專訪蔣旭憲：沒有久攻不破的公鏈 只有尚未發現的漏洞_區塊鏈

文︱艾特

核財經APP1月7日報道區塊鏈向我們許諾，以分布式和防篡改的方式存儲和交換有價值的信息。

而歷史提醒我們，新生事物初期的野蠻生長，總是伴隨著重大安全教訓。縱觀整個2018年，出現了BTG遭雙花攻擊、BEC智能合約漏洞、EOS“史詩級”漏洞、以太坊“致命報文”、BTC超發漏洞等重大安全事件。事實證明，那一行行的代碼，尚不足以保護人類社會已岌岌可危的信任。

“而面對黑客肆虐，資產被盜，公鏈與DApp應用在被攻破之前，似乎永遠不知道它是否安全。”前360首席科學家、PeckShield創始人兼CEO蔣旭憲博士表示，區塊鏈1.0時代大家對技術本身認知還欠缺成熟，存在雙花攻擊風險以及私鑰被盜的問題；2.0時代隨著以太坊平臺和大量智能合約的涌現，出現了溢出和阻塞等安全問題；3.0時代隨著EOS和TRON等公鏈的興起，一些追求高并發TPS的平臺開始出現，在落地一些實時性互動的競猜類應用時，出現了隨機數和交易回滾問題等等。

蔣旭憲認為，公鏈冒出的安全問題，與區塊鏈獨特屬性相關，特別是在幣的承載和幣的轉移方法上面，成了黑客的天堂。而且，沒有久攻不破的公鏈，只有尚未發現的漏洞。

他強調，區塊鏈領域的安全由來已久，從區塊鏈技術的發展來看，每一個系統以及相關的生態都是非常龐大的，其技術層面也是非常復雜的，把多個技術融合在一起，本身就是很困難的事。安全領域有一個所謂的木桶理論，最短的木板決定了你的安全高度。另外，在用戶環節體驗設計上，目前來看還有相當高的門檻。用戶使用上如果不習慣，就容易犯各種錯誤。

近24小時以太坊NFT市場買家地址數量為4,791個:金色財經報道，據NFTGo數據顯示，近24小時以太坊NFT市場買家地址數量為4,791個，賣家地址數量為4,344個。近30天盈利地址數量為53,541個，虧損地址數量為442,790個。

此外，當前以太坊NFT市場情緒指數為20，等級為“ Cold”。注：NFT市場情緒指數是根據波動率、交易量、社交媒體和谷歌趨勢計算得出。[2023/8/19 18:10:28]

區塊鏈生態安全亟待加強

核財經：從傳統互聯網安全換道區塊鏈安全領域，您發現了什么？為什么要做一家區塊鏈安全公司？

蔣旭憲：這反映了我個人的創業思考歷程。關于創業的思考由來已久，但很遺憾在國外高校期間，完美的錯過了國內的PC互聯網階段。在360期間我主要負責移動端的核心安全能力，算是參與和親身體會了移動互聯網的浪潮。

2017年下半年的時候，區塊鏈行業開始熱起來，那時候也是看了很多白皮書，不過市場上更多的是炒幣，感覺這個做法根本不符合我的性格，也沒有太大的興趣。相反，當我更多的分析幾大公鏈的底層代碼，再結合自己個人的安全背景以及攻防的思維邏輯上去研究，這個層面一下子就吸引了我。

看進去之后，覺得區塊鏈技術確實是一大技術變革，可能會是下一代的互聯網核心技術，預計會重構目前的很多行業。同時覺得區塊鏈根本上解決的是信任問題，安全又成了里面最核心的基石。如果安全沒做好，信任問題根本無從談起。所以，我決定Allin。

消息人士：印度政府和央行被要求恢復加密貨幣行業對UPI的訪問權限:金色財經報道，消息人士表示，印度政府和中央銀行已收到要求恢復統一支付接口 UPI（一種實時支付系統）對加密行業的訪問權限的提案。目前已經提出了兩個建議，一位知情人士表示，印度新成立的加密貨幣政策倡導組織 Bharat Web3 協會 (BWA)將在未來幾周內提出第三項提案。

這些提案雖然沒有經過協調，但似乎是印度加密貨幣利益相關者首次大力推動管理新興行業的政策變革，因為它遭受了一系列打擊，形式包括嚴厲的稅收、加密貨幣冬天和“影子禁令”，影子禁令導致印度支付處理商切斷了銀行對加密貨幣交易所的訪問權限，UPI服務在去年被暫停。[2023/5/17 15:08:55]

核財經：您認為區塊鏈領域面臨的安全問題都有哪些？目前，在區塊鏈行業做安全服務的難點和挑戰有哪些？

蔣旭憲：從整個區塊鏈行業的生態來說，我認為，里面的各個環節都碰到了區塊鏈自身獨特的安全問題。

我們可以分為橫向和縱向來看。橫向來說，有交易所、錢包、礦池、合約、DAPP等安全問題；縱向來看，有基礎設施、數據層、網絡層、共識層、激勵層、合約層、業務層等方面的安全問題。

在各個維度上，區塊鏈領域面臨的安全服務與挑戰也是前所未有的。這里我就不展開說了，但需要特別指出的是，目前區塊鏈上攻擊的犯罪成本極低，這會間接放縱安全事件的頻發，而安全事件往往是突發的、在區塊鏈上造成的資產損失和影響也是不可逆的。另外，黑客玩的是實打實的數字資產，回報率比傳統互聯網高很多，而懲罰的技術門檻頗高，力度也是明顯不足。從另外一個角度看，比較遺憾的是，目前區塊鏈開發者的安全意識和基礎技能還是相對薄弱，不少底層合約代碼存在較大的同質性，一旦出現問題就會有連帶威脅。

CZ：黑客合約不是“Binance”智能合約，會與執法部門密切合作凍結黑客資金:金色財經報道，Binance創始人CZ在社交媒體上表示，加密行業里的開發人員越來越多，出現開發者私鑰被盜的可能性就越大，有好有壞。在決定凍結黑客地址之前，Binance需要時間驗證，否則任何人都會要求Binance將其他人的地址列入黑名單，這與生活中的大多數事情一樣，需要一種平衡。在凍結黑客資金這類情況下，Binance團隊一直與執法部門密切合作。在回應Binance是否實在測試如何處理黑客合約問題時，CZ表示并不是“Binance”智能合約，而Ankr是DeFi生態系統中的獨立項目團隊。[2022/12/3 21:19:01]

核財經：今年新生了不少做區塊鏈安全服務的公司，這個賽道的整體生態如何？行業寒冬里，您是如何思考在這一領域一展所長的？

蔣旭憲：區塊鏈行業目前還處在早期，區塊鏈安全亦是如此。為此，現在說整體生態還為時尚早，不過可以看出不同安全公司的切入點，大概有以下幾種：一是鏈上數據分析和安全預警；二是形式化驗證和機器證明；三是安全眾測和威脅情報共享；四是傳統互聯網的安全業務轉型。當然，未來還會有新的安全方向和公司不停的冒出來，包括數字資產的反洗錢。

隨著區塊鏈行業寒冬的到來，也會有不少安全公司被淘汰或者選擇轉型。我認為要想在安全服務這個賽道掌握核心競爭優勢，關鍵要看：一是能否實時感知行業生態各個環節的運轉動態，敏銳洞察可能出現的安全風險狀況，并能準確的提供必要的預警和防范；二是能否切實解決生態中存在的安全問題，對行業生態的合作伙伴提供有感知的，且愿意付費的產品和服務。

美財政部長：FTX的崩潰是加密行業的雷曼時刻，對此感到驚訝:12月1日消息，美國財政部長耶倫在紐約DealBook峰會上表示，加密貨幣交易所FTX的崩潰是加密貨幣行業的“雷曼時刻”，并稱“我仍然持懷疑態度”。

耶倫強調對金融創新持開放態度很重要，并指出加密貨幣背后的技術有可能提供更快、更便宜的交易，然而更快更便宜的功能必須足夠強大，以提供足夠的消費者保護。同時她表示對FTX的崩潰感到驚訝，并稱自己并不認識FTX創始人SBF。[2022/12/1 21:14:13]

正視公鏈安全漏洞問題

核財經：從1.0的比特幣，到2.0的以太坊，再到3.0的百鏈競發時代，公鏈成了黑客攻擊的所謂天堂。那么，在您看來公鏈的安全問題主要有哪些？

蔣旭憲：區塊鏈1.0時代大家對技術本身認知還欠缺成熟，存在雙花攻擊風險以及私鑰被盜的問題；2.0時代隨著以太坊平臺和大量智能合約的涌現，出現了溢出和阻塞等安全問題；3.0時代隨著EOS和TRON等公鏈的興起，一些追求高并發TPS的平臺開始出現，在落地一些實時性互動的競猜類應用時，出現了隨機數和交易回滾問題等問題。

總之，隨著區塊鏈生態的持續發展和逐漸繁榮，一些安全問題也會隨之升級，并和業務場景息息相關，黑客實施攻擊的手段和形式也趨于多樣化。但根本上來說，對公鏈的核心要求還是需要提供高可靠性、低延遲、和高吞吐量的保障，可以支撐成千上萬的各類區塊鏈DApp應用。

核財經：2018年里，我印象中有兩起重大安全事件，即5月29日360爆出EOS“史詩級”漏洞和6月15日PeckShield宣布發現以太坊上一個高危安全漏洞，可導致當前60%的以太坊節點瞬間崩潰。您如何看待這些被披露的安全問題的？

Celer推出的跨鏈橋cBridge宣布支持Nervos:7月12日消息，由區塊鏈互操作性協議Celer Network推出的跨鏈橋cBridge宣布支持Nervos。用戶現可通過cBridge在以太坊和Nervos EVM兼容層Godwoken之間進行對USDT、USDC、ETH、WBTC和DAI高速安全低成本的跨鏈轉賬。

此次橋接遵循此前Celer提出的「開放的原生資產跨鏈橋標準」，針對同一種原生資產跨鏈啟用多方鑄幣者（multi-minter）資產合約，以使各協議和鏈可同時使用多個跨鏈解決方案，拒絕供應商鎖定。此外，Celer表示未來將基于Celer消息跨鏈（Celer IM）框架支持對Nervos的通用消息跨鏈。[2022/7/12 2:07:11]

蔣旭憲：360披露的“史詩級”漏洞問題，從嚴謹安全的層面可能會有一定程度的爭議，尤其是“史詩級”的媒體渲染，讓不明真相的人感到了恐慌。當時的爭議在于，安全公司披露和項目方出現了一些摩擦，造成了廣泛的行業影響。不過從另一個角度看，當時360選擇在EOS主網上線前披露漏洞，確實讓大家認識到區塊鏈底層公鏈存在的嚴重安全問題。

PeckShield發現以太坊上的一個高危安全漏洞，也就是“致命報文”（EthereumPacketofDeath—EPoD)。EPoD可導致60%以上節點瞬間崩潰的問題，其實在6月初就已經發現并和以太坊基金會取得聯系，協助其展開修復，真正披露是在6月底，確認該漏洞已經徹底修復后才對外披露的。

我認為，對于一個并未產生危害的嚴重漏洞，媒體披露的角度會過于夸大其危害性，從而警醒媒體受眾加強安全認識，這無可厚非。但作為安全公司,我們可以盡量確保安全問題已經修復完之后再在合適時機進行披露，避免造成不必要的負面影響。

核財經：2018年稱之為公鏈元年，您如何評價過去一年公鏈項目的安全問題的？

蔣旭憲：其實，回顧整個2018年公鏈安全問題來看，在生態的各個環節都出現了比較重大的安全事件，包括BTC、ETH、EOS、BCH等。這些公鏈上的安全問題從某種程度上可以完全摧毀整個公鏈。我認為，這里面影響最大的還是BTC的超發漏洞。雖然大部分媒體可能并不知曉這個漏洞的細節，該漏洞也沒引起廣泛的媒體傳播，這是因為在這個BTC超發漏洞的處理上，包括研究人員的負責任披露、BTC核心團隊的應急響應、最后相關的媒體報道，都是非常專業和值得稱道的。但我們知曉這個漏洞的時候還是嚇了一跳，也在內部認為這是2018年影響最大的漏洞，即使沒有廣泛的媒體報道。

每個公鏈漏洞都有它的特殊性，比如說以太坊的“致命報文”、EOS節點的“遠程代碼執行”等等這些安全問題，我認為都在各自公鏈上有它的獨特性，但也有某種共通性。另外任一公鏈層面的安全漏洞，因為會影響到上面運行的所有DApp應用，所以他們的重要性必須給予足夠的重視和關注。

DApp被薅公鏈亦成殤

核財經：公鏈的核心價值是應用，如您所說，公鏈層面的安全能影響上面所有的應用。為此，其自身應該采取哪些措施，以保護DApp應用的安全性？

蔣旭憲：這個問題我們內部有不少討論。2018年暑假的時候，Fomo3D游戲火爆，當時攻擊者做了一個阻塞攻擊之后，把獎金池里面的錢全取走了。類似的攻擊也出現在了其它Fomo3D類游戲，比如LastWin。這種阻塞攻擊利用的就是公鏈本身設計的某一個特定環節。而且修復這些漏洞的成本也是很高。本質上說，2017年底的以太貓和2018年中的Fomo3D游戲，暴露了底層以太坊公鏈技術存在的不足，也就是TPS和響應時間等方面都不夠理想。從保護DApp的角度看，期待以太坊公鏈2.0以及其它競爭公鏈在自身設計上，應該有一種機制能夠防止這些所謂的阻塞攻擊。

在EOS的公鏈，為了有效支持DApp應用，有一個有趣的設計，那就是延遲交易。這一點上，我覺得EOS還是值得贊賞的。通過延遲交易，DApp可以用一個未來的數據來充當隨機數，這樣就能夠形成一個比較可靠的隨機數生成，保證了誰也沒法預測。這個也是目前各種EOS競猜類DApp游戲當中，大部分都采用的隨機數機制。

核財經：上個月，BetDice因交易漏洞損失近20萬EOS。在EOS上，盜幣事件屢被詬病，您對此有過哪些關注？為何EOS公鏈上的盜幣事件如此頻發？

蔣旭憲：這確實是個很嚴重的問題。我們內部梳理過EOS上線以來發生的所有安全事件，包括背后的漏洞原理分析、攻擊流程的還原、攻擊者的定位、獲利情況、和最后不正當獲利的資金流向等。分析其過程：一是有助于我們更好理解當前行業的現狀；二是理解攻擊者的能力，有助于我們更好去檢測、阻截這些攻擊者。也只有這樣，我們才能更好的保護DApp開發者和用戶。

但為什么現在EOS盜幣事件這么頻繁？我認為，一是EOS在某些方面的設計，雖然使得這些DApp的開發門檻相對較低，能吸引更多的開發者進來，但由于，它確實是一種新鮮的編程和運行環境，開發者對其認知程度，包括相關的安全考量和影響，我認為還需要時間沉淀。目前的現狀是，在某些開發者和開發環節上確實難免會出現疏漏，在單點上也是容易被攻擊者利用和攻破。

現在EOS公鏈上，更多的是競猜類游戲，而競猜類游戲又特別容易匯聚資產。有資產之后，資產會對黑客有更大的吸引力。攻擊者一進來，就造成目前看到盜幣新聞比較頻發的問題。必須承認，目前的攻防現狀上，攻擊者是走在安全防守者的前面，他們甚至比防守者更快定位到哪些有安全漏洞或者安全問題的DApp。

最后，我們發現，在梳理攻擊者最終所得的贓款流向的時候，特別是努力幫助開發者追回資金的時候，我們發現黑客的犯罪成本很低，因為目前適用的法律法規還不完善。在EOS上，雖然有ECAF的社區治理機制，但在時間的響應、流程上，我認為還有很大的空間可以改善。

核財經：現在，許多基于公鏈開發的DApp項目方都會擔心會安全問題。從安全角度來講，你認為DApp項目方應該如何提高自身的安全系數？

蔣旭憲：很多開發者在開發相關DApp的時候，或許因為沿襲了以前在傳統互聯網或移動互聯網的開發模式，為了盡快推動業務上線，在安全方面沒有第一時間重視，在安全應急響應流程上也是缺失。

我一直強調在區塊鏈行業，安全一定要先行，而且需要在業務里面第一時間考慮進去。開發者在設計DApp的時候，在整體架構上就需要有安全意識和相應的安全模塊。比如在開始設計合約的時候，如果出現了安全問題，應該會有怎樣的應急流程和具體的響應機制。我認為好多DApp開發者根本就沒思考過這個問題。一旦出了問題，他們可能就懵了。另外，DApp開發者術業有專攻，建議項目方和專業的安全團隊建立有效地互動，包括合約上線之前的審計、遭遇攻擊事件時的應急響應等等。最后盡量利用社區的力量，用社區的經驗避免自己去踩同行以前踩過的坑。同時，也希望把發現的安全問題盡量回饋給社區，讓社區都知道有類似的問題。我接觸過很多類似的安全事件，別人踩的坑下一個項目方又去踩了一次，這讓DApp開發者更加傷痕累累，我認為這個成本是有點高的，也沒有必要。

Tags：區塊鏈EOS以太坊區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢EOS幣是什么幣以太坊幣是什么幣

狗狗幣