关于区块链安全的那些事

摘要：区块链安全的话题被多次提及，尤其是我们的资产安全。 在数字资产交易史上，安全事件层出不穷。 许多全球知名交易所也曾发生过重大安全事件。 今天北墅区块链就和大家聊一聊区块链的安全性。

大家好，我是柯南。 今天就和大家聊聊区块链的安全问题。 农历新年快到了。 在此祝大家新年快乐。

区块链安全这个话题也会被大家多次提起，尤其是我们的资产安全。 很多朋友会私信我们，询问更多关于将数字资产存放在交易所或某些钱包是否安全的问题，甚至要求我们提供如何更好地保管数字资产的建议。

但是区块链的“安全性”是一件很难弄清楚的事情。 我们之所以选择区块链，是为了让彼此，尤其是互不信任的人，以安全、不可篡改的方式共享数据资产。 区块链数据存储的背后是一系列复杂创新的数学和软件规则，很难被攻击者操纵。 然而，即使是设计最完善的区块链系统，其高等数学和软件规则也并非“100%防弹”，尤其是当子弹来自现实世界的专家时，更是难以应对。

而且，在数字资产交易的历史上，安全事件层出不穷。 其中，多家全球知名交易所也曾发生过重大安全事件。 从门头沟到币安，一切都在告诉用户，一定要慎重选择交易所，确保资产安全。

以下是2019年以来的交易所安全事件盘点：

3月24日，DragonEX交易所遭受攻击，预计损失达602万美元。 袭击的具体原因不明。

3月26日，BIKI交易所遭到攻击。 攻击的原因是为了绑定谷歌验证码。 短信验证码被劫持。 官方已对受损用户进行了赔偿。

3 月 30 日，Bithumb 交易所被盗。 估计损失300万个EOS，攻击原因是私钥被盗（内部人）。

5 月 8 日，币安交易所遭到攻击，损失 7000 BTC。 此次攻击的起因是多种攻击手段的混合，币安基金已经为损失买单。

但是当你看到这些案例时不要惊慌。 任何行业，甚至大型传统金融机构，都可能存在安全隐患。 因此，安全是一个斗智斗勇的过程，我们要理性认识和认识各个平台的安全建设。

首先，谈谈区块链被称为“安全”的根本原因。 以比特币为例，在比特币区块链中，共享数据是指所有比特币交易的历史记录，可以理解为记账账本。 该分类帐以多个副本的形式存储在称为“节点”的计算机网络上。 每当有人向账本提交交易时，节点都会检查提交的交易以确保其有效性，这意味着要花费比特币的朋友必须先有比特币才能花费。 然后一些节点争夺将有效交易打包成“块”并将其添加到区块链的权利。

说比特币系统是不可篡改的，原因有二：第一，每个区块都有自己独一无二的加密指纹； 其次是“共识协议”，即网络中的节点就共享历史达成一致的过程。

以上就是我们所知道的区块链安全的由来，但这只是区块链技术本身的安全特性，而是因为数字资产平台或者项目方组织，在互联网上利用区块链技术开发相关产品世界上，产品本身存在各种传统风险。

目前的现状是安全事件频发。 要知道，这只是近期影响比较大的事件列表。 如果扩大时间范围，或者统计可能存在的轻微影响和涵盖的事件，数量会多于此； 第二，平台或用户的损失巨大，数千万甚至数亿美元。

说到这里，不得不说说为什么黑客总是攻击数字资产平台？

从逻辑上讲，任何行为都是有目的的。 黑客攻击的目的是为了炫耀技术或表达政治诉求，但最大的比重还是为了获取经济回报。

在现实生活中，也有攻击银行或证券交易系统等传统金融机构的案例，但这方面的记录远少于上述案例。

我认为这有两个主要原因。 一方面，传统金融机构持有的资产，无论是数字对实物的纸币和硬币法定货币，还是证券凭证，一般都是经过登记的，其流通过程有迹可循，受到监管. 要达到难以追踪的转移效果，成本高，难度大。 另一方面，传统金融行业的数字化历史由来已久。 无论是人才储备、技术积累，还是制度规范，都已经非常成熟，单是信息安全建设水平就比较高。 想要拿走资产，逃过这一系列步骤的追捕，难度很大。

但我们看数字资产交易所合约部署要比特币吗，一方面，数字货币的匿名性、不可篡改性、非监管性等特点，导致资产转移便捷，但难以溯源和找回。 另一方面，数字货币交易行业出现时间短，发展速度快，利润高。 因此，在技术积累不足的情况下，信息安全建设仍然被忽视。 安全隐患较多，攻击相对容易。

当然，这并不意味着数字资产平台就一定是脆弱的、充满风险的。 就连刚才提到的币安，虽然也有安全事件，但仍然是一个比较靠谱的平台，补偿机制也比较完善。 ，其他像火币、OKEx、Coinbase、BitMex在安全方面都有非常好的表现。

而且结合历史来看，OKEX的抗风险能力还是比较强的。 据官方透露，OKEX有自己成立的专业安全团队，在产品首页有安全应急响应中心，可以对提交BUG的组织和个人进行奖励，同时会有交易异常等异常提示，而OKEX合约业务也有爆仓预警等，同时也与业内多家知名证券公司建立了合作关系。 除了升级风控体系外合约部署要比特币吗，还建立了完善的补偿机制。

目前，数字货币交易所在技术上面临的安全威胁主要分为两部分。

1、传统信息系统存在安全漏洞

在这部分，数字货币交易所与传统金融机构并无太大区别。 其整个信息系统由网络服务器、后台数据库等要素组成。 作为客户端访问服务器的一种方法。

结合我之前提到的东西，可以看出这部分面临的安全威胁主要包括服务器软件漏洞、配置不当、DDoS攻击、服务器端web程序漏洞（包括技术漏洞和业务逻辑缺陷）、办公电脑安全问题、内部攻击等

对于规模大、用户多的交易所，用户也会面临被攻击者通过假冒钓鱼网站骗取认证信息的问题。

2. 智能合约安全漏洞

以太坊被称为“区块链2.0”技术的代表，因为它支持智能合约的运行。 可以理解为，比特币系统是在底层区块链技术的基础上，加上一个定义奖励分配规则的“合约”。 以太坊的出现提供了现成的底层区块链网络。

开发者编写智能合约代码后，将代码部署到区块链上，在以太坊节点的EVM虚拟机上执行程序。 代码上传到链上后，各节点执行相同的操作同步数据状态。

与传统程序一样，智能合约不可避免地存在安全漏洞。 不同的是，由于区块链技术的不变性，一旦部署了合约，就很难修复问题。 一些存在整数溢出等漏洞的代币分发合约部署后，在交易所进行交易，进而触发漏洞被利用。 短时间内大量发行代币，影响市场价值，会给交易所和用户造成巨大的经济损失。 损失。

实际的威胁情况可能比这还要糟糕得多。 我们说智能合约“智能”，是因为一旦部署在链上，其执行过程透明可见，不可篡改，不需要人工干预，自然解决了执行过程中的信任问题。 要解决的根本问题。 但是，虽然解决了程序“运行”阶段的问题，但如果合约代码存在漏洞，执行后被利用，背离了初衷，区块链技术的这些优良特性反而会成为挽救损失的障碍。

为应对这部分安全威胁，交易所在上线新币前需要经过完整的合约代码安全审计，做到防患于未然，将可能的攻击威胁降到最低。

而且，市场上活跃的第三方安全公司很多，安全是一个永恒的话题，也是一个斗智斗勇的过程。 这是所有行业参与者都将密切关注的一点。 除了技术的发展，何义提到的政策还有容忍度和空间，我们会一直关注这些事件。