2019大佬說 | 我們請來了幾位區塊鏈安全行業KOL，聊了聊什么是“守方的信仰”_ILY

文|Aesop，郝方舟編輯|郝方舟新一年的鐘聲剛剛敲響，屬于2019的喧囂、瘋狂、奇跡、感動正在開啟。2018，作為區塊鏈行業媒體，Odaily星球日報既陪伴了區塊鏈行業瘋狂的從零到一，也見證了非理性繁榮的泡沫破裂。有人感嘆，這短暫卻精彩的時代片段，再也無法被復制了。因此，我們希望記錄下那些行業親歷者、開拓者的真實聲音，為行業的探索者、守望者指引前路。《2019大佬說》是Odaily星球日報推出的區塊鏈訪談欄目，我們采訪了50余位區塊鏈行業引領者，將訪談精華整理沉淀為系列文章。穩固的基礎設施和完善的生態服務是判斷區塊鏈是否晉升成為“產業”的一項標準。對于滿載價值而不只是信息的區塊鏈網絡，既從屬于基建又可歸為服務的“安全”就像站在一串“0”前面的“1”。今年年初，日本大型數字貨幣交易所Coincheck遭攻擊，超過5.2億美元的新經幣被黑客洗劫。4月，黑客借道智能合約中的整數溢出漏洞轉出大量美蜜，引發市場拋售，BEC價值幾乎歸零。5月，因超級節點競選而備受關注的EOS被曝出“史詩級漏洞”……交易所、公鏈與智能合約的接連失守，不禁讓人回問，區塊鏈安全嗎？Odaily星球日報今年接觸了庫神、慢霧、派盾PeckShield、360、CertiK、曲速未來、知道創宇、成都鏈安、長亭科技、安全鏈SECC等向區塊鏈世界提供安全服務的企業。我們發現：和區塊鏈技術一樣，區塊鏈安全服務行業還處于早期階段。風險是小概率事件，短視與僥幸減弱了付費意愿，熊市又降低了客戶的付費能力。僅靠用戶教育，很難快速拉升安全服務需求。相關法規與標準或成為強推力。攻防雙方的戰場是匯集財富的“法外之地”。黑客擅長在“防護木桶的短板”游擊、“名利雙收”后還無處追責；安全服務商需要全線布防、“替人消災”卻常被懷疑，雙方顯然不是同一心態。近日，Odaily星球日報再次邀請到庫神COO張玉、派盾科技PeckShield創始人蔣旭憲、知道創宇創始人趙偉、慢霧安全團隊、CertiK聯合創始人顧榮輝，用五問五答盤點區塊鏈安全過去這一年、展望未來的風貌。以下為整理編輯后的問答精華，enjoy~

分析 | 目前行情與2018年末的市場行為比較相似:據Cointelegraph消息，技術分析文章稱，目前行情與2018年末的市場行為比較相似。去年12月，在長達一年的熊市之后，比特幣跌至最低點，隨后從3,100美元反彈至13,800美元的高位。根據一些指標，當前情況表明比特幣2019年反轉重演很可能即將到來。有分析師指出，基于多頭的比特幣名義價值（notional value）現在遠高于6,500美元的現貨價格——與12個月前完全一樣。[2019/12/18]

Q1.今年在區塊鏈安全領域，讓您印象最深刻的一件事是什么？這件事在哪些方面影響了人們對區塊鏈的認知？張玉：今年1月份的NEM被盜事件，當時大概價值五億多美金，確實是整個區塊鏈行業里金額最大的一次。對這個事情印象比較深刻，等于這開啟了一連串的交易所被盜的序幕，某種程度上也影響了大家對這個行業的信心，間接影響了今年的市場走向。大家對安全重新進行了思考，因為之前大家可能感覺區塊鏈技術上比較完美，但其實也存在安全隱患，因為資產畢竟是保存在客戶自己手里。這跟傳統世界資產由中心化機構來保證是不一樣的。蔣旭憲：4月下半旬，美鏈BEC的智能合約漏洞。資產縮水，幣價歸零，我非常震撼。我從來沒想到數字資產一旦出現事故，影響會這么大。區塊鏈自帶金融屬性，和傳統的互聯網安全玩法完全不一樣。之前，更多是設備被黑可能影響到業務數據方面。但是在區塊鏈里，交易所、token、智能合約……全是安全問題。趙偉：過去一年就很亂！我印象最深的是新經幣事件，攻擊者把新經幣賣了狂砸盤，導致新經幣差點清零，這是到現在為止最大的一起盜竊。這件事讓人們認識到安全的重要性。安全是“1”，沒有安全，后面數字再多也是“0”。人們還發現，區塊鏈以前號稱的安全，只是某種意義上的安全。交易所和錢包還是集中式的，不是鏈上分布式的。但安全遵從著木桶效應，你的最短板就是黑客最容易攻擊的地方。慢霧安全團隊：3月20日的以太坊黑人節。我們團隊3月1日開張，在跟進這個問題時發現，地下黑客在這方面的攻防形勢是非常嚴峻的，黑客不需要知道任何錢包相關信息就可以把用戶的錢都偷走。這是之前從未出現過的遠程攻擊。這次事件造成的損失也非常嚴重，5萬多個以太坊被盜了。以前大家都在關注智能合約，沒有人關注節點層面的安全問題。節點操作不當的話也會出現非常大的損失，并且這種攻擊方式不需要知道你的任何信息，僅僅通過一行命令就可以把你的錢全轉走。顧榮輝：4月以太坊智能合約ERC-20中BatchOverFlow漏洞被黑客利用，對BEC和SmartMash兩個智能合約進行攻擊。前者導致市場恐慌，大量拋售BEC，64億市值短時間內蒸發；后者使得SMT在各大交易所平臺的交易暫停。人們逐漸意識到區塊鏈安全問題的重要性，少數公司能夠自己檢測到安全漏洞。但公鏈的安全性應該怎么保障，由誰來保障？現有的技術還不夠成熟，而目前區塊鏈安全領域的公司較少。Q2.能否簡單總結下區塊鏈安全服務行業的生存現狀。行業目前遇到最大的困難是什么？2019該如何突破困境？張玉：區塊安全服務行業還處于比較初期的階段，因為大家都還在探索商業模式。遇到最大的困難是用戶對安全的認知不清晰，安全教育工作也比較初步。安全是貫穿于資產的生產、存儲、交易全過程的。我們一直通過公眾號上知識問答、漫畫等內容來向大眾普及安全。蔣旭憲：首先，現在的區塊鏈安全行業，攻擊者是強于安全保護者的，甚至強于生態建設者。第二，整個行業還處在野蠻生長階段，空氣幣、傳銷甚至跑路，都給真正做事的那一方增加了輿論壓力。第三，區塊鏈行業本身門檻比較高，為了發展又需要接納新用戶和開發者，所以有產品落地的問題。行業最大的問題是安全事故節奏太快，我們有點應接不暇。從生態來說，我們對區塊鏈合約的理解可以再提高，開發者安全意識和技能還可以改善，安全公司任重道遠。黑客攻擊也有助于安全服務生態的建設。趙偉：區塊鏈行業泡沫太多，所以準定要經歷泡沫的再壓縮。壓縮也會影響到安全服務行業，我們能服務的客戶減少了，但也留下了更優質的客戶。相對而言，安全服務業算是受熊市影響較少的。區塊鏈安全服務目前遇到的困難是要保護的環節太多，從幣的產生、發放到流通、持有等等，每個都要做到位，生態才安全。行業所服務的對象也有些變化，今年全年主要圍繞公鏈，年初和年中的智能合約審計多些。慢霧安全團隊：2018年之前，無論在國內還是在國際上做這一塊的比較少，今年很多之前做傳統安全的轉型到區塊鏈安全，但是這個行業還沒有達到飽和，依然在發展。但是蓬勃發展后，都會進入類似紅海的階段，需要大家進行差異化競爭。比如現在經常有客戶問我們：你們和別人有什么不一樣？所以后續大家需要進行差異化競爭，不斷提升自己的硬實力。顧榮輝：人們對區塊鏈安全的了解過少。本身這個領域要求很前沿的技術，進入門檻高。市場上有太多打著“形式化驗證”旗號的公司，真正能做到“深度規范”的幾乎為零。目前比較主流的解決方案是使用眾包平臺對智能合約進行篩選。這種基于人力的驗證和審計往往成本巨大。對于每份智能合約而言，這種定制型解決方案也許很奏效，但顯然，巨大的市場需求無法就此滿足。由于信息不對稱，消費者缺少安全領域方面的必要知識，不能很好區分真正具備技術的公司。我們十分希望能夠有更多的業內人士通過與我們的合作真正了解形式化驗證。Q3.外人看來，攻方似乎更容易“收獲名利”，那么守方的信仰是什么？是否曾有動搖的瞬間，或被黑客“誘惑”過？蔣旭憲：我從沒想過這個問題，我覺得也不要想，因為我們工作在安全第一線。我們也從沒聯系過黑客，只是從黑客思維去理解他們為什么這么想。趙偉：我們年輕時就入行了，做安全行業不是為了發財有名啊什么的，而是保護別人比較有成就感。我們看好的是創造一份持久的事業，而不是這點錢。比特幣第一代參與者很多都是安全人員，我的幾個朋友每人都持有40萬枚，沒必要去偷去搶。如果是真正的安全行業高手，是有能力靠自己的技術掙錢，不需要做黑客偷別人的。我們都是從10年、11年開始玩，那時候比特幣才五美分。慢霧安全團隊：其實我們做安全本身就是出于自己的愛好。在我們安全圈內有句話叫“未知攻焉知守”，指的是做安全肯定要知道怎么去攻擊。我們的成就感在于給客戶發現更多的漏洞。其實黑客做了壞事都能被抓到的，只是說抓你的成本有多大，值不值得。我們在篩選團隊時就會看對方價值觀能不能被我們接受和認可，如果是那種動搖的人，我們就不會讓他進來。Q4.區塊鏈安全和互聯網安全最大的不同是什么？張玉：互聯網資產基本是在中心化機構手中，中心化機構承擔安全的責任。中心化交易所在面臨安全問題時，還達不到互聯網的安全級別，區塊鏈資產在用戶手里面，所以用戶要承擔安全責任。蔣旭憲：數字貨幣天然有金融屬性，用戶影響和用戶感知會更強一點；互聯網安全偏重用戶隱私，但沒有這么明顯的密集損失效應。區塊鏈的安全攻防會更激烈、節奏更快。趙偉：首先，區塊鏈的運行本身就有現金流，所以安全的重要性高于其他行業。但問題在于需要用到熱錢包、交易所等中心化的東西，這些短板在放大安全的缺陷。然后，要說到黑客，俗話“不怕賊偷，就怕賊惦記”。有一些犯罪分子把這個行業當成提款機。再有呢，一旦在區塊鏈上丟了東西，就真的完了，因為是去中心化和匿名的。不像你丟了卡，還可以在銀行補辦。慢霧安全團隊：區塊鏈安全和互聯網安全都會有APP、網站、系統后臺等，差異在于區塊鏈有自己的屬性，也就是共識算力、智能合約、底層虛擬機等。傳統互聯網，比如說開發一個APP，特別注重的是用戶的隱私和身份信息。但是在區塊鏈領域，無論做錢包還是交易所都是和資產相關的，所以區塊鏈公司特別重視平臺的安全、幣存儲的安全。顧榮輝：智能合約是目前最容易出現安全問題的地方。和傳統程序不同，智能合約具有自治，自足和去中心化等特征。智能合約的安全隱患既有傳統的互聯網世界中所存在的漏洞，也有自身獨有的風險點。對于黑客來講，攻擊傳統程序就像閉卷考試，比如攻擊阿里的系統，完全是黑盒攻擊，根本無法走近它的代碼。而攻擊智能合約就好比是開卷考試，黑客可以針對源代碼進行攻擊，極大降低了攻擊難度。在銀行、軍事等高安全級別的系統中，除了線上防護體系，還受系統性安全網絡保障，再加上嚴格的法律監管條文和國家級的追查體系，都抬升了黑客的攻擊成本。而中心化數字貨幣交易所集成了多個角色功能，卻只有一層線上防護體系，一旦被黑客突破，幾乎毫無還手之力。Q5.對于區塊鏈安全，法規和標準意味著什么？蔣旭憲：現在整個區塊鏈監管法律法規還不完善，因為這個原因，黑客攻擊犯罪成本較低。趙偉：很多人覺得法律法規在限制，但你看國內能不限制嗎？凈是一些坑蒙拐騙偷的人搞ICO，最能忽悠的都跑路了，劣幣淘汰良幣。這影響了人們的心態，一旦你覺得掙錢難、騙錢容易，想著一夜暴富，心理弱點就容易被人利用。所以必須要有合適的法規來約束，因為騙子太多了，傻子不夠用。也有人反對約束，認為區塊鏈本身是去中心化的，自身數學就是法規，規則標準由礦機執行。我也覺得這挺完美的，但我發現技術人員多少有些對現實社會的“天真”。總體，法規對安全服務業來說有利有弊。利是如果要求有安全檢測，那客戶對安全都是放在第一位的，必須有安全檢測來加固保護。弊是設置了準入門檻，控制了市場總體量。慢霧安全團隊：法律和標準是為了規范從業者，能給這個行業帶來更多安全。如果不符合這樣一個標準，項目價值會降低，無論項目參與者還是項目方自身都不希望在安全標準之下，這樣就能不斷提高整個行業的安全水平。顧榮輝：用代碼替代法律還需要迭代，安全性最后由人來保障。代碼本身存在漏洞或者邏輯模棱兩可，這個是無法被標準化的，判斷設計者的意圖對錯沒有任何參考標準。

動態 | 數據：在2019年第二季度IEOs相比上季度增加550%:數據市場聚合器CoinGecko發布的第二季度報告指出，IEOs的表現有了顯著改善，與上一季度相比增長550%。[2019/7/20]

2018年在“熙熙攘攘”的區塊鏈安全攻防戰中結束了。黑客出于利益頻繁進攻，白帽子守于道義嚴加防守，雙方比拼誰先找到漏洞。“現在的攻擊者強于保護者，甚至強于生態建設者，但黑客攻擊有助于安全服務生態的建設”，是安全服務人士對目前形勢的判斷。多位業內人士預測，2019年將是“橫盤”的一年。市場的低迷可能“唆使”部分開發者轉為黑客。另一方面，以太坊的升級、多條公鏈的主網上線，又“贈予”黑客更多攻擊目標。區塊鏈世界依然充滿了未知與變數。但我們可以預見，2019年攻防大戰將繼續上演，并且更加頻繁激烈。相關閱讀

星球研報|2018年區塊鏈技術安全服務行業報告你居然還以為區塊鏈更安全，我也是醉了附《2018區塊鏈領域走心盤點》

動態 | 2018年日本虛擬貨幣相關案件數量為169:據crypto.watch.impress.co.jp報道，日本警察廳公布了《平成30年（2018年）網絡空間威脅情況》的統計報告。其中，虛擬貨幣相關案件數量為169，受害金額達到677億3820萬日元。[2019/3/12]

動態 | 42%的人認為2019年區塊鏈技術的影響最大:Waves創始人、首席執行官Sasha Ivanov昨日在推特上發起了一項問卷調查“2019年哪種技術的影響最大?”，截止目前該問卷調查共有2236個賬戶參加。其結果顯示，42%的人選擇了區塊鏈，31%的人選擇了人工智能，14%的人選擇了物聯網，13%的人則選擇了大數據。[2018/12/28]

比特幣在2018年會出現4次大幅下滑:比特幣交易平臺BitSpread的聯合創始人Nick Colas認為，比特幣2018年的價格將在6500至22000美元之間波動。此外，比特幣的價格在2018年會出現4次大幅下滑，每次的幅度大概在40%及以上。[2018/1/4]

Tags：區塊鏈比特幣新經幣ILY區塊鏈技術通俗講解ppt2009年淘寶買了比特幣怎么保存新經幣能漲到100美元DAILYS

Gate交易所