2019大佬說 | 我們請來了幾位區塊鏈安全行業KOL，聊了聊什么是“守方的信仰”_BIT:比特幣行情軟件pinescript

文|Aesop，郝方舟編輯|郝方舟新一年的鐘聲剛剛敲響，屬于2019的喧囂、瘋狂、奇跡、感動正在開啟。2018，作為區塊鏈行業媒體，Odaily星球日報既陪伴了區塊鏈行業瘋狂的從零到一，也見證了非理性繁榮的泡沫破裂。有人感嘆，這短暫卻精彩的時代片段，再也無法被復制了。因此，我們希望記錄下那些行業親歷者、開拓者的真實聲音，為行業的探索者、守望者指引前路。《2019大佬說》是Odaily星球日報推出的區塊鏈訪談欄目，我們采訪了50余位區塊鏈行業引領者，將訪談精華整理沉淀為系列文章。穩固的基礎設施和完善的生態服務是判斷區塊鏈是否晉升成為“產業”的一項標準。對于滿載價值而不只是信息的區塊鏈網絡，既從屬于基建又可歸為服務的“安全”就像站在一串“0”前面的“1”。今年年初，日本大型數字貨幣交易所Coincheck遭攻擊，超過5.2億美元的新經幣被黑客洗劫。4月，黑客借道智能合約中的整數溢出漏洞轉出大量美蜜，引發市場拋售，BEC價值幾乎歸零。5月，因超級節點競選而備受關注的EOS被曝出“史詩級漏洞”……交易所、公鏈與智能合約的接連失守，不禁讓人回問，區塊鏈安全嗎？Odaily星球日報今年接觸了庫神、慢霧、派盾PeckShield、360、CertiK、曲速未來、知道創宇、成都鏈安、長亭科技、安全鏈SECC等向區塊鏈世界提供安全服務的企業。我們發現：和區塊鏈技術一樣，區塊鏈安全服務行業還處于早期階段。風險是小概率事件，短視與僥幸減弱了付費意愿，熊市又降低了客戶的付費能力。僅靠用戶教育，很難快速拉升安全服務需求。相關法規與標準或成為強推力。攻防雙方的戰場是匯集財富的“法外之地”。黑客擅長在“防護木桶的短板”游擊、“名利雙收”后還無處追責；安全服務商需要全線布防、“替人消災”卻常被懷疑，雙方顯然不是同一心態。近日，Odaily星球日報再次邀請到庫神COO張玉、派盾科技PeckShield創始人蔣旭憲、知道創宇創始人趙偉、慢霧安全團隊、CertiK聯合創始人顧榮輝，用五問五答盤點區塊鏈安全過去這一年、展望未來的風貌。以下為整理編輯后的問答精華，enjoy~

Bitfinex收回2016年的一起被盜事故中的部分資金，將用于贖回此前發行的債券代幣RRT:7月7日消息，Bitfinex宣布，已收回了2016年8月的一起被盜事故中的部分資金，具體為312219.71美元現金和6.917BCH。

根據Bitfinex此前的合同義務條款，這些金額將用于贖回Bitfinex在2016年安全漏洞后發行的債權恢復代幣（RRT）。由于目前有3000萬枚RRT在流通，回收的金額不足以贖回所有RRT代幣，因此Bitfinex將根據RRT持有者在UTC時間7月6日上午12:00.01持有的RRT規模，按比例贖回代幣。[2023/7/7 22:22:30]

Q1.今年在區塊鏈安全領域，讓您印象最深刻的一件事是什么？這件事在哪些方面影響了人們對區塊鏈的認知？張玉：今年1月份的NEM被盜事件，當時大概價值五億多美金，確實是整個區塊鏈行業里金額最大的一次。對這個事情印象比較深刻，等于這開啟了一連串的交易所被盜的序幕，某種程度上也影響了大家對這個行業的信心，間接影響了今年的市場走向。大家對安全重新進行了思考，因為之前大家可能感覺區塊鏈技術上比較完美，但其實也存在安全隱患，因為資產畢竟是保存在客戶自己手里。這跟傳統世界資產由中心化機構來保證是不一樣的。蔣旭憲：4月下半旬，美鏈BEC的智能合約漏洞。資產縮水，幣價歸零，我非常震撼。我從來沒想到數字資產一旦出現事故，影響會這么大。區塊鏈自帶金融屬性，和傳統的互聯網安全玩法完全不一樣。之前，更多是設備被黑可能影響到業務數據方面。但是在區塊鏈里，交易所、token、智能合約……全是安全問題。趙偉：過去一年就很亂！我印象最深的是新經幣事件，攻擊者把新經幣賣了狂砸盤，導致新經幣差點清零，這是到現在為止最大的一起盜竊。這件事讓人們認識到安全的重要性。安全是“1”，沒有安全，后面數字再多也是“0”。人們還發現，區塊鏈以前號稱的安全，只是某種意義上的安全。交易所和錢包還是集中式的，不是鏈上分布式的。但安全遵從著木桶效應，你的最短板就是黑客最容易攻擊的地方。慢霧安全團隊：3月20日的以太坊黑人節。我們團隊3月1日開張，在跟進這個問題時發現，地下黑客在這方面的攻防形勢是非常嚴峻的，黑客不需要知道任何錢包相關信息就可以把用戶的錢都偷走。這是之前從未出現過的遠程攻擊。這次事件造成的損失也非常嚴重，5萬多個以太坊被盜了。以前大家都在關注智能合約，沒有人關注節點層面的安全問題。節點操作不當的話也會出現非常大的損失，并且這種攻擊方式不需要知道你的任何信息，僅僅通過一行命令就可以把你的錢全轉走。顧榮輝：4月以太坊智能合約ERC-20中BatchOverFlow漏洞被黑客利用，對BEC和SmartMash兩個智能合約進行攻擊。前者導致市場恐慌，大量拋售BEC，64億市值短時間內蒸發；后者使得SMT在各大交易所平臺的交易暫停。人們逐漸意識到區塊鏈安全問題的重要性，少數公司能夠自己檢測到安全漏洞。但公鏈的安全性應該怎么保障，由誰來保障？現有的技術還不夠成熟，而目前區塊鏈安全領域的公司較少。Q2.能否簡單總結下區塊鏈安全服務行業的生存現狀。行業目前遇到最大的困難是什么？2019該如何突破困境？張玉：區塊安全服務行業還處于比較初期的階段，因為大家都還在探索商業模式。遇到最大的困難是用戶對安全的認知不清晰，安全教育工作也比較初步。安全是貫穿于資產的生產、存儲、交易全過程的。我們一直通過公眾號上知識問答、漫畫等內容來向大眾普及安全。蔣旭憲：首先，現在的區塊鏈安全行業，攻擊者是強于安全保護者的，甚至強于生態建設者。第二，整個行業還處在野蠻生長階段，空氣幣、傳銷甚至跑路，都給真正做事的那一方增加了輿論壓力。第三，區塊鏈行業本身門檻比較高，為了發展又需要接納新用戶和開發者，所以有產品落地的問題。行業最大的問題是安全事故節奏太快，我們有點應接不暇。從生態來說，我們對區塊鏈合約的理解可以再提高，開發者安全意識和技能還可以改善，安全公司任重道遠。黑客攻擊也有助于安全服務生態的建設。趙偉：區塊鏈行業泡沫太多，所以準定要經歷泡沫的再壓縮。壓縮也會影響到安全服務行業，我們能服務的客戶減少了，但也留下了更優質的客戶。相對而言，安全服務業算是受熊市影響較少的。區塊鏈安全服務目前遇到的困難是要保護的環節太多，從幣的產生、發放到流通、持有等等，每個都要做到位，生態才安全。行業所服務的對象也有些變化，今年全年主要圍繞公鏈，年初和年中的智能合約審計多些。慢霧安全團隊：2018年之前，無論在國內還是在國際上做這一塊的比較少，今年很多之前做傳統安全的轉型到區塊鏈安全，但是這個行業還沒有達到飽和，依然在發展。但是蓬勃發展后，都會進入類似紅海的階段，需要大家進行差異化競爭。比如現在經常有客戶問我們：你們和別人有什么不一樣？所以后續大家需要進行差異化競爭，不斷提升自己的硬實力。顧榮輝：人們對區塊鏈安全的了解過少。本身這個領域要求很前沿的技術，進入門檻高。市場上有太多打著“形式化驗證”旗號的公司，真正能做到“深度規范”的幾乎為零。目前比較主流的解決方案是使用眾包平臺對智能合約進行篩選。這種基于人力的驗證和審計往往成本巨大。對于每份智能合約而言，這種定制型解決方案也許很奏效，但顯然，巨大的市場需求無法就此滿足。由于信息不對稱，消費者缺少安全領域方面的必要知識，不能很好區分真正具備技術的公司。我們十分希望能夠有更多的業內人士通過與我們的合作真正了解形式化驗證。Q3.外人看來，攻方似乎更容易“收獲名利”，那么守方的信仰是什么？是否曾有動搖的瞬間，或被黑客“誘惑”過？蔣旭憲：我從沒想過這個問題，我覺得也不要想，因為我們工作在安全第一線。我們也從沒聯系過黑客，只是從黑客思維去理解他們為什么這么想。趙偉：我們年輕時就入行了，做安全行業不是為了發財有名啊什么的，而是保護別人比較有成就感。我們看好的是創造一份持久的事業，而不是這點錢。比特幣第一代參與者很多都是安全人員，我的幾個朋友每人都持有40萬枚，沒必要去偷去搶。如果是真正的安全行業高手，是有能力靠自己的技術掙錢，不需要做黑客偷別人的。我們都是從10年、11年開始玩，那時候比特幣才五美分。慢霧安全團隊：其實我們做安全本身就是出于自己的愛好。在我們安全圈內有句話叫“未知攻焉知守”，指的是做安全肯定要知道怎么去攻擊。我們的成就感在于給客戶發現更多的漏洞。其實黑客做了壞事都能被抓到的，只是說抓你的成本有多大，值不值得。我們在篩選團隊時就會看對方價值觀能不能被我們接受和認可，如果是那種動搖的人，我們就不會讓他進來。Q4.區塊鏈安全和互聯網安全最大的不同是什么？張玉：互聯網資產基本是在中心化機構手中，中心化機構承擔安全的責任。中心化交易所在面臨安全問題時，還達不到互聯網的安全級別，區塊鏈資產在用戶手里面，所以用戶要承擔安全責任。蔣旭憲：數字貨幣天然有金融屬性，用戶影響和用戶感知會更強一點；互聯網安全偏重用戶隱私，但沒有這么明顯的密集損失效應。區塊鏈的安全攻防會更激烈、節奏更快。趙偉：首先，區塊鏈的運行本身就有現金流，所以安全的重要性高于其他行業。但問題在于需要用到熱錢包、交易所等中心化的東西，這些短板在放大安全的缺陷。然后，要說到黑客，俗話“不怕賊偷，就怕賊惦記”。有一些犯罪分子把這個行業當成提款機。再有呢，一旦在區塊鏈上丟了東西，就真的完了，因為是去中心化和匿名的。不像你丟了卡，還可以在銀行補辦。慢霧安全團隊：區塊鏈安全和互聯網安全都會有APP、網站、系統后臺等，差異在于區塊鏈有自己的屬性，也就是共識算力、智能合約、底層虛擬機等。傳統互聯網，比如說開發一個APP，特別注重的是用戶的隱私和身份信息。但是在區塊鏈領域，無論做錢包還是交易所都是和資產相關的，所以區塊鏈公司特別重視平臺的安全、幣存儲的安全。顧榮輝：智能合約是目前最容易出現安全問題的地方。和傳統程序不同，智能合約具有自治，自足和去中心化等特征。智能合約的安全隱患既有傳統的互聯網世界中所存在的漏洞，也有自身獨有的風險點。對于黑客來講，攻擊傳統程序就像閉卷考試，比如攻擊阿里的系統，完全是黑盒攻擊，根本無法走近它的代碼。而攻擊智能合約就好比是開卷考試，黑客可以針對源代碼進行攻擊，極大降低了攻擊難度。在銀行、軍事等高安全級別的系統中，除了線上防護體系，還受系統性安全網絡保障，再加上嚴格的法律監管條文和國家級的追查體系，都抬升了黑客的攻擊成本。而中心化數字貨幣交易所集成了多個角色功能，卻只有一層線上防護體系，一旦被黑客突破，幾乎毫無還手之力。Q5.對于區塊鏈安全，法規和標準意味著什么？蔣旭憲：現在整個區塊鏈監管法律法規還不完善，因為這個原因，黑客攻擊犯罪成本較低。趙偉：很多人覺得法律法規在限制，但你看國內能不限制嗎？凈是一些坑蒙拐騙偷的人搞ICO，最能忽悠的都跑路了，劣幣淘汰良幣。這影響了人們的心態，一旦你覺得掙錢難、騙錢容易，想著一夜暴富，心理弱點就容易被人利用。所以必須要有合適的法規來約束，因為騙子太多了，傻子不夠用。也有人反對約束，認為區塊鏈本身是去中心化的，自身數學就是法規，規則標準由礦機執行。我也覺得這挺完美的，但我發現技術人員多少有些對現實社會的“天真”。總體，法規對安全服務業來說有利有弊。利是如果要求有安全檢測，那客戶對安全都是放在第一位的，必須有安全檢測來加固保護。弊是設置了準入門檻，控制了市場總體量。慢霧安全團隊：法律和標準是為了規范從業者，能給這個行業帶來更多安全。如果不符合這樣一個標準，項目價值會降低，無論項目參與者還是項目方自身都不希望在安全標準之下，這樣就能不斷提高整個行業的安全水平。顧榮輝：用代碼替代法律還需要迭代，安全性最后由人來保障。代碼本身存在漏洞或者邏輯模棱兩可，這個是無法被標準化的，判斷設計者的意圖對錯沒有任何參考標準。

動態 | Square 2019年比特幣銷售額超過5億美元:金色財經報道，支付和移動金融服務公司Square公布了2019年第四季度財報，該季度產生了價值超過1.78億美元的比特幣購買量，比上一季度增長約20％，同比增長240％。此外，Square在2019年的比特幣銷售額超過5.16億美元。雖然與美國大型的零售加密交易所相比，其銷售額仍然相形見絀，但第四季度在Square對比特幣需求的激增速度實際上超過了Coinbase、Gemini和Kraken。[2020/2/27]

2018年在“熙熙攘攘”的區塊鏈安全攻防戰中結束了。黑客出于利益頻繁進攻，白帽子守于道義嚴加防守，雙方比拼誰先找到漏洞。“現在的攻擊者強于保護者，甚至強于生態建設者，但黑客攻擊有助于安全服務生態的建設”，是安全服務人士對目前形勢的判斷。多位業內人士預測，2019年將是“橫盤”的一年。市場的低迷可能“唆使”部分開發者轉為黑客。另一方面，以太坊的升級、多條公鏈的主網上線，又“贈予”黑客更多攻擊目標。區塊鏈世界依然充滿了未知與變數。但我們可以預見，2019年攻防大戰將繼續上演，并且更加頻繁激烈。相關閱讀

星球研報|2018年區塊鏈技術安全服務行業報告你居然還以為區塊鏈更安全，我也是醉了附《2018區塊鏈領域走心盤點》

聲音 | Kraken OTC負責人：2018年以來場外交易量增加了20倍:據cointelegraph報道，加密貨幣交易平臺Kraken的場外交易（OTC）主管Nelson Minier表示，自2018年以來，場外交易的月交易量增加了20倍。BTC、ETH、BCH、XMR和USDT是交易量前五大加密貨幣。[2019/8/21]

動態 | 證券日報發布2018年區塊鏈行業焦點盤點:證券日報發布《2018年區塊鏈行業焦點盤點：亂象頻發幣圈狼藉監管筑籬》文章稱，很多人將此輪區塊鏈熱潮與20年前的互聯網泡沫相比。可以確定的是，區塊鏈“泡沫”一定有，但區塊鏈能否如互聯網般改造世界，尚難下定論。監管部門去年以來重拳出擊，規范資本市場“炒鏈”行為，嚴厲懲治ICO。從中央到地方，掀起防范以“區塊鏈”名義進行非法集資的高潮，不斷給區塊鏈“排瘦身”。而瘦身后的區塊鏈也正逐步回歸理性——幣圈蕭條，市場開始重新審視以比特幣為代表的加密數字貨幣的價值與意義；去蕪存菁，越來越多的企業沉下心轉向技術應用開發；人才成本也擠出“泡沫”，回歸同行業正常水平。[2019/1/4]

IDC：預計2018年全球區塊鏈解決方案市場規模將達到21億美元:目前1175家區塊鏈創業公司主要集中在美國、歐洲及中國等國家和地區。據國際數據公司IDC報告，預計2018年全球區塊鏈解決方案市場規模將達到21億美元，其中，美國將占到全球區塊鏈支出的40%，西歐將成為第二大地區，中國雖位列第三，但數據顯示，2017年中國的區塊鏈技術專利申請和區塊鏈投資增速已超過美國，并且預期中國2016年至2020年的復合年增率將達115.6%。據Coindesk2月發布的《2018年區塊鏈行業報告》預計，至2025年，區塊鏈的企業級應用的年營收將達到199億美元（2016年該數據約為25億美元），復合年增長率約為26.2%。[2018/5/17]

Tags：區塊鏈比特幣RRTBIT玩區塊鏈掙的錢合法嗎比特幣行情軟件pinescriptIRRTBit Miner Chain

中幣交易所