酷森專欄

看點&觀點

chinaweld.net

趙赫：區塊鏈現在是黑客的提款機，很容易變現

分享到：

來源：本站原創 2019年09月25日

字號：T|T

經常(chang)主打安全概(gai)念的區塊鏈到底是(shi)(shi)不是(shi)(shi)安全的？作為(wei)多年(nian)研究區塊鏈的專家，如何看(kan)待頻出的安全事件？這背后的原因(yin)有哪些？

在ISC2018 上(shang)，由眾享比特主辦(ban)的區塊(kuai)鏈(lian)(lian)與安全(quan)論壇中，來(lai)自中科(ke)院(yuan)的博士趙赫(he)(he)就結合(he)近年來(lai)眾多著(zhu)名的區塊(kuai)鏈(lian)(lian)安全(quan)事件來(lai)剖(pou)析背(bei)后的原因。趙赫(he)(he)本人不僅從(cong)事區塊(kuai)鏈(lian)(lian)的學(xue)術研究，同時也深(shen)耕行業，目前是(shi)中科(ke)智鏈(lian)(lian)的聯(lian)合(he)創始(shi)人，他(ta)當天的演講是(shi)那(nei)場分(fen)論壇中反響(xiang)最大的之(zhi)一，現將其整理，以(yi)饗讀(du)者。

以下為趙(zhao)赫（鐘隱）在ISC2018 區塊鏈與安(an)全論(lun)壇上的(de)演講(jiang)，雷鋒網編輯整理(li)。

首先自我介(jie)紹一下，我是(shi)來自中科院的一名(ming)科研人(ren)員，從(cong) 2013 年(nian)開始就進(jin)入區塊鏈和加密數字貨幣領域。

直接切(qie)入正題。為(wei)什(shen)么很多(duo)人都說區塊鏈技(ji)術很安全，屬于一種數據安全保護，或者(zhe)軟件系統(tong)安全架構的一種技(ji)術。

可能(neng)許多(duo)人都已(yi)經聽說(shuo)過了，包括(kuo)像數據公開透明、記(ji)錄(lu)不可篡改，還有經常說(shuo)的(de)分布式(shi)共識，相(xiang)信代碼，相(xiang)信數學，相(xiang)信組織，今天很多(duo)老師和同學都已(yi)經分享過了。

我們重點還是講講它不安全的地方(fang)。為(wei)什么我們要說區塊鏈還不是很安全？

實際上就是區(qu)塊(kuai)鏈(lian)(lian)的現狀導致的。區(qu)塊(kuai)鏈(lian)(lian)的現狀等于黑客(ke)的提款(kuan)機，很容易變(bian)現，前(qian)面(mian)的老師也說過(guo)，基本(ben)跟(gen)錢是一(yi)回事，而且(qie)很難追蹤。我們(men)把區(qu)塊(kuai)鏈(lian)(lian)里面(mian)的各種攻(gong)擊，各種漏洞的形態(tai)也分成(cheng)了(le)三(san)個大(da)類(lei)，與大(da)家(jia)也探討一(yi)下，分享一(yi)下，最后再給出我們(men)的建議或者最佳(jia)實踐的一(yi)些內容。

首先(xian)，第一個是應(ying)用層的攻擊，主要是講(jiang)錢包合(he)乎智能合(he)約，像這兩個范圍(wei)內的攻擊手(shou)段。

第二個(ge)是和區塊鏈(lian)相關的(de)交易所和在線(xian)服務(wu)提供商。

第三種(zhong)是特別針(zhen)對于區塊鏈本(ben)身系統(tong)里(li)面(mian)的攻擊(ji)手段。比(bi)如說共識算法、加密學的基礎、P2P網絡(luo)等等內容。

第一部分，應用側的攻擊，這(zhe)(zhe)個(ge)可能是爆(bao)發最多的，對于普通用戶(hu)來說是最容易體(ti)會到，有一種很強烈的威脅感(gan)存在(zai)(zai)。這(zhe)(zhe)個(ge)幣存在(zai)(zai)哪好(hao)呢(ni)？有可能存著存著就丟(diu)了。

這(zhe)是(shi)以太坊(fang)非常(chang)流(liu)行的一(yi)個(ge)(ge)錢(qian)(qian)包(bao)，攻(gong)擊(ji)的方(fang)(fang)式非常(chang)多(duo)，比如說被(bei)域(yu)名劫持，因為它(ta)是(shi)一(yi)個(ge)(ge)在線(xian)的情況，在網(wang)站上訪問了之后，輸入私鑰就可(ke)以將以太幣(bi)或者(zhe)以太坊(fang)上面(mian)的Token都(dou)可(ke)以收發(fa)，很方(fang)(fang)便，但是(shi)黑(hei)客也就抓(zhua)住(zhu)了這(zhe)個(ge)(ge)方(fang)(fang)便，把安全(quan)也就很容(rong)易把幣(bi)轉到(dao)他手里。比如釣(diao)魚事件，現在有統計(ji)，統計(ji)了 5000 多(duo)種(zhong)攻(gong)擊(ji)，同時(shi)有 1000 多(duo)種(zhong)都(dou)是(shi)針對于在線(xian)錢(qian)(qian)包(bao)的攻(gong)擊(ji)。

第二種(zhong)類型(xing)也是最(zui)古老的(de)攻(gong)擊手段，就(jiu)是本地錢(qian)包(bao)地址替換(huan)的(de)情況。大家(jia)可能聽說過(guo) 2014 年(nian)好(hao)萊塢艷照(zhao)門的(de)事件，黑客(ke)把(ba)很多好(hao)萊塢的(de)私密(mi)照(zhao)片發(fa)到了網上，最(zui)后留了一個(ge)地址，希望大家(jia)給他(ta)打(da)賞(shang)，結果這個(ge)地方出了一個(ge)問(wen)題，很多人把(ba)自己的(de)地址給換(huan)了，最(zui)后沒得到多少幣。對(dui)于用戶來說，我們這里看到代碼(ma)邏(luo)輯(ji)非常簡單，直接把(ba)內存里面監測到，把(ba)錢(qian)包(bao)直接給換(huan)掉。

最新的(de)(de) 360 安全衛士已經增加(jia)了(le)(le)預(yu)警功能(neng)，這(zhe)個值得點贊，如果發現(xian)錢包的(de)(de)地址被換了(le)(le)會提示，黑(hei)客會不(bu)停的(de)(de)收(shou)到幣。比較普(pu)遍的(de)(de)方式(shi)是(shi)針對手機郵箱(xiang)的(de)(de)，是(shi)基于社會工(gong)程(cheng)學的(de)(de)一種東西， 2016 年(nian)年(nian)底(di)的(de)(de)時(shi)候(hou)，國內的(de)(de)區(qu)塊鏈大(da)V在手機上被黑(hei)了(le)(le)，當時(shi)不(bu)僅自己(ji)損(sun)失了(le)(le)一大(da)筆錢，而且造成了(le)(le)市場(chang)劇烈的(de)(de)振蕩。智(zhi)能(neng)合約的(de)(de)攻擊事件(jian)我就(jiu)不(bu)多(duo)說(shuo)了(le)(le)。

我們再(zai)講講第二部(bu)分，系統(tong)層(ceng)面的(de)(de)(de)攻擊。比(bi)(bi)如(ru)交(jiao)易所(suo)的(de)(de)(de)攻破，這(zhe)個(ge)(ge)(ge)聽(ting)說的(de)(de)(de)也比(bi)(bi)較(jiao)多，怎么比(bi)(bi)特(te)(te)(te)幣(bi)(bi)又被(bei)(bei)黑了(le)(le)，比(bi)(bi)特(te)(te)(te)幣(bi)(bi)又被(bei)(bei)偷了(le)(le)，比(bi)(bi)特(te)(te)(te)幣(bi)(bi)本(ben)身沒錯，是交(jiao)易所(suo)被(bei)(bei)黑了(le)(le)。第二種比(bi)(bi)較(jiao)大的(de)(de)(de)類型(xing)是監守自(zi)盜(dao)(dao)，內鬼做(zuo)案的(de)(de)(de)事(shi)情，國內也出現過，應該(gai)是 2014 年的(de)(de)(de)時候，如(ru)果進(jin)入(ru)這(zhe)個(ge)(ge)(ge)圈(quan)子比(bi)(bi)較(jiao)早的(de)(de)(de)同學(xue)應該(gai)知(zhi)道有(you)一(yi)(yi)個(ge)(ge)(ge)比(bi)(bi)特(te)(te)(te)幣(bi)(bi)存(cun)(cun)錢罐，存(cun)(cun)一(yi)(yi)個(ge)(ge)(ge)比(bi)(bi)特(te)(te)(te)幣(bi)(bi)一(yi)(yi)年給你1. 1 個(ge)(ge)(ge)還是1. 2 個(ge)(ge)(ge)，過了(le)(le)一(yi)(yi)段(duan)時間存(cun)(cun)了(le)(le)幾(ji)千個(ge)(ge)(ge)幣(bi)(bi)之后跑了(le)(le)。第三種是針對于區(qu)塊鏈(lian)底層(ceng)BUG被(bei)(bei)利(li)用(yong)的(de)(de)(de)攻擊。門頭溝的(de)(de)(de)盜(dao)(dao)幣(bi)(bi)，監守自(zi)盜(dao)(dao)，也有(you)一(yi)(yi)小部(bu)分被(bei)(bei)人利(li)用(yong)了(le)(le)比(bi)(bi)特(te)(te)(te)幣(bi)(bi)交(jiao)易延展性的(de)(de)(de)攻擊，偷了(le)(le)幾(ji)千個(ge)(ge)(ge)比(bi)(bi)特(te)(te)(te)幣(bi)(bi)。

我們再看(kan)第二(er)類(lei)，針對(dui)非(fei)(fei)交(jiao)易所的(de)(de)，是(shi)一些在線服務商的(de)(de)安全事故，這樣類(lei)型的(de)(de)也(ye)非(fei)(fei)常(chang)多。在去年的(de)(de)一個(ge)ICO的(de)(de)項目(mu)被攻擊的(de)(de)原理是(shi)，服務器上有一個(ge)網(wang)站(zhan)，很多程序員都知道，結果沒有打好補丁，被人找(zhao)到(dao)了一個(ge)漏(lou)洞，上傳了木(mu)馬，拿到(dao)服務器權限之后，把(ba)里面的(de)(de)幣全都給轉走了。

我(wo)想(xiang)多(duo)說一(yi)(yi)(yi)說這(zhe)一(yi)(yi)(yi)塊。很多(duo)人(ren)覺得區塊鏈(lian)是(shi)(shi)(shi)(shi)(shi)代碼寫好就(jiu)OK了(le)，人(ren)的(de)(de)(de)因素攻(gong)擊(ji)還是(shi)(shi)(shi)(shi)(shi)蠻嚴(yan)重的(de)(de)(de)隱患(huan)。BTP是(shi)(shi)(shi)(shi)(shi)硅谷的(de)(de)(de)一(yi)(yi)(yi)個(ge)(ge)名企，屬于支付(fu)商。如果你在(zai)(zai)網上用比(bi)特幣(bi)買(mai)東西，比(bi)如在(zai)(zai)國外(wai)海(hai)淘付(fu)款，有(you)(you)(you)可(ke)能(neng)你用的(de)(de)(de)支付(fu)就(jiu)是(shi)(shi)(shi)(shi)(shi)他(ta)們提供(gong)的(de)(de)(de)。他(ta)們的(de)(de)(de)首席財政官(guan)有(you)(you)(you)一(yi)(yi)(yi)天收到(dao)一(yi)(yi)(yi)個(ge)(ge)郵件(jian)，這(zhe)個(ge)(ge)郵件(jian)是(shi)(shi)(shi)(shi)(shi)黑(hei)客(ke)給他(ta)發的(de)(de)(de)，他(ta)當然不知道。他(ta)說我(wo)們是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)個(ge)(ge)幣(bi)圈人(ren)或者鏈(lian)圈的(de)(de)(de)一(yi)(yi)(yi)個(ge)(ge)媒體，需要提供(gong)一(yi)(yi)(yi)個(ge)(ge)答(da)案，他(ta)就(jiu)真的(de)(de)(de)點(dian)了(le)郵件(jian)里(li)面的(de)(de)(de)鏈(lian)接(jie)，沒有(you)(you)(you)這(zhe)么簡單(dan)，點(dian)了(le)鏈(lian)接(jie)之(zhi)后(hou)(hou)讓他(ta)輸(shu)一(yi)(yi)(yi)個(ge)(ge)帳(zhang)(zhang)號密碼。輸(shu)進(jin)去(qu)之(zhi)后(hou)(hou)黑(hei)客(ke)拿(na)到(dao)了(le)郵箱的(de)(de)(de)登(deng)陸帳(zhang)(zhang)號。拿(na)到(dao)了(le)郵箱登(deng)陸帳(zhang)(zhang)號，黑(hei)客(ke)很雞賊，先去(qu)學(xue)習，先學(xue)習郵箱里(li)的(de)(de)(de)所有(you)(you)(you)軟件(jian)，發郵件(jian)是(shi)(shi)(shi)(shi)(shi)什(shen)么樣的(de)(de)(de)內容，有(you)(you)(you)什(shen)么規定，掌握完(wan)了(le)之(zhi)后(hou)(hou)黑(hei)客(ke)模(mo)仿CFO的(de)(de)(de)身份給CEO發了(le)一(yi)(yi)(yi)個(ge)(ge)郵件(jian)，我(wo)們現在(zai)(zai)有(you)(you)(you)一(yi)(yi)(yi)個(ge)(ge)大客(ke)戶，用什(shen)么緣(yuan)故要轉 100 個(ge)(ge)比(bi)特幣(bi)，我(wo)已經檢查過(guo)了(le)沒有(you)(you)(you)什(shen)么問題(ti)，請您批(pi)示一(yi)(yi)(yi)下。沒有(you)(you)(you)多(duo)想(xiang)就(jiu)給他(ta)批(pi)準了(le)，黑(hei)客(ke)拿(na)到(dao)這(zhe)個(ge)(ge)幣(bi)之(zhi)后(hou)(hou)，一(yi)(yi)(yi)而再在(zai)(zai)二三偷了(le)三次，偷了(le)一(yi)(yi)(yi)共 5 個(ge)(ge)億(yi)。這(zhe)個(ge)(ge)是(shi)(shi)(shi)(shi)(shi)針(zhen)對人(ren)的(de)(de)(de)攻(gong)擊(ji)。最后(hou)(hou)BTP找保險(xian)公司索賠(pei)了(le)，但是(shi)(shi)(shi)(shi)(shi)沒有(you)(you)(you)獲得賠(pei)償。

第(di)三種(zhong)是(shi)針(zhen)對云平(ping)臺(tai)或(huo)者云服務器(qi)的攻擊，這也(ye)是(shi)早前(qian)發(fa)生(sheng)過的一個案例。國(guo)外有(you)一個云平(ping)臺(tai)，類(lei)似阿里(li)云、騰訊(xun)云，當時國(guo)際上也(ye)有(you)很多礦池的云平(ping)臺(tai)服務，當時它的管理(li)權限被人獲取了，有(you)好幾(ji)個比(bi)較早的創業企(qi)業被偷了 2 萬多個比(bi)特幣。

我們重點講一講第三部分，很多(duo)人(ren)覺得這個(ge)(ge)技術像比(bi)特幣，很多(duo)年沒(mei)有(you)出(chu)(chu)過(guo)大(da)的(de)(de)安全問題，所以(yi)這個(ge)(ge)數字(zi)貨幣是(shi)(shi)非(fei)常可信的(de)(de)。其(qi)實(shi)這個(ge)(ge)數字(zi)不(bu)(bu)是(shi)(shi)特別嚴謹，不(bu)(bu)是(shi)(shi)沒(mei)有(you)出(chu)(chu)現過(guo)，而且出(chu)(chu)現過(guo)不(bu)(bu)僅(jin)一次，各種因素化險為夷了。第一個(ge)(ge)案(an)例，德(de)國的(de)(de)一個(ge)(ge)碼農，發現比(bi)特幣的(de)(de)腳(jiao)本程(cheng)序里(li)面有(you)一處潛在的(de)(de)破(po)壞(huai)力極強的(de)(de)BUG，這個(ge)(ge)BUG基本內容是(shi)(shi)，右上(shang)角是(shi)(shi)原(yuan)始代(dai)碼的(de)(de)邏輯，case，黑(hei)客利用(yong)BUG可以(yi)調(diao)用(yong)語(yu)句(ju)，使得可以(yi)用(yong)之前錢(qian)(qian)包里(li)面的(de)(de)比(bi)特幣。如果(guo)我能花你錢(qian)(qian)包里(li)的(de)(de)錢(qian)(qian)，這個(ge)(ge)錢(qian)(qian)還(huan)值錢(qian)(qian)嗎(ma)？

這個(ge)BUG最早的(de)(de)時候(hou)是沒有被公開的(de)(de)，這個(ge)程序員發了(le)一(yi)(yi)個(ge)郵(you)件(jian)給比特幣的(de)(de)創始人(ren)，在郵(you)件(jian)里(li)講(jiang)，對于(yu)不知道BUG的(de)(de)人(ren)，千萬別講(jiang)BUG的(de)(de)名字(zi)，如果(guo)你(ni)是很熟悉的(de)(de)人(ren)，你(ni)一(yi)(yi)聽就知道到(dao)底(di)(di)怎么調用(yong)這個(ge)BUG，你(ni)可以想(xiang)想(xiang)當時的(de)(de)影(ying)響到(dao)底(di)(di)有多大。

這個BUG沒有(you)被公(gong)開(kai)，悄(qiao)(qiao)(qiao)悄(qiao)(qiao)(qiao)被修(xiu)(xiu)復。悄(qiao)(qiao)(qiao)悄(qiao)(qiao)(qiao)的(de)來(lai)，悄(qiao)(qiao)(qiao)悄(qiao)(qiao)(qiao)的(de)我(wo)又走了(le)，這個BUG后面(mian)的(de)比(bi)(bi)特幣(bi)(bi)升級(ji)其它的(de)內容，就是(shi)常(chang)規性的(de)內容更(geng)新的(de)時候(hou)，把問題給悄(qiao)(qiao)(qiao)悄(qiao)(qiao)(qiao)的(de)修(xiu)(xiu)復了(le)，修(xiu)(xiu)復完之(zhi)后在所有(you)的(de)節(jie)點(dian)，大部分都(dou)更(geng)新了(le)之(zhi)后才被公(gong)之(zhi)于眾。所以這個程(cheng)序員也(ye)是(shi)比(bi)(bi)特幣(bi)(bi)或者(zhe)區(qu)塊鏈歷史上最鮮為人知(zhi)的(de)大救星，他第一次救了(le)比(bi)(bi)特幣(bi)(bi)。也(ye)有(you)一種說(shuo)法(fa)，因為他自(zi)己(ji)也(ye)持(chi)有(you)比(bi)(bi)較(jiao)多的(de)比(bi)(bi)特幣(bi)(bi)，他不想(xiang)自(zi)己(ji)的(de)幣(bi)(bi)貶值(zhi)，所以他寫了(le)這個郵件。這也(ye)是(shi)加密經濟學(xue)里(li)面(mian)的(de)角度考(kao)慮。

比(bi)(bi)(bi)(bi)特幣(bi)(bi)天量刷幣(bi)(bi)漏洞，比(bi)(bi)(bi)(bi)特幣(bi)(bi)誕生半年(nian)到(dao)一年(nian)的(de)(de)時(shi)候，僅(jin)過了(le)一個(ge)(ge)(ge)月(yue)出現(xian)(xian)了(le)第(di)二(er)個(ge)(ge)(ge)BUG，是(shi)美國的(de)(de)一個(ge)(ge)(ge)碼(ma)農程序員(yuan)（Jeff），他發現(xian)(xian)比(bi)(bi)(bi)(bi)特幣(bi)(bi)的(de)(de)區(qu)塊(kuai)(kuai)鏈(lian)里面 7400 多個(ge)(ge)(ge)區(qu)塊(kuai)(kuai)有一個(ge)(ge)(ge)很異常的(de)(de)交(jiao)易，有三個(ge)(ge)(ge)收(shou)款地址，有兩個(ge)(ge)(ge)收(shou)了(le) 900 多億(yi)(yi)比(bi)(bi)(bi)(bi)特幣(bi)(bi)，一共是(shi) 1800 多億(yi)(yi)個(ge)(ge)(ge)。知道(dao)比(bi)(bi)(bi)(bi)特幣(bi)(bi)的(de)(de)同學都知道(dao)，在(zai)求和(he)(he)的(de)(de)這個(ge)(ge)(ge)邏(luo)輯里面，有一個(ge)(ge)(ge)求和(he)(he)溢出，當時(shi)是(shi)沒有被(bei)處(chu)理的(de)(de)。發現(xian)(xian)這個(ge)(ge)(ge)BUG之(zhi)后，這個(ge)(ge)(ge)時(shi)候比(bi)(bi)(bi)(bi)特幣(bi)(bi)已經在(zai)運營(ying)當中了(le)，而且是(shi)比(bi)(bi)(bi)(bi)較(jiao)嚴重(zhong)的(de)(de)BUG，結(jie)果社(she)區(qu)表現(xian)(xian)出來比(bi)(bi)(bi)(bi)較(jiao)強的(de)(de)能力。開發者出了(le)修復BUG的(de)(de)版本之(zhi)后，號召大(da)家趕緊(jin)在(zai)Node的(de)(de)版本上去(qu)挖礦，哪一個(ge)(ge)(ge)鏈(lian)最(zui)長，才是(shi)最(zui)終被(bei)認可(ke)的(de)(de)鏈(lian)，結(jie)果帶有補丁版本的(de)(de)區(qu)塊(kuai)(kuai)鏈(lian)的(de)(de)程度(du)最(zui)后趕上并且超越了(le)原(yuan)來有BUG的(de)(de)這個(ge)(ge)(ge)鏈(lian)，最(zui)終才化險為夷。

說完核心代碼的(de)(de)(de)一些(xie)漏洞之后(hou)，我們來聊一聊共識機(ji)制的(de)(de)(de)問題。先(xian)講一個，大(da)家可能都知(zhi)道，51%攻(gong)擊的(de)(de)(de)問題，現在(zai)發現它是(shi)現實(shi)的(de)(de)(de)存在(zai)，原來以為是(shi)理論的(de)(de)(de)存在(zai)。我們提(ti)出(chu)一種(zhong)方案(an)，他可以避免雙花。通過什(shen)么呢？通過PUW，是(shi)有(you)前提(ti)的(de)(de)(de)。惡意用戶不(bu)能超過50%。比特幣(bi)的(de)(de)(de)歷史(shi)上曾(ceng)經有(you)過這(zhe)種(zhong)擔(dan)憂， 2014 年的(de)(de)(de)時候有(you)一個礦池，不(bu)停的(de)(de)(de)增長，幾乎已(yi)經達(da)到甚至要超過一半了，結果就說大(da)家別在(zai)我這(zhe)兒(er)挖了，我這(zhe)兒(er)已(yi)經變成一個中心化的(de)(de)(de)礦池了，我要提(ti)高手續費了，后(hou)面慢慢也就沒(mei)有(you)出(chu)現51%攻(gong)擊的(de)(de)(de)隱患(huan)。

現在有(you)(you)很多詬病說(shuo)(shuo)中國(guo)的(de)(de)幾家(jia)礦池聯合起來(lai)也(ye)是(shi)(shi)(shi)可(ke)(ke)以(yi)完(wan)成51%攻(gong)(gong)擊(ji)的(de)(de)，這也(ye)是(shi)(shi)(shi)理(li)論(lun)上的(de)(de)可(ke)(ke)能。但是(shi)(shi)(shi)比(bi)特幣沒有(you)(you)真正被51%攻(gong)(gong)擊(ji)成功(gong)過。有(you)(you)一個比(bi)方，為什么說(shuo)(shuo)安(an)全(quan)沒有(you)(you)被51%攻(gong)(gong)擊(ji)，因(yin)為它的(de)(de)代(dai)價太大了，如果(guo)對(dui)它產生足夠的(de)(de)挑戰(zhan)。我以(yi)前看(kan)了一個數據，需要全(quan)國(guo)Top500 的(de)(de)怪獸級的(de)(de)超散，包括中國(guo)的(de)(de)神威(wei)、美國(guo)的(de)(de)泰(tai)坦(tan)集合在一起才可(ke)(ke)能發起有(you)(you)一定威(wei)脅性的(de)(de)攻(gong)(gong)擊(ji)。現在差距可(ke)(ke)能更大了。

51%攻(gong)擊(ji)的(de)風險在于其它的(de)幣(bi)種(zhong)(zhong)，而不是(shi)比(bi)特幣(bi)，這種(zhong)(zhong)攻(gong)擊(ji)是(shi)史詩級(ji)的(de)，或(huo)者是(shi)毀滅級(ji)的(de)攻(gong)擊(ji)。大部(bu)分都是(shi)一(yi)些所(suo)謂的(de)空氣幣(bi)或(huo)者是(shi)山寨幣(bi)。BitcoinGold、Zencash、Vnrge，這些幣(bi)種(zhong)(zhong)都比(bi)較小，沒(mei)有(you)特別強的(de)保護措施，很容易被人(ren)通(tong)過(guo)(guo)租用云端(duan)算力(li)，租用大量算力(li)沖進來(lai)到(dao)這個(ge)(ge)小比(bi)重里面去挖礦，超(chao)過(guo)(guo)原(yuan)始整個(ge)(ge)網絡(luo)的(de)算力(li)，一(yi)下就造成(cheng)(cheng)了51%攻(gong)擊(ji)雙花。我們預(yu)計未來(lai)可能會越來(lai)越多(duo)。也有(you)學者做過(guo)(guo)研究(jiu)，ETC采用的(de)共識算法(fa)和(he)挖礦的(de)機制和(he)以太幣(bi)是(shi)完全一(yi)樣的(de)。巴西的(de)學者研究(jiu)出(chu)來(lai)，可能 5000 多(duo)萬的(de)攻(gong)擊(ji)成(cheng)(cheng)本就有(you)可能造成(cheng)(cheng) 10 個(ge)(ge)億的(de)收益(yi)。

剛才講過(guo)門頭溝被(bei)(bei)盜其實(shi)有(you)(you)一(yi)(yi)部分被(bei)(bei)交(jiao)(jiao)(jiao)易(yi)延展性(xing)比(bi)(bi)特幣的(de)(de)(de)(de)BUG給坑了(le)，根據這(zhe)個(ge)(ge)基礎協(xie)議(yi)上的(de)(de)(de)(de)，我沒確(que)認(ren)嗎？黑客(ke)這(zhe)部分的(de)(de)(de)(de)交(jiao)(jiao)(jiao)易(yi)被(bei)(bei)確(que)認(ren)了(le)，我就(jiu)把(ba)這(zhe)個(ge)(ge)幣再(zai)重發一(yi)(yi)遍，就(jiu)是(shi)(shi)(shi)(shi)發幣過(guo)程有(you)(you)問題(ti)。造成的(de)(de)(de)(de)影響還(huan)是(shi)(shi)(shi)(shi)挺大(da)的(de)(de)(de)(de)，比(bi)(bi)特幣的(de)(de)(de)(de)協(xie)議(yi)升級已(yi)經(jing)把(ba)這(zhe)個(ge)(ge)問題(ti)解決掉了(le)。第二個(ge)(ge)是(shi)(shi)(shi)(shi)日蝕(shi)攻(gong)擊，也是(shi)(shi)(shi)(shi)很(hen)常(chang)見的(de)(de)(de)(de)一(yi)(yi)個(ge)(ge)手段，在比(bi)(bi)特幣和(he)以(yi)太坊(fang)的(de)(de)(de)(de)節(jie)點里都(dou)(dou)被(bei)(bei)找(zhao)出了(le)BUG，都(dou)(dou)被(bei)(bei)人(ren)修復了(le)，原(yuan)理(li)也是(shi)(shi)(shi)(shi)通俗易(yi)懂的(de)(de)(de)(de)，節(jie)點在連上區塊(kuai)鏈網絡的(de)(de)(de)(de)時(shi)候需(xu)要有(you)(you)很(hen)多連接(jie)(jie)來看(kan)，比(bi)(bi)如(ru)說現在的(de)(de)(de)(de)區塊(kuai)高(gao)(gao)度是(shi)(shi)(shi)(shi)多少，現在網上哪(na)些(xie)交(jiao)(jiao)(jiao)易(yi)已(yi)經(jing)被(bei)(bei)確(que)認(ren)了(le)，相關的(de)(de)(de)(de)交(jiao)(jiao)(jiao)易(yi)有(you)(you)沒有(you)(you)被(bei)(bei)確(que)認(ren)，交(jiao)(jiao)(jiao)易(yi)的(de)(de)(de)(de)是(shi)(shi)(shi)(shi)什么，你(ni)連接(jie)(jie)的(de)(de)(de)(de)節(jie)點都(dou)(dou)是(shi)(shi)(shi)(shi)黑客(ke)控制的(de)(de)(de)(de)節(jie)點，他可以(yi)告訴你(ni)某(mou)一(yi)(yi)個(ge)(ge)交(jiao)(jiao)(jiao)易(yi)的(de)(de)(de)(de)時(shi)間根本(ben)就(jiu)沒有(you)(you)，現在的(de)(de)(de)(de)高(gao)(gao)度是(shi)(shi)(shi)(shi)某(mou)一(yi)(yi)個(ge)(ge)區塊(kuai)高(gao)(gao)度，其實(shi)你(ni)根本(ben)就(jiu)不是(shi)(shi)(shi)(shi)這(zhe)個(ge)(ge)高(gao)(gao)度，浪(lang)費了(le)你(ni)的(de)(de)(de)(de)算力(li)，告訴你(ni)的(de)(de)(de)(de)時(shi)間沖也是(shi)(shi)(shi)(shi)不對的(de)(de)(de)(de)等(deng)等(deng)，這(zhe)個(ge)(ge)問題(ti)就(jiu)在于，如(ru)果說我們寫(xie)新的(de)(de)(de)(de)系統(tong)的(de)(de)(de)(de)時(shi)候，比(bi)(bi)特幣和(he)以(yi)太坊(fang)都(dou)(dou)出過(guo)這(zhe)種BUG。

下面講一下漏洞算(suan)法的(de)問題。這(zhe)個(ge)(ge)漏洞發生過程(cheng)也(ye)很(hen)(hen)有(you)意思。 2017 年 5 月份(fen)(fen)，IOTA是(shi)集DOT做的(de)一個(ge)(ge)區塊鏈系統，請MIT的(de)研究組來審計代(dai)碼，本來是(shi)一個(ge)(ge)好事(shi)，MIT的(de)研究者就(jiu)(jiu)做了(le)(le)(le)(le)檢(jian)查，兩個(ge)(ge)月之(zhi)后他們(men)(men)(men)(men)發現確(que)實好，這(zhe)個(ge)(ge)里面還有(you)問題，我(wo)一開始(shi)(shi)也(ye)上當了(le)(le)(le)(le)，IOTA創始(shi)(shi)人我(wo)們(men)(men)(men)(men)是(shi)Curl被騙(pian)了(le)(le)(le)(le)，是(shi)一個(ge)(ge)加密（哈西(xi)）值的(de)漏洞。我(wo)可以構造兩個(ge)(ge)不一樣的(de)原始(shi)(shi)數據，本來（哈西(xi)）要(yao)避免(mian)的(de)事(shi)情，在這(zhe)個(ge)(ge)里面竟然有(you)這(zhe)樣一個(ge)(ge)問題，顯而易見(jian)，導致(zhi)數字簽名的(de)安全性是(shi)無法保障的(de)。 9 月份(fen)(fen)MIT，因(yin)為這(zhe)個(ge)(ge)BUG已經修復了(le)(le)(le)(le)，就(jiu)(jiu)公布了(le)(le)(le)(le)漏洞審查的(de)報告，沒成想出現了(le)(le)(le)(le)戲劇性的(de)一幕，IOTA馬上表示強烈(lie)的(de)抗議，MIT違反(fan)學術(shu)道德，我(wo)們(men)(men)(men)(men)是(shi)故(gu)意把(ba)它放在你們(men)(men)(men)(men)的(de)，我(wo)放在你們(men)(men)(men)(men)是(shi)防止別(bie)人抄我(wo)們(men)(men)(men)(men)的(de)代(dai)碼。這(zhe)個(ge)(ge)也(ye)是(shi)很(hen)(hen)有(you)意思的(de)，區塊鏈漏洞系統里面的(de)歷史事(shi)件。

第二個(ge)(ge)(ge)是(shi)共識(shi)機(ji)制里面(mian)的(de)攻擊，這(zhe)(zhe)(zhe)個(ge)(ge)(ge)叫IOTA纏結縫(feng)合攻擊，纏結是(shi)區塊鏈的(de)一(yi)個(ge)(ge)(ge)名詞，今年有一(yi)個(ge)(ge)(ge)科幻電影《湮滅》，IOTA經歷(li)了(le)這(zhe)(zhe)(zhe)樣的(de)事情(qing)，黑(hei)客造出(chu)來(lai)的(de)各(ge)種垃(la)圾(ji)交(jiao)易(yi)，并且在(zai)這(zhe)(zhe)(zhe)兩個(ge)(ge)(ge)鏈之間(jian)不停的(de)用鏈串聯出(chu)來(lai)。這(zhe)(zhe)(zhe)個(ge)(ge)(ge)造成(cheng)什么結果呢(ni)？IOTA當(dang)時(shi)的(de)共識(shi)算(suan)法是(shi)不需要交(jiao)手續費的(de)，交(jiao)易(yi)的(de)確認是(shi)需要打包前面(mian)兩個(ge)(ge)(ge)交(jiao)易(yi)，就造成(cheng)了(le)普通(tong)的(de)用戶去確認的(de)時(shi)候，大家基本上(shang)都在(zai)確認大量的(de)垃(la)圾(ji)交(jiao)易(yi)，黑(hei)客也在(zai)確認垃(la)圾(ji)交(jiao)易(yi)，這(zhe)(zhe)(zhe)樣造成(cheng)整個(ge)(ge)(ge)網(wang)絡是(shi)無法使用很長一(yi)段時(shi)間(jian)，整個(ge)(ge)(ge)系統等(deng)于是(shi)不可用了(le)。后面(mian)通(tong)過共識(shi)機(ji)制的(de)升級，才解決了(le)這(zhe)(zhe)(zhe)個(ge)(ge)(ge)問題。

其實我(wo)們聊(liao)了很多，還有(you)大(da)(da)量的(de)，今天時間關系沒有(you)辦法和大(da)(da)家(jia)一(yi)起分享討論。

我們(men)再回到區(qu)塊鏈(lian)的(de)安(an)全(quan)主題(ti)上來。區(qu)塊鏈(lian)到底是不(bu)是重新定義安(an)全(quan)，我們(men)覺(jue)得區(qu)塊鏈(lian)技術并不(bu)是安(an)全(quan)的(de)一個(ge)萬能鑰，區(qu)塊鏈(lian)系統里(li)面仍然會繼承現有的(de)互(hu)聯網安(an)全(quan)、軟件安(an)全(quan)等問題(ti)，同時還(huan)引用了新的(de)攻擊向量(liang)。

區塊(kuai)(kuai)鏈(lian)(lian)確(que)實在(zai)有些方(fang)(fang)面(mian)是(shi)(shi)(shi)顯(xian)著(zhu)提高安全性(xing)的(de)(de)(de)。比如(ru)這(zhe)里提出了兩點，容忍部分(fen)節點做，但(dan)是(shi)(shi)(shi)系統還是(shi)(shi)(shi)不影(ying)響的(de)(de)(de)。還有一個(ge)沒(mei)列出來的(de)(de)(de)，能(neng)夠(gou)抗(kang)審查，在(zai)微博、微信上的(de)(de)(de)東西可(ke)(ke)能(neng)被刪(shan)，存在(zai)這(zhe)個(ge)上面(mian)的(de)(de)(de)東西是(shi)(shi)(shi)沒(mei)法兒(er)被刪(shan)的(de)(de)(de)。要達(da)成(cheng)這(zhe)樣(yang)的(de)(de)(de)安全性(xing)顯(xian)著(zhu)提升(sheng)的(de)(de)(de)目標，有一個(ge)前提，在(zai)它的(de)(de)(de)設計研發和運營之中還要要對(dui)問(wen)題充(chong)分(fen)的(de)(de)(de)重(zhong)視，做好防范(fan)。我們覺得現有的(de)(de)(de)安全技術和區塊(kuai)(kuai)鏈(lian)(lian)技術是(shi)(shi)(shi)相(xiang)輔相(xiang)成(cheng)，良(liang)性(xing)循環的(de)(de)(de)過程。區塊(kuai)(kuai)鏈(lian)(lian)技術在(zai)很多方(fang)(fang)面(mian)補齊了現有安全技術不足的(de)(de)(de)地方(fang)(fang)，但(dan)是(shi)(shi)(shi)現有安全技術又反過來可(ke)(ke)以(yi)促(cu)進區塊(kuai)(kuai)鏈(lian)(lian)的(de)(de)(de)技術提升(sheng)，兩個(ge)是(shi)(shi)(shi)相(xiang)互(hu)促(cu)進良(liang)性(xing)循環的(de)(de)(de)關系。

第一(yi)，如果(guo)你是(shi)(shi)(shi)區塊鏈(lian)資(zi)產(chan)的(de)(de)(de)(de)持有(you)者（用戶(hu)），私鑰(yao)(yao)還是(shi)(shi)(shi)權利，以前你的(de)(de)(de)(de)法幣的(de)(de)(de)(de)資(zi)產(chan)，或(huo)(huo)者什么東西丟了，去(qu)警察(cha)局報個(ge)(ge)(ge)(ge)案(an)，去(qu)銀行凍(dong)結(jie)誰動了你銀行的(de)(de)(de)(de)卡(ka)好。這(zhe)(zhe)個(ge)(ge)(ge)(ge)是(shi)(shi)(shi)幣圈或(huo)(huo)者老(lao)(lao)人說的(de)(de)(de)(de)一(yi)句(ju)話，如果(guo)說你買了幣，第一(yi)時間把(ba)(ba)(ba)它(ta)提(ti)出來不(bu)要放到交易(yi)所，交易(yi)所里面(mian)的(de)(de)(de)(de)幣都(dou)(dou)(dou)是(shi)(shi)(shi)欠條(tiao)，你并不(bu)真正擁有(you)這(zhe)(zhe)些幣，它(ta)只是(shi)(shi)(shi)一(yi)個(ge)(ge)(ge)(ge)符號(hao)(hao)。不(bu)要重復使(shi)用密碼(ma)(ma)，盡量使(shi)用自動生成的(de)(de)(de)(de)密碼(ma)(ma)，很(hen)多人就(jiu)(jiu)是(shi)(shi)(shi)幾位(wei)數的(de)(de)(de)(de)密碼(ma)(ma)，最好都(dou)(dou)(dou)通(tong)過(guo)軟件(jian)自動生成它(ta)，開啟短(duan)(duan)信(xin)(xin)認(ren)證(zheng)，這(zhe)(zhe)個(ge)(ge)(ge)(ge)是(shi)(shi)(shi)比(bi)短(duan)(duan)信(xin)(xin)驗證(zheng)碼(ma)(ma)更安(an)(an)全(quan)的(de)(de)(de)(de)機(ji)制，學會(hui)識(shi)別各種推廣鏈(lian)接(jie)(jie)，百(bai)度的(de)(de)(de)(de)，谷歌的(de)(de)(de)(de)，仔細閱讀安(an)(an)全(quan)提(ti)示(shi)的(de)(de)(de)(de)相關內容，大(da)(da)額資(zi)產(chan)建議大(da)(da)家(jia)是(shi)(shi)(shi)離線存(cun)(cun)儲，或(huo)(huo)者是(shi)(shi)(shi)考慮(lv)硬(ying)件(jian)錢(qian)(qian)包，當然硬(ying)件(jian)錢(qian)(qian)包也(ye)不(bu)一(yi)定(ding)安(an)(an)全(quan)，可能是(shi)(shi)(shi)比(bi)直(zhi)接(jie)(jie)在電腦(nao)上(shang)直(zhi)接(jie)(jie)存(cun)(cun)著(zhu)被偷的(de)(de)(de)(de)概(gai)率低一(yi)些，最好是(shi)(shi)(shi)硬(ying)件(jian)存(cun)(cun)儲。我的(de)(de)(de)(de)一(yi)個(ge)(ge)(ge)(ge)老(lao)(lao)朋友，是(shi)(shi)(shi)一(yi)個(ge)(ge)(ge)(ge)老(lao)(lao)兵，把(ba)(ba)(ba)私鑰(yao)(yao)存(cun)(cun)到記事本(ben)里面(mian)，傳到云(yun)盤(pan)上(shang)去(qu)，在本(ben)地把(ba)(ba)(ba)文件(jian)就(jiu)(jiu)刪了，結(jie)果(guo)把(ba)(ba)(ba)刪除(chu)(chu)的(de)(de)(de)(de)這(zhe)(zhe)一(yi)步(bu)步(bu)驟(zou)同步(bu)到云(yun)盤(pan)上(shang)去(qu)了，這(zhe)(zhe)樣做也(ye)是(shi)(shi)(shi)非常(chang)危險的(de)(de)(de)(de)。保管好郵(you)箱帳號(hao)(hao)是(shi)(shi)(shi)顯而(er)易(yi)見的(de)(de)(de)(de)。最后建議大(da)(da)家(jia)考慮(lv)優先使(shi)用蘋果(guo)手機(ji)，我也(ye)很(hen)喜歡用安(an)(an)卓(zhuo)，只不(bu)過(guo)因為這(zhe)(zhe)些年安(an)(an)卓(zhuo)的(de)(de)(de)(de)碎片化是(shi)(shi)(shi)比(bi)較(jiao)(jiao)嚴重的(de)(de)(de)(de)，除(chu)(chu)了剛(gang)剛(gang)發(fa)布的(de)(de)(de)(de)第一(yi)年安(an)(an)全(quan)更新比(bi)較(jiao)(jiao)頻繁，比(bi)較(jiao)(jiao)快，稍微老(lao)(lao)一(yi)點的(de)(de)(de)(de)安(an)(an)全(quan)更新很(hen)多做的(de)(de)(de)(de)是(shi)(shi)(shi)不(bu)到位(wei)的(de)(de)(de)(de)，不(bu)僅僅錢(qian)(qian)包有(you)風險，短(duan)(duan)信(xin)(xin)驗證(zheng)碼(ma)(ma)，包括兩步(bu)驗證(zheng)的(de)(de)(de)(de)APP都(dou)(dou)(dou)有(you)可能會(hui)被竊取里面(mian)的(de)(de)(de)(de)信(xin)(xin)息(xi)。

如果您是(shi)(shi)一位區(qu)塊鏈項目(mu)的(de)(de)(de)(de)開發者(zhe)(zhe)，幾位前(qian)輩都講過這(zhe)(zhe)(zhe)個(ge)問(wen)題(ti)，最好是(shi)(shi)能自(zi)己(ji)(ji)去看看里(li)面(mian)的(de)(de)(de)(de)代碼(ma)邏輯(ji)，里(li)面(mian)到底(di)是(shi)(shi)不是(shi)(shi)真的(de)(de)(de)(de)，不要(yao)(yao)信某(mou)個(ge)牛人或(huo)者(zhe)(zhe)某(mou)個(ge)泰斗，在(zai)數字(zi)貨(huo)幣(bi)或(huo)者(zhe)(zhe)區(qu)塊鏈的(de)(de)(de)(de)這(zhe)(zhe)(zhe)個(ge)領域里(li)面(mian)蠻有反(fan)叛性精神的(de)(de)(de)(de)，沒(mei)(mei)有所謂的(de)(de)(de)(de)權威在(zai)這(zhe)(zhe)(zhe)里(li)面(mian)，大家還是(shi)(shi)自(zi)己(ji)(ji)去看是(shi)(shi)最保(bao)險的(de)(de)(de)(de)方式。用(yong)去中(zhong)心化的(de)(de)(de)(de)思維，沒(mei)(mei)有以前(qian)的(de)(de)(de)(de)服務(wu)器客(ke)戶端的(de)(de)(de)(de)架(jia)構，沒(mei)(mei)有BS架(jia)構，CS架(jia)構了，各(ge)種攻擊都可能在(zai)里(li)面(mian)出現，你(ni)要(yao)(yao)考慮這(zhe)(zhe)(zhe)個(ge)方面(mian)，不要(yao)(yao)去嘗試自(zi)己(ji)(ji)設(she)計一種加密算法，這(zhe)(zhe)(zhe)是(shi)(shi)一個(ge)很大的(de)(de)(de)(de)坑(keng)。好像自(zi)己(ji)(ji)天(tian)不知道地不知道，只有我自(zi)己(ji)(ji)安全(quan)。

謹慎對(dui)(dui)待慈基(ji)數(shu)(shu)(shu)或者(zhe)時間(jian)戳這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)的(de)(de)(de)(de)(de)變量和數(shu)(shu)(shu)值(zhi)，這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)的(de)(de)(de)(de)(de)在區(qu)(qu)塊(kuai)鏈的(de)(de)(de)(de)(de)編(bian)程也(ye)是(shi)(shi)非常難的(de)(de)(de)(de)(de)。我也(ye)在思考(kao)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)問(wen)題，讓用戶參(can)與進(jin)來(lai)提供周(zhou)邊的(de)(de)(de)(de)(de)環(huan)境信(xin)號，包括麥(mai)克風或者(zhe)傳感(gan)器(qi)的(de)(de)(de)(de)(de)數(shu)(shu)(shu)據，混合本地的(de)(de)(de)(de)(de)隨機(ji)數(shu)(shu)(shu)據，這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)也(ye)許會(hui)(hui)安(an)(an)(an)全(quan)(quan)一(yi)(yi)(yi)(yi)(yi)(yi)點。時間(jian)戳也(ye)是(shi)(shi)一(yi)(yi)(yi)(yi)(yi)(yi)樣(yang)(yang)的(de)(de)(de)(de)(de)，重視(shi)安(an)(an)(an)全(quan)(quan)用例的(de)(de)(de)(de)(de)編(bian)寫(xie)，一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)要重視(shi)你寫(xie)的(de)(de)(de)(de)(de)每一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)Library，哪怕(pa)是(shi)(shi)別(bie)人(ren)寫(xie)的(de)(de)(de)(de)(de)智能(neng)(neng)(neng)(neng)合約里面(mian)(mian)有(you)(you)BUG，您(nin)(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)系(xi)統(tong)仍然是(shi)(shi)可能(neng)(neng)(neng)(neng)會(hui)(hui)被找到(dao)(dao)漏(lou)洞(dong)(dong)，會(hui)(hui)被擊潰的(de)(de)(de)(de)(de)。如果(guo)(guo)您(nin)(nin)的(de)(de)(de)(de)(de)工作(zuo)是(shi)(shi)基(ji)于(yu)(yu)比(bi)(bi)特幣(bi)、以(yi)(yi)太(tai)坊(fang)的(de)(de)(de)(de)(de)區(qu)(qu)塊(kuai)鏈去(qu)(qu)做(zuo)(zuo)的(de)(de)(de)(de)(de)，不(bu)用重復發(fa)明(ming)文(wen)字(zi)，一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)要同步去(qu)(qu)更(geng)新像(xiang)比(bi)(bi)特幣(bi)、以(yi)(yi)太(tai)坊(fang)攻擊的(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)代(dai)碼，一(yi)(yi)(yi)(yi)(yi)(yi)般能(neng)(neng)(neng)(neng)夠(gou)比(bi)(bi)較快的(de)(de)(de)(de)(de)及時響(xiang)應(ying)里面(mian)(mian)的(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)問(wen)題，如果(guo)(guo)你的(de)(de)(de)(de)(de)工作(zuo)是(shi)(shi)基(ji)于(yu)(yu)他(ta)們(men)的(de)(de)(de)(de)(de)工作(zuo)基(ji)礎上來(lai)做(zuo)(zuo)，你又沒有(you)(you)去(qu)(qu)跟進(jin)，等(deng)于(yu)(yu)是(shi)(shi)告(gao)訴黑客，比(bi)(bi)特幣(bi)和以(yi)(yi)太(tai)坊(fang)等(deng)于(yu)(yu)是(shi)(shi)告(gao)訴黑客，告(gao)誡自(zi)己(ji)智能(neng)(neng)(neng)(neng)合約很(hen)難寫(xie)，很(hen)難寫(xie)的(de)(de)(de)(de)(de)好(hao)寫(xie)的(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)，一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)要謹小慎微(wei)，補(bu)齊密(mi)碼學(xue)的(de)(de)(de)(de)(de)基(ji)礎知識。您(nin)(nin)開(kai)(kai)(kai)發(fa)的(de)(de)(de)(de)(de)系(xi)統(tong)有(you)(you)多(duo)安(an)(an)(an)全(quan)(quan)，這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)取決于(yu)(yu)您(nin)(nin)。第三(san)個(ge)(ge)(ge)類別(bie)，如果(guo)(guo)您(nin)(nin)是(shi)(shi)一(yi)(yi)(yi)(yi)(yi)(yi)位區(qu)(qu)塊(kuai)鏈相(xiang)關(guan)產(chan)品的(de)(de)(de)(de)(de)創業者(zhe)，如果(guo)(guo)你以(yi)(yi)前不(bu)是(shi)(shi)做(zuo)(zuo)這(zhe)(zhe)(zhe)(zhe)一(yi)(yi)(yi)(yi)(yi)(yi)塊(kuai)的(de)(de)(de)(de)(de)，現在來(lai)做(zuo)(zuo)這(zhe)(zhe)(zhe)(zhe)一(yi)(yi)(yi)(yi)(yi)(yi)塊(kuai)，我們(men)的(de)(de)(de)(de)(de)建(jian)議(yi)是(shi)(shi)，如果(guo)(guo)您(nin)(nin)的(de)(de)(de)(de)(de)項目還(huan)沒有(you)(you)開(kai)(kai)(kai)始，還(huan)是(shi)(shi)問(wen)一(yi)(yi)(yi)(yi)(yi)(yi)問(wen)自(zi)己(ji)，是(shi)(shi)不(bu)是(shi)(shi)一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)要用區(qu)(qu)塊(kuai)鏈。第二個(ge)(ge)(ge)，如果(guo)(guo)項目已經開(kai)(kai)(kai)始了，可以(yi)(yi)重新從安(an)(an)(an)全(quan)(quan)的(de)(de)(de)(de)(de)角(jiao)度(du)審(shen)(shen)查一(yi)(yi)(yi)(yi)(yi)(yi)下(xia)各(ge)個(ge)(ge)(ge)方(fang)面(mian)(mian)。應(ying)該(gai)充分了解，在區(qu)(qu)塊(kuai)鏈領(ling)域特別(bie)是(shi)(shi)這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)的(de)(de)(de)(de)(de)，要投(tou)入大量的(de)(de)(de)(de)(de)人(ren)力、物力、財力是(shi)(shi)看不(bu)到(dao)(dao)的(de)(de)(de)(de)(de)，一(yi)(yi)(yi)(yi)(yi)(yi)旦出(chu)(chu)現事(shi)故之后是(shi)(shi)影響(xiang)很(hen)大的(de)(de)(de)(de)(de)，追(zhui)悔莫及。針(zhen)對(dui)(dui)于(yu)(yu)自(zi)己(ji)，針(zhen)對(dui)(dui)于(yu)(yu)關(guan)鍵團隊成員，甭管C什(shen)么O，這(zhe)(zhe)(zhe)(zhe)里面(mian)(mian)一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)關(guan)鍵人(ren)物出(chu)(chu)了問(wen)題，可能(neng)(neng)(neng)(neng)也(ye)會(hui)(hui)造成影響(xiang)。非區(qu)(qu)塊(kuai)鏈服務(wu)系(xi)統(tong)的(de)(de)(de)(de)(de)漏(lou)洞(dong)(dong)，這(zhe)(zhe)(zhe)(zhe)也(ye)是(shi)(shi)容(rong)易忽(hu)視(shi)的(de)(de)(de)(de)(de)一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)問(wen)題，服務(wu)器(qi)上放(fang)上您(nin)(nin)的(de)(de)(de)(de)(de)代(dai)碼，操作(zuo)系(xi)統(tong)的(de)(de)(de)(de)(de)漏(lou)洞(dong)(dong)就不(bu)用說了，他(ta)的(de)(de)(de)(de)(de)問(wen)題也(ye)會(hui)(hui)導致您(nin)(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)系(xi)統(tong)的(de)(de)(de)(de)(de)問(wen)題。劃(hua)撥資(zi)金池，最(zui)好(hao)還(huan)是(shi)(shi)有(you)(you)一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)單(dan)獨的(de)(de)(de)(de)(de)資(zi)金，這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)更(geng)多(duo)的(de)(de)(de)(de)(de)放(fang)在社區(qu)(qu)里面(mian)(mian)會(hui)(hui)更(geng)有(you)(you)動(dong)機(ji)去(qu)(qu)介入進(jin)來(lai)，他(ta)會(hui)(hui)覺得這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)項目是(shi)(shi)比(bi)(bi)較友好(hao)的(de)(de)(de)(de)(de)，他(ta)也(ye)樂意(yi)去(qu)(qu)幫助你，聘任顧問(wen)，來(lai)審(shen)(shen)計第三(san)方(fang)產(chan)品。建(jian)議(yi)使用兩(liang)組人(ren)員，兩(liang)種(zhong)不(bu)同的(de)(de)(de)(de)(de)語言來(lai)進(jin)行(xing)開(kai)(kai)(kai)發(fa)，把協(xie)議(yi)約定(ding)好(hao)。以(yi)(yi)太(tai)坊(fang)采用了這(zhe)(zhe)(zhe)(zhe)種(zhong)路線，所以(yi)(yi)避免(mian)了好(hao)幾(ji)次大的(de)(de)(de)(de)(de)問(wen)題。同樣(yang)(yang)也(ye)是(shi)(shi)針(zhen)對(dui)(dui)供應(ying)鏈，開(kai)(kai)(kai)源才是(shi)(shi)最(zui)安(an)(an)(an)全(quan)(quan)的(de)(de)(de)(de)(de)，但是(shi)(shi)千萬別(bie)等(deng)到(dao)(dao)明(ming)天上線今天宣(xuan)布開(kai)(kai)(kai)源，上線的(de)(de)(de)(de)(de)時候是(shi)(shi)開(kai)(kai)(kai)源產(chan)品，這(zhe)(zhe)(zhe)(zhe)樣(yang)(yang)其實是(shi)(shi)最(zui)危險的(de)(de)(de)(de)(de)，今年有(you)(you)幾(ji)個(ge)(ge)(ge)數(shu)(shu)(shu)字(zi)貨幣(bi)就出(chu)(chu)現過這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)問(wen)題，官方(fang)的(de)(de)(de)(de)(de)錢包出(chu)(chu)現，第一(yi)(yi)(yi)(yi)(yi)(yi)天就找到(dao)(dao)了BUG。最(zui)后，做(zuo)(zuo)好(hao)思想(xiang)準備，您(nin)(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)系(xi)統(tong)一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)會(hui)(hui)有(you)(you)漏(lou)洞(dong)(dong)，有(you)(you)漏(lou)洞(dong)(dong)就一(yi)(yi)(yi)(yi)(yi)(yi)定(ding)會(hui)(hui)有(you)(you)攻破(po)的(de)(de)(de)(de)(de)，至少(shao)有(you)(you)一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)安(an)(an)(an)全(quan)(quan)專員，要有(you)(you)一(yi)(yi)(yi)(yi)(yi)(yi)個(ge)(ge)(ge)應(ying)急預案。