对话|区块链技术应用存在哪些安全问题？

收拾小逗留

产耳财经

5月20日，“耳朵财经”在区块链万里长征华南社区完成第五期网络版区块链万里长征。 本次线上活动邀请了零时科技CEO邓永凯、区块链专利联盟秘书长三位嘉宾、云链科技CEO黄永斌、耳朵财经记者肖灵儿共同进行了“区块链技术应用落地，存在哪些安全问题？” “圆桌对话。

以下为对话内容：

问题一：区块链的一大特点是不可更改，可以永久保存。 在追求数据上链的同时，也容易造成大量垃圾数据对区块链的攻击和阻塞，导致有效信息无法处理和信息延迟。 您如何看待这种现象？

首先简单说一下区块链的特点：数据不可篡改，永久保存。 这个话题让我想起了我看过的一篇文章。 文章中有一句话是这样说的：

如果我们不小心，大多数公共区块链将沦为 Droid 中地球的命运，注定成为古老垃圾的废弃存储库：不是物理垃圾，而是垃圾数据，无关紧要、不合时宜和过时。 丢弃的数据。

当时看到这句话的时候很感动。 比特币限制区块的大小，只是为了阻止大家在链上插入非交易数据。

但是像 ETH 和 EOS 这样的竞争对手呢？

他们会改变区块的大小，他们也可以在链上随机存储一些评论数据，而这些实际上到目前为止已经产生了重大影响。 比如EOS，如果你打开区块浏览器，你会发现你的账户里有很多垃圾广告信息，而且这种信息无法删除，留下了永久的印记。 长此以往，将失去公链的真正功能和意义。

所以现在很多区块链应用都是基于联盟链机制，因为它的准入是有限制的。 联盟链可以接受一些比较大规模的数据，但是写数据需要授权。 根据我们审计过的一些联盟链的应用，目前使用的大部分链都没有存储原始数据。

只有与交易相关且需要验证的重要数据才会存储在链上，因此在公链上插入数据和插入垃圾数据是目前一个比较大的风险和问题。

首先我们要明白，水能载舟，亦能覆舟。 技术是无辜的，关键是我们要如何使用它。 我们的联盟顾问方主任，他们团队主要是做大陆互联网数据的一些综合监控，比如P2P、第三方支付、区块链等数据监控。

方主任近日在互联网大会上表示比特币技术安全性差吗，随着互联网时代的发展，这些数据的成本越来越低。 现在每天都会产生超过过去几十年甚至几百年的信息总和，其中90%以上都是垃圾邮件。

为什么会有垃圾邮件？ 主要是人是骗人的，这些都是我们自己造成的问题。

区块链是一种分布式数据库分类账技术。 该技术方案致力于在缺乏互信的分布式网络环境中实现交易的安全性和公平性，实现数据的高度一致性、防篡改、防作恶和可信。 回溯。

我们需要合理利用区块链技术来追溯信息的来源。 同时，在保证实名制的情况下，可以有效杜绝垃圾邮件，进而保证数据不被篡改，充分发挥信息的价值。

用于数据在区块链上的永久存储，但同时会造成大量垃圾数据堵塞区块链。 我个人认为主要是底层技术发展不够成熟。

互联网也是如此。 在互联网的早期，最早出现的信息是0101。但是现在整个计算机代码还是这样，然后就是发邮件的邮箱，最后发展到数字、视频、语音等各个方面当前状态。

我认为技术发展是本质原因。 目前链上肯定有数据，也有很多垃圾数据。 比如现在很多数据对个人或者机构来说是没有用的，90%的信息是没有用的。 这 90% 的信息，我们称之为垃圾邮件，可能对其他人有用。

正是因为各种信息一起泛滥，才形成了互联网，所以我们可以在互联网上搜索一切。 未来要想把区块链做成互联网一样的生态，底层发展还需要完善，还有很长的路要走。

同时，这也意味着还有很多机会。 就离线情况而言，有些链只能存储一些交易信息，现在已经出来的，包括EOS，可以存储一些备注信息。

最近，内容存储的链也出来了，这是一个向前发展的过程。 我认为应该有选择，比如丢弃一些对社会有害的不良信息。

未来还是需要统一数字身份的问题。 如果未来统一底层，可能是公链的争夺战。 公链支撑底层，每个人在区块链世界中都可能拥有一个数字身份，也就是ID。 在此前提下，以上所有信息均由个人ID组成。 根据区块链的特点，可以溯源，可以有效防止一些垃圾信息。

如果你的垃圾邮件真的是有害的，并且可以追溯到你，当然这可能需要很长时间才能发展起来。 就其而言，这还处于发展初期，这些数据问题可以考虑，但没必要纠结太多。

因为现实面临的问题是大家觉得存在链上不如在互联网上方便，所以有一个发展的过程。

这个问题目前是底层限制的，以后不一定。 未来，如果区块链底层成熟了，这个问题可能就会消失。 往前看，比如在2000年，用手机叫出租车是不可想象的。 这就是技术的发展。

可能区块链发展五年、十年后，这些问题都不是问题。 它会像互联网一样快速、方便、舒适，但它也将具备整个区块链的底层特性：分布式、不可篡改。

问题二：现有的共识机制并不完善，没有设计出更安全、更快捷的共识机制。 为了最大限度地保证应用项目的安全性，在选择共识机制时应该考虑哪些因素？

其实这道题涉及到区块链的不可能三角。 不可能三角是指区块链的去中心化、安全性、可扩展性不能同时满足，或者三者只能选其二。

本质上，我也向您提到过，这可能是一个不准确的陈述。 因为区块链不一定没有办法满足这三点或者不一定去掉其中一个，另外两个可以完美，其实不然。

例如，比特币采用 PoW 工作量证明共识，安全性最好，但性能较差。 以太坊目前是PoW，以后可能会转成PoS，但是以太坊在安全性上仅次于比特币。 EOS 是一种 DPoS 共识。 它的性能比较好，但是牺牲了去中心化，所以攻击成本低于以太坊和比特币。

一切都不是完美的，你不能既吃蛋糕又吃蛋糕。 但是，在区块链技术的应用落地时，可能需要针对不同的应用场景选择不同的共识作为技术支撑。

因此，在设计区块链应用时，你要分析你当前的应用场景，是考虑安全性还是扩展性，根据不同的需求选择不同的共识算法来满足设计需求。

区块链技术仍处于早期阶段。 PoW工作量证明、PoS权益证明、DPoS授权权益证明、Paxos、PBFT（实用拜占庭容错算法）、dBFT、DAG（有向无环图）等共识机制，以最大限度地保证应用项目的安全最大程度上，在选择共识机制时，应该参考各个机制的优缺点进行权衡：

PoW优势：可以快速验证结果，系统承担大量节点，作恶成本高，从而保证矿工自觉合规。 缺点：需要消耗大量算法，达成共识的周期较长。

PoS 的优点：缩短达成共识所需的时间，比工作量证明更节省能源。 缺点：本质上仍然需要网络中的节点进行挖矿操作，转账的真实性难以保证。

DPoS的优势：减少参与验证和记账节点的数量，从而实现秒级共识验证。 缺点：无法摆脱对代币的依赖，无法完美解决区块链在商业中的应用问题。

作为参考，我们专利联盟使用的PoW+VDPOS机制。 目前，区块链系统已通过网信办第三批备案，并已申请国内外发明专利。 我们自主研发的区块链基础平台将在VDPoS共识的基础上进行分片，进一步提高区块链的TPS。

我们采用多主链+多子链的混合架构，这是全球第一个使用这种混合架构的区块链。 根据整个区块链的资源利用率，超级节点自动分片，形成多主链并行出块模式，充分利用网络资源和超级节点资源，大大提高出块速度，增加垂直度区块链的扩容 同时，可以根据应用的使用情况在主链上激活多条子链，支持更多联盟成员的DApp业务数据上链，增加区块链的横向扩展性。

我们先来分析一下这个问题。 应用项目如何选择共识机制还有待研究。

那是什么意思？ 对于应用项目，目前全球可供选择的区块链并不多。 区块链的发展需要与互联网相结合。 互联网开始发展的时候，说明互联网阶段的良好发展是千万级应用的出现。

目前区块链上运行的应用几乎没有几千万个。 除了所谓的交易类型，有交易数据，其他的没有。 就底层而言，PoW、PoS、DPoS都是一个发展过程。

如何选择取决于你做的是什么应用。 目前选择不多，如果要以安全为前提，PoW 可能是最安全的。 它是最安全的，但也是最不适合链上应用的。

我们需要找到一个平衡点。 在应用的过程中，很多应用也逐渐开始落地，包括从上到下都在关注这个领域。 这取决于您要使用哪一个。

我们之前在给别人做底层优化的时候也加入了区块链，但是不代表你一定要上链。 链上的应用由你来选择，是侧重于区块链的使用，还是它的特性，比如溯源防伪，分布式还是交易。

最好根据它的特点来选择。 当然，在整个行业中，它是用得最多的。

在安全性上，可以肯定的是整个区块链中PoW是最正统的，其他一切都是为了探索行业的进步。 我相信在未来，我们一定会找到一个平衡点，包括上面提到的不可能三角。 不可能三角就是根据自己的实际情况在其中寻求平衡或者强调。

未来公链的竞争肯定会更加激烈，因为这是属于整个底层基础设施的。 想要做出一个好的应用，需要选择一个合适的底层，只要开发是往前走的。

问题三：在区块链技术应用落地项目中，嘉宾认为应该如何防范安全问题带来的风险？

事实上，在区块链技术应用落地项目中，大部分应用安全问题来自两个方面，一是链本身的安全，二是基于链上开发的应用的业务安全问题。

比如上图中的联盟链比特币技术安全性差吗，其实就是区块链技术的一个普通应用，所以它的安全大致可以分为两个方向：链上安全和业务安全。

链安全如何与RPC接口，以及数据通信、数据存储、刚才提到的共识的安全问题，最重要的是合约安全和源代码的安全问题。

业务安全问题分为应用安全、中间件安全和底层服务器安全，以及其生产网络的安全。 比如APP客户端安全、用户认证、数据接口和信息泄露等，还有一些平时用到的中间件和服务端。 它本身也会存在各种漏洞，包括网络问题，这些都算是业务安全。

上图已经列出了更详细的信息，但不同的应用程序可能会存在一些特定于应用程序本身的安全问题。

根据我们平时对一些区块链应用项目的安全审计，链本身的问题大部分集中在合约和RPC接口上，还有一些源码上的逻辑问题，但最主要的是合约安全问题加上电脑问题。

业务的每一点都可能是短板，因为安全是一个方面的问题，而不是每一点的问题。 如果你表面上做得很好，就像木桶原理一样，只要你有一个缺点，你就可能会失去一切。 因此，安全是区块链技术应用的重要环节。

区块链落地项目安全问题的风险防范有两点建议：

首先大家关心的是数字货币钱包的安全性。 刚才邓总也建议使用官方推荐的钱包软件，坚决不要使用不知名厂商开发的钱包软件或社交网络上不明来源的钱包软件。 如果是中大型企业，可以使用我们的联盟伙伴酷神这样的硬件钱包，根据实际业务需求尽量配置软硬件组合。

另外，注意代码安全。 比如零时科技也要对外进行代码审计。 我们专利联盟的专有链也找到了相应的权限进行专业的代码审计。

这张图是我们专利联盟共同外推的安全评估体系。 主要是鼓励联盟伙伴在底层系统、业务功能等层面做一些专项安全评估，排查安全漏洞。

如果不能及时发现和修复安全漏洞，用户的核心数据和资产很可能被黑客窃取。 我建议大家检查并弥补代码上的漏洞，尤其是智能合约要定期维护和更新。

应用落地项目的安全，从技术的角度，上面两位嘉宾讲的大多是技术方面的，包括代码安全、合约安全、通信、中间件和服务器等，我觉得技术很重要，因为一切都是设计出来的靠人，技术比你高的人会找漏洞突破。 技术保护基于您的团队级别。

项目申请实施时，可使用安全工具，或邀请相应机构进行测试。 跟大家分享一下，大部分应用是没有交易的，所以我们现在交易的代币，数字货币是有代币的，如果没有，知名钱包被盗的原因是什么？

我们也有钱包。 我们知道一些知名钱包会报告数字货币被盗，所以最终调查80%到90%以上的原因是因为用户不小心泄露了私钥或密码，或者被亲戚看到了朋友们。 拿到私钥拿走，除了被钓鱼网站钓鱼。

所以在应用中，还要看你的技术安全防护和对细节的关注，比如应用代码审计，合约审计。 尤其是公链更需要关注，其安全级别也更高。 很多基于其他公链和联盟链开发的东西都需要签订合约，很多可能因为合约的漏洞而失败。

交易所在上币的同时，也会对你的发币合约进行审核，审核通过后才能上币。 因为每个人写合同的标准可能都一样，但是合同的写法不一样，所以要看技术人员的用心程度和水平。 所以其实我的建议是技术人员和操作人员要注意细节，保证安全，其实没有绝对的安全。

问题四：邓总，请问区块链应用的安全问题，大部分在零时数据库中？ 有没有具体的例子？

区块链应用的安全性其实更多，而且是方方面面。 正如徐总所说，除了技术安全问题外，还有一些其他的运营管理安全问题。

首先，我们在数据库中经常会遇到安全事件，比如智能合约安全。 这对每个人来说可能并不少见。 前段时间，智能合约安全问题频发，损失惨重。 大家都开玩笑说一个智能合约一行代码值一个亿，其实根本不是真的，比如经典的lendf.me事件。

因为智能合约的重入攻击，造成了重创，然后就有了BEC美链。 由于智能合约的溢出漏洞，美链的代币价值一夜之间归零。 这件事离得更远了。

上个月最近发生的事件大家可能都听说过，连Defi都算得上是一个热点。 对于以太坊平台上的 Defi，4 月份的一次重入攻击导致 2400 万美元的损失。 这其实是智能合约中代码层面的设计问题。 这种问题比较典型，容易出现。

此外，最常见的问题是交易所和项目方的应用。 比如交易所、项目方经常被盗。 事实上，你不知道它是否真的被盗了。 反正媒体说是盗用的，官方说是Hacked盗用的。

在这种情况下，确实有很多箱子真的被盗了。 造成这种情况的原因是多方面的，首先是员工的安全意识薄弱。 龙网之前因为一个员工安全意识差被盗。 他从网上下载了一款量化交易软件，但该软件实际上是一款钓鱼软件。 扫描您的网络。 因为它已经进入内网控制员工机器，所以它可以访问你内网的很多内部资源和应用平台。 该恶意软件从内网找到了交易所的私钥，导致资产被转移。

第二个原因是平台的安全防护措施比较差。 一方面是因为运维不到位，可能功能开发没有做好，无法从代码层面做到安全防护。 通过测试，黑客的攻击方式可以进入平台后台，或者控制服务器，造成资产数字货币的丢失，因此对区块链应用的安全性要求比较高。

上线时，尽量通过第三方安全机构进行代码安全审计，包括对应用平台进行黑盒安全测试，抢在黑客之前发现一些缺陷和安全漏洞，真正做到居安思危，以攻促防，减少安全事件和资产损失的发生。

很多安全事件和安全漏洞可能不是每个人都能理解的。 比如你可能听说过智能合约的重入攻击，但是具体的使用原理涉及到技术问题，包括一些黑客的攻击方式。 您可能会感到神秘或不可预测。

如果您对这块感兴趣，可以关注我们的团队，也可以加我微信，之后我们会私信交流，谢谢！

问题五：请问秘书长，如果有安全相关的专利，可以推广吗？

我估计群里有很多比特币的忠实信徒。 对于这些比特币的忠实信徒来说，他们可能会觉得区块链专利是一个伪命题。 但目前，区块链技术已经成为中国新基建的一部分。 就像5G和人工智能一样。 区块链技术、专利、标准和应用已经到了大国竞争的阶段。

我们先来看看全球区块链专利的近期状况。 截至2019年12月31日，国外区块链专利申请主要国家为美国、韩国、英国、日本、德国、法国、瑞士。 国外区块链专利主要在美国申请，其次是世界专利组织，然后是欧洲。

截至2019年12月31日，我国区块链专利申请数量已超过美国，成为全球第一。 其中，2017年共申请区块链发明专利1703件，2018年共申请区块链发明专利6409件，增长率达276%。

国外央行、IBM、英特尔、VISA等主要在金融支付安全领域申请专利，如私钥安全、支付安全、数字货币保护等。

下面重点介绍国内区块链安全相关专利的现状。 以国内代表为例：

1、中国人民银行拥有世界上最多的中央银行区块链专利。 其中，中国人民银行数字货币专利申请，申请人为中国人民银行数字货币研究所，申请件数43件。22件来自人民银行印刷科学技术研究所中国。 从专利申请时间来看，主要集中在2016年和2017年，2018年和2019年专利申请量有所下降。

纵观央行申请的数字货币相关专利，每年的侧重点都不一样。 2016年的核心是【数字货币芯片卡】，申请专利13项。 其中，数字货币芯片卡用于在中央银行与商业银行有效沟通的情况下，对数字货币进行存储、兑换和支付。

2017年的核心是【数字货币钱包】，申请了18项专利，从【数字货币芯片卡】变成了【数字货币钱包】。 与此相对应的是参与者角色的差异，以及现有银行体系不一致的出现。 有几个角色，包括数字货币钱包终端、钱包服务商、数字货币发行登记机构。

2018年的核心是【基于XX条件的数字货币管理方法与系统】。 其中，2018年申请的专利已从基础工具转向系统业务，主要内容包括基于贷款利率、经济状况、流向实体、试点条件的数字货币管理方法和系统。 这些是为参与数字货币流通过程的金融机构设计的。

2、阿里巴巴的区块链专利主要来源于蚂蚁金服。 区块链的本质是建立一个可信的价值网络。 下面列出了阿里巴巴区块链的一些主要应用项目。

为了追溯假冒食品的来源，阿里巴巴和普华永道等公司合作，利用区块链技术建立食品溯源服务。

其次，阿里巴巴还在跨境电商领域使用区块链技术。 通过区块链技术，商品的原产地、装运、运输、报关等各方面信息均可追溯。

最后，阿里巴巴目前的公益项目也使用了区块链技术。 通过区块链技术，捐助者可以查询慈善捐款的所有动向，增加透明度和公开性。

3、腾讯自2015年开始自主研发区块链技术，涉及金融、税务、公益、游戏、法务、供应链、医疗等领域。 其中，具体落地应用，如全国首张区块链电子发票于2018年8月在深圳开具。

腾讯为其提供底层技术支持，实现了区块链电子发票从无到有、逐步完善的过程。 目前，其区块链电子发票涉及银行、出租车、地铁、旅游、房地产、零售、金融保险、酒店餐饮、停车服务等行业。

区块链的属性自然与金融业耦合在一起，而金融业也是最早应用区块链技术的行业。 金融安全方向的专利布局数量（3299）是区块链技术各应用方向专利布局数量最多的方向（13092），反映出金融安全方向是区块链技术最重要的方向之一。区块链技术的应用。

区块链技术具有分布式、不可篡改、高度透明和可追溯的特点，非常符合整个金融系统的业务需求，因此被应用于支付结算、信贷融资、金融交易、证券、保险、租赁等细分领域落地应用。 在金融领域，专利申请数量排名前三的公司：平安科技189件，睿智科技136件，腾讯科技79件。平安科技在金融方向的专利布局处于领先地位，体现了平安科技安科技在“区块链+金融方向”的技术研发方面优势明显。

此外，金融安全方向的专利申请人数和发明人数量有所增加，反映出金融安全方向的创新主体有所增加。 生产更多的金融科技产品，推动该领域的快速发展。

这是我们近期联合工信部赛迪区块链研究院发布的《2020年中国区块链专利白皮书》的一部分，供大家参考研究。

其中，北京、深圳、杭州、上海在城市排名中遥遥领先，西部排在第九位，有173个申请，也很不错。 目前，西安智归等区块链企业也申请了大量区块链专利。 For example, Zero Hour Technology has also applied for patents related to traceability addresses, and their awareness of core technology protection is also relatively forward-looking.

Question 6: Mr. Xu, did the company encounter any major security problems when providing technology development, and how did they solve them?

Providing technology development may not be the same as your own technology. For example, if you operate a project by yourself, then you are a technician.

When we do bottom-level transformation for many large enterprises, they don't understand blockchain technology, but this has to be in their own hands in the end. So you face a lot of problems beyond providing technology, such as technical training for employees. Technical training is not like we have been in the blockchain industry for three or four years, and they are all newbies, so there will be many problems in the middle.

Therefore, first of all, while we provide technology, we will have a set of solutions. All projects will conduct their own security testing before going online.

Secondly, we also cooperate with third parties. For things made by a third party, if you agree with his technical point of view, and IT personnel trust their own things very much, so many problems are basically like bugs or loopholes, which are difficult to detect. We find a third-party testing agency to do the testing again. In the future, we need to prevent various aspects when going online. For example, the above guest also mentioned that he has preventive measures or software that can be applied.

The most important security incidents must be rehearsed, just like we are doing operation and maintenance for others now, many of them do not have a technical team, and the entire operation is in our hands, so we need to rehearse.

List some security issues that may arise, and rehearse all possible security issues according to each project and application, and then come up with a preview solution. 这是非常重要的。

In the application process of digital assets, such as wallets. We launched the wallet in 2017, and the current user traffic is also very stable. But there was a problem in the middle. At that time, an aunt's digital currency EOS disappeared. She would definitely say that our wallet was stolen if she didn't want it to be transferred by others.

Then we were responsible for investigating this incident, and finally found that this address was on an exchange, and then we needed to apply for a work order. The exchange provided the real-name authentication information behind the address. When we gave this information to the aunt, she stopped there because she called the police at that time. The aunt told us privately that it was her son.

Technical security is certain, but we should pay more attention to it in our lives. As I said above, your own security solution, third-party detection, and problem rehearsal are enough. However, we must pay attention to digital currency and choose a storage solution that has a longer period of time and is more famous in the market.

Let me share my own experience. If you have done a good job of protecting yourself and your coins are stolen, it may be related to technology, such as the technicians who made the wallet. This is one of my experiences.

If you do not do evil yourself, it is difficult to steal like a decentralized wallet. Because when it comes to blockchain, everyone will think of security. Since you are a safe thing, you are still afraid of security, which must be a problem. So it might be a human problem.