2019大佬說 | 我們請來了幾位區塊鏈安全行業KOL，聊了聊什么是“守方的信仰”_區塊鏈

文|Aesop，郝方舟編輯|郝方舟新一年的鐘聲剛剛敲響，屬于2019的喧囂、瘋狂、奇跡、感動正在開啟。2018，作為區塊鏈行業媒體，Odaily星球日報既陪伴了區塊鏈行業瘋狂的從零到一，也見證了非理性繁榮的泡沫破裂。有人感嘆，這短暫卻精彩的時代片段，再也無法被復制了。因此，我們希望記錄下那些行業親歷者、開拓者的真實聲音，為行業的探索者、守望者指引前路。《2019大佬說》是Odaily星球日報推出的區塊鏈訪談欄目，我們采訪了50余位區塊鏈行業引領者，將訪談精華整理沉淀為系列文章。穩固的基礎設施和完善的生態服務是判斷區塊鏈是否晉升成為“產業”的一項標準。對于滿載價值而不只是信息的區塊鏈網絡，既從屬于基建又可歸為服務的“安全”就像站在一串“0”前面的“1”。今年年初，日本大型數字貨幣交易所Coincheck遭攻擊，超過5.2億美元的新經幣被黑客洗劫。4月，黑客借道智能合約中的整數溢出漏洞轉出大量美蜜，引發市場拋售，BEC價值幾乎歸零。5月，因超級節點競選而備受關注的EOS被曝出“史詩級漏洞”……交易所、公鏈與智能合約的接連失守，不禁讓人回問，區塊鏈安全嗎？Odaily星球日報今年接觸了庫神、慢霧、派盾PeckShield、360、CertiK、曲速未來、知道創宇、成都鏈安、長亭科技、安全鏈SECC等向區塊鏈世界提供安全服務的企業。我們發現：和區塊鏈技術一樣，區塊鏈安全服務行業還處于早期階段。風險是小概率事件，短視與僥幸減弱了付費意愿，熊市又降低了客戶的付費能力。僅靠用戶教育，很難快速拉升安全服務需求。相關法規與標準或成為強推力。攻防雙方的戰場是匯集財富的“法外之地”。黑客擅長在“防護木桶的短板”游擊、“名利雙收”后還無處追責；安全服務商需要全線布防、“替人消災”卻常被懷疑，雙方顯然不是同一心態。近日，Odaily星球日報再次邀請到庫神COO張玉、派盾科技PeckShield創始人蔣旭憲、知道創宇創始人趙偉、慢霧安全團隊、CertiK聯合創始人顧榮輝，用五問五答盤點區塊鏈安全過去這一年、展望未來的風貌。以下為整理編輯后的問答精華，enjoy~

ETH突破630美元關口，創2018年6月以來歷史新高:火幣全球站數據顯示，ETH短線上漲，突破630美元關口，現報630.01美元，日內漲幅達到5.61%，創2018年6月以來歷史新高，行情波動較大，請做好風險控制。[2020/12/1 22:45:30]

Q1.今年在區塊鏈安全領域，讓您印象最深刻的一件事是什么？這件事在哪些方面影響了人們對區塊鏈的認知？張玉：今年1月份的NEM被盜事件，當時大概價值五億多美金，確實是整個區塊鏈行業里金額最大的一次。對這個事情印象比較深刻，等于這開啟了一連串的交易所被盜的序幕，某種程度上也影響了大家對這個行業的信心，間接影響了今年的市場走向。大家對安全重新進行了思考，因為之前大家可能感覺區塊鏈技術上比較完美，但其實也存在安全隱患，因為資產畢竟是保存在客戶自己手里。這跟傳統世界資產由中心化機構來保證是不一樣的。蔣旭憲：4月下半旬，美鏈BEC的智能合約漏洞。資產縮水，幣價歸零，我非常震撼。我從來沒想到數字資產一旦出現事故，影響會這么大。區塊鏈自帶金融屬性，和傳統的互聯網安全玩法完全不一樣。之前，更多是設備被黑可能影響到業務數據方面。但是在區塊鏈里，交易所、token、智能合約……全是安全問題。趙偉：過去一年就很亂！我印象最深的是新經幣事件，攻擊者把新經幣賣了狂砸盤，導致新經幣差點清零，這是到現在為止最大的一起盜竊。這件事讓人們認識到安全的重要性。安全是“1”，沒有安全，后面數字再多也是“0”。人們還發現，區塊鏈以前號稱的安全，只是某種意義上的安全。交易所和錢包還是集中式的，不是鏈上分布式的。但安全遵從著木桶效應，你的最短板就是黑客最容易攻擊的地方。慢霧安全團隊：3月20日的以太坊黑人節。我們團隊3月1日開張，在跟進這個問題時發現，地下黑客在這方面的攻防形勢是非常嚴峻的，黑客不需要知道任何錢包相關信息就可以把用戶的錢都偷走。這是之前從未出現過的遠程攻擊。這次事件造成的損失也非常嚴重，5萬多個以太坊被盜了。以前大家都在關注智能合約，沒有人關注節點層面的安全問題。節點操作不當的話也會出現非常大的損失，并且這種攻擊方式不需要知道你的任何信息，僅僅通過一行命令就可以把你的錢全轉走。顧榮輝：4月以太坊智能合約ERC-20中BatchOverFlow漏洞被黑客利用，對BEC和SmartMash兩個智能合約進行攻擊。前者導致市場恐慌，大量拋售BEC，64億市值短時間內蒸發；后者使得SMT在各大交易所平臺的交易暫停。人們逐漸意識到區塊鏈安全問題的重要性，少數公司能夠自己檢測到安全漏洞。但公鏈的安全性應該怎么保障，由誰來保障？現有的技術還不夠成熟，而目前區塊鏈安全領域的公司較少。Q2.能否簡單總結下區塊鏈安全服務行業的生存現狀。行業目前遇到最大的困難是什么？2019該如何突破困境？張玉：區塊安全服務行業還處于比較初期的階段，因為大家都還在探索商業模式。遇到最大的困難是用戶對安全的認知不清晰，安全教育工作也比較初步。安全是貫穿于資產的生產、存儲、交易全過程的。我們一直通過公眾號上知識問答、漫畫等內容來向大眾普及安全。蔣旭憲：首先，現在的區塊鏈安全行業，攻擊者是強于安全保護者的，甚至強于生態建設者。第二，整個行業還處在野蠻生長階段，空氣幣、傳銷甚至跑路，都給真正做事的那一方增加了輿論壓力。第三，區塊鏈行業本身門檻比較高，為了發展又需要接納新用戶和開發者，所以有產品落地的問題。行業最大的問題是安全事故節奏太快，我們有點應接不暇。從生態來說，我們對區塊鏈合約的理解可以再提高，開發者安全意識和技能還可以改善，安全公司任重道遠。黑客攻擊也有助于安全服務生態的建設。趙偉：區塊鏈行業泡沫太多，所以準定要經歷泡沫的再壓縮。壓縮也會影響到安全服務行業，我們能服務的客戶減少了，但也留下了更優質的客戶。相對而言，安全服務業算是受熊市影響較少的。區塊鏈安全服務目前遇到的困難是要保護的環節太多，從幣的產生、發放到流通、持有等等，每個都要做到位，生態才安全。行業所服務的對象也有些變化，今年全年主要圍繞公鏈，年初和年中的智能合約審計多些。慢霧安全團隊：2018年之前，無論在國內還是在國際上做這一塊的比較少，今年很多之前做傳統安全的轉型到區塊鏈安全，但是這個行業還沒有達到飽和，依然在發展。但是蓬勃發展后，都會進入類似紅海的階段，需要大家進行差異化競爭。比如現在經常有客戶問我們：你們和別人有什么不一樣？所以后續大家需要進行差異化競爭，不斷提升自己的硬實力。顧榮輝：人們對區塊鏈安全的了解過少。本身這個領域要求很前沿的技術，進入門檻高。市場上有太多打著“形式化驗證”旗號的公司，真正能做到“深度規范”的幾乎為零。目前比較主流的解決方案是使用眾包平臺對智能合約進行篩選。這種基于人力的驗證和審計往往成本巨大。對于每份智能合約而言，這種定制型解決方案也許很奏效，但顯然，巨大的市場需求無法就此滿足。由于信息不對稱，消費者缺少安全領域方面的必要知識，不能很好區分真正具備技術的公司。我們十分希望能夠有更多的業內人士通過與我們的合作真正了解形式化驗證。Q3.外人看來，攻方似乎更容易“收獲名利”，那么守方的信仰是什么？是否曾有動搖的瞬間，或被黑客“誘惑”過？蔣旭憲：我從沒想過這個問題，我覺得也不要想，因為我們工作在安全第一線。我們也從沒聯系過黑客，只是從黑客思維去理解他們為什么這么想。趙偉：我們年輕時就入行了，做安全行業不是為了發財有名啊什么的，而是保護別人比較有成就感。我們看好的是創造一份持久的事業，而不是這點錢。比特幣第一代參與者很多都是安全人員，我的幾個朋友每人都持有40萬枚，沒必要去偷去搶。如果是真正的安全行業高手，是有能力靠自己的技術掙錢，不需要做黑客偷別人的。我們都是從10年、11年開始玩，那時候比特幣才五美分。慢霧安全團隊：其實我們做安全本身就是出于自己的愛好。在我們安全圈內有句話叫“未知攻焉知守”，指的是做安全肯定要知道怎么去攻擊。我們的成就感在于給客戶發現更多的漏洞。其實黑客做了壞事都能被抓到的，只是說抓你的成本有多大，值不值得。我們在篩選團隊時就會看對方價值觀能不能被我們接受和認可，如果是那種動搖的人，我們就不會讓他進來。Q4.區塊鏈安全和互聯網安全最大的不同是什么？張玉：互聯網資產基本是在中心化機構手中，中心化機構承擔安全的責任。中心化交易所在面臨安全問題時，還達不到互聯網的安全級別，區塊鏈資產在用戶手里面，所以用戶要承擔安全責任。蔣旭憲：數字貨幣天然有金融屬性，用戶影響和用戶感知會更強一點；互聯網安全偏重用戶隱私，但沒有這么明顯的密集損失效應。區塊鏈的安全攻防會更激烈、節奏更快。趙偉：首先，區塊鏈的運行本身就有現金流，所以安全的重要性高于其他行業。但問題在于需要用到熱錢包、交易所等中心化的東西，這些短板在放大安全的缺陷。然后，要說到黑客，俗話“不怕賊偷，就怕賊惦記”。有一些犯罪分子把這個行業當成提款機。再有呢，一旦在區塊鏈上丟了東西，就真的完了，因為是去中心化和匿名的。不像你丟了卡，還可以在銀行補辦。慢霧安全團隊：區塊鏈安全和互聯網安全都會有APP、網站、系統后臺等，差異在于區塊鏈有自己的屬性，也就是共識算力、智能合約、底層虛擬機等。傳統互聯網，比如說開發一個APP，特別注重的是用戶的隱私和身份信息。但是在區塊鏈領域，無論做錢包還是交易所都是和資產相關的，所以區塊鏈公司特別重視平臺的安全、幣存儲的安全。顧榮輝：智能合約是目前最容易出現安全問題的地方。和傳統程序不同，智能合約具有自治，自足和去中心化等特征。智能合約的安全隱患既有傳統的互聯網世界中所存在的漏洞，也有自身獨有的風險點。對于黑客來講，攻擊傳統程序就像閉卷考試，比如攻擊阿里的系統，完全是黑盒攻擊，根本無法走近它的代碼。而攻擊智能合約就好比是開卷考試，黑客可以針對源代碼進行攻擊，極大降低了攻擊難度。在銀行、軍事等高安全級別的系統中，除了線上防護體系，還受系統性安全網絡保障，再加上嚴格的法律監管條文和國家級的追查體系，都抬升了黑客的攻擊成本。而中心化數字貨幣交易所集成了多個角色功能，卻只有一層線上防護體系，一旦被黑客突破，幾乎毫無還手之力。Q5.對于區塊鏈安全，法規和標準意味著什么？蔣旭憲：現在整個區塊鏈監管法律法規還不完善，因為這個原因，黑客攻擊犯罪成本較低。趙偉：很多人覺得法律法規在限制，但你看國內能不限制嗎？凈是一些坑蒙拐騙偷的人搞ICO，最能忽悠的都跑路了，劣幣淘汰良幣。這影響了人們的心態，一旦你覺得掙錢難、騙錢容易，想著一夜暴富，心理弱點就容易被人利用。所以必須要有合適的法規來約束，因為騙子太多了，傻子不夠用。也有人反對約束，認為區塊鏈本身是去中心化的，自身數學就是法規，規則標準由礦機執行。我也覺得這挺完美的，但我發現技術人員多少有些對現實社會的“天真”。總體，法規對安全服務業來說有利有弊。利是如果要求有安全檢測，那客戶對安全都是放在第一位的，必須有安全檢測來加固保護。弊是設置了準入門檻，控制了市場總體量。慢霧安全團隊：法律和標準是為了規范從業者，能給這個行業帶來更多安全。如果不符合這樣一個標準，項目價值會降低，無論項目參與者還是項目方自身都不希望在安全標準之下，這樣就能不斷提高整個行業的安全水平。顧榮輝：用代碼替代法律還需要迭代，安全性最后由人來保障。代碼本身存在漏洞或者邏輯模棱兩可，這個是無法被標準化的，判斷設計者的意圖對錯沒有任何參考標準。

現貨黃金突破1810美元/盎司，刷新2011年9月以來新高:行情顯示，現貨黃金突破1810美元/盎司，刷新2011年9月以來新高，日內漲0.9%。[2020/7/8]

2018年在“熙熙攘攘”的區塊鏈安全攻防戰中結束了。黑客出于利益頻繁進攻，白帽子守于道義嚴加防守，雙方比拼誰先找到漏洞。“現在的攻擊者強于保護者，甚至強于生態建設者，但黑客攻擊有助于安全服務生態的建設”，是安全服務人士對目前形勢的判斷。多位業內人士預測，2019年將是“橫盤”的一年。市場的低迷可能“唆使”部分開發者轉為黑客。另一方面，以太坊的升級、多條公鏈的主網上線，又“贈予”黑客更多攻擊目標。區塊鏈世界依然充滿了未知與變數。但我們可以預見，2019年攻防大戰將繼續上演，并且更加頻繁激烈。相關閱讀

星球研報|2018年區塊鏈技術安全服務行業報告你居然還以為區塊鏈更安全，我也是醉了附《2018區塊鏈領域走心盤點》

動態 | 2019Q3現貨交易所研究報告：市場交易總量達4.7萬億美元 環比增長16.07%:TokenInsight發布《2019Q3現貨交易所研究報告》。報告顯示：

1.三季度全市場交易總量達4.7萬億美元，環比增長16.07%，與二季度相比增速明顯放緩；7、8、9三個月交易量呈緩慢震蕩下行趨勢。究其原因主要是現貨市場行情較為冷淡，加密資產世界風險溢價高，增量資金少。本季度市場中的交易資金主要為二季度的存量交易。

2.中心化交易所仍然占據市場份額的99%以上，甚至較二季度的99.86%又增加了0.04個百分點，達到99.90%。雖然去中心化交易所有其自身獨特的優勢，各大頭部交易所也紛紛布局去中心化交易所，但由于目前本身各種鏈上資產實際應用場景有限，跨鏈技術發展仍在初期。

3.三季度全市場交易量與BTC價格走勢相關性僅為0.18，二季度該數字曾高達0.71。可見目前以情緒主導的交易市場在BTC表現良好的時候，交易量主要依靠BTC支撐，在BTC不及預期時，仍然能有其它幣種的交易進行彌補，市場交易豐富度提高。

4.與2019年前兩季度相比，第三季度各法幣交易對表現差距較大，美元交易對交易量下跌，而其它三個法幣交易量出現將近一倍的漲幅，總量最高的韓元達到983億美元，進一步挑戰高達1900億美元交易量的美元交易對在市場中的絕對統治地位。

5.第三季度交易量TOP10的交易量占全市場的73%，但刷量情況不容小覷，在TokenInsight研究的交易所中近一半交易所虛假交易量達到50%以上。[2019/11/13]

動態 | 2018年第四季度機構投資占加密貨幣投資總額的66%:據灰度投資公司最新加密貨幣投資報告顯示，機構投資者的資本流入正在增加，2018年第四季度，機構投資占投資總額的66%。此外，投資者幾乎全部集中在美國，全年的統計數據顯示海外投資者占33%，而美國投資者占67%。總體而言，2018年第四季度加密產品的新資金流入有所放緩，但盡管如此，第四季度的投資額為3010萬美元，但灰度加密產品全年的價值達到3.595億美元，幾乎是前四年資金流入總和的兩倍。[2019/2/15]

動態 | 加密用戶總數翻在2018年翻了一番:據Zycrypto消息，根據劍橋大學發布的一份報告表示，加密用戶總數翻在2018年翻了一番。目前，加密用戶總數約為1.39億人。這些人中約有38％活躍于市場，其中大多數是個人加密持有者，而不是商人和對沖基金。此外，交易數量的增加也促成了加密市場中就業機會的增加，該行業的員工人數在2018年初增加了78％。[2018/12/29]

Tags：區塊鏈ILY中心化交易所ODAwpc幣區塊鏈TILY幣dex去中心化交易所代幣SODA價格

火幣網下載官方app