She Knows 访谈 | 2019年白帽、黑客区块链斗法，谁能掌控网络安全？

2018年区块链安全问题频发，恰恰，区块链与金融密切相关，安全问题一旦爆发意味着用户资产受到严重威胁。2019年，区块链安全有何新趋势？安全公司的价值体现在哪里？用户将如何保护个人资产？2月20日，在She knows微信社群，蒋旭宪和Blue接受了巴比特加速器联合创始人胡梦迪的犀利提问，全程180分钟，详细呈现了区块链行业的安全攻防战。现将精华内容摘录如下。

重点1，区块链自带金融属性，一旦发生安全问题后果相当严重。2018年美链BEC智能合约漏洞爆发，近70亿市值一夜蒸发。

重点2，区块链黑客攻击成常态，一是发展早期从业者安全意识和基础技能相对薄弱，底层合约代码存在较大同质性，出现问题会有连带威胁；二是区块链的火热和币价吸引了黑客注意力，攻击回报率远高于互联网；三是区块链攻击犯罪成本极低，难以溯源追回。

重点3，极客精神是对技术的极度专研和精通，研究透彻并做到最好。为什么DApp总是被黑客攻击？因为黑客比DApp方更懂区块链，更懂底层技术，更愿意花费时间去研究和利用。

重点4，开源会使系统更加安全，有更多人关注并参与开发，它必然会使系统更加完善和良性发展。黑客为什么能发现更多的漏洞并提前利用，这是一个对抗话题。

以下为访谈全文，巴比特资讯编辑：

派盾创始人蒋旭宪：区块链自带金融属性，安全防护刻不容缓

She Knows：从传统互联网换道区块链安全领域，您为何做出这个选择？互联网和区块链的安全风险有哪些差别？区块链安全攻防有哪些新挑战？

蒋旭宪：平均，每10年左右会发生一次重大的技术变革。1998年的PC互联网，2008年的移动互联网，2018的区块链。每一次技术变革都可以说是破坏性创新（disruptive innovation），要么彻底破坏旧的产业生态，要么重塑一个新的产业生态，破坏或重塑的过程自然会造成相关标杆企业的兴衰。

我在国外高校期间错过了PC互联网阶段，在360工作期间近距离观察了移动互联网，这次创业则完全参与了区块链，这是由来已久的思考。

关于互联网和区块链在安全上的差别：PC互联网时代，人们更多关注PC主机和网站服务器的安全。移动互联网时代，在上述基础上又多了移动终端和APP安全及数据隐私要求。欧盟出台GDPR法案，目的就是针对移动互联网个人数据的隐私保护。

区块链和互联网不一样，在安全和隐私保护上区块链要求更高。首先其自带金融属性，一旦发生安全问题后果相当严重。去年美链BEC智能合约漏洞造成其近70亿市值一夜蒸发。其次，区块链也可能带来全新的安全问题。2017年WannaCry勒索病毒大行其道，它利用数字资产的匿名性，通过传播勒索软件，直接索要比特币，这在以前不太可能实现。

She Knows：派盾各业务的范畴是什么，整体布局和业务重点是怎样的？

蒋旭宪：我们的定位是区块链数据与安全服务商。我们认为安全必须是基于大数据的安排。我们会对各大公链数据进行分析整理和汇总，并结合我们多年的安全能力第一时间去感知公链上可能存在的安全风险，并且把安全发现和处理能力输出给各个生态合作伙伴。

去年10月以来，DApp生态得到发展，而阻挠开发者的最大因素就是黑客攻击，因此我们推出了DAppShield安全盾风控平台。它可帮助DApp开发者做上线前安全测试，排除已知风险，预警可能的安全攻击。另外，它支持攻击发生后的一键暂停，尽可能减少资产损失。也能联合交易所进行资金追踪，为DApp开发者提供完整的风控、应急响应等服务。

而我们掌握和整理了全网大量的地址标签，并实时监控链上发生的大额异动情况，随着数据挖掘的持续深入，我们也会考虑适时推出AML（反洗钱）服务。

She Knows：2018年开始黑客攻击成为业内“常态”，您怎么看这个变化？

蒋旭宪：据我们统计，2018年全年以太坊公链一共发生了54起安全事故，大部分集中在上半年，安全类型多为交易所安全、智能合约以及公链设计缺陷问题等。EOS公链从年中主网上线到2018年年底发生了49起安全事件。绝大多数发生在 DApp。

有几个原因：

一，区块链发展处于早期，安全意识和基础技能相对薄弱，底层合约代码存在较大同质性，一旦出现问题就会有连带威胁；

二，2017年下半年和2018年年初的区块链火热和币价高涨极大吸引了黑客注意力，攻击回报率远超互联网；

三，区块链攻击犯罪成本极低，难以溯源追回。

派盾创始人蒋旭宪：DApp问题频发，区块链发展带来新的安全挑战

She Knows：从区块链1.0到以太坊2.0，再到3.0，区块链的安全问题有什么变化？给攻防带来了什么新的挑战？

蒋旭宪：区块链1.0时代，大家对区块链技术的认知及可能面临的安全问题欠缺深入理解，存在私钥丢失或被盗，公链安全所需算力不足等问题；

2.0时代，随着以太坊和大量智能合约的涌现，合约安全和公链性能或可靠性不足成为安全隐患；

3.0时代，EOS和TRON等公链兴起，追求高并发TPS的平台开始出现，落地一些实时性互动竞猜类应用时，随机数破解、交易回滚或阻塞等问题出现了。

随着区块链生态的持续发展和逐渐繁荣，安全问题也会相应变化和随之升级，并且会和业务场景息息相关。黑客实施攻击的手段和形式也趋于多样化和复杂。

但根本上说，对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障，可以支撑成千上万的各类区块链DApp应用。DApp开发者要持续提高安全意识，适应攻防的快速迭代。

She Knows：从一开始的以太坊生态安全事件频发到EOS生态“遭殃”，转变发生的原因是什么？在EOS生态中DAPP成为黑客集中攻击对象，开发者有办法避免吗？

蒋旭宪：这种安全攻防的转变和区块链行业的本身发展息息相关。另外，EOS公链在某些方面的设计使得DApp开发门槛相对较低，但它确实是一种新鲜的编程和运行环境，开发者对其认知程度，包括相关的安全考量和影响，还需要一段时间的沉淀。

目前的现状是，在某些开发者和DApp开发环节上难免会出现疏漏，单点上容易被攻击者利用和攻破。很多开发者在开发相关DApp时或许因为沿袭了以前在传统互联网或移动互联网的开发模式，为尽快推动业务上线没有第一时间重视安全问题。

我们的观察是，相当一部分攻击是可以有效避免的。开发者在设计DApp时可以先问自己一个问题：出现了安全有怎样的应急响应流程？很多团队缺少这种自问自答。

另外，DApp开发者术业有专攻，建议DApp项目方和专业的安全团队建立有效的互动，包括合约上线之前的审计、上线后的实时异常检测，以及攻击发生后的应急响应等等。

最后，尽量利用社区的经验避免自己去重复同行以前踩过的坑。

She Knows：底层公链在技术设计上的不足和安全漏洞会影响到上面应用的数字资产安全，您有什么解决方案和建议？

蒋旭宪：底层公链和链上应用DApp是相辅相成和互相成就的关系。

在以太坊上，Fomo3D类游戏是黑客利用以太坊底层技术存在的不足实施了阻塞攻击，获得了大奖，把奖金池里的钱都取走了。这个问题在以太坊上还没有太好的解决方案，期待以太坊2.0会有改善。

在EOS上，为了有效支持DApp应用，有一个称之为“延迟交易”的设计，它是目前各种EOS竞猜类DApp游戏普遍采用的随机数开奖方式。但由于EOS公链设计上的考虑，黑客可以通过交易阻塞的方式来随意控制开奖交易。这类问题需要排除链上可控变量（比如时间因素）参与随机数生成。目前有不少DApp干脆采取服务器开奖方式，但这对游戏的公平性带来质疑。

在TRON上，类似的安全问题目前还未披露。但随着DApp越来越多，用户量和资金越来越多，预计类似的问题迟早会出现。

imToken首席安全官Blue：区块链安全相当于裸奔，开源使系统更安全

She Knows：与网络安全防护相比，钱包安全防护有什么异同？

Blue:钱包安全防护算是网络安全防护的一部分。钱包安全主要是尽最大可能保护钱包对应的资产，即保护钱包密钥、助记词等不被泄漏。我认为钱包坚持去中心化（由用户完全掌握资产）是钱包安全的一个比较不错的出发点，再者就是传统安全领域的防护，如本地数据存储安全、网络传输安全、节点服务器安全等。

She Knows：区块链技术以其完全开源的特性，使得黑客可以轻松的去探究其漏洞。怎么看开源和闭源的安全？

我个人认为长期来看开源会使得系统更加安全，有更多的人来关注及参与开发，必然会使系统更加完善和良性发展。至于黑客为什么能发现更多的漏洞并且提前利用，这就是一个对抗的话题了。

She Knows：您曾经说区块链在安全方面相当于在裸奔，如何理解？如何改善区块链安全问题？

Blue:对用户来说，安全掌握自己的资产最为重要。安全意识不足是比较大的问题，经常发生的丢币事件大多是因为用户自身没有安全的存储私钥、助记词造成的。当然还有层出不穷的诈骗事件。

对项目方来讲，更多面临的是黑客攻击，主要是由于自身开发能力及安全防范不足导致的安全漏洞。

解决方案是用户做好安全知识学习，对项目方则要使用成熟的区块链开发架构，将安全做为架构的一部分，严格遵循。

She Knows：安全专场热心听众提问，在区块链生态里编程使用的程序语言各不相同，程序语言对于安全性的比重有多大？

蒋旭宪：目前不少区块链里的安全问题，是由底层公链的设计和实现引入的。比如Fomo3d的阻塞漏洞和EOS上的交易阻塞漏洞，这不是程序语言带来的。

She Knows：安全专场客座主持人海伦提问，勒索病毒是危害互联网最严重的病毒之一，如何减少勒索病毒侵害？

Blue：问题还是出在漏洞。个人及时升级电脑系统，不随意安装第三方不可信APP，不浏览一些不知名网站，而做好数据备份更重要。我建议不要去付勒索款，数据大概率拿不回来，只会不停加钱。

She Knows：安全专场客座主持人海伦提问，安全公司在发现区块链项目机制漏洞后，发布的时间一般都有联合做空之嫌，如何看待这个猜测？

Blue：漏洞报告平台是一个解决方案，白帽子和厂商在同一个平台上对话，更安全和流程化；但现阶段对漏洞的奖励还是远小于漏洞本身的价值。

“黑客”“白帽”斗法区块链，安全行业确实需要极客精神

She Knows：做安全防护是赚卖白菜的钱，操卖白粉的心，你怎么看待黑客和白帽？

在面临的重大选择上，就是人性和利益的对抗了，在白帽子处于一个不受重视的不良环境中，面临足够大的利益时也会做出不好的选择。所以期望行业继续重视安全，做好事也能获得足够的利益是最好的状态。

She Knows：您认为全球安全领域最酷炫的黑客是哪一个？为什么？

Blue：虽然在研究技术时会碰到一些敬佩的人，但黑客的世界不能说“最”，求的就是技术突破，用更猥琐的技巧干掉老师傅是件比较爽的事情，但也要向前辈致敬。

She Knows：经常有人说安全行业是最具极客精神的一个行业，什么是极客精神？

Blue：极客精神就是追求极致的精神，研究透彻并做到最好。安全行业确实需要极客精神，只有研究透彻才能发现漏洞，找到防护方式。为什么DApp总是被黑客攻击？因为黑客比DApp方更懂区块链，更懂底层技术，更愿意花费时间去研究和利用。

She Knows：您发现过影响资产规模最大的安全漏洞是什么？

蒋旭宪：在区块链领域我们团队的安全发现跻身于“以太坊赏金猎人”全球排行榜Top3，还发现了多起EOS公链的安全漏洞。不过最让我们自己震撼的还是去年4月底发现的美链BEC智能合约的漏洞。漏洞被爆出后近70亿市值一夜蒸发，我们第一次感受到了在区块链领域安全的重要性。

熊市是重新洗牌的过程，创业者应熊市磨刀，牛市亮剑

She Knows：当下的熊市里您公司在战略和战术上有所调整吗？怎么看待当下的行情和市场？

蒋旭宪：当下的行情和市场应该是大浪淘沙淘汰掉一大部分项目，不少人也会离开这个行业，一些投机者的积极性会受到打击，但这并不会影响真正做事人的热情。牛市亮剑，熊市磨刀，越是行情不景气，踏实做事的公司和人越能发挥应有价值。

Blue：熊市很多安全公司都退场了。2018年前半年的安全漏洞频发，下半年声音寥寥，不是漏洞没了，是安全上的投入少了。

我看好区块链技术，但感觉现阶段还是以炒币目的居多，可能要有一个清醒期。

She Knows：2018年另一个显著变化是多了不少区块链安全服务公司，这个赛道上的产业生态如何？派盾的差异点和竞争优势是什么？您是怎么看待寒冬对安全行业的影响？

蒋旭宪：不同安全公司有不同的切入点，大概有以下几种：

一，链上数据分析和安全预警；二，形式化验证和机器证明；三，安全众测和威胁情报共享；四，传统互联网的安全业务转型。

这些分类也不是很绝对，未来还会有新的安全方向和业务需求不停冒出来，包括数字资产的反洗钱（AML）服务等。

2018年下半年区块链行业进入寒冬，不少安全公司选择转型或退出，这是重新洗牌的过程。

我认为要想在安全服务赛道掌握核心竞争优势，关键要看：一是能否实时感知行业生态各个环节的运转动态，敏锐洞察可能出现的安全风险状况，并准确提供必要的预警和防范；二是能否切实解决生态中存在的安全问题，对行业生态的合作伙伴（钱包、交易所、DApp等）提供有感知的，且愿意付费的产品和服务。

2019年，区块链安全领域的机会和挑战

She Knows：2019年，区块链领域会有哪些新的期待点？

1、公链、侧链和跨链持续完善，包括闪电网络、Plasma、Polkadot和其它layer2的扩容方案；看看隐私保护是否会快速发展，这会对直接推动区块链落地和支持链上应用发展。
2、DApp生态发展，尤其看ETH、EOS、TRON几大主链生态是否能稳固发展。
3、ETF是否会获批，它直接影响新的资金和流量。
Blue：个人感觉应该有两个极端值得期待，一是国家的监管及支持，二是匿名的区块链实现。

She Knows：2019年安全防护行业有哪些新的期待和挑战？

Blue：安全防护和业务需求挂勾，有新的技术和业务就有新的防护方式。我比较期待对区块链的整体架构级的防护模式的出现，比如类似传统互联网的WAF模式，这能解决大部分的安全问题，不要让开发去过多的考虑安全，技术漏洞交给架构解决最好，开发只需要多点安全意识。潜在的挑战应该还是在区块链技术研究上是否能领先“骇客”吧。