CBC100 | 黃連金：區塊鏈安全的9個主要問題_DEF:Amun DeFi Momentum Index

區塊鏈安全一直是區塊鏈發展進程中至關重要的議題。如何設置更完善的KYC和AML系統、如何防止私鑰被盜、如何實現去中心化數字身份確認等等，都是我們需要日益關切的問題。

本期《CBC100》邀請到黃連金老師為我們解析區塊鏈安全中的9個主要問題。

1.?智能合約

智能合約是區塊鏈中最重要的技術之一，其特征是可以鎖定大量資產且在發布后不可更改，但智能合約是開源的，如果被黑客研究出代碼的漏洞，則會出現資產流失等問題。在整個區塊鏈發展中，大部分的安全事件都與智能合約漏洞有關，由于智能合約的安全問題而造成的資產損失量不可小覷。

在智能合約的安全審查中，需要關注是誰寫的、是否通過第三方審計、是誰將其發布上鏈、合約地址的私鑰由誰掌握以及是否可以升級等方面。智能合約的編程需要遵循開源的最佳實踐。例如云安全聯盟大中華區最近發布的《智能合約安全指南》白皮書和機械工業出版社的《區塊鏈安全技術指南》的第三章內容。

某聰明錢低點買入PENDLE在Binance上線前售出，獲利68萬美元:金色財經報道，據鏈上分析師余燼監測，一聰明錢在去年6月低點買進PENDLE，并于近期Binance上線前后售出，實現16倍收益(68萬美元)。去年6月它花費43052枚USDC買入877874 PENDLE，均價為0.049美元；在4月16日-7月3日之間陸續將PENDLE轉入MEXC和Bitget，可能的出售均價為0.79美元。[2023/7/9 22:27:07]

2.?數字錢包

數字錢包是數字貨幣和區塊鏈應用的入口，且包含了私鑰。

區塊鏈的數字資產是鏈上資產，而擁有這些數字資產的人就是私鑰的掌握者。也可以將錢包理解成是存儲私鑰的地方而非數字資產的地方，因為誰擁有了私鑰，誰就擁有了該私鑰地址下所有的數字資產。因此，如何保護私鑰的安全是區塊鏈安全問題中研究的重要領域。

不同類型的數字錢包，其安全需求是不同的。因此，我們需要了解各類型錢包的情況以及私鑰、公鑰和密碼、簽名等之間的關系，這樣才能更全面的解決錢包安全問題。關于錢包安全的問題，大家可以參考云安全聯盟大中華區最近發布的《數字錢包安全開發與應用實踐》

比特幣全網未確認交易數量為58002筆:金色財經報道，BTC.com數據顯示，目前比特幣全網未確認交易數量為58002筆，全網算力為344.82 EH/s，24小時交易速率為3.42交易/s，目前全網難度為46.84 T，預測下次難度下調0.20%至46.75 T，距離調整還剩11天20小時。[2023/3/26 13:26:46]

3.?共識算法

區塊鏈如果作為計算平臺，那么它有別于其他計算平臺的主要特征是共識算法。不同的節點或者服務器對于一個交易進行確認，決定這個交易是否發生、發生的順序，交易是否合理、是否雙化的算法就是共識算法。共識算法有很多種類。有傳統數據庫的共識算法，例如RAFT，?PAXOS，這兩種算法的主要特征是Crush?Tolerant也就是可以容許出現宕機，當其中一臺機器宕機，還有別的機器在運作，可以用?RAFT或者PAXOS作為底層的共識算法保證分布式系統的正常運行。但是當這些傳統算法遇到惡意節點時，傳統的共識算法就會失效。因此需要能夠容錯的算法，例如比特幣的POW算法，就可以防止一些惡意節點，其可以容納49%的惡意節點；同時還有在聯盟鏈中通常使用的拜占庭容錯，可以容納少于33%的節點錯誤。而以太坊2.0使用的權益證明和EOS上的DPOS也可以容許一定量的節點錯誤。

研究：全球NFT交易量到2027年將達到4000萬:金色財經報道，Juniper Research的一項新研究發現，全球NFT交易數量將從2022年的2400萬增加到2027年的4000萬。這是基于采用場景，品牌利用元宇宙來促進數字增長。該報告預測，與元宇宙相關的NFT將成為未來5年增長最快的NFT細分市場；到2027年，交易量從2022年的600,000筆增加到980萬筆。它突顯了對沉浸式體驗的需求不斷增長，這是虛擬世界采用的驅動力。（businesswire）[2022/8/22 12:40:29]

在共識算法安全問題的研究中可以從四個不同角度進行思考：

1.在網絡質量方面研究其安全性和活性。安全性即不會雙化，而活性則是指所有合理的交易都會被記錄在鏈上。

2.最終確認性。有些共識算法沒有最終確認，例如POW是基于概率的確認性，而拜占庭容錯確認則為最終確認。因此從這個角度看其安全和活性，所用的假設都不一樣。

Valar Ventures旗下新基金Valar Fund VIII完成6.65億美元募資:7月12日消息，根據美國證券交易委員會（SEC）披露文件顯示，由PayPal聯合創始人Peter Thiel支持的Valar Ventures旗下新基金Valar Fund VIII已完成6.65億美元募資，吸引了121個外部投資者。Valar Ventures是一個在加密領域較為活躍的投資機構，領投過加密兌換商XanPool的2700萬美元A輪融資、加密交易平臺Yellow Card的1500萬美元A輪融資、加密貨幣平臺Bitpanda的1.7億美元B輪融資和2.63億美元C輪融資、加密貨幣借貸平臺Vauld的2500萬美元A輪融資。（dealstreetasia）[2022/7/12 2:07:22]

3.區塊鏈不同類型私有鏈、公鏈、聯盟鏈的共識算法都不一樣，應用場景也不同，其中安全性和活性也都不一樣。

4.從Game?Theoretical博弈論的角度考慮算法安全性和活性。

Iagon推出以太坊-Cardano代幣橋Beta測試版:5月26日消息，隨著Iagon以太坊-Cardano Token Bridge Beta測試版上線，Cardano實現另一個互操作性里程碑。

據悉，4月底，去中心化云計算平臺Iagon宣布從以太坊區塊鏈遷移到Cardano。隨后，該公司宣布將其代幣供應量的50%從以太坊遷移至Cardano，總計5億枚IAG代幣。（U.Today）[2022/5/26 3:43:38]

目前共識算法的安全性和活性的研究在學術界和區塊鏈初創企業都獲得廣泛的重視。作為云安全聯盟區塊鏈安全工作組的成員單位，北京大學正在這方面展開研究。

4.?交易所

價值交換和價值實現的地方，因此也常收到黑客的攻擊。云安全聯盟對于經常出現的交易所安全問題進行分析，在2020年12月發布了《數字貨幣交易所Top10安全風險》可以作為從業者和用戶的參考。

5.?DAPP和?DeFi

DAPP就是去中心化的應用。今年大部分去中心化應用都出自DeFi。

去中心化金融很火，但卻頻發Rug-Pull即項目跑路等問題，當然除此之外也存在自身通證設計的安全問題。DeFi項目需要注意三方面的安全，第一就是智能合約的安全，第二就是通證經濟設計方面的安全，第三就是監管的安全。智能合約的安全前面已經提到過。這里就說一下通證經濟和監管的安全。如果通證經濟沒有設計好，會造成死亡螺旋的問題。就是你價格越低，參與的人越少，然后逐漸的就價格就歸零了，或者趨近于零，這就是死亡螺旋，你怎么樣去避免死亡螺旋，促進價格和生態可持續的發展，這個其實是通證經濟與DAO設計的一個關鍵。或者因為通證經濟設計參數方面有漏洞，可以被黑客利用。總體來說DeFi的90%的項目，因為有可能會因為共識不夠，通證經濟設計不合理，可能技術還可以，但是最后還是要靠生態，靠通證經濟，因為它是多學科的領域，其中某個領域沒做好，最后可能不能成功偃旗息鼓。DeFi第三方面的安全：是監管安全。現在DeFi生態還小，監管還沒有開始。但是到某個程度就要受監管，那么有些如果不符合監管的話，整個生態會受到打擊，所以這個風險就嚴重了。比如去中心化交易所EtherDelta項目被美國政府罰款是一個例子。需要注意的是DeFi項目最終都一定要符合本地的監管，所以首先項目需要有自律的精神，絕對不能夠去做非法的一些事情。DeFi要能夠真正地進行發展，一定要有行業的自律，現在國內有一些DeFi的仿盤，內在還是中心化的，不是去中心化，有可能會圈錢跑路的，所以大家要小心，保證好項目的安全工作，及時規避風險。

6.?去中心化數字身份

數字身份是保障數字經濟安全的信任基石，業界目前的數字身份體系一般都

是中心化的，區塊鏈作為解決可信問題的分布式技術，給數字身份自治的場景打開了天窗，比如減少云計算中心化身份數據大量聚合的泄露風險，在邊緣計算分布式系統中使可信身份認證管理更加便捷私密等等。去中心化數字身份的標準是W3C正在開發的一系列標準，包括DID數據模型，DID方法，DID通訊等等。利用DID標準來進行技術開發或者應用落地的項目或公司需要注意的一些安全與隱私的問題，開源組織云安全聯盟在2020年9月發布了《用戶自治數字身份安全白皮書》可以作為參考。

7.?網絡安全

區塊鏈中點對點網絡的安全非常重要。數據隱私保護，點對點傳輸的數據如何進行加密并保證數據通暢和不被篡改。在加密過程中，是否可以用零知識證明，或同態加密、多方安全計算等。北京理工大學作為云安全聯盟區塊鏈安全的成員單位正在這方面展開研究。

8.?數據層

區塊鏈數據層次包括鏈上和鏈下的數據，數據的保密性，完整性和可用性是數據安全需要關注的問題。區塊鏈本身的不可篡改的安全屬性在區塊鏈數據的完整性方面作出非常好的保證。但是在數據保密性和可用性方面，需要做進一步的研究。對于區塊鏈數據進行分類和安全與隱私方面的需求進行分析是利用區塊鏈發揮數據價值的必要條件。云安全聯盟區塊鏈安全工作組成員單位武漢大學在這方面正在開展研究。

9.?AM和數字貨幣溯源技術層

通過大數據研究的方法，對可疑、非法、洗錢、恐怖主義融資等不正常交易進行標注，并提供給政府相關部門協助進行整治。關于這方面的內容，建議大家看一下，云安全聯盟最近發布的《數字貨幣溯源技術白皮書》。

總而言之，在這9個方面中，智能合約是使得區塊鏈能夠真正用于實踐的工具，但在安全方面卻一直未受到重視；而錢包作為各方面應用的入口，安全問題也絕對不容小覷。而對于共識算法而言，安全性和活性格外重要。交易所安全事件同樣頻頻發生，因此解決交易所安全問題以及DAPP、去中心化數字身份，網路層次和數據層次和AML安全問題同樣刻不容緩。

來源：金色財經

Tags：區塊鏈EFIDEFIDEF區塊鏈游戲幣有哪些Amun DeFi Momentum IndexKong DefiDEFC幣

ADA