區塊鏈安全保衛戰：三分技術 七分管理_區塊鏈

7月30日，Facebook在最新季度報告中提醒投資人，由于很多因素導致他們可能無法在2020年如期推出Libra數字貨幣，面臨的最大阻力就是監管。

而最讓監管機構擔憂的便是Facebook面臨的一系列安全問題，如何保障用戶的隱私安全，如何防止不法分子入侵…

安全是各行業發展面臨的首要問題，但絕對的安全是不存在的，只能通過技術讓它更安全而已。

浪潮涌起，泥沙俱下。近年來，交易平臺監守自盜、交易所遭受黑客攻擊、用戶賬戶被盜、私鑰丟失等安全事件層出不窮。

白帽匯2018年發布區塊鏈安全報告稱，每年因區塊鏈安全漏洞造成的損失高達數十億美元。目前，近80%的攻擊損失都是基于業務層面的攻擊所造成的，其損失額度從2017年開始呈現出指數上升的趨勢，截止到2018年第一季度，所暴露的安全事件就已經造成了8.1億美元的損失。

攻擊事件大致可分為四類安全事件：共識機制、智能合約、交易平臺和用戶自身。攻擊者主要選擇保護相對薄弱的數據層、網絡層、共識層、擴展層和業務層進行攻擊。

區塊鏈安全與傳統互聯網安全，既有共性，又有個性，既有交集，也有差異。

墨子區塊鏈安全實驗室CEO苗知秋告訴鋅鏈接，區塊鏈安全并不是一個全新的安全范疇，它運用了大量的傳統技術。

Wallstreetbets否認將推出區塊鏈驅動的應用程序:此前市場消息稱，Wallstreetbets推出區塊鏈驅動的應用程序以使指數去中心化。隨后Wallstreetbets否認了該傳聞。（金十）[2021/5/5 21:24:21]

所以，區塊鏈安全與傳統安全之間，大部分是重疊的，小部分是區塊鏈技術獨有的特點。

從底層代碼來說，傳統安全與區塊鏈安全大同小異。但是上面的應用層安全，區塊鏈安全帶有自身的特性，比如共識機制，使互聯網的中心化單點攻擊，轉變為區塊鏈的大面積攻擊。

假設有人要攻擊一個網上銀行，互聯網的方式是入侵某臺電腦的服務器、網銀地址，修改數據庫。

在區塊鏈里，共識機制是至少要篡改超過51%的節點。因為所有節點都依托于一段代碼程序，如果程序本身有漏洞，就可以篡改大面積節點。

一個很典型的事件是美圖發布的BEC，出現了溢出漏洞，大量超發，導致BEC瞬間歸零。相當于一只螞蟻絆倒了一頭大象。

快速入場，火速退場

區塊鏈安全公司的數量多少與區塊鏈行業的發展成正相關。2017年到2018年初，區塊鏈行業處于火熱期，很多人擠進來做項目，對安全的需求增多，于是很多區塊鏈安全公司順勢而生，主要有三類：

分析 | 卡巴斯基：與學生和市政問題相關的區塊鏈投票在用戶中最受歡迎:卡巴斯基發現，基于區塊鏈的在線投票正在興起。2018年年中到2019年年中，在基于區塊鏈的投票平臺Polys上對660個投票環節的匿名元數據進行分析，結果顯示，與學生和市政問題相關的投票在用戶中最受歡迎。[2019/7/30]

一個就是傳統安全行業轉型過來的安全服務商，比如知道創宇、白帽匯；

另一個是安全圈的新力量，因為有了區塊鏈新的場景引發了新的需求也加入進來，比如成都鏈安；

還有就是互聯網安全巨頭，比如360。

他們早期以安全研究打開局面，用安全服務、安全開發切入市場，服務主要集中在合約審計、交易所安全、錢包安全、鏈安全、黑產對抗、威脅預警等領域。

與互聯網安全發展相似，區塊鏈安全早期報的漏洞也相對比較少，但隨著技術的成熟、業務場景的增長，安全事件也會逐漸增多。

隨著業務熱點的轉移，哪個技術用得越多，安全公司研究的方向也會相應變化。

2018年，以太坊為首的智能合約是關注的重點，很多人去研究智能合約。

白帽匯聯合創始人、安全負責人鄧煥告訴鋅鏈接，“智能合約很簡單，像以太坊，幾百行代碼就能寫出一個應用，發行一個代幣。有的項目發行代幣，基于某個模板改幾個參數。只要模板有問題，好幾種代幣就都存在問題。”

行情 | 美股區塊鏈概念股普漲:今日美股開盤，美股區塊鏈概念股普漲。柯達上漲1.75%，埃森哲上漲0.63%，overstock.com上漲2.64%；Riot Blockchain上漲1.96%，Marathon Patent上漲3.61%，Square上漲0.49%。[2018/9/21]

隨著切入點越來越深，被爆出來很多鏈上的設計理念、業務邏輯存在問題。首先在合約或者經濟模型設計會存在漏洞，被人利用。此外，底層的安全問題也會逐漸增多。

玩家多了，自然會產生泡沫。知道創宇CTO兼COO楊冀龍告訴鋅鏈接，在市場行情好的時候，存在大量的惡意競爭。比如，合約審計服務甚至出現了打價格戰，導致安全產品和服務的價值非常廉價。另外，割韭菜的項目非常多，“一些所謂的安全需求方可能根本不關心他們的安全問題，而只是想發錢買個安全背書”。

泡沫一年之內就被戳破了。2018年，數字貨幣市場總市值從年初的4889億美元，下跌至12月13日的1081億美元，減少了77.89%。

區塊鏈行業開始萎縮，買單的人越來越少，市場上只剩下5、6個頭部玩家。一些新型安全創業團隊已經銷聲匿跡，大部分安全公司也減少了對應的投入或者考慮轉型。

慢慢地，進來的人發現區塊鏈整個生態和實際應用要發展起來，還有很長的路要走。不做實事的團隊，沒法在短期內獲得收益。如果做實際項目，比如金融、溯源等，可能短期內無法快速落地，需要投入比較長的時間，有些人就打了退堂鼓。

現場 | “明鏡臺”創始人齊稚：區塊鏈媒體應該明確行業的層次與分工:金色財經現場報道，在今日舉辦的2018全球媒體峰會上，BIMG高級研究員、“明鏡臺”創始人齊稚發表題為《區塊鏈浪潮下的媒體賽道選擇》的演講，他表示，越來越多的項目方發現很難篩選到有幫助的媒體，媒體間競爭日益激烈，容易形成惡性競爭，齊稚建議，區塊鏈媒體應該明確行業的層次與分工，建立和傳播客觀的認識、建立行業標準化模型達成行業內部共識。[2018/7/19]

鄧煥告訴鋅鏈接，當時的現象是，很多區塊鏈公司快速入場，又快速退場。整個行業一定是業務先行，市值撐起來才會有安全需求。否則，項目方自己都養活不了，安全公司更沒辦法生存。

重視不足，區塊鏈安全發展緩慢

前段時間，幣安被盜7000個BTC事件。鄧煥認為，現階段存在比較大的問題，是行業內對安全的重視不足，連頭部企業也不例外，更別說中小型企業，問題就更多了。在這樣一個環境下，區塊鏈安全公司的發展是很緩慢的。

在業務落地過程中，楊冀龍也遇到這些難點。

首先，市場監管不明朗，公司之前做了很多事情都是摸著石頭過河。隨著今年年初《區塊鏈信息服務備案管理辦法》的出臺，在監管方面還是需要與監管機構進行積極溝通。

IBM高層：通過區塊鏈讓數字廣告供應鏈更透明:IBM全球解決方案負責人Chad Andrews表示幾乎有一半廣告費在供應鏈中浪費，區塊鏈平臺解決了當前數字廣告網絡的許多低效率問題，廣告商知道他們的廣告將在何時何地發布，并能夠通過區塊鏈技術提供的透明度來追蹤廣告。Andrew認為：“區塊鏈上的共享賬本將作為單一的事實來源，為品牌本身和發布商創造無可爭議的透明度，這將有助于在對賬期間實現更高的準確性，并使廣告客戶的支出更加高效。”[2018/4/28]

其次，市場波動太大。從2018年初幣價創下新高，到2018年底集體抱團過冬，大部分區塊鏈從業者都經歷了冰火兩重天，導致有部分項目做到一半就停了。

第三，沒有統一的標準，無法像成熟的技術領域一樣，有完備的規范參考。各個區塊鏈安全團隊都是從自己的角度提出對安全的理解，幫助客戶做服務，難以保證服務質量。

為了解決這個問題，知道創宇聯了區塊鏈產業鏈上下游以及相關監管部門，結合各自的經驗和積累，提出了一些安全評估標準，例如《智能合約審計Checklist》以及硬件錢包評級標準等，同時也參與到相關行業標準的制定中。但區塊鏈安全畢竟起步時間較短，還需要在實踐中不斷完善。

慢霧科技合伙人兼產品負責人啟富告訴鋅鏈接，在區塊鏈圈子里，用戶群數量比較少。當你推出一些產品和應用時，真正接觸到的用戶不多，再加上有些用戶門檻比較高，需要一些背景知識，導致得不到很多的用戶反饋，得到可行性驗證的有效數據就比較少，產品沒有辦法獲得快速認可。

成都鏈安創始人楊霞告訴鋅鏈接，當前區塊鏈生態比較少，用戶的關注點還在業務邏輯上，對安全的關注不夠。應該吸取傳統信息系統建設的教訓，加強全行業的安全教育，采用最新安全理念，即業務系統和安全系統同步建設、同步上線、同步運營。

楊霞認為，安全產品目前側重于解決某個點上的問題，需要隨著區塊鏈技術的落地和規模應用同步發展，逐步形成區塊鏈行業全生態的安全解決方案。

搭建漏洞社區，共建安全生態

當欺詐性泡沫、共識被清理后，區塊鏈技術會更加符合人性，也會有更多創新型的企業和優秀的人加入進來，共同建造出更健康的區塊鏈生態。

目前，區塊鏈安全領域的5個頭部玩家分別是派盾、白帽匯、知道創宇、慢霧科技、成都鏈安。

面對區塊鏈安全的重重困難，他們也選擇了不同的發展方向。

派盾、知道創宇、慢霧與成都鏈安則想要打造區塊鏈安全生態。

派盾的漏洞挖掘能力處于一線水平。其硅谷研發中心負責人Jeff稱，漏洞監測覆蓋底層公鏈、交易所、數字錢包、智能合約等區塊鏈生態的各個環節，連續發現并命名了BEC、SMT、EDU等智能合約的重大安全漏洞。

楊冀龍向鋅鏈接介紹，知道創宇主要以云防護專業的區塊鏈安全服務為核心，解決底層基礎設施到應用層智能合約和DApp中所面臨的安全問題。

知道創宇的優勢在于，覆蓋面比較廣，從節點、鏈、智能合約、DApp應用、到區塊鏈錢包的安全基本全覆蓋。

作為中國最早專注于區塊鏈生態安全的公司，慢霧科技的特長是實戰能力強，擁有一支十多年一線網絡安全攻防實戰的團隊。

其安全解決方案包括：安全審計、安全顧問、防御部署、威脅情報(BTI)、漏洞賞金等服務并配套相關安全產品。

除了研究全球知名公鏈如比特幣、以太坊等，慢霧還特別深耕以太坊和EOS生態，圍繞DApp安全攻防對抗，安全審計與防御的知名智能合約數百份。

成都鏈安的目標是建立區塊鏈行業全生態的安全解決方案，覆蓋了鏈平臺、交易所、錢包、用戶等區塊鏈行業的各參與方。

公司建立了全面的面向區塊鏈安全的數據中臺，為上層安全產品提供豐富、準確的數據支撐，以與國家區塊鏈漏洞共享平臺合作和社區共建的方式建立了自有威脅情報庫，為其他安全產品提供情報支撐。

白帽匯的思路是切入漏洞社區。在傳統安全領域，白帽匯支撐很多政府監管部門的安全項目；在區塊鏈安全領域，白帽匯成立了DVP去中心化漏洞平臺，把在傳統安全做漏洞社區的思路放到區塊鏈安全行業，提供合法的渠道，對接安全人員與項目方——安全人員提交漏洞，項目方根據漏洞的等級給其獎勵。

至今，平臺已經發現了4000漏洞，涉及到交易所、公鏈、智能合約各方面，比較知名的D網交易所、以太坊公鏈等也曾由DVP的白帽子發現過嚴重問題。最近，白帽匯也在與監管機構溝通，制定區塊鏈安全行業標準。

啟富告訴鋅鏈接，未來區塊鏈安全領域的攻防對抗會愈演愈烈。隨著更多大規模的用戶入場，就會有更多資產在區塊鏈上，攻擊者會不斷盯著交易所等平臺，將會有更多類似硬件錢包、金庫的手段來保證巨額資產的安全。

另外，隨著公鏈的底層設計越來越完善，底層基礎的問題會越來越少，在上面運行的智能合約會越來越安全，可以規避溢出之類的基礎問題，常規的漏洞會越來越少。漏洞將會集中在業務邏輯、應用場景方面。

技術往往是第二位的，很多問題是出在管理、制度、流程方面。苗知秋談道，安全圈早就有一個說法，三分技術七分管理，過于依賴技術，不把人管好，只是把機器管好，最終不能真正解決問題。

歸根結底，踏實讓區塊鏈技術實現落地應用，解決實際問題，才是最重要的。

Tags：區塊鏈以太坊LSTSTR區塊鏈幣種類以太坊最新價格行情平臺Doge of WallStreetBetsSTRN價格

ETH