CBC100 | 黃連金：區塊鏈安全的9個主要問題_區塊鏈:DEF

區塊鏈安全一直是區塊鏈發展進程中至關重要的議題。如何設置更完善的KYC和AML系統、如何防止私鑰被盜、如何實現去中心化數字身份確認等等，都是我們需要日益關切的問題。

本期《CBC100》邀請到黃連金老師為我們解析區塊鏈安全中的9個主要問題。

1.?智能合約

智能合約是區塊鏈中最重要的技術之一，其特征是可以鎖定大量資產且在發布后不可更改，但智能合約是開源的，如果被黑客研究出代碼的漏洞，則會出現資產流失等問題。在整個區塊鏈發展中，大部分的安全事件都與智能合約漏洞有關，由于智能合約的安全問題而造成的資產損失量不可小覷。

在智能合約的安全審查中，需要關注是誰寫的、是否通過第三方審計、是誰將其發布上鏈、合約地址的私鑰由誰掌握以及是否可以升級等方面。智能合約的編程需要遵循開源的最佳實踐。例如云安全聯盟大中華區最近發布的《智能合約安全指南》白皮書和機械工業出版社的《區塊鏈安全技術指南》的第三章內容。

Dune API已向所有用戶開放:4月25日消息，區塊鏈數據分析平臺 Dune 宣布 Dune API 向所有用戶開放，還將為免費用戶提供更多功能。Dune 還修改了訂閱計劃。[2023/4/25 14:26:25]

2.?數字錢包

數字錢包是數字貨幣和區塊鏈應用的入口，且包含了私鑰。

區塊鏈的數字資產是鏈上資產，而擁有這些數字資產的人就是私鑰的掌握者。也可以將錢包理解成是存儲私鑰的地方而非數字資產的地方，因為誰擁有了私鑰，誰就擁有了該私鑰地址下所有的數字資產。因此，如何保護私鑰的安全是區塊鏈安全問題中研究的重要領域。

不同類型的數字錢包，其安全需求是不同的。因此，我們需要了解各類型錢包的情況以及私鑰、公鑰和密碼、簽名等之間的關系，這樣才能更全面的解決錢包安全問題。關于錢包安全的問題，大家可以參考云安全聯盟大中華區最近發布的《數字錢包安全開發與應用實踐》

數據：比特幣觸及3.1萬美元區間后價值2.4億美元的BTC從交易所中撤出:金色財經報道，數據顯示比特幣觸及3.1萬美元區間后價值2.4億美元的BTC昨日從交易所中撤出，主要來自幣安和Coinbase兩家加密貨幣交易所，創下了今年迄今為止第六大的單日資金提取量。另據Coingecko數據顯示，當前BTC以小幅回落至30400美元左右，但市值仍高于特斯拉，目前以5880.3億美元位列全球資產/公司市值第十位。（cryptoslate）[2023/4/16 14:05:59]

3.?共識算法

區塊鏈如果作為計算平臺，那么它有別于其他計算平臺的主要特征是共識算法。不同的節點或者服務器對于一個交易進行確認，決定這個交易是否發生、發生的順序，交易是否合理、是否雙化的算法就是共識算法。共識算法有很多種類。有傳統數據庫的共識算法，例如RAFT，?PAXOS，這兩種算法的主要特征是Crush?Tolerant也就是可以容許出現宕機，當其中一臺機器宕機，還有別的機器在運作，可以用?RAFT或者PAXOS作為底層的共識算法保證分布式系統的正常運行。但是當這些傳統算法遇到惡意節點時，傳統的共識算法就會失效。因此需要能夠容錯的算法，例如比特幣的POW算法，就可以防止一些惡意節點，其可以容納49%的惡意節點；同時還有在聯盟鏈中通常使用的拜占庭容錯，可以容納少于33%的節點錯誤。而以太坊2.0使用的權益證明和EOS上的DPOS也可以容許一定量的節點錯誤。

前Coinbase產品經理 Ishan Wahi可能就內幕交易指控達成和解:4月5日消息，前 Coinbase產品經理Ishan Wahi 及其兄弟 Nikhil Wahi或將以同監管機構的合作為由，就內幕交易等指控達成和解。根據聯合法庭文件，“SEC 工作人員建議的任何和解都必須在 SEC 內部進行審查并得到 SEC 專員的批準，然后才能提交法院批準，這一過程可能需要數周時間。”約定書要求美國華盛頓西區地方法院主審此案的法官將原定的4月6日截止日期推遲至 6 月15日。

前Coinbase經理Ishan Wahi于去年7月份因美國加密貨幣內幕交易案被捕，其于今年2月初對內幕交易指控認罪，改變了他的無罪辯護。但Wahi仍在對證券欺詐指控進行抗辯。據悉，在此案件中，美國證券交易委員會（SEC）將9種加密貨幣列為證券，分別是AMP、RLY、DDX、XYO、RGT、LCX、POWR、DFX和KROM。需要指出的是，Coinbase此前收到韋爾斯通知，但未被指控在 Wahi 案中有任何不當行為。[2023/4/5 13:46:08]

在共識算法安全問題的研究中可以從四個不同角度進行思考：

外媒：SBF可能會在美國法庭提出無罪辯護:金色財經報道，12月31日，FTX聯合創始人SBF可能會在美國法庭提出無罪辯護。[2022/12/31 22:17:19]

1.在網絡質量方面研究其安全性和活性。安全性即不會雙化，而活性則是指所有合理的交易都會被記錄在鏈上。

2.最終確認性。有些共識算法沒有最終確認，例如POW是基于概率的確認性，而拜占庭容錯確認則為最終確認。因此從這個角度看其安全和活性，所用的假設都不一樣。

3.區塊鏈不同類型私有鏈、公鏈、聯盟鏈的共識算法都不一樣，應用場景也不同，其中安全性和活性也都不一樣。

4.從Game?Theoretical博弈論的角度考慮算法安全性和活性。

目前共識算法的安全性和活性的研究在學術界和區塊鏈初創企業都獲得廣泛的重視。作為云安全聯盟區塊鏈安全工作組的成員單位，北京大學正在這方面展開研究。

比特幣礦企Bitfarms11月份共挖出453枚BTC，同比增加34%:金色財經報道，比特幣礦企Bitfarms 11月份共挖出453枚比特幣，同比增加了34%，環比下降了7%。11月的哈希率增加了5%，達到4.4EH/s。11月份月平均每天挖15.1枚BTC，低于2022年10月的平均每天挖15.7個BTC，Bitfarms表示11月的產量降低主要受到網絡難度增加和月份較短的影響。[2022/12/1 21:16:14]

4.?交易所

價值交換和價值實現的地方，因此也常收到黑客的攻擊。云安全聯盟對于經常出現的交易所安全問題進行分析，在2020年12月發布了《數字貨幣交易所Top10安全風險》可以作為從業者和用戶的參考。

5.?DAPP和?DeFi

DAPP就是去中心化的應用。今年大部分去中心化應用都出自DeFi。

去中心化金融很火，但卻頻發Rug-Pull即項目跑路等問題，當然除此之外也存在自身通證設計的安全問題。DeFi項目需要注意三方面的安全，第一就是智能合約的安全，第二就是通證經濟設計方面的安全，第三就是監管的安全。智能合約的安全前面已經提到過。這里就說一下通證經濟和監管的安全。如果通證經濟沒有設計好，會造成死亡螺旋的問題。就是你價格越低，參與的人越少，然后逐漸的就價格就歸零了，或者趨近于零，這就是死亡螺旋，你怎么樣去避免死亡螺旋，促進價格和生態可持續的發展，這個其實是通證經濟與DAO設計的一個關鍵。或者因為通證經濟設計參數方面有漏洞，可以被黑客利用。總體來說DeFi的90%的項目，因為有可能會因為共識不夠，通證經濟設計不合理，可能技術還可以，但是最后還是要靠生態，靠通證經濟，因為它是多學科的領域，其中某個領域沒做好，最后可能不能成功偃旗息鼓。DeFi第三方面的安全：是監管安全。現在DeFi生態還小，監管還沒有開始。但是到某個程度就要受監管，那么有些如果不符合監管的話，整個生態會受到打擊，所以這個風險就嚴重了。比如去中心化交易所EtherDelta項目被美國政府罰款是一個例子。需要注意的是DeFi項目最終都一定要符合本地的監管，所以首先項目需要有自律的精神，絕對不能夠去做非法的一些事情。DeFi要能夠真正地進行發展，一定要有行業的自律，現在國內有一些DeFi的仿盤，內在還是中心化的，不是去中心化，有可能會圈錢跑路的，所以大家要小心，保證好項目的安全工作，及時規避風險。

6.?去中心化數字身份

數字身份是保障數字經濟安全的信任基石，業界目前的數字身份體系一般都

是中心化的，區塊鏈作為解決可信問題的分布式技術，給數字身份自治的場景打開了天窗，比如減少云計算中心化身份數據大量聚合的泄露風險，在邊緣計算分布式系統中使可信身份認證管理更加便捷私密等等。去中心化數字身份的標準是W3C正在開發的一系列標準，包括DID數據模型，DID方法，DID通訊等等。利用DID標準來進行技術開發或者應用落地的項目或公司需要注意的一些安全與隱私的問題，開源組織云安全聯盟在2020年9月發布了《用戶自治數字身份安全白皮書》可以作為參考。

7.?網絡安全

區塊鏈中點對點網絡的安全非常重要。數據隱私保護，點對點傳輸的數據如何進行加密并保證數據通暢和不被篡改。在加密過程中，是否可以用零知識證明，或同態加密、多方安全計算等。北京理工大學作為云安全聯盟區塊鏈安全的成員單位正在這方面展開研究。

8.?數據層

區塊鏈數據層次包括鏈上和鏈下的數據，數據的保密性，完整性和可用性是數據安全需要關注的問題。區塊鏈本身的不可篡改的安全屬性在區塊鏈數據的完整性方面作出非常好的保證。但是在數據保密性和可用性方面，需要做進一步的研究。對于區塊鏈數據進行分類和安全與隱私方面的需求進行分析是利用區塊鏈發揮數據價值的必要條件。云安全聯盟區塊鏈安全工作組成員單位武漢大學在這方面正在開展研究。

9.?AM和數字貨幣溯源技術層

通過大數據研究的方法，對可疑、非法、洗錢、恐怖主義融資等不正常交易進行標注，并提供給政府相關部門協助進行整治。關于這方面的內容，建議大家看一下，云安全聯盟最近發布的《數字貨幣溯源技術白皮書》。

總而言之，在這9個方面中，智能合約是使得區塊鏈能夠真正用于實踐的工具，但在安全方面卻一直未受到重視；而錢包作為各方面應用的入口，安全問題也絕對不容小覷。而對于共識算法而言，安全性和活性格外重要。交易所安全事件同樣頻頻發生，因此解決交易所安全問題以及DAPP、去中心化數字身份，網路層次和數據層次和AML安全問題同樣刻不容緩。

來源：金色財經

Tags：區塊鏈EFIDEFDEFI區塊鏈MOVEZ幣CEFIRise of DefendersModefi

聚幣