加强了现有的安全解决方案，从区块链角度解决了一些安全问题。列举几个区块链技术的安全用途：01 更安全的认证机制根据区块链技术的特性，设备可以以对等的方式识别和交互，而不需要第三方权威。伴随着双重身份验证，伪造数字安全证书成为不可能，使得网络结构具有更好的安全性。比如应用到密码验证服务，物联网设备认证。02 更安全的数据保护在基于区块链的系统中，存储的元数据分散在分布式账本中，不能在一个集中点收集，篡改或者删除。其中的数据，具有更好的完整性，可靠性以及不可抵赖性。可以应用到公共数据存储场景，比如产权记录，金融记录。03 更安全的基础设施利用区块链分布式特性，可以提供一种分散式平台，通过这种系统，可以访问和利用共享的带宽，这种方式远优于带宽有限的单服务器集中模型。去中心化的平台可以降低DDoS成功的风险，更好的保护基础设施。比如网站，DNS解析服务等。雷锋网注：本文作者，360CERT 。原文出处： Seebug Paper 。若有疑问，请联系雷锋网。本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。雷锋网百家号最近更新：简介:雷锋网——关注智能与未来！作者最新文章相关文章