区块链技术应用落地，存在什么安全问题？

首先简单说一下，区块链的特性：数据不可篡改，而且永久保存。这个话题让我想到看过的一个文章，文章里面当时有一句话说：

如果我们不谨慎的话，大多数公共区块链将沦落到《机器人总动员》中地球的命运，注定将成为废弃的古代垃圾资源库：不是物理垃圾，而是垃圾数据，无关紧要，不合时宜且已被弃置的数据。

当时看到这句话很有感触，比特币限制区块的大小，就是不鼓励大家在链上插入非交易数据。

但ETH、EOS这些竞争者怎么干？

它们会改变区块的大小，也可以随机往链上存储一些备注数据，而且目前这些其实已经产生了明显的影响。比如EOS，打开区块浏览器会发现你的账户里存在大量垃圾广告信息，而且这种信息无法删除，永久留痕。长此以往它就失去了公链真正的功能和意义。

所以现在很多区块链应用都基于联盟链的机制来做，因为它的接入受限制。联盟链可以接受一些相对大体系的数据，但写入数据需经过授权才行。根据我们审计的一些联盟链的应用，目前应用中的大部分链上也不会存储原始数据。

只把跟交易相关以及需要验证的重要数据存储在链上，所以公开的区块链的链上数据插入以及垃圾数据的插入，目前也是一个比较大的风险和问题。

首先我们要了解，水能载舟，亦能覆舟。技术是无罪的，关键是我们想怎么用。我们联盟顾问方主任，他们团队主要做一些大陆互联网数据的全方位监控，例如P2P、第三方支付、区块链等数据的全程监控。

最近方主任在互联网大会上表示，随着互联网时代的发展，这些数据的成本越来越低。现在每天都会产生超过过去几十年甚至几百年的信息总和，其中90%以上都是垃圾信息。

为什么会有垃圾信息呢？主要是人类具有欺骗性，这些都是我们人类自己制造的麻烦。

区块链是分布式的数据库账本技术，该技术方案致力追求在缺乏互相信任的分布式网络环境下，实现交易的安全性、公允性，达成数据的高度一致性，防篡改、防作恶、可追溯。

我们要合理利用区块链技术进行信息溯源，同时在保证实名制的情况下，我们是可以有效杜绝垃圾信息，而后保证数据不会篡改，以发挥信息该有的价值。

针对区块链上数据永久保存，但同时会造成大量的垃圾数据堵塞区块链的问题，我个人认为最主要的原因是底层技术的发展还不够成熟。

这类比互联网也是一样，在互联网初期，最早出现的信息都是0101。而现在整个计算机码还是这样，再后来是邮箱发信息，最后到数字、视频、语音以及各方面发展到如今的状态。

我认为技术发展是本质原因。目前数据上链肯定存在，也存在很多垃圾数据。比如现在很多数据对个人或机构来说，90%的信息无用。这90%的信息，我们称之为垃圾信息，但这可能对其他人有用。

正因为各式各样的信息充斥在一起才形成了互联网，所以我们在互联网上什么都能搜到。如果要想把区块链未来做成跟互联网一样的生态，底层发展还有待提高，路程还远。

与此同时，这也意味着机会还有很多。就线下的情况来看，有一些链只能做一些交易的信息存储，现在已经出来的包括EOS可存储一些备注信息。

最近内容存储的链也出来了，这是向前发展的过程。我认为应进行选择，例如摒弃一些不好的、有害于社会的信息。

未来还需大家统一数字身份的问题。如果未来底层统一，可能就是公链之争。公链支撑底层，可能每个人在区块链世界中都会有一个数字身份，就是ID。在这个前提下，所有的上面信息都是由一个个ID形成，根据区块链特性，它可以进行溯源，也可有效防止一些垃圾信息。

如果你的垃圾信息确实有害，可溯源到你，当然这可能需要很长一段时间的发展。就目前而言，这还属于发展较早期，这些数据的问题可以考虑，但不必过多纠结。

因为现实面临的问题是大家觉得存在链上还不如存在互联网上方便，所以这有一个发展过程。

这个问题目前受底层限制，但未来则并不一定。未来如果区块链底层成熟，可能这问题也会随之消失。我们往前看，比如在2000年无法想象用一个手机就可以打车，这就是技术的发展。

有可能区块链发展五年或十年后这些问题就都不是问题，它速度也会像互联网一样快捷、方便及舒适，但又具备整个区块链底层的特征：分布式，永不篡改。

其实这个问题涉及区块链的不可能三角问题，不可能三角是指区块链的去中心化、安全性及可扩展性三者不能同时满足，或是三者只能选择其二。

从本质上来说，我之前也给大家提过这可能是一个不严谨的说法。因为区块链不一定是没有办法满足这三点或是不一定去掉其中一个，另外两个就可以很完美，它并非如此。

举例来说，比特币用的是PoW工作量证明共识，它的安全性最好，但性能较差。以太坊目前是PoW，可能后面会转PoS，但以太坊在安全性上仅次于比特币。EOS是DPoS共识，它的性能相对较好，但牺牲了去中心化，故它的攻击成本相对于以太坊和比特币就低。

万事不会十全十美，鱼和熊掌也不能兼得。但可能在区块链技术应用落地时，针对不同的应用场景需选择不同的共识来做技术支撑。

所以在设计区块链应用时，具体还得分析你当前的应用场景是什么，是考虑安全性，还是可扩展性，根据不同的需求选择不同的共识算法以满足设计需求。

区块链技术目前还处于早期阶段，共识机制如PoW工作量证明、PoS股权证明、DPoS授权股权证明、Paxos、PBFT（实用拜占庭容错算法）、dBFT、DAG（有向无环图），为了最大限度保证应用项目的安全，那么在选择共识机制时，应该参考各机制优缺点做出权衡：

我们使用多主链+多子链的混合架构，为全球第一个使用此种混合架构的区块链。根据整个区块链的资源利用情况自动对超级节点进行分片，形成多主链并行出块模式，充分利用网络资源和超级节点资源，极大的提高出块速度，增加区块链的垂直扩展性；同时在主链之上可以根据应用的使用情况，启动多条子链，以支持更多的联盟成员DApp业务数据上链，增加区块链的水平扩展性。

我们首先剖析一下这个问题，应用项目如何选择共识机制，这有待研究。

什么意思呢？做应用项目，就目前来说，全球能供选择的区块链本就不多。区块链发展还需结合互联网来说，互联网开始发展时，表明互联网阶段好的发展是有千万级别的应用出现。

区块链目前几乎没有千万级别的应用在链上运行，除了所谓的交易类型，有交易的数据，其他的没有。就底层来说，PoW、PoS，DPoS也都是一个发展过程。

如何选择需看你做什么应用，目前可供选择的并不多，并且如果你想以安全为前提，PoW可能最安全，它最安全但也最不适合做链上应用。

平衡点需要寻找，我们在应用的过程中，其实有很多应用目前已逐步开始落地，包括从上到下都在重视这一块，看你到底是要用哪个。

之前我们给别人做底层优化时也加了区块链，但并不是说你全部都要上链。链上的应用是靠你选择，到底是注重用区块链，还是它哪个特性，例如是溯源防伪还是分布式或是交易。

以特点来选择，合适才最好。当然在整个行业中，是用的最多的。

从安全性上说，肯定PoW是整个区块链中最正统的，其他都是探究行业的进步。相信未来肯定会寻到一个平衡点，包括上面提到的不可能三角。不可能三角是根据自己的实际情况在其中寻求一个平衡或侧重点。

未来公链之争肯定会更加激烈，因为这属于整个底层基建。想做好应用就需选择合适的底层，只要发展是朝前走的就行。

其实在区块链技术应用落地项目中，大部分应用的安全问题都出在两个方面，一是链本身的安全，以及基于链上开发的应用的业务安全问题。

例如上图中的联盟链，其实也是一个常见的区块链技术的应用落地，那它的安全就大概分为链安全和业务安全两个方向。

链安全是怎么接口RPC，还有数据通信、数据存储，以及刚提到共识的安全问题，最重要是合约安全与源代码的安全问题。

业务安全问题分为应用安全、中间件安全，以及底层的服务器安全，还有它的生产网络的安全。比如APP的客户端安全、用户认证、数据接口及信息泄露等，还有平时用的一些中间件和服务器。它本身也会存在各种各样的漏洞，包括网络问题，这些都算业务安全。

上图已经列举比较详细，但可能不同的应用会有一些针对应用本身较特殊的一些安全问题。

根据我们平时对一些区块链应用项目的安全审计，链本身的问题大多数是集中在合约和RPC接口上，还有源码上的一些逻辑问题，但最重要的是合约安全问题加PC问题。

业务可能每一个点都是短板，因为安全是一个面的问题，而不是各个点的问题。如果你面上做的很好，就像木桶原理，你只要有一个短板就可能满盘皆输。所以安全在区块链技术应用里是比较重要的一个环节。

针对区块链落地项目安全问题的风险防范有两个建议：

首先是大家关注的数字货币钱包安全，刚才邓总也建议使用官方推荐的钱包软件，坚决不使用不明厂商开发或是社交网络中来源不明钱包软件。如果是中大型企业可以使用我们联盟伙伴库神之类的硬件钱包，尽量根据实际业务需求进行软硬结合配置。

另外，关注代码安全，像零时科技应该也对外做代码审计，我们专利联盟的自有链也找了相应的权威机构做了专业的代码审计。

该图是我们专利联盟一起对外推的安全测评体系，主要是在底层系统，业务功能等层面鼓励联盟伙伴做一些安全专项测评，进行安全方面的查缺补漏。

如果不能及时发现和修复安全漏洞，用户的核心数据与资产极有可能会被黑客攻击窃取。我建议大家多多对代码进行查缺补漏，尤其是智能合约要保持定期的维护和更新。

应用落地项目的安全，从技术角度上来讲，上面两位嘉宾讲的多是关于技术方面，包括代码的安全、合约安全、通讯、中间件和服务器等。我认为技术很重要，因为所有的东西都是人设计的，这就会有比你技术更高的人发现漏洞，并攻破。技术层面的防护是依据你的团队水平。

项目应用落地，可以用安全工具，或者邀请相应的机构进行检测。我想跟大家分享应用上多半是没有交易的，那我们现在交易的通证，数字货币有通证，如果没有，那么知名钱包被盗的原因多是什么呢？

我们也有钱包，我们知道有些知名钱包会传出数字货币被盗的情况，那么80%～90%以上最终查出来原因是因为用户自己不小心泄露了私钥或密码，亦或是被亲人朋友看到私钥并拿走，另外还有被钓鱼网站给钓鱼。

所以在应用中，还需看自己在技术上做好安全防护，以及注意细节，例如应用代码审计、合约审计。特别是公链需注意的点更多，它的安全级别也更高。很多基于别的公链和联盟链开发的东西，需输入合约，那可能很多就败在合约的漏洞上。

交易所上币时，也会审计你的发币合约，只有通过审计才能上币。因为每个人写的合约标准可能一样，但写合约的方式不一样，所以这需看技术员的细心和水平。所以其实我的建议是从技术员和运用人员注意细节以保证安全，但事实上没有绝对的安全。

问题4：邓总，想问问在零时的数据库中，有关区块链应用方面的安全多半问题出在哪？有具体的事例吗？

区块链应用的安全其实比较多，且是方方面面的。像徐总说的除了技术安全问题之外，还有一些其他运营管理上的安全问题。

首先在我们的数据库里经常会碰到的安全事件，例如智能合约安全。这个可能大家都屡见不鲜了，前段时间智能合约的安全问题频发，损失惨重。大家调侃智能合约一行代码价值一个亿，其实一点也不假，例如经典的lendf.me事件。

因为智能合约的重入攻击导致损失惨重，然后还有BEC美链，因为智能合约的溢出漏洞，导致美链的代币价值一夜归零，这事件较远。

比较最近的就上个月这个事件大家都可能听过，就是Defi也算是一个热点。以太坊平台的Defi，4月份发生的重入攻击事件导致损失2400万美元，这其实也是智能合约里代码层面的设计问题。这类问题比较典型且易出现。

另外，常出问题的是交易所及项目方应用，例如交易所和项目方经常会出现被盗，其实你也不知道他是不是真的被盗，反正媒体说是被盗，且官方也说遭到黑客攻击被盗了。

在这种情况下确实很多情况是真的被盗了。这有几个原因，第一个是员工的安全意识比较差。之前龙网被盗，就是完全因为一个员工的安全意识差，他从网络上下载了一个量化交易的软件，而软件其实是一个钓鱼恶意软件下载到电脑上后，会在电脑后台默认启动，然后扫描你的网络。因为它已进入内网控制员工机器就可以访问到你内网中很多内部的资源和应用平台。这个恶意软件从内网找到了交易所的私钥，导致资产被转走。

第二个是因为平台的安全防护措施比较差，一方面因为运维不到位，还有是功能开发可能没有做好，未能从代码层面做到安全防护。通过测试，黑客的攻击手段可以进入平台后端，或是控制服务器从而导致损失资产数字货币，所以区块链应用的安全需求较高。

在上线时，尽量通过第三方安全机构进行代码安全审计，包括应用平台的黑盒安全测试，先于黑客发现一些缺陷和安全漏洞，真正做到居安思危，以攻促防，减少安全事件的发生以及资产的损失。

很多安全事件和安全漏洞可能大家不太明白，比如智能合约的重入攻击可能听过，但具体的使用原理涉及到技术问题，包括一些黑客的攻击手段，大家可能觉得神秘或不可揣测。

如果大家对这块感兴趣，可以关注我们团队，也可以加我微信，而后我们私下沟通，谢谢！

我估计群里有许多比特币的忠实信仰者，对于这些比特币忠实信仰者来说，可能会感觉区块链专利本来就是一个伪命题。但目前区块链技术已经作为中国新基建的一环，它跟5G、人工智能一样，区块链技术，专利，标准到应用层面已经到了大国博弈的阶段。

提供技术开发可能跟你自营技术还不一样。比如你自己运营一个项目，那你是技术人员。

我们给很多大型企业做底层改造时，他们不懂区块链技术，但这最终还得掌握在自己手中。所以你就面临很多提供技术之外的问题，例如对员工进行技术培训。技术培训不像我们在区块链行业有三四年，而他们都是新手，这中间会有很多问题。

因此，首先，我们在提供技术的同时，会有一套方案。所有项目上线前都会进行自己的安全检测。

其次，我们跟第三方也有合作。第三方做的东西，如果你赞同他的技术角度，而IT人员对自己的东西非常信任，所以很多问题基本上像bug或漏洞很难检测出来。我们找第三方检测机构专门再做一遍检测。后面上线就需要预防各方面，比如上面嘉宾也提到他有预防措施或软件可以应用。

最重要的安全事件发生一定要预演，就像我们现在帮别人做运维，他们很多是没有技术团队的，那整个运营在我们手中，因此要做预演。

把可能会出现的一些安全问题罗列出来，根据每一个项目和应用的不同，它可能会出现的安全问题都预演一遍，而后拿出预演解决方案。这非常重要。

在数字资产的应用过程中，比如钱包。我们2017年上线了钱包，目前用户流量也很稳定。但中间出现了一个问题，当时有一个大妈的数字货币EOS不见了，她不想被别人转走就肯定会说我们的钱包被盗。

然后我们负责调查这个事件，最后发现这个地址是在一个交易所上，那之后就需要申请工单。交易所提供了地址背后的实名认证信息，我们把这信息交给大妈时，她就说到此为止，因为当时报了警。大妈私下告诉我们是她儿子。

技术上的安全是一定的，而我们在生活当中要多注意。像我上面所说，你自己的安全方案，第三方的检测，问题预演就已经足够。但在数字货币方面一定要注意，选择市场上时间较长和较出名的存储方案。

我就自身经验分享一下，如果你自己做好了防护，还出现被盗币的情况，这可能跟技术有关，比如制作钱包的技术人员。这是我的一个经验。

如果你本身不作恶，像去中心化钱包很难被盗。因为提到区块链，大家都会想到安全，既然你本身就是安全的东西，你还怕安全，这肯定有问题。所以这可能是人本身的问题。

本文来源：耳朵财经
原文标题：区块链技术应用落地，存在什么安全问题？

—-

编译者/作者：耳朵财经

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。