星球日报资深分析师郝方舟：黑客攻击都开始用金融的思维了，防守该如何应对？| 区块链P.O.D大会

编者按：本文来自36氪战略合作区块链媒体“Odaily星球日报 ”（公众号ID：o-daily，APP下载）

区块链这三个字近年经历了几番跌宕，从前沿的技术概念、风口上的热词，到被过度消费的符号。很多人相信，区块链是解决许多行业痛点的工具，有潜力成为下一个世代“超级商业载体”诞生的催化剂。

然而，传说中的史诗级变革还未来临，它就已被置于聚光灯之下。有心者从中渔利，趋利者盲目买单。而过早陷入舆论漩涡，对成长期的技术是伤害，也是试炼。  

今天的实际情况是，落地应用寥寥无几，技术和产业连接尚有距离，投机者的噪音盖过了真正关注技术与行业的“中坚声音”。Odaily星球日报联合顶级新商业媒体36Kr、顶尖技术领袖和学界菁英，共同探讨如何拥抱监管，推动行业去粗取精，将流量与话语权交给认真做事的人，用实力让区块链落地。

9 月 5 日，由 Odaily 星球日报主办、36Kr 集团战略协办的 P.O.D 大会在北京举行。在大会安全分论坛上，星球日报资深分析师郝方舟正式发布了《2018年区块链技术安全服务行业报告》，并做了专题演讲。

《2018年区块链技术安全服务行业报告》按照“事件回顾-攻击方式-防御策略”的逻辑顺序，分析交易所、智能合约、钱包、矿池这些业务场景对应的安全问题，并探讨区块链安全服务行业的概况与企业案例。 

在分享中，郝方舟介绍了星球日报研究院的一些发现，比如黑客攻击去中心化的平台所用的方式，和传统的中心化平台很不一样，有的时候还要靠一些创新的思维，他举了黑客今年攻击币安和 Fomo3D 的例子，黑客甚至用到了金融知识，以及抓住底层设计机制的漏洞。

根据他的研究，区块链安全事件的高发地集中在业务层和合约层，从业务线来说则是交易平台还有智能合约。

郝方舟还提出，“中心化交易平台可能的演变路径是拥抱监管，同时也要向银行等传统金融机构靠近，包括做好实名、托管、建立自己的物理防御机制”。

以下是演讲全文，enjoy：

各位嘉宾下午好，欢迎大家来到安全分会场。我们星球研究院一直希望用更直观方式向大家呈现更真实的区块链世界。我们制作的一个系列叫《星球图说》，就是用图谱展示了行业结构、大公司布局、代码抄袭等等问题，有些人在朋友圈见过这些图。今天我在这里代表研究院发布 2018 年区块链技术安全服务行业报告。

安全是一个相对的概念，在他对立面是风险，但是这两个词比较抽象，于是我们在脑海中希望化成一个更具像概念，所以安全和风险长什么模样？攻防双方角色切换是足球运动中的一个核心，这个核心也就是对球的控制权。

我们现在把这套逻辑平移到区块链安全里来，会发现核心是对信息和资产的控制权，在中间一圈保卫安全的是矿和链，更外层一圈就是各类风险，这其中包括技术风险，政策风险，道德风险，投机风险，操作风险等等。风险具有一定的特点，往往是多点复合，意想不到又层出不穷的，这就需要安全要是全方位多流程多环节的。

可是很重要的安全问题，往往却没有得到重视。我们会发现，权责往往是发生不清的，标准很难量化，所以我们在写文章的时候经常问到一个问题，说安全问题有点像是薛定谔的安全，这什么意思？就是只有在出事的时候我们才会意识到这个问题有多么严重，但是在出事之前，我们不知道一个公司一个产品，或者一项服务他们安全其实是很难判定的中间态。

说到这里，我们还要先明确一下，当我们谈到网络安全的时候，攻防角色谁来扮演，攻比较好理解，一般就是黑客，防守有政府，有企业，有第三方安全公司，也有用户自己。

在这里我想问一下在座各位，有人曾经遭遇过数字资产被盗的事情吗。忘记私钥的不算，没有是吧，那有人的法币资产在网上被盗过吗，不管是网银、P2P 或者是支付宝？

大家从来没有遭遇过这件事情。其实我们从数据面上来看，现在数字资产总市值已经超过了 2300 亿美金。根据腾讯安全还有知道创宇上半年的报告，在 7 月份之前，数字资产被盗的金额差不多是在 11 亿美金，这就是说上半年丢币的差不多是在千分之五。库神的数据好像在这个之上，如果是比较中心化的体系，其实中心化的攻防是经过更严谨的攻防测试而来的，一般是有法律保障和金融机构的赔偿，线上资产往往跟线下实物进行绑定。所以黑客要是从直接进攻互联网其实是很难的事情，反而走线下比较简单一点。

区块链在防守上也有优势，具体体现在“经济机制加防”，举个 51% 攻击的例子，当你有能力进攻网络时，要付出的成本已经高于能获得的收益。“去中心化”就说，黑客毁掉一个节点，数据还在其他地方有备份。同时，匿名和分散也让攻击者更难找到理想的目标。

所以，想进攻区块链，有时要靠一些创新手段。

这里我举两个例子，第一个是今年 3 月份的“币安事件”，应该是 3 月 7 日凌晨，当时黑客是从 API 攻入，提前在其他交易所埋好空单，根本不需要从币安这块提现，这种是属于技术结合一些金融工具的创新手段。第二个例子大家刚才讲的 Fomo3D。当这个结束之后，很多人怀疑黑客把其他玩家挤出去，最终获得大笔的奖金，这种是结合底层设计机制的玩法。因为链上不仅有信息还有价值，再加上代码不太完善，现在很多机构并没有宣传的那么全面，相关政策还是暂时缺席状态，就造成一旦失守，造成巨额经济损失。

区块链的不安全有一部分来自主观原因，就是大家的重视程度还不够，基本上入局的投资者都是稍微有一点点闲钱的人，真正卖房进场的人还是少数。     

那么具体怎么做防护呢？进攻的突破口一般都是防守建立要塞的位置。现在我们看到一张图，分别是 2011 年到今年，以及今年 7 月份之前，区块链受攻击的面和点的分析。

按技术架构分，业务层&合约层是重灾区。按业务场景，交易平台&智能合约是事故高发地。

为方便读者理解，我们在分类时，参考了安全服务公司的视角，也按行业需求和业务场景讨论。

所以，报告以“从事件回顾，到攻击方式，再到防御策略”的逻辑顺序，分析了交易所、智能合约、钱包、矿池这些业务场景对应的区块链技术安全问题。

报告中这一 part 的信息量比较大，我只挑两个小点在这里简单分享下：

先聊交易所。去中心化交易所入场，就是瞄准了中心化交易所存在的安全痛点。他们下一步的重心应该是把体验做好，获取更大的流量。中心化交易所的演变方向，应该是靠近银行等传统金融机构，做好实名、KYC、托管、冷热隔离解决方案和其他物理防御。

再说智能合约。智能合约一旦运行就无法修改，所以代码审计、形式化验证越来越重要。公链们，还要考虑到底层设计、token经济上可能出现的安全问题，最好提前咨询安全团队。安全服务，更早介入到区块链项目中，也将成为一个趋势。

报告中还有更多结论，这里就不展开了。

在报告的最后一 part ，我们梳理了区块链技术安全服务行业的概况和典型企业。

发现大家各有切入角度和擅长领域，有的侧重形式化验证，发布了自动检测引擎；有的注重生态的安全性和隐私性；很多做冷钱包起家的公司则专于私钥安全存储方案；也有项目用去中心化的思路，吸引极客，建立社群，一起检查和修复漏洞。

我们在收录的 10 家区块链安全服务代表企业中，选取了五个典型案例，做了采访和分析，这个部分也包含了大佬们输出的经验和观点。

最后，要感谢接受我们采访，给予智慧支持，并对报告提出指导意见的库神、慢雾、知道创宇、PeckShield、360、CertiK、曲速未来、安全链、Bepel。也感谢我同事，这篇报告的主笔，分析师李雪婷。

我也做个小预告，更多的研报、图说、新闻报道、项目介绍和深度文章已经在路上。谢谢大家！

相关阅读：星球研报 | 2018年区块链技术安全服务行业报告