PeckShield創始人蔣旭憲：互聯網思維在code is law的區塊鏈世界行不通_OIN

區塊鏈的安全問題最近層出不窮，從之前的CoinCheck遭黑客攻擊，數億美元的虛擬資產被盜，到BitcoinGold遭51%雙花攻擊，再到EOS主網上線在即，價值2000多萬美金的EOS映射無效，再到前幾日Bancor交易所遭黑客攻擊。但是，區塊鏈出現的各種安全問題，又會讓很多人不解。畢竟，區塊鏈是去中心化設計、采用非對稱加密，有防篡改的特點，說好的安全呢，為什么還總被曝出各種漏洞，遭到各種攻擊呢？另外，從項目方的角度來看，很多人從傳統互聯網行業轉型到區塊鏈行業后，還是在用互聯網的業務先行思維來做事，那么，如果從區塊鏈安全性的角度來看，這種思維在codeislaw的區塊鏈世界能否行得通？就此，Odaily星球日報對派盾科技的CEO蔣旭憲進行了專訪，對于區塊鏈網絡在安全性風險方面與傳統互聯網的差別、智能合約為什么總被曝出漏洞、當下以及未來區塊鏈的安全性風險等問題進行了深入探討。※派盾科技：區塊鏈安全公司，由前360首席科學家、美國北卡州立大學終身教授蔣旭憲博士于2018年創辦。派盾科技曾發現并命名了BEC、SMT、EDU等智能合約的安全漏洞。今年5月份，派盾科技完成數千萬元天使輪融資，投資方為高榕資本。Odaily星球日報：與傳統互聯網行業的安全風險相比，區塊鏈網絡的安全性風險有哪些顯著的不同？蔣旭憲：每個時代都有自己的安全屬性，PC互聯網更多的是與主機、網站服務器的安全有關；移動互聯網更多的是與手機上的隱私數據相關；區塊鏈是將數字資產上鏈，所以上鏈后的數據資產的安全就變得很重要。一旦發生安全問題，造成的后果相當嚴重。比如之前的美鏈BEC的漏洞，被爆出后整個近70億市值斷崖式下跌。還有，派盾1個多月前曾針對EOS主網映射問題發出安全預警，即在EOS主網啟動前還有29.98%的EOS代幣尚未完成映射，如果不盡快完成映射，投資者就有可能永遠失去自己持有的EOS代幣。Odaily星球日報：區塊鏈本身就融入了一些安全性設計，比如去中心化的分布式、非對稱加密、哈希唯一性等，那現在總被爆出有各種安全風險的原因是什么？蔣旭憲：我認為用了安全技術并不能說明區塊鏈就是安全的，這可以從以下兩個角度來看：1.系統的角度：安全領域中有一個理論叫“短板理論”，短板與整個系統的安全有直接關系。區塊鏈技術打造出來的就是一個系統，系統里會涉及各個環節。比如其中的私鑰環節，私鑰雖然設計的好，但是如果用戶不慎點擊了釣魚網站，私鑰就會被黑客盜走，其數字資產也自然不保；2.行業發展速度：區塊鏈行業發展的比較快，而且本身離錢比較近，也因此成為黑客攻擊的熱門目標，區塊鏈技術本身還需要不斷升級來因應這種變化。Odaily星球日報：在區塊鏈1.0到2.0再到3.0這樣的一個發展過程中，區塊鏈的安全問題有什么主要的變化？蔣旭憲：EOS主網上線也沒多長時間，是否能成為區塊鏈3.0目前還不好評判。我們就先來看下區塊鏈1.0和2.0階段。區塊鏈1.0是以比特幣為代表的階段，比特幣的設計相對來說要簡單，沒有之后的2.0、3.0這么復雜，但也正因為簡單，所以區塊鏈1.0的安全性也會高很多。區塊鏈2.0是以以太坊為代表，很多DApp基于以太坊部署，智能合約如果設計的不夠好，安全問題就會暴露出來。比如我們來看下這張以太坊的發展曲線圖，這是我們團隊內部用來分析以太坊數據的。其中橫軸是以太坊的塊號block，縱軸是當前橫軸點對應的一萬個塊。圖中上面這條灰色曲線，代表的是一萬個塊里包含有交易塊的個數；下面這條黃色曲線，代表的是一萬個塊里沒有包含交易塊的個數。兩條曲線對應的點所代表的個數，加起來是整整一萬個塊。圖中出現的這個拐點的時間段，就是2016年6月，黑客通過智能合約漏洞攻擊了TheDAO，以太坊隨后進行了硬分叉，當時以太坊總共花了5個月的時間來完全解決掉這個問題。除此之外，我們還曾曝出的美鏈BEC、SMT、EDU等這都是智能合約的安全問題。Odaily星球日報：為什么在區塊鏈行業里智能合約總是會被曝出漏洞？蔣旭憲：我們現在手頭上有上百萬個智能合約，通過對這些智能合約整理匯總后，發現原因主要有兩個：1.由于業內還是習慣于COPY代碼，那么如果一個合約出問題，將會涉及到一大片；2.傳統互聯網行業的“小步快跑”、“快速迭代”的這種業務先行的思維，在codeislaw的區塊鏈世界是行不通的。在區塊鏈行業里，后續再進行代碼迭代的成本是很高的。如果要升級智能合約，一般需要把當前的智能合約進行快照，然后部署新的智能合約，再把舊合約的快照轉移到新合約。這一過程不但影響交易，也影響用戶對項目的信任和信心。Odaily星球日報：有人認為以太坊的智能合約總被曝出漏洞，是因為它太靈活了，你怎么看這個說法？蔣旭憲：我不這樣認為，這個要結合區塊鏈安全的發展來看，我認為區塊鏈安全的發展要經歷這樣三個階段：1.無知階段。比如去年ICO異常火爆的時候，很多人就沒有注意到區塊鏈安全的重要性。2.喚醒階段。隨著行業里炒幣的火熱以及各媒體對區塊鏈的關注，一大堆安全問題也就被暴露出來。在這個過程中，項目方被喚醒，意識到區塊鏈的安全性問題的重要性。目前區塊鏈行業的安全狀態，還處于喚醒階段。3.警覺階段，也就是區塊鏈項目方開始主動尋求與安全公司的合作。Odaily星球日報：目前在區塊鏈行業做安全的難點有哪些？蔣旭憲：在區塊鏈世界中，由于其去中心化的特點，導致應急響應機制是缺失的。另外就是目前一些區塊鏈項目對安全理念的理解不夠，對待安全公司也不夠友好。Odaily星球日報：派盾做區塊鏈安全公司的優勢所在是？蔣旭憲：目前做區塊鏈公司的不算多，國外的安全公司比如有QuantStamp，專于智能合約的安全審計協議，還有采用“形式化驗證”方式的CertiK等。國內的比如有慢霧科技、成都鏈安科技。在區塊鏈的安全領域，每個安全公司有自己的切入點。對于派盾來說，首先我們是由數據分析來驅動，是從草堆里找繡花針，通過將鏈上的數據進行整理分析匯總，來發現有哪些安全問題存在，哪些安全問題更值得去關注。之前有提到過，我們現在手頭上有上百萬個智能合約，我們通過對這些智能合約整理匯總分析后，主動地查找安全問題或隱患。比如我們之前發現的可以無限生成代幣的漏洞就是這樣發現的。第二就是我們關注的是區塊鏈生態的各個環節的安全問題，比如交易所、錢包、礦池等的安全問題。再一個就是我們團隊的核心成員不少是在美國拿到了計算機專業的博士學位，也有不少是在國內一線互聯網公司擁有多年的實際工作經驗，算是學術背景和工業界經驗兼具，所以擁有前瞻性的國際視野，對區塊鏈行業的全球把握相對也比較準。Odaily星球日報：我們是如何選擇曝出漏洞的時間？蔣旭憲：原則上來說，只要漏洞沒被利用，我們會先與項目方進行溝通，等待他們修復漏洞。如果漏洞被利用，那么我們會選擇將漏洞公開。比如我們曝出的以太坊“致命報文”漏洞，我們發現漏洞后，先與以太坊基金會做了溝通和協商，等漏洞修復完成才予以公開，整個過程超過了一個月。Odaily星球日報：你認為未來區塊鏈技術面臨的潛在安全危險是什么？比如量子計算機等新技術的發展，對于此你怎么看？蔣旭憲：量子計算機技術不斷升級的同時，區塊鏈技術也會持續發展。我認為安全威脅會以你想不到的角度出現，比如很有可能是降維攻擊。但就目前而言，我個人認為區塊鏈最大的問題，是在POW機制下的51%算力攻擊，畢竟公鏈的安全風險涉及到的不僅是某個項目方，而是會波及整個生態。另外，公鏈底層的節點安全問題也很重要。比如360報的EOS“史詩級”安全漏洞；還有PeckShield之前報過的以太坊“致命報文”漏洞，可使三分之二以上的geth節點瞬間停擺，要知道，節點的背后有可能是交易所、礦池、和錢包等。我是Odaily星球日報的齊明，探索真實區塊鏈，項目交流、爆料請加微信qingmoruoshui，煩請備注姓名、公司、職務。轉載/內容合作/報道聯系report@odaily.com；違規轉載法律必究。

加密KOL：5月17日解鎖的APE代幣將主要流入ApeCoin DAO金庫、Yuga Labs和BAYC創始人:5月15日消息，據加密KOL Bonzo在社交媒體透露， 5月17日將要解鎖的價值5200萬美元APE代幣（1500萬枚）將主要流入到ApeCoin DAO金庫、Yuga Labs、以及“無聊猿” BAYC項目創始人，因此預計不會給市場帶來較大拋壓。此外，APE質押分配數量將于6月13日從3000萬枚減少到2000萬枚，這意味著APE質押池將失去1000萬枚質押代幣，質押分配的減少可能會導致APR（年投資回報率） 降低，此外數據顯示目前近60%的 Bored Apes都已被質押，這一比例數字說明社區參與度非常高。[2023/5/15 15:03:36]

ApeCoin DAO投票通過質押系統相關漏洞賞金計劃及特別委員會成員提名和選舉程序:11月3日消息，ApeCoin在推特上宣布，ApeCoin DAO已投票通過了為APE質押系統智能合約設立漏洞賞金計劃的提案AIP-134。這意味著APE質押系統的上線日期將被推遲至漏洞賞金計劃結束后。該提案作者表示漏洞賞金計劃將持續約3周時間，因此質押系統可能會在11月24日上線，質押獎勵分配將于12月7日開始。

此外，ApeCoin DAO關于“特別委員會成員提名程序”AIP-137和“特別委員會成員選舉程序”AIP-138的提案投票已獲通過，ApeCoin基金會將于明天發布提名公告。[2022/11/3 12:13:17]

ApeCoin特別委員會成員Maaria Bajwa發起100萬美元的“漏洞賞金計劃”提案:金色財經報道，鑒于Apecoin DAO質押系統計劃于本月晚些時候上線，ApeCoin 特別委員會成員Maaria Bajwa已經發起提案，旨在創建一個“漏洞賞金計劃”來保護智能合約并將為該計劃分配價值100萬美元的APE。Maaria Bajwa表示，即將到來的質押計劃是對APE金庫資源的重大分配，將需要 APE 持有者的智能合約交互，漏洞賞金計劃增加了一層額外的安全性，并降低了 APE 持有者和 DAO 的風險，不過由于這個漏洞賞金計劃的創建，預計將使ApeCoin DAO的質押延遲2-4周，如果在此期間沒有發現漏洞則將啟動質押系統上線，據此前消息，Horizen Labs已宣布ApeCoin質押系統的“上線”日期是10月31日。[2022/10/17 17:28:13]

雪崩在Apecoin治理論壇發起提案：建議在Avalanche子網上啟動Otherside:5月25日消息，雪崩在 Apecoin 治理論壇發起提案，建議 ApeCoin DAO 在 Avalanche 子網上啟動 Otherside，以便于 Apecoin 通過快速的交易處理速度、更高的吞吐量、更大的擴展能力和更低的 gas 費用來支持 Otherside 未來的社區發展。

據此前報道，Yuga Labs 考慮將 ApeCoin 遷移至其他Layer1，Flow 和 Avalanche 均希望能成為 ApeCoin 遷移計劃的解決方案。[2022/5/25 3:39:39]

比特幣挖礦委員會成員：這不是新的OPEC:上市比特幣礦企Argo Blockchain首席執行官Peter Wall表示，由馬斯克和MicroStrategy CEO Michael Saylor牽頭成立的比特幣挖礦委員會不會改變比特幣的代碼或同質性，不會區分清潔和不清潔的比特幣。他表示：我們不會談論比特幣的代碼或區塊大小，也不會做任何改變比特幣本質的事。我們都喜歡現在的比特幣，這種去中心化的無需許可的系統。針對有關密室協商的質疑，他打趣道：這不是一個新的OPEC。這個組織只是幫助大家攜起手來，共同協商。我們都是獨立的、去中心化的礦商，組建這樣一個志愿組織，只是為了影響彼此，推動行業發展。

注：OPEC是石油輸出國組織，簡稱歐佩克。亞、非、拉石油生產國為協調成員國石油政策、反對西方石油壟斷資本的剝削和控制而建立的國際組織，1960年9月成立。（（Coindesk）[2021/5/25 22:41:43]

Tags：區塊鏈APEOINCOIN區塊鏈技術通俗講解中山大學APE$價格MFIT CoinCreativecoin

DAI