技術大牛解析：火必員工維權風波 對平臺安全影響幾何？_區塊鏈

近期，在網絡上火必裁員的文章和言論引發行業熱議，根據火必員工維權群里流出的截圖顯示，一些在火必任職技術崗位的員工揚言要通過“刪庫”、“植入惡意代碼”等偏激方式來向公司索賠，某些推特大V也順勢引導平臺安全風險。在這里，我們暫不去對火必裁員和員工維權等事件做任何評論，對于用戶來說，最為關心的還是平臺安全問題，因為這直接關系到我們的資產安全。

為了探究真相，我們采訪了一位曾在Huobi任職5年以上的技術安全大牛為我們解答疑惑，究竟這番輿論風波是否會影響平臺的安全性？

1、工程師是否可以植入惡意代碼到生產系統？

包括火必在內的大型交易平臺，其研發流程往往是研發根據產品需求編寫程序代碼，然后提交給測試人員進行完整的功能性測試。測試驗證通過后，提交到公司的安全審計部門進行代碼審核。審核通過后這次變更才會被發布到線上。上邊提到的的每個環節都是由系統進行卡控，僅憑單獨個人是無法繞過整個流程體系完成代碼變更上線，更不要說植入惡意代碼。所以即使個別人存在植入惡意代碼到生產系統的想法，除非他能夠說服從研發到測試再到安審等所有流程環節的關鍵節點審核人，才能將惡意代碼植入到上線產品中，就可行性來看難度較大，除非該維權員工在火必身居要職，處在核心高管團隊之中，具有以上所提到的所有部門的調用權限。但在這個關鍵時刻，顯然火必會進一步強化整個流程環節的管控，發現任何異常都會格外警惕，目前難度不亞于破解層層防守的地下金庫中然后悄無聲息取走全部黃金。

第五屆CCF中國區塊鏈技術大會在無錫舉行:2月12日消息，2月10日至12日，第五屆CCF中國區塊鏈技術大會在無錫市舉行。大會由中國計算機學會主辦，中國計算機學會區塊鏈專業委員會、上海交通大學、無錫市委網信辦、無錫錫東新城商務區管理委員會、無錫市區塊鏈高等研究中心聯合承辦，無錫學院、中科云海智能技術實驗室協辦。

大會以“新應用 新賦能 新生態”為主題，邀請到超過50位演講嘉賓，其中既有區塊鏈學術領域的高校教授，也有業界應用領域的權威專家，共同探討區塊鏈技術新進展、區塊鏈安全與Web3、區塊鏈隱私保護與監管、區塊鏈數字資產交易、區塊鏈與密碼學以及區塊鏈領域人才培養等熱點話題。

會上還發布了《CCF區塊鏈專委會區塊鏈高水平學術期刊和學術會議目錄》《CCF區塊鏈學術研究白皮書》和《無錫市政務區塊鏈創新應用指南》。“無錫市區塊鏈高等研究中心-無錫學院人才實訓基地”也在大會上揭牌。一批區塊鏈產業鏈上下游的優質企業在會上與錫東新城商務區簽約，將落地區塊鏈項目，逐漸形成一個富有競爭力的區塊鏈產業共同體。（新華網）[2023/2/12 12:02:05]

2、DBA是否可以刪庫跑路？

動態 | 比特幣鯨魚利用SegWit技術大額轉賬4萬枚 僅收取3.93美元手續費:據The Next Web消息，5月1日比特幣鯨魚賬戶“Loaded”大額轉賬4萬枚BTC，僅收取3.93美元手續費。據悉，“Loaded”賬戶為比特幣老派投資者，此前因在論壇BitcoinTalk發帖而聞名，其多年來一直擁有4萬枚BTC，并且沒隔一段時間就會移動該筆BTC。經查詢，此次交易的比特幣地址以“bc1”開頭，意味著其使用了隔離見證（SegWit）技術，且該筆交易只收取了0.00074227 BTC(約合3.93美元)手續費。

此前消息，5月1日17:20分左右，比特幣出現單筆4萬枚BTC轉賬。bc1q9s開頭的地址向bc1q5s開頭的地址轉入4萬枚BTC，價值約2.14億美元。經查詢發現，該接收地址目前排名比特幣富豪榜第22位，且目前為止只發生過該筆交易，轉出地址目前余額為零。這4萬枚BTC最初是在2012年9月21日由1.5萬枚和2.5萬枚BTC合并而成，此后經歷多次轉移，并于2018年1月27日轉入bc1q9s開頭的地址，最后于5月1日悉數轉出。[2019/5/2]

數據庫是生產環境鏈路中關鍵的基礎設施之一，數據庫穩定性決定著生產服務是否可持續運行，從我在Huobi的經驗來看，火必針對數據庫可用性、數據安全性與一致性做了很多工作，其數據庫管理主要通過如下幾個角度保證安全性：

評論選出探索區塊鏈技術大公司全球十強 國有銀行占四成:據福布斯消息，在福布斯之前發布的全球公司2000強名單中，有眾多公司均在探索區塊鏈技術。通過收入、利潤、資產和市場價值進行綜合評分，得到了探索區塊鏈技術的全球十家大公司名單，排名如下：中國工商銀行股份有限公司、中國建設銀行股份有限公司、摩根大通、伯克希爾哈撒韋公司、中國農業銀行股份有限公司、美國銀行、富國銀行、蘋果公司、中國銀行、中國平安保險。[2018/6/7]

l安全與審計層面：

DBA登陸生產環境數據庫服務器，需要先登陸內網VPN，再通過堡壘機接入生產環境服務器，所有生產執行的操作可被審計。堡壘機記錄所有生產環境操作記錄的日志與錄像，DBSOS自助服務平臺對生產數據庫DDL，DML變更操作記錄日志，可被審計，堡壘機與DBSOS日志同步到安全團隊進行審計。

V神：區塊鏈跨鏈技術大規模應用將在一到兩年內爆發:以太坊創始人Vitalik Buterin近日接受采訪表示，跨鏈加密貨幣交易這一技術也能應用到其他領域。目前最大的挑戰仍然是寥寥無幾的區塊鏈實際應用和使用人群，現在除了個別領域外，還沒到開始實施跨鏈應用的時機。但我覺得在一兩年內，肯定可以看到這方面應用的大規模增長。[2018/3/15]

因此，任何人對DBA數據庫做變更行為都是一定會被審計和監管覺察到的。

l可用性層面：

MySQL、Redis、TiDB部署采用多AZ、多副本部署，降低單AZ故障帶來的影響與數據安全問題MySQL作為生產環境主要存儲介質，采用增強半同步保證Master與Replica的數據一致性，MySQL與Redis均保證<15s完成故障切換。

l數據庫備份與恢復層面：

具有完善的可調度的自動化數據庫備份系統與binlog——記錄所有數據庫表結構變更以及表數據修改的二進制日志備份系統，所有集群每天一份全備份，備份數據上傳到分布式存儲，可恢復近15天任意時間點數據。為了保證備份的有效性，建立自動還原檢測系統，每周定期對備份進行還原，生成還原報告，除上述自助恢復檢測外，DBA不定期對數據庫進行故障節點通過備份恢復

l生產環境數據變更層面

所有數據與表結構變更需求通過內部審批體系，SQL（StructuredQueryLanguage

，結構化查詢語言）提交到自助平臺，經過平臺的審核規則檢測，審核通過后由DBA點擊執行。所有通過自助平臺進行數據變更操作，默認生成回滾SQL，以便可以最快恢復到執行前狀態。自助平臺工單產生的日志同步到安全組進行審計

過往情況來看，Huobi全年的數據存儲服務SLA<=99.999%，SLA的概念，對互聯網公司來說就是網站服務可用性的一個保證，9越多代表全年服務可用時間越長服務更可靠，停機時間越短，反之亦然，主流互聯網公司表現較好都是99.99%，所以，DBA刪庫跑路造成不可逆的影響和用戶資產丟失的空間和可能性基本上是不存在的。

3、工程師是否可以導致不可恢復的系統宕機？

不會，火必的工程師只有將通過審核的代碼權限發布到線上的權限，沒有停止和下線的服務的權限。并且針對的所有服務的可用性公司有7X24小時的實時監控及服務質量的巡檢機制，發現有異常服務可以迅速處理。

4，工程師是否可以刪除整個系統代碼？

不會。火必研發使用了業界主流的代碼管理工具，有完整的備份在云端。git是一個去中心化的代碼版本管理工具，每個負責相應模塊的工程師電腦上都有完整的備份代碼，甚至每一次的代碼變更記錄都是記錄。

最后：

從職業上講，IT技術人員刪庫跑路以及植入惡意代碼的行為嚴重有違職業道德，且投入產出比為基本為零。任何一個員工如果做過類似的事情，將不會有任何雇主敢雇傭有過類似行為的員工。作為一個心智稍微正常、長期靠技術吃飯的IT從業者，沒有必要賭上自己將來的全部職業生涯做出這種損人不利己的行為。

當然了，由于我個人不是法律專家，這里不談可能會面臨的嚴厲法律制裁。

Tags：區塊鏈BTC比特幣CCF區塊鏈專業學什么課程ABTC幣比特幣sv發行價CCF幣

區塊鏈