慢霧創始人余弦：2020 后區塊鏈世界及安全的一些思考_區塊鏈

在這作為已經是區塊鏈世界的局內人，我有一些思考寫出來和我的關注者們聊聊。

三個魔盒

區塊鏈發展史，我認為有三個魔盒般的里程碑，既然是魔盒，那一定是帶來足夠影響力的，雖然不一定帶來足夠的落地。

第一個就是比特幣，中本聰共識的世界，這個其實不用多說，比特幣/中本聰已經是這個世界的最高信仰。

說個有趣的，在維基百科上“密碼朋克”人物列表里，一個是中本聰，另一個是阿桑奇。阿桑奇是維基解密(WikiLeaks)創始人，2006 年底就開始運作維基解密，維基解密是通過協助知情人讓組織、企業、政府在陽光下運作的、無國界、非盈利的互聯網媒體，由于發布了大量機密文件而其飽受爭議，反正許多強大的國家不喜歡他們，最終這些國家忍無可忍，2019 年，正式把阿桑奇給抓了...

回到 2010 年，當時阿桑奇看到了比特幣的發展，宣布維基解密要接收比特幣贊助，這是個非常天才的想法，除了比特幣，維基解密的法幣贊助渠道都被各國監管嚴密封堵，而比特幣很難被封堵。當時中本聰很著急，覺得阿桑奇你這樣高調宣布，這對才發展 2 年的比特幣來說可不是個好事，畢竟維基解密是什么局面？中本聰又不是傻子，萬一一個不小心，才 2 年的比特幣被超級力量干掉，那如何是好。當時中本聰留下了一段話：

慢霧：Apple Store惡意釣魚程序可模仿正常應用程序，盜取賬號密碼以繞過2FA:7月25日消息，慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例，其中Apple Store出現惡意釣魚程序，通過模仿正常應用程序盜取用戶賬號和密碼，然后攻擊者把自己的號碼加入雙重認證的信任號碼，控制賬號權限，用來繞過蘋果的2FA。“加密貨幣用戶務必注意，因為目前有不少用戶、錢包的備份方案是iCloud備份，一旦被攻擊，可能造成資產損失”。[2023/7/25 15:56:56]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(馬蜂窩), and the swarm is headed towards us.

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

2011 年，中本聰消失了...我們不好推測他為什么消失，但確實比特幣已經開始失控地發展。現在回頭來看，比特幣過去的歷史波瀾成就了比特幣的今天，比特幣打開了加密貨幣世界的第一個魔盒。

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

第二個魔盒是以太坊打開的，引入了圖靈完備的智能合約，讓區塊鏈不僅是跑加密貨幣，還可以跑自定義計算，雖然這種計算并沒想象的那種“智能”，雖然這個魔盒的打開帶來了許多亂象，但我們現在知道：“哦，區塊鏈能做這樣的事。”

慢霧：Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報，2022年1月18日，bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示，此次攻擊是由于setTrustedForwarder函數未做權限限制，且在獲取調用者地址的函數_msg.sender()中，寫了一個特殊的判斷，導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

第三個魔盒是 Libra 打開的，這個魔盒的開啟，讓非加密貨幣世界的人都關注到：“哇，原來區塊鏈能被這樣的玩...”Libra 這個一攬子全球穩定幣由 Facebook 主導，整個官網充滿了數字貨幣革命的感覺，愿景極其霸氣：

建立一套簡單的全球貨幣和金融基礎設施，為數十億人服務。

重新創造貨幣。重塑全球經濟。讓世界各地的人們過上更美好的生活。

Libra 之后，大家也很快看到了我們國家對區塊鏈的大態度：“區塊鏈一定要干！”“加密貨幣不行，要嚴格監管！”無論如何，區塊鏈在我國是真的火了...

一個割裂

三個魔盒打開后，這個世界有一個明顯割裂：公鏈與聯盟鏈。

公鏈上的加密貨幣雖然在一些發達國家及第三世界國家已經得到某種程度的認可，比如承認這是“個人財產”，甚至在小范圍內還可以作為合法支付貨幣，但這些都在嚴格的監管法案下進行，尤其特別強調反洗錢。但加密貨幣對于現有世界秩序來說，普遍還是個被非常警惕對待的新事物。

動態 | 慢霧預警：交易所需注意識別網絡上的安全漏洞欺詐行為:據IMEOS 6月17日消息，近期多位客戶均反饋收到匿名的漏洞提醒郵件或Telegram消息，消息中會說你的交易平臺存在一些漏洞（比如 Web 服務整型溢出/Integer-overflow），將導致平臺無法打開。然后“匿名黑客”會教唆你支付 BTC 來獲得具體漏洞詳情，但其在收到 BTC 后會提供很初級的漏洞報告或直接消失。慢霧安全團隊提醒交易所注意識別，避免上當受騙，支付費用，只會助漲氣焰。不完全統計“匿名黑客”截止當前至少已經入賬 43 枚 BTC。[2019/6/17]

但聯盟鏈不一樣，聯盟鏈是現有世界秩序喜歡的形態，因為可自主也可控，縱觀現有聯盟鏈場景都可以發現一個共同特點“許可模式”。只有被許可的單位才能參與進聯盟鏈，才可以成為聯盟鏈的一個關鍵節點。聯盟鏈對應的場景一定有某種形式存在的“超級監管方”，這個“超級監管方”負責監控及管理這個場景下各方單位的活動博弈，當然這個“超級監管方”也可能被分權為“超級監控方”及“超級管理方”。你看，聯盟鏈是多好的東西。當然聯盟鏈也存在許多魚龍混雜情況，這些就不談了。

公鏈生態

特別提下公鏈生態，聯盟鏈生態沒什么好提的，讓子彈多飛會再說:-)

聲音 | 慢霧余弦：MimbleWimble并沒完全解決“交易隱私”問題:區塊鏈安全公司慢霧創始人余弦發微博稱，MimbleWimble并沒完全解決“交易隱私”問題，它讓交易在區塊鏈上不會暴露隱私，這個實現確實很漂亮，但由于它交易的特殊性，這導致相比其他匿名貨幣，基于 MimbleWimble 實現的在鏈下隱私與安全會遭遇更大挑戰。[2019/3/22]

既然是公鏈，那就是全世界的公共區塊鏈，野蠻發展是其最大的基因，如何有效監管這是個大話題，這里不談。這里簡單羅列下公鏈世界里我認為有趣的目前是小范圍的一些剛需。

支付需求：具有全球廣泛共識的加密貨幣，如比特幣、門羅幣、以太坊，在某些場景可進行支付與結算，包括運行其上的穩定幣

金融需求：去中心化金融(DeFi) DApp，這個目前在以太坊上已經有不錯的小范圍應用出現，不過主要圍繞抵押借貸，但在向現有世界金融場景努力借鑒并在去中心化場景努力改進

娛樂需求：一些游戲競技類 DApp，比如運行在以太坊、EOS、波場上的，有高質量的，雖然相比現有世界的游戲場景來說，玩家實在太少太少

隱私需求：Web3.0，用戶掌握私鑰即掌握了資產及隱私權力，說白了就是 Web3.0 可以讓人民比較好地“當家作主”，我覺得這是個非常有意義的長遠方向，但推進速度并不會很快

炒幣需求：這個在哪個世界都是這樣“東西不炒，動力就少”，這就是為什么那么多加密貨幣交易所的存在，這也誕生了許多亂象

存儲需求：有不少人和我類似，喜歡的加密貨幣會長期持有著，那就得安全存儲著呀，加密貨幣錢包也就這樣百花齊放了

算力需求：無論是 PoW，還是 PoS/DPoS 等，本質都是擁有“算力”即擁有“出塊權”，也即擁有“鑄幣權”。當然“鑄幣權”不一定要靠“算力”來擁有，比如 USDT/TUSD/USDC/GUSD/PAX 等本質是很中心化的加密貨幣穩定幣，再比如黑客掌握了某類型漏洞也是可以有“鑄幣權”，但是黑客的這種“鑄幣權”不長久，這種漏洞在全球頂級公鏈里也不容易擁有

大概這 7 個點，可能還有一些，先這樣。這些需求的融合與進化讓我對 2020 之后的區塊鏈世界充滿期待。公鏈的進化會誕生真正的隱私、自由與安全的群體；公鏈的進化會解決國家、種族、群體之間的某些信任邊界。嗯，說的有些大，但會是這樣。

說到安全

公鏈世界里的安全是強剛需，可以認為這是一種新型的金融安全方向，所有新秩序都在“摸著石頭過河”，對于安全來說，除了一起跟著“摸著石頭過河”并沒特別清晰的指引。但我覺得這樣才有趣，方向足夠新，空間足夠大，帶著安全隊伍開疆拓土。

安全附屬在生態里，上面提的公鏈生態每個點都有絕對的安全剛需，除了傳統網絡安全攻防，更多的是公鏈本身的安全攻防，我們把這兩部分成為“鏈下安全及鏈上安全”。關于安全在區塊鏈世界的重要性，可以見我之前的一篇文章，這里不做過多講解。

安全是區塊鏈生態里的基礎設施之一，無論公鏈還是聯盟鏈。但從剛需的生意角度來看，安全在公鏈世界里是強剛需，可以誕生足夠強大的區塊鏈安全公司；安全在聯盟鏈世界里是“偽需求”，安全公司在這個世界里和在已有的世界秩序里的存在感差不多，會有，不是沒有市場，但嚴重缺乏想象力。關于聯盟鏈安全再補充一點：聯盟鏈的太多場景，安全是非常滯后的，并未如公鏈的許多場景那樣經歷過足夠的安全對抗考驗。其中一個非常可怕的安全攻防入口是“超級監管方”，這個可以直接決定一條聯盟鏈的生死。

不得不說的一點：在安全這個基礎設施之上構建的安全衍生品才是真正大的市場。這個世界需要安全的支付場景、安全的金融場景、安全的娛樂場景、安全的隱私場景、安全的炒幣場景、安全的存儲場景、安全的算力場景等等。場景里已經不是純粹的安全攻防需求，而是基于安全的衍生品需求。

在這，我們已經將安全分為兩大部分：安全產品及安全衍生品。

安全產品本身就有不少的創造空間，鏈上安全及鏈下安全的一些獨特創造：

鏈上層面可以有自己的漏洞掃描、防火墻、反洗錢等，核心組件一定是在鏈上實現的，比如在智能合約層，在智能合約的用戶層及智能合約的系統層都可以做些工作。

鏈下層面有更大的創造空間，可以有自己的漏洞掃描、威脅分析、事件分析、防火墻、反洗錢等等，核心組件在鏈下實現，通過區塊鏈的幾個入口進行相關安全策略實施，如 RPC、P2P、智能合約虛擬機等。

至于安全衍生品，需求上面有提，這里就不展開談了:-)

談了怎么給區塊鏈世界做安全，那區塊鏈技術的運用能否解決現有世界的某些安全問題呢？

當然可以呀，區塊鏈有個非常核心的能力是解決了信任的問題，前面有提到的 Web3.0，“人民當家作主”，人民掌握了私鑰即掌握了自己的資產與隱私，這個如果應用的好，可以很好解決當前互聯網隱私大爆炸（泄露）的痛點，這些隱私為什么會大爆炸呢，就是因為現有的隱私安全模型在當前的互聯網下比較脆弱。那么可以完美解決嗎？我倒是不這樣認為:-)

私鑰是個神奇的東西，是密碼學光輝的一種體現，基于私鑰是可以有許多有趣的創造，私鑰不僅個人可以使用，也可以多方使用，比如安全多方計算的運用可以解決多方角色需要授權使用資產或隱私的安全問題。雖然這些過程，不需要區塊鏈也行，但結合了區塊鏈也等同于結合了某種信任模型，區塊鏈讓密碼學的光輝應用得到進一大步的發揮。我們的創造著力點一定是在這些可信環節上。

區塊鏈不是萬能藥水或銀彈，但卻是魔法藥水，在多方博弈的場景下可以降低信任成本，降低審計成本。那是不是一定要用區塊鏈技術？這個真不是。那是不是所有公鏈都有價值？必然也不是。看事情看本質，做事情做客觀。敬畏力量，但遠離非黑即白者。

最后

最后我想說：未來虛擬世界是絕對的獨立智慧體（硅基生命），加密世界是絕對的一個大勢，加密貨幣是絕對的一個剛需存在，雖然這個未來還有不少距離，但這個未來是一座燈塔。

區塊鏈安全也追隨這這座燈塔，創造空間無限，市場空間無限。

In Blockchain We Trust;-)

感謝我的關注者與支持者們，感謝我的區塊鏈安全團隊，其中一個是慢霧，另一個是？2020 年，慢慢的，大家就會知道啦。

Tags：區塊鏈聯盟鏈比特幣加密貨幣區塊鏈域名誰在管理聯盟鏈幣有哪些比特幣即將大漲我國為什么禁止加密貨幣

以太坊交易