區塊鏈安全保衛戰：三分技術 七分管理_STE:steem幣價格

7月30日，Facebook在最新季度報告中提醒投資人，由于很多因素導致他們可能無法在2020年如期推出Libra數字貨幣，面臨的最大阻力就是監管。

而最讓監管機構擔憂的便是Facebook面臨的一系列安全問題，如何保障用戶的隱私安全，如何防止不法分子入侵…

安全是各行業發展面臨的首要問題，但絕對的安全是不存在的，只能通過技術讓它更安全而已。

浪潮涌起，泥沙俱下。近年來，交易平臺監守自盜、交易所遭受黑客攻擊、用戶賬戶被盜、私鑰丟失等安全事件層出不窮。

白帽匯2018年發布區塊鏈安全報告稱，每年因區塊鏈安全漏洞造成的損失高達數十億美元。目前，近80%的攻擊損失都是基于業務層面的攻擊所造成的，其損失額度從2017年開始呈現出指數上升的趨勢，截止到2018年第一季度，所暴露的安全事件就已經造成了8.1億美元的損失。

攻擊事件大致可分為四類安全事件：共識機制、智能合約、交易平臺和用戶自身。攻擊者主要選擇保護相對薄弱的數據層、網絡層、共識層、擴展層和業務層進行攻擊。

區塊鏈安全與傳統互聯網安全，既有共性，又有個性，既有交集，也有差異。

墨子區塊鏈安全實驗室CEO苗知秋告訴鋅鏈接，區塊鏈安全并不是一個全新的安全范疇，它運用了大量的傳統技術。

動態 | P網支持Steem代幣遷移至波場區塊鏈,將重新上線Steem:據官方消息，波場TRON基金會今日宣布與Steemit達成戰略合作，Steem代幣將遷移至波場TRON區塊鏈。據悉，代幣遷移完成之后，在波場鏈上新產生的部分Steem代幣將發放至TRX用戶。P網（Poloniex）作為波場TRON基金會重要合作伙伴之一，宣布支持本次代幣遷移活動。為使遷移順利進行，P網將重新上線Steem，具體兌換詳情等請見后續公告。[2020/2/15]

所以，區塊鏈安全與傳統安全之間，大部分是重疊的，小部分是區塊鏈技術獨有的特點。

從底層代碼來說，傳統安全與區塊鏈安全大同小異。但是上面的應用層安全，區塊鏈安全帶有自身的特性，比如共識機制，使互聯網的中心化單點攻擊，轉變為區塊鏈的大面積攻擊。

假設有人要攻擊一個網上銀行，互聯網的方式是入侵某臺電腦的服務器、網銀地址，修改數據庫。

在區塊鏈里，共識機制是至少要篡改超過51%的節點。因為所有節點都依托于一段代碼程序，如果程序本身有漏洞，就可以篡改大面積節點。

一個很典型的事件是美圖發布的BEC，出現了溢出漏洞，大量超發，導致BEC瞬間歸零。相當于一只螞蟻絆倒了一頭大象。

快速入場，火速退場

聲音 | 福建省政協委員：要營造區塊鏈技術和產業健康發展良好秩序:據人民政協網1月17日消息，福建省政協委員陳麗表示，福建省區塊鏈技術還處于早期發展階段，存在理論基礎不夠扎實、應用場景不夠廣闊、行業標準及監管體系不夠完善等問題。陳麗建議，要加強技術宣傳，全力促進應用普及，營造區塊鏈技術和產業健康發展良好秩序。同時，深化產教融合，加強跨行業培訓和研討，積極塑建合理的“區塊鏈+”復合型人才結構；加大政策扶持，積極開展合作交流，聚焦福建優勢，從省級層面進行規劃和引領，加快推進福廈泉建設區塊鏈經濟綜合實驗區，打造特色產業集群；制定行業標準，發揮行業協會、聯盟等社團組織自律作用，盡快建立健全區塊鏈產業監管體系，為全省實體經濟發展提供有力支撐。[2020/1/17]

區塊鏈安全公司的數量多少與區塊鏈行業的發展成正相關。2017年到2018年初，區塊鏈行業處于火熱期，很多人擠進來做項目，對安全的需求增多，于是很多區塊鏈安全公司順勢而生，主要有三類：

一個就是傳統安全行業轉型過來的安全服務商，比如知道創宇、白帽匯；

另一個是安全圈的新力量，因為有了區塊鏈新的場景引發了新的需求也加入進來，比如成都鏈安；

還有就是互聯網安全巨頭，比如360。

他們早期以安全研究打開局面，用安全服務、安全開發切入市場，服務主要集中在合約審計、交易所安全、錢包安全、鏈安全、黑產對抗、威脅預警等領域。

動態 | ARPA作為唯一區塊鏈創業公司受邀參加朝鮮日報金融科技峰會:據官方消息，朝鮮日報（韓國的人民日報）于12月5號于首爾舉辦FinD 2019 Fintech &Blockchain大會，受邀方均為韓國政府、金融機構和商業巨頭，以及中國大型企業等。ARPA是唯一被邀請做Keynote演講的區塊鏈創業公司。一同出席此次峰會的有三星、SK、Kakao、Woori Bank、百度、微眾銀行、R3等。

本次峰會贊助方為政府機構，包括韓國金融服務委員會,韓國金融電信和清算機構,韓國中小企業和創業公司部（MSS)，科學技術部以及UpBit的母公司。[2019/12/5]

與互聯網安全發展相似，區塊鏈安全早期報的漏洞也相對比較少，但隨著技術的成熟、業務場景的增長，安全事件也會逐漸增多。

隨著業務熱點的轉移，哪個技術用得越多，安全公司研究的方向也會相應變化。

2018年，以太坊為首的智能合約是關注的重點，很多人去研究智能合約。

白帽匯聯合創始人、安全負責人鄧煥告訴鋅鏈接，“智能合約很簡單，像以太坊，幾百行代碼就能寫出一個應用，發行一個代幣。有的項目發行代幣，基于某個模板改幾個參數。只要模板有問題，好幾種代幣就都存在問題。”

隨著切入點越來越深，被爆出來很多鏈上的設計理念、業務邏輯存在問題。首先在合約或者經濟模型設計會存在漏洞，被人利用。此外，底層的安全問題也會逐漸增多。

行情 | A股收盤：區塊鏈板塊上漲3.13％:A股收盤，三大股指全線上漲，上證指數收漲1.30%，區塊鏈板塊上漲3.13％。80個概念股中，77只上漲，3只下跌。漲幅前三為：金財互聯（+10.05％）、東港股份（+8.46%）、金證股份（+8.29%）; 跌幅前三為：游久游戲（-5.85％）、榮之聯（-5.59%）、漢鼎宇佑（-2.29％）。[2019/2/1]

玩家多了，自然會產生泡沫。知道創宇CTO兼COO楊冀龍告訴鋅鏈接，在市場行情好的時候，存在大量的惡意競爭。比如，合約審計服務甚至出現了打價格戰，導致安全產品和服務的價值非常廉價。另外，割韭菜的項目非常多，“一些所謂的安全需求方可能根本不關心他們的安全問題，而只是想發錢買個安全背書”。

泡沫一年之內就被戳破了。2018年，數字貨幣市場總市值從年初的4889億美元，下跌至12月13日的1081億美元，減少了77.89%。

區塊鏈行業開始萎縮，買單的人越來越少，市場上只剩下5、6個頭部玩家。一些新型安全創業團隊已經銷聲匿跡，大部分安全公司也減少了對應的投入或者考慮轉型。

慢慢地，進來的人發現區塊鏈整個生態和實際應用要發展起來，還有很長的路要走。不做實事的團隊，沒法在短期內獲得收益。如果做實際項目，比如金融、溯源等，可能短期內無法快速落地，需要投入比較長的時間，有些人就打了退堂鼓。

李彥宏：區塊鏈技術非常具有革命性 但處在非常早期的階段:3月3日下午，全國政協委員、百度公司CEO李彥宏在接受記者采訪時表示，政府應鼓勵互聯網公司開放自己的人工智能平臺。在談到區塊鏈技術時，他表示區塊鏈技術非常具有革命性，但現在還處在非常早期的階段。[2018/3/3]

鄧煥告訴鋅鏈接，當時的現象是，很多區塊鏈公司快速入場，又快速退場。整個行業一定是業務先行，市值撐起來才會有安全需求。否則，項目方自己都養活不了，安全公司更沒辦法生存。

重視不足，區塊鏈安全發展緩慢

前段時間，幣安被盜7000個BTC事件。鄧煥認為，現階段存在比較大的問題，是行業內對安全的重視不足，連頭部企業也不例外，更別說中小型企業，問題就更多了。在這樣一個環境下，區塊鏈安全公司的發展是很緩慢的。

在業務落地過程中，楊冀龍也遇到這些難點。

首先，市場監管不明朗，公司之前做了很多事情都是摸著石頭過河。隨著今年年初《區塊鏈信息服務備案管理辦法》的出臺，在監管方面還是需要與監管機構進行積極溝通。

其次，市場波動太大。從2018年初幣價創下新高，到2018年底集體抱團過冬，大部分區塊鏈從業者都經歷了冰火兩重天，導致有部分項目做到一半就停了。

第三，沒有統一的標準，無法像成熟的技術領域一樣，有完備的規范參考。各個區塊鏈安全團隊都是從自己的角度提出對安全的理解，幫助客戶做服務，難以保證服務質量。

為了解決這個問題，知道創宇聯了區塊鏈產業鏈上下游以及相關監管部門，結合各自的經驗和積累，提出了一些安全評估標準，例如《智能合約審計Checklist》以及硬件錢包評級標準等，同時也參與到相關行業標準的制定中。但區塊鏈安全畢竟起步時間較短，還需要在實踐中不斷完善。

慢霧科技合伙人兼產品負責人啟富告訴鋅鏈接，在區塊鏈圈子里，用戶群數量比較少。當你推出一些產品和應用時，真正接觸到的用戶不多，再加上有些用戶門檻比較高，需要一些背景知識，導致得不到很多的用戶反饋，得到可行性驗證的有效數據就比較少，產品沒有辦法獲得快速認可。

成都鏈安創始人楊霞告訴鋅鏈接，當前區塊鏈生態比較少，用戶的關注點還在業務邏輯上，對安全的關注不夠。應該吸取傳統信息系統建設的教訓，加強全行業的安全教育，采用最新安全理念，即業務系統和安全系統同步建設、同步上線、同步運營。

楊霞認為，安全產品目前側重于解決某個點上的問題，需要隨著區塊鏈技術的落地和規模應用同步發展，逐步形成區塊鏈行業全生態的安全解決方案。

搭建漏洞社區，共建安全生態

當欺詐性泡沫、共識被清理后，區塊鏈技術會更加符合人性，也會有更多創新型的企業和優秀的人加入進來，共同建造出更健康的區塊鏈生態。

目前，區塊鏈安全領域的5個頭部玩家分別是派盾、白帽匯、知道創宇、慢霧科技、成都鏈安。

面對區塊鏈安全的重重困難，他們也選擇了不同的發展方向。

派盾、知道創宇、慢霧與成都鏈安則想要打造區塊鏈安全生態。

派盾的漏洞挖掘能力處于一線水平。其硅谷研發中心負責人Jeff稱，漏洞監測覆蓋底層公鏈、交易所、數字錢包、智能合約等區塊鏈生態的各個環節，連續發現并命名了BEC、SMT、EDU等智能合約的重大安全漏洞。

楊冀龍向鋅鏈接介紹，知道創宇主要以云防護專業的區塊鏈安全服務為核心，解決底層基礎設施到應用層智能合約和DApp中所面臨的安全問題。

知道創宇的優勢在于，覆蓋面比較廣，從節點、鏈、智能合約、DApp應用、到區塊鏈錢包的安全基本全覆蓋。

作為中國最早專注于區塊鏈生態安全的公司，慢霧科技的特長是實戰能力強，擁有一支十多年一線網絡安全攻防實戰的團隊。

其安全解決方案包括：安全審計、安全顧問、防御部署、威脅情報(BTI)、漏洞賞金等服務并配套相關安全產品。

除了研究全球知名公鏈如比特幣、以太坊等，慢霧還特別深耕以太坊和EOS生態，圍繞DApp安全攻防對抗，安全審計與防御的知名智能合約數百份。

成都鏈安的目標是建立區塊鏈行業全生態的安全解決方案，覆蓋了鏈平臺、交易所、錢包、用戶等區塊鏈行業的各參與方。

公司建立了全面的面向區塊鏈安全的數據中臺，為上層安全產品提供豐富、準確的數據支撐，以與國家區塊鏈漏洞共享平臺合作和社區共建的方式建立了自有威脅情報庫，為其他安全產品提供情報支撐。

白帽匯的思路是切入漏洞社區。在傳統安全領域，白帽匯支撐很多政府監管部門的安全項目；在區塊鏈安全領域，白帽匯成立了DVP去中心化漏洞平臺，把在傳統安全做漏洞社區的思路放到區塊鏈安全行業，提供合法的渠道，對接安全人員與項目方——安全人員提交漏洞，項目方根據漏洞的等級給其獎勵。

至今，平臺已經發現了4000漏洞，涉及到交易所、公鏈、智能合約各方面，比較知名的D網交易所、以太坊公鏈等也曾由DVP的白帽子發現過嚴重問題。最近，白帽匯也在與監管機構溝通，制定區塊鏈安全行業標準。

啟富告訴鋅鏈接，未來區塊鏈安全領域的攻防對抗會愈演愈烈。隨著更多大規模的用戶入場，就會有更多資產在區塊鏈上，攻擊者會不斷盯著交易所等平臺，將會有更多類似硬件錢包、金庫的手段來保證巨額資產的安全。

另外，隨著公鏈的底層設計越來越完善，底層基礎的問題會越來越少，在上面運行的智能合約會越來越安全，可以規避溢出之類的基礎問題，常規的漏洞會越來越少。漏洞將會集中在業務邏輯、應用場景方面。

技術往往是第二位的，很多問題是出在管理、制度、流程方面。苗知秋談道，安全圈早就有一個說法，三分技術七分管理，過于依賴技術，不把人管好，只是把機器管好，最終不能真正解決問題。

歸根結底，踏實讓區塊鏈技術實現落地應用，解決實際問題，才是最重要的。

Tags：區塊鏈STESTEEM以太坊影視幣區塊鏈有哪些BlockMonsterssteem幣價格以太坊官網公告

火幣交易所