区块链安全成行业共识，TokenInsight交易所评级体系促行业良性发展

从2008年概念提出到2013年业界认识到区块链技术的重要潜在价值，并开始尝试将其应用到数字货币以外的场景（如众筹、资产交易、权属管理、身份认证等领域），再到当下人人热谈区块链。短短几年间区块链迅速成为最火爆的技术、行业、产业，区块链带来的这场冲击波逐渐占据各大新闻版块，吸引着人们的眼球。但火爆场面的背后并非如想象中一样是太平盛世。

就数字货币场景来说，交易所是其中不可或缺的一环，其存在的意义是所有数字加密币的存储中心和流通中心，而这也让它们成为了黑客的头号目标。2014年，当时全球最大的比特币交易所Mt.Gox宣布遭受黑客攻击，其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空。”，MT.Gox在日本旋即申请破产保护。而Mt.Gox是否监守自盗成为一桩悬案。三年后，“黑客”再次出手，2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产，故事惊人的相似。

而最近，区块链项目EOS现高危安全漏洞，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。区块链的安全问题又一次成为了议论的焦点。

在此背景下，交易所与公链安全大会于6月2日在北京召开。由专注通证领域数据与评级服务的TokenInsight与国内领先的安全技术服务商长亭科技主办，哈希世界和ConsenSys协办，共同探讨了新技术和经济模式下的安全创新，对区块链安全问题给出了各种精彩的解答。

未知攻，焉知防，明确攻击背后的原理是关键

“针对区块链的攻击是只要找准一个点深入进去，就可以成功窃取财产。做防御就要把所有入侵者所能找到的这些点统统堵上，也就是说需要做一个全面覆盖性的防御。”长亭科技杨坤认为要想思考怎样系统性做防御，我们必须首先了解攻击者是怎么入侵的。只有了解了他们的思路和技术方法，才能更好地系统性整理防御方法。

杨坤在会上盘点了交易所遭受攻击过程中的一些技术细节。他分别从应用层SQL注入、员工个人电脑被入侵、私钥被窃取、平台用户被钓鱼等方面入手，以当下区块链领域发生对应安全事件为例进行了详细剖析。他认为攻击面基本可以被分为应用层、基础设施层以及安全意识的管理。应用层包括用户平时应用的代码、APP背后的API接口等；基础设施层包含虚拟主机、域名、CDN服务供应商以及内网办公网络、设备漏洞等；安全意识的管理则包括基于业务逻辑的考虑，比如市场活动机制的完备性与用户策略的周全性。然后是内部员工和高管的问题，他们的电脑、账号以及个人安全意识问题。此外，平台用户的安全意识也需要给予重视，平台要考虑怎么教育用户，或者设计用户容易接受的安全产品。

杨坤在分享中重点提到了微软的安全开发生命周期策略，其核心思想是安全工作必须贯穿在产品从需求提出到最终发布的整个环节当中。步骤总共分为6个阶段，首先是培训，其次是需求，然后是设计、实现、验证、发布与响应。目的其一是减少安全漏洞与隐私问题的数量，其二是降低残留漏洞的严重性。

“世界上有两种企业，一种是发生了攻击，我知道了。另一种是发生了攻击我不知道。”杨坤认为攻击很正常和常见，但是区别在于有没有条件、有没有能力发现它。企业要有威胁检测能力，跟踪社会上爆发的恶意软件信息在内部作排查；设立漏洞赏金激励，设立白帽子，给自己的平台有偿地找到一些问题，避免黑客找到漏洞。

公链安全全景图，层层剥开防微杜渐

ConseSys中国区负责人唐弈在会上分享了他对公链的看法，他认为价值互联网跟传统信息互联网相比，资产更容易量化。作为一个安全公司，在传统互联网中企业的客户或者产品使用者，很可能无法意识到使用这个安全产品能够有多少收益或者避免多少损失。但在价值互联网中所有的行为都被经济学量化，从普通用户角度他们希望有一个金融系统甚至更高级别的安全性；从黑客角度他们更多考虑的是攻击需要多少成本，能够得到多少收益。

唐弈将区块链系统分为核心层、中间层与应用层，每一层都提出了需要重视的问题。

就核心层来说可以分5个方面来看，分别是执行、存储、共识、通信、加密。

执行层面最典型的例子就是EOS节点远程代码执行漏洞，即虚拟机出现问题。虚拟机安全防护机制做得不够，以至于在里面运行的智能合约一部分代码逃逸到虚拟机之外，不在虚拟机内部运行，这会造成很多严重的后果。

对存储层面来说，不严谨是一个问题。过去针对存储层面的攻击是比较少的，但是去年9月份以太坊被攻击，一部分是执行层面的问题，另外一部分就涉及到了存储层面的问题。攻击的起因是有黑客发现虚拟机会执行一个特定的读写，而客户端读文件的操作代价较低，因此黑客就可以构造一系列合约让虚拟机去读写，接下来所有接触的矿工就要进行操作，整体矿工的速度大大降低，导致整个网络速度被降下来。总结来看是利用了一个综合的特性发动此次攻击。

而在共识层面，攻击并不是直接攻击一个公链的共识算法，而是针对很多相同的算法做最大化的价值匹配。这时的区块链安全就更多地要考虑经济学行为，而不仅仅是一个技术行为。关于通信层面的攻击，以太坊之前曝出过一个案例，叫做日食攻击。黑客发现通信协议上的漏洞可以做一些手脚，使得黑客可以做很多虚假节点，发布虚假信息，比如告诉用户比特币已经被花出去了，但是其实没有。

核心层的最后就是加密——密码学层面的攻击。比如量子计算机出来会不会威胁到比特币或以太坊的安全。但这更多是一个长期的研究过程，假如成功不光会威胁区块链，还会威胁整个互联网体系和整个计算机行业的安全体系。

中间层指的是应用层和核心层之间的基础服务或周边工具，具体到钱包作为一个密钥管理的产品，它就相当于一个生态周边工具。另外有一个客户端接口，类似API的形式跟客户端打交道。节点的客户端会提供一个API给程序员或者给用户使用，这个API上面存在一些问题，导致黑客扫描并发现漏洞，持续靠API来做转帐。

应用层更多是一些智能合约漏洞。智能合约漏洞有几个原因：第一是智能合约的语言问题，本身语言有很多设计问题。第二是语言的使用或者应用层编程每一个操作、读写、存储等，都需要花一部分费用。第三是企业在开发过程中有很多坑，很容易忽视，或者没有安全意识导致了问题的出现。

抛开宏观看细节，区块链安全重视度仍然不足

SECBIT实验室创始人郭宇在谈起360切入到区块链安全领域时讲到行业一个乱象，他认为现在形势非常严峻：“大部分写智能合约的人都是小白，大部分刚刚学一个月或者不太会写代码，因此他们就会去网上买或者拷贝，结果就是代码的大批雷同，这实际上说明了安全开发的现状非常恶劣。”

“此外，很多团队会找专业的人去做安全审计。但是他们又不愿意出钱，这是一个非常奇怪的现象，”郭宇说道，“假如你问一千万预算多少钱会花在安全上，估计很多团队的答案是一分钱也不会花。”

哈希世界创始人任勇也认为应该从身边的应用和细节来入手进行考虑：“到底我们把财产放在交易所还是自己掌握私钥的钱包更安全？”他认为在实际场景上并不能说孰优孰劣。建议大家根据自己的情况，如果特别相信自己的技术实力，那就自己拿着，否则放交易所也不是一个坏的选择。

TokenInsight交易所评级体系亮相，区块链网络安全隐患有望改善

即使区块链安全意识深入人心，但改变依然是一个相对较长的过程。那能否有一个直观的、便捷的、专业的评级体系来完善行业的安全结构？TokenInsight给出了答案。在本次活动上，TokenInsight交易所评级体系正式发布。

TokenInsight由呼涛创立，曾获福布斯“亚洲30 位30 岁以下精英”称号。TokenInsight旗下共有四个核心业务，第一个是数据，第二个是评级，第三个是指数以及衍生产品，最后是行业研究。就数据方面来说，TokenInsight拥有国内数一数二的数据库，评级数据皆来源于跟多个项目方的深度直接沟通。

“相比于市面上现有的一些交易所评级产品，我们更多从数据层面说问题，从定性的方式转为用数据说话，排除定性方式中的主观因素。我们更加倾向于用定量因素来研究，把整个评级体系分为团队、风控和生态。团队占15%的比例，风控占50%的比例，生态占35%的比例，”呼涛在介绍评级体系时说道，“风控也更细致，比如会检查资金安全流程机制是不是合理；数据会更生态化，我们有自己的交易机器人，监测用户的维度也更广。”

该体系由TokenInsight集结全球顶尖数据与评估团队，在国际通用评级方法基础上结合通证交易平台特点所构建。TokenInsight交易所评级体系模型具有五大特征：1.定量分析与定性分析结合，最大程度使用数据挖掘提供的定量分析结果；2.标准化分析模块，确保评级结果的一致性；3.基于强大数据源和专业数据团队，提供可视化及多视角的评价；4.专注于受评对象的风险评级，同时重视受评对象的内在生态体系；5.现状与长期展望相结合，定期或发生突发事件时更新，实现动态评级。

总结来看，区块链技术目前仍处于初级发展阶段。因为缺乏相应的准入以及监管机制，导致市场上不时出现各种交易欺诈甚至操纵市场的行为，投资者的利益无法得到有效保证。基于此，市场对区块链项目专业化的调研和评判成为一项亟待解决的工作。建立专业的评级规范，以专业的评级机构视角为投资者行使监督权力成为当务之急。

TokenInsight交易所评级体系的出现，恰好弥补了这一市场空白，不仅对于整个区块链行业的规范发展起到很好的促进作用，同时，对于交易平台的安全发展也起到了助推作用。未来，随着TokenInsight交易所评级体系的不断完善，相信整个区块链网络安全隐患也会得到有效改善。