北大教授陳鐘：關于央行《規范》中的智能合約及基礎軟硬件安全解讀_區塊鏈:ENT

本文來源：金融自動化

作者：北京大學信息科學技術學院教授、區塊鏈研究中心主任?陳鐘

2020年2月5日，中國人民銀行正式發布《金融分布式賬本技術安全規范》金融行業標準。《規范》的發布，能有效引導金融科技領域的所有機構加強行業自律，落實安全責任，推動分布式賬本科技的有序發展。本文重點對《規范》中的智能合約及基礎軟硬件安全進行解讀。

智能合約

1.概述。智能合約是以信息化方式傳播、驗證或執行合同的計算機協議。其在分布式賬本上體現為可自動執行的計算機程序。

智能合約概念最早在1994年由學者NickSzabo提出，最初被定義為一套以數字形式定義的承諾。區塊鏈技術的出現重新定義了智能合約。智能合約是區塊鏈的核心構成要素，是由事件驅動的、具有狀態的、運行在可復制的共享區塊鏈數據賬本上的計算機程序，能夠主動或被動地實現數據處理、接受、儲存和發送等價值，以及控制和管理各類鏈上智能資產等功能。可以說智能合約是分布式賬本技術區別于傳統信息化技術最重要的標志之一。

北大教授馬麗麗：區塊鏈等技術使中國傳統文化保護和發展進入3.0時代:金色財經現場報道，2021年5月17日螞蟻鏈“文昌星傳統文化煥新計劃”發布會在杭州舉行。北京大學信息技術高等數字產業中心馬麗麗教授在會上發表演講表示，數字經濟發展促進各類數字文化種類快速發展，基于大數據、區塊鏈技術、精準算法為IP開發提供了新業態。而中國IP哪里來？傳統文化是巨大的寶藏。5G、大數據、云計算、人工智能以及區塊鏈技術為中華優秀傳統文化的保護，傳承提供了堅實的技術支撐。中國傳統文化保護和發展進入了3.0時代。[2021/5/17 22:10:58]

智能合約的運作機理如圖1所示，智能合約經各方簽署后,以程序代碼的形式附著在區塊鏈數據上，經P2P網絡傳播和節點驗證后記入區塊鏈的特定區塊中。智能合約封裝了預定義的若干狀態及轉換規則、觸發合約執行的情景、特定情景下的應對行動等。區塊鏈可實時監控智能合約的狀態，并通過核查外部數據源、確認滿足特定觸發條件后激活并執行合約。

聲音 | 北大教授蔡健：現有的區塊鏈技術若不改造 或會失效或者被作假:北大教授蔡健表示，區塊鏈之后，我們社會信任成本沒有解決。解決信任成本問題，就需要新的商業模式和價值優勢。比特幣是一個媒介，媒介本身沒有價值，是因為這個概念而增值。當80%人都認定它有價值的時候，意味著開始崩盤了。量子計算機已經出現了，可以在一秒鐘當中把這個鏈重解再重構，現有的區塊鏈技術如果不改造的話，可能會失效或者被作假。[2018/12/18]

圖1????智能合約運行原理

相信在未來的數字經濟中，幾乎所有的契約型的約定都可以利用智能合約，將業務邏輯以代碼的形式實現、編譯并部署，完成既定規則的條件觸發和自動執行，可以保障所有約定的可靠執行，避免篡改、抵賴和違約。

從智能合約的概念提出，到現在開始進行規模化應用，我們可以看到智能合約的執行離不開以基礎軟件和基礎硬件為核心構建的可信執行環境。考慮到金融場景的高可靠性要求，在《規范》中，明確要求了“智能合約宜在可信的軟件/硬件支持的環境中執行”。

聲音 | 北大教授張平：技術進步與法律保護是一對矛盾體:據金投網消息，近日，北大教授張平表示，區塊鏈技術本身代表了非常美好的愿望，它可以成為追求共識信任的系統，但前提是使用區塊鏈技術的一定是相互信賴的人，沒有黑客破壞區塊鏈平臺，最后用戶還要有風險承擔的能力，既然要用區塊鏈，就要研究所有國家的法律，避免使其商業模式觸碰法律紅線。

張平指出，技術進步與法律保護永遠都是一個矛盾體。技術不會停下腳步等待法律的跟進，在我國大力倡導區塊鏈技術應用的政策環境下，法律應當做適當調整以適應新技術的發展，在法律不能及時修訂的情況下，產業界還是要充分遵守現行法律進行研發和應用，避免落入法律原罪范疇。[2018/12/7]

2.基于基礎軟硬件的可信執行環境。基礎軟硬件為上層提供物理資源和計算驅動，是分布式賬本系統的基礎支持。通過基礎軟硬件為智能合約提供可信執行環境（TrustedExecutionEnvironment，簡稱TEE)是當前相對安全有效的智能合約運行安全的保護方式。

聲音 | 北大教授陳鐘：下一個十年，將從上網、上云到上鏈:在由清華經管學院中國金融研究中心主辦的BAC 2018區塊鏈應用大會上，北京大學軟件與微電子學院教授陳鐘發表了以《政務與監管業務區塊鏈應用的關鍵問題探討》為主題的演講。陳鐘表示信息的充分挖掘和利用將進一步改變社會經濟結構、催生新模式。下一個十年，將從上網、上云到上鏈。而通過區塊鏈與AI、大數據的結合，安全隱私將得到保護，具體來講：一是分享答案而不是數據；二是使用同一級別的數據而不是個人數據；三是AI算法使得避免共享原始數據成為可能。[2018/11/25]

TEE通過處理器上的安全區域提供了與常規操作系統隔離的計算環境，保證TEE中的計算不受常規操作系統的影響，進而保證加載到TEE中的代碼和數據的機密性和完整性。TEE還能夠對運行的程序及結果出具遠程證明，因此其他用戶不需要重新運行程序，只需驗證遠程證明的真實性和有效性即可確認在TEE中運行的程序及其結果的正確性。由于智能合約的計算在可信執行環境中完成，因此運行時數據不會被泄露。對于需要保密的賬本數據，明文僅在運行時可見，并且通過密鑰管理組件存儲密鑰，因此數據不會被任何非授權用戶獲取。在充分保護數據隱私的基礎上，數據所有者仍然可以通過“函數級”授權，允許其他用戶通過調用指定的智能合約使用數據并保留使用記錄。

北大教授蔡劍：“人民幣+區塊鏈”未來有望超越比特幣:北大教授教授蔡劍日前參加了清華大學加密經濟學研討會，他在會上表示，“人民幣+區塊鏈”未來有可能超越比特幣，不希望區塊鏈重復p2p和互聯網的泡沫。他指出，泡沫是一定會產生的，只有等泡沫破滅價值才會顯露。此外，監管也是一個技術問題，要考慮監管成本和監管回報，只有當監管回報大于監管成本，監管才有效益。目前還沒有出現創造巨大財富的區塊鏈企業。[2018/3/11]

《規范》也提到了“系統宜有針對不同操作系統的軟件版本，宜支持三種及以上的操作系統或系統版本”，“應保證不同節點使用的硬件設備具備一定的異構性”，這些要求都對分布式賬本的大規模應用提出了新的挑戰。

產業界有各種不同的可信執行環境實現形態，有的是基于芯片的實現形態，有的是基于軟件的實現形態，不管形式如何變化，我們看到：隔離機制、算力共享、業務開放都是其具備的共同特點。不同的TEE環境之間如何實現一致和協同，是后續要重點關注的問題。

3.智能合約安全。智能合約未來擁有極為廣闊的應用場景，但它本質是一段程序，不可避免地存在漏洞，且其漏洞能夠直接轉化為經濟利益。自2013年以太坊誕生以來，智能合約的安全問題日漸得到重視。從TheDAO安全事件到BEC的BatchOverFlow，因智能合約漏洞直接或間接導致了上億美元的經濟財產損失(如圖2所示)。

圖2????智能合約安全事件造成的經濟損失(萬美元)

《規范》中對智能合約自身的安全性提出了一系列的要求，比如：“智能合約的執行應有原子性，支持執行過程中發生錯誤時的回滾操作。一旦出現異常，所有的執行應被回撤，以避免中間態導致數據不一致”。通過TEE保護的數據在一個智能合約的計算過程中不應被泄露，用戶僅能在一個智能合約完成運行后才能獲得計算結果。

在金融場景中，存在著大量的既有信息系統和數據庫，僅計算鏈上數據的智能合約不能完全滿足需求，在許多業務場景下，智能合約不得不與鏈下數據或信息系統進行交互。但是智能合約與鏈下的數據交換會破壞智能合約計算的原子性，因此可能造成區塊鏈上受保護數據的隱私泄露。在需要與鏈下交互的智能合約中，除不安全區間外，其他區間在各自區間內的計算都應保證其原子性。

《規范》中也規定了“智能合約應經過相關專業技術人員的審計，并保留審計記錄”。一般情況下，區塊鏈上的所有用戶都可以看到基于區塊鏈的智能合約，這會導致包括安全漏洞在內的所有漏洞都可見，并且可能無法迅速修復。

所以，要在合約上線之前對安全性進行審計和分析，將函數之間的依賴關系、調用關系抽取出來，提取各個數據流的前后流向關系等關聯信息。綜合這些信息來探知函數內部是否存在異常行為、內存結構是否被破壞、控制流是否進入非法邊界，從而審計合約是否存在安全威脅。

展?望

在金融業務模式中，風險突出表現為三點：現有監管能力無法實時有效獲取人員、交易、資金數據導致的數據不可控風險；交易自身真實性不明和是否有洗錢風險導致的場景不可知風險；不符合已有金融法規或處于模糊、灰色地帶的規范不完備風險。

分布式賬本技術與金融的融合發展當前仍處于相對初步的階段，在技術成熟度、自主創新度、場景契合度以及制度規則完備程度等方面還面臨一些實際挑戰，本《規范》是為了落實《中國金融業信息技術“十三五”發展規劃》140號文印發）和《金融科技）》209號文印發）的要求，規范分布式賬本技術在金融領域的應用，提升分布式賬本技術的信息安全保障能力而編制，可以說恰逢其時。

我們看到，金融科技的高速發展降低了企業從事金融業務的門檻，但金融科技企業普遍內控機制薄弱、消費者權益保護存在不足、信息不透明、監管難度大。同時，金融科技打破風險傳導的時空限制，使得風險傳播速度更快。金融產品交叉性和關聯性不斷增強，風險難以識別，風險隱蔽性更大，傳統監管措施很難奏效。

為了防范金融創新引發的風險，監管部門堅持“凡是金融活動都應納入監管”的原則，提出了更多合規要求，客觀上也增加了金融機構合規成本。

隨著《規范》的推出，在統一了安全要求的情況下，分布式賬本技術必將在金融領域得到快速應用，基于分布式賬本技術的監管科技也將會是金融科技發展的必然產物，通過分布式賬本的使用將可以大幅降低監管與合規的成本，原因如下：一是分布式賬本能夠變成監管者與受監管對象之間的共享數據記錄庫，打破了組織間的壁壘；二是分布式賬本能夠輕松實現交易數據的子集以實時的方式與監管者分享；三是分布式賬本可以實現“包含監管的”業務模式，在其中監管者利用智能合約實時驗證交易，規則合約化。

隨著分布式賬本技術在金融機構的規模化應用，我們將會看到：金融監管部門可以基于分布式賬本對金融機構進行主動監管，推動監管模式由事后監管向事中監管轉變，提高監管效率。金融機構可以通過以智能合約為核心的自動化手段增強合規能力，減少合規工作的資源付出。可以說，分布式賬本技術客觀上改變了監管部門與受監管對象的關系，減少監管摩擦并增進合規效果，進而可以對金融產業的發展形成良性的促進作用。

Tags：區塊鏈比特幣TRUENT區塊鏈dapp開發費多少錢比特幣價格今日行情trustwallet官網下載地址dent幣價格

酷幣交易所