专访蒋旭宪：没有久攻不破的公链 只有尚未发现的漏洞

文︱艾特

核财经APP1月7日报道区块链向我们许诺，以分布式和防篡改的方式存储和交换有价值的信息。

而历史提醒我们，新生事物初期的野蛮生长，总是伴随着重大安全教训。纵观整个2018年，出现了BTG遭双花攻击、BEC智能合约漏洞、EOS“史诗级”漏洞、以太坊“致命报文”、BTC超发漏洞等重大安全事件。事实证明，那一行行的代码，尚不足以保护人类社会已岌岌可危的信任。

“而面对黑客肆虐，资产被盗，公链与DApp应用在被攻破之前，似乎永远不知道它是否安全。”前360首席科学家、PeckShield创始人兼CEO蒋旭宪博士表示，区块链1.0时代大家对技术本身认知还欠缺成熟，存在双花攻击风险以及私钥被盗的问题；2.0时代随着以太坊平台和大量智能合约的涌现，出现了溢出和阻塞等安全问题；3.0时代随着EOS和TRON等公链的兴起，一些追求高并发TPS的平台开始出现，在落地一些实时性互动的竞猜类应用时，出现了随机数和交易回滚问题等等。

蒋旭宪认为，公链冒出的安全问题，与区块链独特属性相关，特别是在币的承载和币的转移方法上面，成了黑客的天堂。而且，没有久攻不破的公链，只有尚未发现的漏洞。

他强调，区块链领域的安全由来已久，从区块链技术的发展来看，每一个系统以及相关的生态都是非常庞大的，其技术层面也是非常复杂的，把多个技术融合在一起，本身就是很困难的事。安全领域有一个所谓的木桶理论，最短的木板决定了你的安全高度。另外，在用户环节体验设计上，目前来看还有相当高的门槛。用户使用上如果不习惯，就容易犯各种错误。

数据：2032年Web3.0市场规模将达到819亿美元，年复合增长率达44.5%:金色财经报道，据市场研究及顾问公司Acumen Research&Consulting发布的《2023-2032 Web3.0市场预测》报告显示，预计到2032年Web3.0市场规模将达到819亿美元，年复合增长率为44.5%，其中亚太地区的Web 3.0市场将经历显着增长，预计从2023年到2032年的复合年增长率约为47%。另据此前德勤的一份报告表明，由于减少了欺诈并改进了索赔处理，保险业每年可以通过采用区块链技术节省高达 5-100 亿美元的成本。（globenewswire）[2023/4/30 14:35:34]

区块链生态安全亟待加强

核财经：从传统互联网安全换道区块链安全领域，您发现了什么？为什么要做一家区块链安全公司？

蒋旭宪：这反映了我个人的创业思考历程。关于创业的思考由来已久，但很遗憾在国外高校期间，完美的错过了国内的PC互联网阶段。在360期间我主要负责移动端的核心安全能力，算是参与和亲身体会了移动互联网的浪潮。

2017年下半年的时候，区块链行业开始热起来，那时候也是看了很多白皮书，不过市场上更多的是炒币，感觉这个做法根本不符合我的性格，也没有太大的兴趣。相反，当我更多的分析几大公链的底层代码，再结合自己个人的安全背景以及攻防的思维逻辑上去研究，这个层面一下子就吸引了我。

看进去之后，觉得区块链技术确实是一大技术变革，可能会是下一代的互联网核心技术，预计会重构目前的很多行业。同时觉得区块链根本上解决的是信任问题，安全又成了里面最核心的基石。如果安全没做好，信任问题根本无从谈起。所以，我决定Allin。

某以太坊早期投资者14年购入7.5万美元ETH，现浮盈超5300倍:金色财经报道，Coinbase业务主管Conor在社交媒体上称，开头为（0x2B6e）的地址是所有加密货币中最神秘的地址之一。其中，在14年的ICO中购买了价值75000美元的ETH；完全没有接触过的钱包；从来没有进行过一次交易。钱包现在价值4亿多美元，增长了5333倍。仅仅是通过空投，就收到了650万美元的空投（仅初始投资就有87倍）。这是我能找到的唯一未动过的 ICO 巨鲸钱包，想象一下在多个牛市和熊市中持有的精神毅力。尽管更有可能的结果是他们丢失了密钥。[2023/2/27 12:32:25]

核财经：您认为区块链领域面临的安全问题都有哪些？目前，在区块链行业做安全服务的难点和挑战有哪些？

蒋旭宪：从整个区块链行业的生态来说，我认为，里面的各个环节都碰到了区块链自身独特的安全问题。

我们可以分为横向和纵向来看。横向来说，有交易所、钱包、矿池、合约、DAPP等安全问题；纵向来看，有基础设施、数据层、网络层、共识层、激励层、合约层、业务层等方面的安全问题。

在各个维度上，区块链领域面临的安全服务与挑战也是前所未有的。这里我就不展开说了，但需要特别指出的是，目前区块链上攻击的犯罪成本极低，这会间接放纵安全事件的频发，而安全事件往往是突发的、在区块链上造成的资产损失和影响也是不可逆的。另外，黑客玩的是实打实的数字资产，回报率比传统互联网高很多，而惩罚的技术门槛颇高，力度也是明显不足。从另外一个角度看，比较遗憾的是，目前区块链开发者的安全意识和基础技能还是相对薄弱，不少底层合约代码存在较大的同质性，一旦出现问题就会有连带威胁。

BAYC系列NFT近24小时交易额增幅超100%:金色财经报道，据OpenSea数据显示，Bored Ape Yacht Club（BAYC）系列NFT近24小时交易额为722ETH，增幅达139%，24小时交易额排名位列OpenSea第3。[2023/2/6 11:49:23]

核财经：今年新生了不少做区块链安全服务的公司，这个赛道的整体生态如何？行业寒冬里，您是如何思考在这一领域一展所长的？

蒋旭宪：区块链行业目前还处在早期，区块链安全亦是如此。为此，现在说整体生态还为时尚早，不过可以看出不同安全公司的切入点，大概有以下几种：一是链上数据分析和安全预警；二是形式化验证和机器证明；三是安全众测和威胁情报共享；四是传统互联网的安全业务转型。当然，未来还会有新的安全方向和公司不停的冒出来，包括数字资产的反。

随着区块链行业寒冬的到来，也会有不少安全公司被淘汰或者选择转型。我认为要想在安全服务这个赛道掌握核心竞争优势，关键要看：一是能否实时感知行业生态各个环节的运转动态，敏锐洞察可能出现的安全风险状况，并能准确的提供必要的预警和防范；二是能否切实解决生态中存在的安全问题，对行业生态的合作伙伴提供有感知的，且愿意付费的产品和服务。

正视公链安全漏洞问题

核财经：从1.0的比特币，到2.0的以太坊，再到3.0的百链竞发时代，公链成了黑客攻击的所谓天堂。那么，在您看来公链的安全问题主要有哪些？

蒋旭宪：区块链1.0时代大家对技术本身认知还欠缺成熟，存在双花攻击风险以及私钥被盗的问题；2.0时代随着以太坊平台和大量智能合约的涌现，出现了溢出和阻塞等安全问题；3.0时代随着EOS和TRON等公链的兴起，一些追求高并发TPS的平台开始出现，在落地一些实时性互动的竞猜类应用时，出现了随机数和交易回滚问题等问题。

多力多滋将于2月8日进驻Decentraland并分发基于Polygon的NFT等礼品:2月5日消息，多力多滋（Doritos）官方推特宣布，将于2月8日在元宇宙平台Decentraland中推出Doritos Triangle Studios，届时参与用户有机会在8日-10日间获得定制游戏电脑、RTFKT、Meebits NFT、限量版Doritos穿戴设备等礼品。

多力多滋官方表示，所有的mint均在Polygon链上进行，用户无需购买。[2023/2/5 11:48:38]

总之，随着区块链生态的持续发展和逐渐繁荣，一些安全问题也会随之升级，并和业务场景息息相关，黑客实施攻击的手段和形式也趋于多样化。但根本上来说，对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障，可以支撑成千上万的各类区块链DApp应用。

核财经：2018年里，我印象中有两起重大安全事件，即5月29日360爆出EOS“史诗级”漏洞和6月15日PeckShield宣布发现以太坊上一个高危安全漏洞，可导致当前60%的以太坊节点瞬间崩溃。您如何看待这些被披露的安全问题的？

蒋旭宪：360披露的“史诗级”漏洞问题，从严谨安全的层面可能会有一定程度的争议，尤其是“史诗级”的媒体渲染，让不明真相的人感到了恐慌。当时的争议在于，安全公司披露和项目方出现了一些摩擦，造成了广泛的行业影响。不过从另一个角度看，当时360选择在EOS主网上线前披露漏洞，确实让大家认识到区块链底层公链存在的严重安全问题。

交互沉浸式数字艺术画廊37xDubai完成逾500万美元融资:12月14日消息，交互沉浸式数字艺术画廊37xDubai宣布完成逾500万美元新一轮融资，迪拜数字资产和区块链投资公司Morningstar Ventures领投。该画廊预计于2023年一季度正式开业。

37xDubai旨在成为艺术与科技的桥梁，其背后的模块化技术可支持快速更新展出数字藏品，为专注于Web3教育、传统艺术、数字艺术、娱乐和社区的市场带来全新概念。（KhaleejTimes）[2022/12/14 21:44:32]

PeckShield发现以太坊上的一个高危安全漏洞，也就是“致命报文”（EthereumPacketofDeath—EPoD)。EPoD可导致60%以上节点瞬间崩溃的问题，其实在6月初就已经发现并和以太坊基金会取得联系，协助其展开修复，真正披露是在6月底，确认该漏洞已经彻底修复后才对外披露的。

我认为，对于一个并未产生危害的严重漏洞，媒体披露的角度会过于夸大其危害性，从而警醒媒体受众加强安全认识，这无可厚非。但作为安全公司,我们可以尽量确保安全问题已经修复完之后再在合适时机进行披露，避免造成不必要的负面影响。

核财经：2018年称之为公链元年，您如何评价过去一年公链项目的安全问题的？

蒋旭宪：其实，回顾整个2018年公链安全问题来看，在生态的各个环节都出现了比较重大的安全事件，包括BTC、ETH、EOS、BCH等。这些公链上的安全问题从某种程度上可以完全摧毁整个公链。我认为，这里面影响最大的还是BTC的超发漏洞。虽然大部分媒体可能并不知晓这个漏洞的细节，该漏洞也没引起广泛的媒体传播，这是因为在这个BTC超发漏洞的处理上，包括研究人员的负责任披露、BTC核心团队的应急响应、最后相关的媒体报道，都是非常专业和值得称道的。但我们知晓这个漏洞的时候还是吓了一跳，也在内部认为这是2018年影响最大的漏洞，即使没有广泛的媒体报道。

每个公链漏洞都有它的特殊性，比如说以太坊的“致命报文”、EOS节点的“远程代码执行”等等这些安全问题，我认为都在各自公链上有它的独特性，但也有某种共通性。另外任一公链层面的安全漏洞，因为会影响到上面运行的所有DApp应用，所以他们的重要性必须给予足够的重视和关注。

DApp被薅公链亦成殇

核财经：公链的核心价值是应用，如您所说，公链层面的安全能影响上面所有的应用。为此，其自身应该采取哪些措施，以保护DApp应用的安全性？

蒋旭宪：这个问题我们内部有不少讨论。2018年暑假的时候，Fomo3D游戏火爆，当时攻击者做了一个阻塞攻击之后，把奖金池里面的钱全取走了。类似的攻击也出现在了其它Fomo3D类游戏，比如LastWin。这种阻塞攻击利用的就是公链本身设计的某一个特定环节。而且修复这些漏洞的成本也是很高。本质上说，2017年底的以太猫和2018年中的Fomo3D游戏，暴露了底层以太坊公链技术存在的不足，也就是TPS和响应时间等方面都不够理想。从保护DApp的角度看，期待以太坊公链2.0以及其它竞争公链在自身设计上，应该有一种机制能够防止这些所谓的阻塞攻击。

在EOS的公链，为了有效支持DApp应用，有一个有趣的设计，那就是延迟交易。这一点上，我觉得EOS还是值得赞赏的。通过延迟交易，DApp可以用一个未来的数据来充当随机数，这样就能够形成一个比较可靠的随机数生成，保证了谁也没法预测。这个也是目前各种EOS竞猜类DApp游戏当中，大部分都采用的随机数机制。

核财经：上个月，BetDice因交易漏洞损失近20万EOS。在EOS上，盗币事件屡被诟病，您对此有过哪些关注？为何EOS公链上的盗币事件如此频发？

蒋旭宪：这确实是个很严重的问题。我们内部梳理过EOS上线以来发生的所有安全事件，包括背后的漏洞原理分析、攻击流程的还原、攻击者的定位、获利情况、和最后不正当获利的资金流向等。分析其过程：一是有助于我们更好理解当前行业的现状；二是理解攻击者的能力，有助于我们更好去检测、阻截这些攻击者。也只有这样，我们才能更好的保护DApp开发者和用户。

但为什么现在EOS盗币事件这么频繁？我认为，一是EOS在某些方面的设计，虽然使得这些DApp的开发门槛相对较低，能吸引更多的开发者进来，但由于，它确实是一种新鲜的编程和运行环境，开发者对其认知程度，包括相关的安全考量和影响，我认为还需要时间沉淀。目前的现状是，在某些开发者和开发环节上确实难免会出现疏漏，在单点上也是容易被攻击者利用和攻破。

现在EOS公链上，更多的是竞猜类游戏，而竞猜类游戏又特别容易汇聚资产。有资产之后，资产会对黑客有更大的吸引力。攻击者一进来，就造成目前看到盗币新闻比较频发的问题。必须承认，目前的攻防现状上，攻击者是走在安全防守者的前面，他们甚至比防守者更快定位到哪些有安全漏洞或者安全问题的DApp。

最后，我们发现，在梳理攻击者最终所得的赃款流向的时候，特别是努力帮助开发者追回资金的时候，我们发现黑客的犯罪成本很低，因为目前适用的法律法规还不完善。在EOS上，虽然有ECAF的社区治理机制，但在时间的响应、流程上，我认为还有很大的空间可以改善。

核财经：现在，许多基于公链开发的DApp项目方都会担心会安全问题。从安全角度来讲，你认为DApp项目方应该如何提高自身的安全系数？

蒋旭宪：很多开发者在开发相关DApp的时候，或许因为沿袭了以前在传统互联网或移动互联网的开发模式，为了尽快推动业务上线，在安全方面没有第一时间重视，在安全应急响应流程上也是缺失。

我一直强调在区块链行业，安全一定要先行，而且需要在业务里面第一时间考虑进去。开发者在设计DApp的时候，在整体架构上就需要有安全意识和相应的安全模块。比如在开始设计合约的时候，如果出现了安全问题，应该会有怎样的应急流程和具体的响应机制。我认为好多DApp开发者根本就没思考过这个问题。一旦出了问题，他们可能就懵了。另外，DApp开发者术业有专攻，建议项目方和专业的安全团队建立有效地互动，包括合约上线之前的审计、遭遇攻击事件时的应急响应等等。最后尽量利用社区的力量，用社区的经验避免自己去踩同行以前踩过的坑。同时，也希望把发现的安全问题尽量回馈给社区，让社区都知道有类似的问题。我接触过很多类似的安全事件，别人踩的坑下一个项目方又去踩了一次，这让DApp开发者更加伤痕累累，我认为这个成本是有点高的，也没有必要。

标签：区块链EOS以太坊区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势EOS币是什么币以太坊币是什么币

SAND热门资讯