算力智库：区块链频发的安全问题(区块链技术问题)

算力说

“区块链”三个字似乎充斥着各种“遐想空间”。它给无数人编织创业梦，给无数人编织发财梦，但也给无数人编织了噩梦。在这个被公认是区块链大年的2018，从街头巷尾、咖啡餐吧，到广场舞大妈，区块链身影无处不在。今天，算力智库要探讨的就是这个“梦想编织者”的安全问题。”

自2011 年至今，发生在区块链上的安全事故从未停止，其中，数字货币交易所的安全事故显得尤为突出，损失亦最直观惨重。

揭底区块链频发的安全事故

区块链经济价值的与日渐增，争相入场的除了资本与心存信仰的区块链创业者之外，那些“作恶”的不法分子亦盯上这块儿“肥肉”。其利用各种攻击手段，已达成自身目的。算力智库对此稍作盘点，以求让大众更为直观的感受到，区块链安全无可厚非的重要性。

2011年8月，MyBitcoin宣布遭到黑客攻击致关机，损失约7800个比特币（约80万美元）；

2013年11月，澳大利亚广播公司报道，当地一名18岁的青年称，自己运营的比特币银行被盗，损失4100个比特币；

2014年Mt.gox 85万枚币被盗，价值120亿美元；

2015年2月，黑客利用比特儿从冷钱包填充热钱包的瞬间，将比特儿交易平台冷钱包中的所有比特币盗走，总额为7170枚比特币,价值1亿美元；

2016年1月1日，Cryptsy交易平台失窃1.3万比特币，价值1.9亿美元；

2017年7月1日，BTC-e交易所盗币案——6.6万枚，价值9.9亿美元；

2018年3月，Binance部分API机器人被黑客攻击，触发风控系统，事件导致主流币种跌10%以上，散户恐慌抛盘。

据Carbon Black的调查数据，仅2018年上半年，就有价值约11亿美元的数字加密货币被盗，在全球范围内因区块链安全事件损失金额还在不断攀升。外界对区块链安全问题也愈发瞩目。广东发布首部《区块链与网络安全》蓝皮书，工信部赛迪区块链研究院院长刘权指出，从全国范围来看，以“可信”、信用和信任的角度切入区块链，这样的书籍也不多见。此前，腾讯安全也发出《2018上半年区块链安全报告》，可见社会对这一问题的高度重视。

区块链安全到底谈论的是什么？

区块链这样一种底层技术，仿佛朝夕之间变得妇孺皆知，人尽可得。而太阳底下没有新鲜事，正如上述所说，爆发的区块链，不断暴露出更多安全隐患。如智能合约的漏洞，当一个智能合约出现问题，所有copy这个智能合约的都会出现问题，以一传百，迅速扩散，一旦有心人找到漏洞并加以利用，个体问题便迅速扩散为群体灾难。除此之外，就算技术本身已将安全风险降至最低，也有可能因为使用者的疏忽或不当使用，造成安全事故的发生。

对此，算力智库采访了PeckShield联合创始人兼工程副总裁吴磊。作为原360加固保增值业务负责人，对安卓平台各层面的安全问题均有深入研究并取得相关研究成果。目前专注于区块链智能合约安全以及合约安全审计。当谈及区块链安全类别划分时，吴磊博士向算力智库表示，区块链安全存在于整个生态的各个环节，比如说底层公链，它是区块链系统的基础，所有东西都在上面运行；其次是矿池，它是算力的保证；交易所则涉及各种token的交易等等。

在过往中，PeckShield团队接连发现并命名BEC、SMT、EDU等项目的安全漏洞，承袭着以往白帽黑客的背景，协助厂商鉴别风险、解决问题，并通过各种漏洞的曝光，提升链圈的安全意识。

PeckShield联合创始人兼工程副总裁吴磊

PeckShield吴磊博士谈到，这就类似木桶理论，一个木桶能装多少水，并非由最长的那块木板决定，而是取决于其短板。区块链的安全也不仅仅在于算法本身，从代码到合约，到软硬件设施，每一个环节都会面临多种多样的安全问题。

当问及如今的区块链安全与PC及移动互联网安全，感知有何不同时，PeckShield吴磊博士感叹道：“相比传统PC时代，区块链离钱更近，一旦遭遇安全攻击，用户将承受较大的资产损失，几乎很难挽回。”具体而言，传统PC时代一般指的是服务器、WEB类，乃至移动互联网手机APP，这个阶段我们往往会把个人隐私或数据存放在网络端，一旦遭受攻击损失的也往往是数据隐私，很少有直接的资产损失。而区块链时代则大为不同，上链的直接是用户的数字资产，且由于区块链的不可篡改特性，损失又通常是不可挽回的，比方说过去信用卡资料外泄，还可以通过挂失、冻结账号等方式补救，而倘若是私钥丢了或者说被黑客盗取了，数字资产就真的彻底丢了。

算力智库不由感叹，黑白之间，善恶仅一线之隔，守不住便黑白颠倒。在数字货币世界，一行代码的漏洞，就可能葬送数亿数字资产的消失。网络中潜藏的安全危险和人们手里的真金白银从未如此接近。

PeckShield吴磊博士坦言，安全从来都不是绝对的，有利益的地方，就会有投机者。当一套安全防线建立起来，黑客就会找出漏洞；当弥补这个漏洞，黑客又会想方设法再次找到缺陷进行攻击。但凡是代码，就都会有漏洞和缺陷，绝无完美之说。因此，这是一件魔高一尺道高一丈，道高一尺，魔再高一丈的循环往复过程。只不过到达一定阶段，系统会进入相对稳定的状态，黑客难以再轻而易举攻击成功，即使存在攻击，也会有更完善的应急响应机制，控制危害的范围和影响。

对于区块链安全从业者而言，这将是一场白帽子和黑帽子间的高下之争。而对于社会而言，安全是一切行动的原则。社会及大众都当对这一突然爆发的技术，存有敬畏之心，一切的交易及使用，都应在尽力保证规范和安全的基础之上，尽可能防患于未然，不要等房子着火了，才想方设法救火。