区块链安全问题面面观|月光沙龙第30期-苗知秋_区块链社会学|沛文沛语_免费在线阅读收听下载

以下内容整理自月光沙龙第30期分享嘉宾，墨子实验室苗知秋博士的专题分享。

原文链接：《区块链产业的信息安全：月光沙龙第30期精华纪要》

https://mp.weixin.qq.com/s/sVl8PC-D-tG3qlzeTfmxxw

一：区块链的安全现状

区块链从2009年出现，现在为止差不多十年了，目前来说已经进入了一个高危期，如果是关注区块链，发现一些媒体可能隔段时间就会出现一个类似的安全事件播报，比如说哪个交易所遭殃了，或者是哪个人被盗了。

对于黑客来说，区块链时代实际上也是黑客的一个饕餮盛宴，因为最典型的一个就是现在区块链行业产生了很多暴发户，对于黑客来说，这绝对是属于挂在嘴上的肥肉。有些东西从遥不可及到触手可及了，以前资产没有数字化的时候，你的很多资产黑客是根本碰不着的，比如你的房产、汽车，或者说是放在银行里面的钱，这个黑客是碰不着的，对他们来说是可望而不可即的。

但当你的资产变成了数字资产并放在区块链上面，这对黑客来说不光是可以看得见，在一定情况下，它还能摸得着这个。

如果你私钥泄露了，或者被别人给偷去了，那么资产就一点都不安全了，所以说安全是有条件的。在出现了这么多次安全事件之后，区块链产业安全意识也在觉醒了，你不具备一定的安全能力或者安全等级的话，直接进入实际产业环境下面的话，是非常危险的。

二：安全问题分类

我们对于这段时间区块安全的研究，把它大概分成这么几类：

1：底层安全问题

2：上层安全问题

3：产业链相关安全问题：钱包、交易所、矿池

三：区块链安全的历史渊源

区块链安全问题来源它的历史，区块链去仔细的研究它的技术组成，发现区块链实际上是一些非常传统非常成熟的技术的集合。

我们可以把区块链大体上可以分成两块，第一块它最基础的就是一个P2P网络，像比特币。从以太坊开始，开始引入智能合约的概念。为了实现智能合约，就引入了虚拟机。因为传统的P2P网络只能用来做记账，没法执行智能合约。目前的区块链，分布式存储和分布式计算是它两大核心功能。

区块的安全跟传统的安全有一些共性的问题，这是由于它的父母遗传给他的，区块链安全它实际是一个技术矿，它包含了各种各样的技术，当区块链它在采用技术的时候，它用了什么技术，它获得了技术带来的能力，同时它也继承了技术的缺点。

所以它是个技术框，同时它也是个问题框。

四：区块链安全新的问题

同时它也有一些个性的问题，因为区块链的应用场景，跟以前的技术是不一样的。

1什么是智能合约的安全？

这个问题好多人各有各样的说法，但是以太坊创始人的这句话还是比较切合问题的本质，

小V：“事实上，智能合约安全的定义取决于合约的实际实现与设计意图之间的差异。”

这也是很多安全问题的根源就，就是说你实际做到的跟你以为的是不是一回事。说到转账的问题，你以为它是一个原子操作，但实际上说它并不是源头，中间出现了差异，这个时候就会造成了一个安全问题。

比如说我们说一下 The Dao攻击事件：话说当年有一个组织目标很宏大，想成立一个去中心化的自治组织，就是DAO缩写。为了成立这个组织，他就向社区募资，募到一大笔钱之后，都存在智能合约里，但是有一天他发现钱被别人都给转走了。

他后来追查，发现合约的世界是这样的，你既可以往里面投钱，也可以取钱出来。

2交易所安全问题

交易所其实是安全事件最多的地方，第一目标明显，有钱；第二交易所基本上都是中心化的交易所，系统架构都是用传统的系统架构，所以说黑客要对交易所发起攻击的时候，不需要去发明什么新的技术，就用传统技术去攻击就行了。

多视角下的区块链安全——底层开发者

对于底层开发者来说，我们认为最重要的是要重视历史的教训，因为已经出现过的这些问题，你就不应该再犯了。这不是能力问题，而是态度问题，大家就不会相信你了。

多视角下的区块链安全——应用开发

底层还需要有专门的安全团队，或者聘请第三方安全团队进行安全审计。大家可能认为在安全上花钱是比较贵，但实际上来说与你造成的损失来比这个已经算不上什么了，因为我们见识过好多的事件，损失都有百万千万级别的。

对于应用开发者来说，要习惯去中心化思维，你要知道你现在已经不是在一个pc上，或者在一个手机上开发程序了，你是在一个良莠不齐的纯分布式环境前面进行开发的，所以说你开发的思维方式一定要改变，一定要知道自己是在去中心化，一个分布式环境性的开发，而不是在一个机器上开发，所以这个时候就说脑子里面要多很多根弦，时时刻刻想到你的程序，会不会遇到这种安全问题。

五：法律无情，代码更无情。

大家都说法律不行，但实际上法律有些时候还是不外乎人情，你可以讲理，你钱丢了，你可以拿出你的各种证明，你的证件丢了，你可以去证明去补办，但是对于区块链来说，你私钥丢了，就不是你的了。

六：关于墨子实验室