你居然觉得区块链更安全，我也醉了

安全就是花你看得见的钱，避免那些目前看不见但一旦发生会造成严重损失的事情。

文字 | 陆晓明

警钟迟早会响起。

深谙媒体套路的360向EOS打响指，犹如区块链领域的一枚深度炸弹，唤醒了业内人士对公链安全的关注。

所谓的“安全”，似乎总是薛定谔的状态。 毕竟比特币创立之初,区块的大小是多少，在系统受到威胁之前，您永远不知道系统是否安全。

历史总是在重演。 就像当年的PC和移动互联网时代，新事物刚出现就疯狂生长； 随着节点的到来，安全事件爆发，行业开始被动关注安全问题； 最后，安全解决方案成为标准配置。

目前，区块链领域似乎处于这样一个节点：BTG遭受双花攻击，BEC智能合约存在重大漏洞； 公链的漏洞无疑凸显了区块链和EOS网络的巨大影响力。 此后，几家安全初创公司宣布获得资金。 区块链安全问题似乎瞬间受到重视。

事实上，区块链领域的安全问题由来已久。

不懂技术的人似乎天生就对区块链的安全性很有信心，认为资产上链就不会丢失。 但是，之前已经发生过很多交易所私钥被盗的案例； 私钥掌握在自己手中是最安全的。 个人私钥被盗或丢失的案例更是层出不穷。

在破解这个迷思之前，先说说比特币的巧妙设计。

一位名叫中本聪的密码学专家在神秘的“密码朋克”邮件系统中发布了比特币客户端，创造了一种新型的数字黄金。 它没有任何发行实体，即任何人都不能发行额外的代币。 它的资产价值和归属是基于共识的，共识背后是数学。 “有句话叫Code is Law，我觉得代码的本质不是代码，而是数学，数学是上帝之手，自然界的真理。” 网络安全公司知道，创宇CEO赵薇曾感叹Odaily星球日报。

P2P网络+PoW共识机制+激励机制，让这个系统看起来牢不可破。 中本聪在白皮书中计算出的这个系统的安全边界是拥有51%算力的人可以随意篡改账本。 但是，PoW（Proof of Work）的存在会让这种攻击得不偿失，何况51%的算力持有者是网络最大的利益相关者。 为了自己的长远利益，他甚至愿意放弃垄断算力来维护网络的健壮性。 赵薇说：“我第一次看到比特币的时候，觉得它很容易被攻击，但是他加入了工作量证明，我觉得是黑客的噩梦。”

中本聪大概没有想到矿机的出现。 与PC相比，矿机的算力是“死亡”和后来的无数小币种； 但它反而增加了比特币网络的计算能力。 ，攻击门槛更高。

从区块链1.0到3.0，安全性在倒退

购买力不能被任何发行人随意调整，账本不可篡改。 只有拥有私钥的您才能处置您的资产。 信徒认为，这是“真正掌握自己的资产”，是资产无法剥夺的保障。

这就是区块链 1.0——比特币。

该系统一直运行至今。 尽管它被严重堵塞，但它从未被突破过。

区块链 2.0 并没有那么安全。

一位名叫 Vitalik Buterin 的少年想在比特币网络中加入智能合约，但遭到了比特币团队的拒绝。 于是他在 2013 年到 2014 年间亲自创立了以太坊：一个可以运行智能合约的分布式网络。

图灵完备的智能合约带来了极大的灵活性，但也带来了安全问题。 此后，基于以太坊的智能合约屡屡暴露漏洞。 其中最大的是2016年6月黑客通过漏洞组合攻击The DAO项目，窃取了价值数千万美元的以太坊，以及当年10月的DOS攻击，分别导致了以太坊的分叉。 时至今日，以太坊的智能合约仍有数千个未解决的漏洞。 可以说，智能合约越灵活，功能越强大，也越容易出现漏洞。 一些新的公链甚至为了安全牺牲了合约的图灵完备性。

“主要是虚拟机不是设计成这样来使用的，虚拟机不是专门用来处理资产的，而是以太坊、EOS等公链用它来处理资产。” 赵薇解释说，出于安全原因，资产和用户功能的处理应该分开，资产处理和变更应该由单独的引擎处理。 “这个过程是原子的、事务性的，中间不能中断。比如我在收银台，你不能让我擦桌子。但是在虚拟机中，存在重入漏洞。”

虽然区块链3.0还没有正式到来，但已经有不少人将EOS视为3.0的代表。

“在第三代，EOS为TPS引入了DPOS机制。” 在赵薇看来，这不仅仅是类似于以太坊智能合约的“代码安全”问题，更是在架构上抛弃了安全性。 连真正的区块链都算不上。 “P2P网络才是真正的区块链。”

“越来越中心化，很容易被黑客攻击。在网络结构中，如果固定一两个节点，网络仍然可以继续正常运行。但在树状网络结构中，21个节点后面可能有7-8个一旦个人被恐怖分子抓到，网络安全将不复存在。因此，网络安全不安全，就看谁说了算。POW就是矿机说了算，是数学的背书，数学是上帝之手，智慧是法律的一种执行。”

因此，从区块链1.0时代到3.0时代，赵薇认为是在倒退。 “安全性下降了，但易用性提高了。易用性提高了。”

以太坊的主要安全漏洞（表格来自雷锋网）

区块链带来安全，也带来安全挑战

比特币构建的资产安全是一种资产不被剥夺、价值基于共识、发行人无法控制的安全。 这不是一种大众可以轻易理解的“安全”，也不意味着大众理解的“安全”在这里已经被彻底淘汰。

大众理解的安全是“我不丢币”。 事实上，资产不被盗的前提是建立在私钥（key）不丢失的前提下。 比特币赋予资产所有者的是一种权利（自由）。 如果你想控制自己的资产，你必须自己负责保管私钥。 而大多数用户也不一定有意愿或能力承担这种责任——将资产存放在有品牌保证的大型交易所比自己存放更好。

安全是有代价的。

就像比特币一样，为了保证记账系统的安全，花费了大量的算力。 赵薇认为，其带来的信息的公开透明、不可篡改、不可删除，对安全性也有很大的作用。 但另一方面，比特币的匿名性、不受法币体系约束、技术门槛等都对其资产保护提出了挑战。

他总结了五点：

1、首先，区块链资产在大多数国家不受法律保护，公安机关和银行均未备案。

2. 区块链的匿名性使得币一旦丢失难以追踪。 你不知道是谁偷了它，你也无法证明资产是你的。

3、保护区块链资产存在一定的技术门槛，用户自身难以自保； 此外，资产的价值是基于技术的。 一旦技术被操纵，黑客可以随意窃取利益，资产价值将变为零。

4. 生成分布式数据库上的资产表面上是安全的，但交易所、托管钱包、矿池等业内企业的系统是中心化的，是黑客攻击的目标。

与传统交易所相比，数字货币交易所的KYC做得并不好。 “在室内做安保和在野外是不一样的。（在野外）获得自由后做安保更难，区块链就是野外。”

5、生态不完善，空气币频繁出现。 空气币的目的是收钱和套现，不可能做好安全保障。 一方面，劣币驱逐良币，安全有保障的优质币不受重视； 混合空投信息窃取用户数据，然后信息被泄露并被用于取证，危及用户其他资产安全。

网络安全变得越来越重要，

但中国企业对此关注度要低得多

今天，互联网不再是那个“信息传递工具”。

赵薇认为，随着互联网的使用，网络安全的目标一直在变化。 “第一步是用它来娱乐；第二步是交流和社交，然后是电子商务；第三步是在线处理你的资产。”

PC互联网时代，拥有PC的人数有限，黑客中毒后获取的信息也有限，但中毒速度变慢，电脑死机。 在移动互联网时代，我们的日常生活、资金管理、身份认证都在手机上运行； 安全的主题变成了个人隐私、资金和密码的泄露。 在区块链时代，技术本身就是资产，代码漏洞就是资产的流失。

赵薇表示，他知道创宇关注的是整个生态。 在此之前，他主要关注钱包和交易所的安全，因为这两者一旦崩盘，对行业的影响是巨大的。 公链的安全性是近几年出现的新问题。 “公链的安全性真的很麻烦，很难改，一旦想改，就只能硬分叉了。”

区块链的资产属性注定会被黑客盯上，其对安全性的需求应该会更强。

然而，中国的互联网企业并没有给予足够的重视。 报告显示，中国信息安全投资仅占IT产业总投资的1%-2%，远低于欧美国家8%-14%的水平。

这与国内金融数字化和互联网发展阶段有关； 同时，与欧盟等国家相比，国内对个人隐私的保护还不够。 赵薇表示比特币创立之初,区块的大小是多少，《网络安全法》推动了行业发展，但效果需要逐步体现。

“报告漏洞有时回报不高。所以安全行业很痛苦，知道黑别人能赚大钱。”

安保公司可以做灭霸，但他们不想自带无限手套。

或许我们可以理解，为什么本该谨慎负责暴露漏洞的奇虎360会以“史诗级”的姿态公开漏洞。 既然不能像灭霸那样“杀敌一千”来展现漏洞的威力，就只能用这种哗众取宠的手段来逼迫公司了。

根据采访内容，我们以问答的形式将内容整理如下：

Odaily星球日报：从安全的角度，您如何看待目前的区块链行业，如交易所、公链、钱包等，它们的安全水平与传统互联网产品相比如何？

赵薇：我先说说整个区块链的演进。

首先，比特币公链的出现基于三点，平等的点对点网络、共识算法（PoW）、区块链账本（脚本的应用）。 后来变成了以太坊，更方便发币。 加入智能合约，分为三层：网络层、共识层、合约层。 EOS甚至引入了DPoS来提高TPS。

功能复杂后，会导致一些问题：

1、网络层不是那么点对点和平等，结构是树状而不是网状；

2. 以太坊、EOS 等网络中增加了运行智能合约的虚拟机，但虚拟机并不是设计成这样使用的。 应该有一个单独的引擎来处理资产的变化，应该是原子的，中间不能中断。 比如我在收银台，你不能让我擦桌子。

现在的区块链虽然速度很快，但是在安全性上肯定是落后的。 不过，在应用和用户体验上，以太坊和EOS都在进步，你不能总带着一个保险箱。

在区块链技术之上，还有矿机、矿池、交易所、冷热钱包等等，其实没什么特别的。 为了用户体验，它们都是非常中心化的。 即使他们想改，为了资本积累、速度、用户体验等，也不可能使用分布式架构。

这时候，安全不再只是区块链的安全，而是区块链生态的安全。 比如矿机池容易被DDos、被入侵、被更改地址； 交易所的安全分为技术安全、业务安全、商业安全和合规安全； 钱包分为中心化和去中心化，冷热钱包。 保护私钥。

安全是木桶，任何短板都会带来问题。

分布式架构是不是不可能实现一定的体验？

赵薇：POW就够了。 我觉得用侧链、分片技术、闪电网络来提速比较有前途，但是大家都想为TPS建一个有点中心化的链。

那么，您认为区块链不应该应用吗？

不能这么说。

公链有很多种，从不同的维度有不同的分类。 包括从建网角度看是否是P2P平等网络； 从共识机制的角度来看，有工作量证明和权益证明。

区块链本身就是一本杂志。 个人保留自己的数据是不合适的。 数据不能一直留在机器上，都是在线的。

今天的许多区块链都不像第一代区块链。 P2P网络就是区块链。 后来为了追求TPS改变了网络结构，带来了新的问题。 我认为运行智能合约的链不适合作为资产（价值存储），而是证书。

现在资产属性在变，所以安全保护也在变。 我们竭尽全力在安全方面领先敌人一步，但这很难，所以我们常常慢一步。 如果你看到更多的案例，你可能就知道了。

Odaily星球日报：您认为区块链安全与传统互联网安全的区别是什么？

赵薇：大致有五点（文中已经提到）。

Odaily星球日报：有人认为把数据放到区块链上比以前更安全，因为数据不会丢失，不会被篡改。 您如何理解这种安全性？ 分布式架构比集中式架构安全在哪里？ 除了私钥的存储，您如何看待将安全责任委托给平台和让用户承担这两种模式？

赵薇：比特币出现的背景是2008年金融危机后，美国政府大量发行货币割韭菜。 老百姓手里的货币购买力下降，你的资产保不住。 原来黄金可以放在家里，但是如果自己持有，风险就很大，就像在美国西部一样，随时都会有人来抢，这就是你自由的代价。 但如果放在银行，银行可能会随机发送，比特币想把它变成一种数学背书机制。 建立共识非常重要。

区块链不是复杂的技术，它不改变生产力，而是改变生产关系。 区块链技术具有几个属性：匿名、不可变和不可删除，这本身就提高了安全性。 概念上发生变化的是共识机制。

因此，这里涉及到两个方面的安全性。 一方面，小型非洲政府。 一旦政府垮台，货币将没有机构背书。 这就是购买力的保障，可以保证你真正拥有自己的资产。 是一种自由。 比特币通过共识机制实现了这种数字黄金般的自由。

在你获得这种自由之后，就会有黑客的风险和安全风险。 如何存储实际上取决于您的技能水平和资产规模。 对于普通人来说，还是交给专业机构比较稳妥。 因为：

1、资产丢失后无法追回。 这就是比特币的匿名特性。 这导致你的身份和你的货币权利之间脱节。

2、区块链就是你自己做主，国家没办法保护。

3、数字货币本身面临黑客攻击的问题。

4、虚拟资产仍然存在继承问题。

5、储存困难。 冷钱包稍微安全一些，但容易丢失，电池会漏液。 如果丢了，我也帮客户找回。

Odaily星球日报：从互联网的历史发展来看，您认为网络安全的重心有没有发生变化？ 您目前在区块链行业比较关注哪些风险点？

赵薇：安全就是保护大家。 随着互联网用户的扩大，其目标也在不断变化：互联网第一步是娱乐，第二步是商务、通讯、电子商务网站； 第三步，你的资产全部在网上处理。 所以安全变得越来越重要。

目前更多关注钱包和交易所。 一旦一家交易所倒闭，对整个行业的影响将是巨大的。 至于公链的安全性，“真的很麻烦，很难改，一旦想改，就只能硬分叉了”。

我们一直在关注它。 我们不对外公布，而是向项目方反映。 一般项目方都会很重视，会很重视。 不过报bug没有奖励，有时雷多雨少。 所以安防行业很痛苦，知道别人可以赚大钱。

Odaily星球日报：您曾多次公开批评EOS，为什么对EOS如此不满？

赵薇：EOS太多了。 首先，它是一个公司，而不是一个社区。 他收钱（fundraising），钱花在离岸公司上； 但他不提供服务。 他表示，他不关心EOS发布后的所有安全问题。 负责，甚至不保证最开始发行的EOS就是后来公链的货币； 钱的用途不透明，取钱后不解释。

以太坊不一样，它更透明，钱花到哪里一目了然。 EOS简单来说就是我收了这个钱我不一定要做这件事情。

Odaily星球日报：您认为未来区块链技术面临的潜在安全风险有哪些？

赵薇：有反量子计算，所以量子计算不是问题。 最大的问题是POW太耗能，但是POS等新的共识算法是人治的，越来越中心化，很容易被黑客攻击。

在网络结构中，如果你把这些点搞定了，网络就会继续运行； 在 DPoS 机制中，21 个节点背后可能有 7-8 个人，当他们被恐怖分子抓到时，他们会为所欲为。

所以，网络安全不安全，要看谁说了算，POW就是矿机说了算，矿机是数学，数学是上帝之手，智能合约是一种执法. 有句话叫code is law，不是code is law，而是mathematics。

但是代码是程序员写的，可能会出现错误，所以需要形式化验证，也就是用数学来审计。 我设计了一个通用的代码审计系统，但是之前没有人用过，现在火了，因为现在程序本身就是钱。

但是，这个程序的设计还存在一些问题。 程序其实就是一个函数，就是满足什么条件，我就做什么。 那么如何证明这个函数没有问题呢，需要描述一下。 这时候就需要一种描述智能合约的语言，也就是形式化语言。

智能合约很简单的时候，大家看得见，但是一旦复杂了，就需要形式化验证，没有人会用形式化的语言，所以安全公司就给你做，最后变成一个服务。

Odaily星球日报：如何评估漏洞的严重程度？

赵薇：这个行业是有标准的。 破坏力等级由低到高依次为，导致信息泄露、DDOS攻击（宕机）、资产转移。 但是，很难对漏洞进行评级。 一些小漏洞结合起来会变成大漏洞，所以一定要引起重视。

Odaily星球日报：智创宇参与发起区块链产业安全联盟。 为什么安全行业需要联盟？

赵薇：首先，业界对漏洞的上报没有统一的标准。 第二，安全联盟很多时候不是技术联盟，而是社会联盟。 比如打击空气币，需要借助国家法律和社会支持，在法律上需要取证，需要公安部门的配合。 其实报个漏洞站在整个行业的角度来看是一件小事，因为有些问题可以靠技术和管理来解决，但更多的其实是社会问题，才是大问题。

Odaily星球日报：中国的网络安全产业与国外相比如何？

赵薇：我们的基础安全设施还不够完善。 这与人们的认识有关。 大家还是缺乏风险意识，不会在安全上进行投资。 欧美企业会把一定比例的钱放在安全上，而中国企业在这方面是能省就省。

主要原因可能是之前国内个人在互联网上的资产确实比较少。 欧美人有数字资产。 这与社会和互联网阶段的金融数字化有关。 另一个原因是国家法律没有给予足够的重视。 欧盟有GDPR（欧盟通用数据保护法，号称史上最严个人隐私法），国内《网络安全法》推动了行业发展，但效果有待逐步体现。

我是Odaily星球日报编辑卢晓明，探寻真正的区块链，爆料与交流，请加微信lohiuming，请备注姓名、单位、职务及来由。

原创文章、转载/内容合作/寻求报道，请联系report@odaily.com； 未经授权严禁转载，非法转载将受到法律制裁。