趙偉的佛系區(qū)塊鏈?zhǔn)澜缬^—TenSec 2018現(xiàn)場(chǎng)演講實(shí)錄

　 域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

10月10日—11日，第三屆騰訊安全國(guó)際技術(shù)峰會(huì)(TenSec)在深圳舉辦。這場(chǎng)由騰訊安全發(fā)起，騰訊安全科恩實(shí)驗(yàn)室、騰訊安全平臺(tái)部聯(lián)合主辦，騰訊安全學(xué)院協(xié)辦的國(guó)際性信息安全技術(shù)峰會(huì)，以高質(zhì)量、高規(guī)格的標(biāo)準(zhǔn)，致力于探索國(guó)際前沿安全技術(shù)和領(lǐng)域，為國(guó)際廠商和安全社區(qū)合作搭建一個(gè)長(zhǎng)期持續(xù)的溝通合作平臺(tái)，共同守護(hù)新興互聯(lián)網(wǎng)形態(tài)和用戶安全。

知道創(chuàng)宇創(chuàng)始人、CEO趙偉受邀出席大會(huì)，發(fā)表題為《一個(gè)佛系安全從業(yè)者的區(qū)塊鏈?zhǔn)澜缬^》的精彩演講。2018年可以說(shuō)是區(qū)塊鏈的大年，然而這個(gè)以安全著稱(chēng)的領(lǐng)域，自身的安全狀況或者說(shuō)真相究竟是怎樣的呢?以下為大會(huì)現(xiàn)場(chǎng)演講實(shí)錄：

趙偉：

我跟大家分享一下我們?cè)趨^(qū)塊鏈方面的安全研究。因?yàn)槲乙宦肥羌夹g(shù)人員走過(guò)來(lái)的，所以先提幾個(gè)問(wèn)題：大家手里有比特幣的舉手，就這么幾位嗎?有以太坊的舉手。更少。EOS呢?沒(méi)有。XMR呢?

其實(shí)最開(kāi)始比特幣的創(chuàng)建者是很多一代的黑客，比如我們幾個(gè)朋友很深度參與了。在2014年比特幣持有者的排行調(diào)查中，H. D. Moore本人持有40萬(wàn)枚，目前價(jià)值接近于20多億美金，其CTO也持有40萬(wàn)枚，還有另外一位創(chuàng)始人也同樣持有40萬(wàn)枚，他們?nèi)顺钟械臄?shù)量超過(guò)了中本聰?shù)?8萬(wàn)枚。安全行業(yè)最初的黑客，是最深的參與到了比特幣的創(chuàng)建中。

2010年左右就開(kāi)始玩比特幣的舉一下手。我個(gè)人很早開(kāi)始注意比特幣的信息，當(dāng)時(shí)剛超過(guò)1美元的價(jià)格。我們玩的時(shí)候還沒(méi)有超過(guò)1美元，我們認(rèn)為這在未來(lái)有非常大的趨勢(shì)，所以很深度參與到了區(qū)塊鏈的方面。外界知道我們知道創(chuàng)宇是做安全防御的，但我個(gè)人及公司研究團(tuán)隊(duì)很深度參與到了挖礦安全、礦機(jī)安全、錢(qián)包安全、交易所安全以及硬件錢(qián)包的安全研究，今天的演講都會(huì)涉及到。

先看一下現(xiàn)狀。大家形容區(qū)塊鏈的現(xiàn)狀就兩個(gè)字：涼涼?，F(xiàn)在已經(jīng)有很多人看笑話了，區(qū)塊鏈暴跌，有些幣都是清零狀態(tài)了。這個(gè)狀態(tài)本身已經(jīng)發(fā)生過(guò)多次，在比特幣的歷史上也多次暴跌，潮水散去，所以一般裸泳的人就發(fā)現(xiàn)他在裸泳，但堅(jiān)守的人又堅(jiān)持下來(lái)走了下去。我認(rèn)為數(shù)字貨幣跟未來(lái)的通證經(jīng)濟(jì)一定會(huì)存在。

第二點(diǎn)，比特幣和區(qū)塊鏈技術(shù)非常接近于現(xiàn)金本身，甚至本身就是貨幣，從來(lái)沒(méi)有一個(gè)技術(shù)這么接近于錢(qián)，他可能就是錢(qián)本身。為什么我們一直研究這個(gè)東西?安全平常是說(shuō)起來(lái)重要，做起來(lái)次要，沒(méi)有預(yù)算的時(shí)候砍掉，安全人員很悲哀。但我們第一次感覺(jué)我們?cè)趨^(qū)塊鏈行業(yè)這么受重視，所以我們從事安全這個(gè)職業(yè)是有希望的，區(qū)塊鏈行業(yè)給了我們極大的重視，讓我們堅(jiān)持下去。

區(qū)塊鏈數(shù)字貨幣的總市值在最高點(diǎn)是8200多億，現(xiàn)在跌到了1000多億。截止到9月11日，跌了14%，是整個(gè)大暴跌。我后面會(huì)講環(huán)境的產(chǎn)生以及我們的心態(tài)如何調(diào)整。比特幣價(jià)格從最高接近2萬(wàn)美金，跌到6000美金，前段時(shí)間跌破到6000美金以下，不足以覆蓋挖礦成本，這是擊穿底線的事情。

大家都在說(shuō)比特幣“涼涼”，因?yàn)橛薪y(tǒng)計(jì)，大概有1000多個(gè)數(shù)字貨幣歇菜清零了，有300多個(gè)交易所關(guān)閉了，整個(gè)就是一地雞毛的狀態(tài)。我們可能持有大量的幣，山寨幣、比特幣、以太坊，可能沒(méi)有POS，我們不太喜歡POS，它太集中了。這種暴跌的情況下如何保持好的心態(tài)?我認(rèn)為就是佛系。佛的智慧是大智慧，對(duì)普通人來(lái)說(shuō)，它是非常好的安慰劑，所以我就大概講一下。

區(qū)塊鏈應(yīng)用從佛學(xué)角度進(jìn)行理解，對(duì)應(yīng)“眼耳鼻舌身意”，還有第七種的“末那識(shí)”，它是連接我們做的行為和背后的“阿賴耶識(shí)”，我認(rèn)為這是區(qū)塊鏈的公鏈。區(qū)塊鏈的想法跟佛教的想法非常接近，“阿賴耶識(shí)”說(shuō)的是這個(gè)東西超過(guò)了更高的維度，不增不減的，由某種特定規(guī)則規(guī)定的。區(qū)塊鏈用的是數(shù)學(xué)，礦機(jī)來(lái)決定賬本誰(shuí)有財(cái)富的，跟這個(gè)很相似。

這個(gè)我就大概說(shuō)一下，六道輪回。這個(gè)輪回說(shuō)的是你每時(shí)每秒的心境輪回，分為人道-“韭菜”、畜生道-幣圈、修羅道-鏈圈、餓鬼道-黑客、地獄道-歸零、天道-無(wú)幣區(qū)塊鏈。

理解的角度就是佛教的四圣諦。

無(wú)常-區(qū)塊鏈的P2P網(wǎng)絡(luò)，所建立的根基是以隨機(jī)性為目標(biāo)的。最近在證實(shí)定理，如果隨機(jī)性被打破了，數(shù)字游戲就完蛋了。

無(wú)我-虛擬貨幣、區(qū)塊鏈P2P網(wǎng)絡(luò)。賬本是流水賬，沒(méi)有個(gè)人賬本的值。

皆苦-有漏洞。這個(gè)苦不是痛苦，是有問(wèn)題，不完美的，我的理解是有漏洞的。

涅磐-區(qū)塊鏈本源。

大家可以不用深度了解我說(shuō)的是什么，但有一天你可能會(huì)有想法。區(qū)塊鏈?zhǔn)羌用軘?shù)字貨幣，是全球化的分布式賬本，這個(gè)賬本代表個(gè)人財(cái)富，這個(gè)非常重要。它想做成世界計(jì)算機(jī)。阿賴耶識(shí)就是背后計(jì)算你人生成功、失敗的系統(tǒng)。

區(qū)塊鏈為什么被創(chuàng)造出來(lái)了?大家可能知道，2008年金融衍生品太多，一幫黑客和數(shù)學(xué)家認(rèn)為，我們應(yīng)該有“不能讓這些人割韭菜”的數(shù)字黃金出現(xiàn)，這種東西不是由人或機(jī)構(gòu)決定的，而是有算法、數(shù)學(xué)決定的。

比特幣橫空出世，8年之內(nèi)翻了380多萬(wàn)倍。如果你的股票漲一倍你能開(kāi)心死，股票跌一倍你能痛苦死。比特幣漲了380萬(wàn)倍，這簡(jiǎn)直是奇跡，在這個(gè)奇跡之前大家都說(shuō)，比特幣不完美，但在我看來(lái)它非常適當(dāng)?shù)耐瓿闪怂膲?mèng)想、理念及原則。因?yàn)樗皇?.0版本，在我看來(lái)它可能是5.0版本。

在這之前，1982年最早提出了拜占庭將軍問(wèn)題，怎樣讓多數(shù)人決定一個(gè)事，就是把P2P節(jié)點(diǎn)化，讓算法來(lái)決定這個(gè)事。1991年用數(shù)字的時(shí)間戳決定數(shù)字文件安全性，1997年出現(xiàn)了哈?，F(xiàn)金技術(shù)，1998年出現(xiàn)了數(shù)字黃金。2008年綜合了前四代，寫(xiě)出了比特幣的創(chuàng)意。一直到現(xiàn)在，11月29日價(jià)格首度超越黃金。所有老的幣圈的玩家都非常感謝我們。我們?cè)诤Ｍ庋葜v的時(shí)候，有一位大拿立馬就跪下了。為什么?

我們2013年組織了中國(guó)比特幣聯(lián)盟，當(dāng)時(shí)是百度投資了我們一個(gè)老的SaaS平臺(tái)，叫做百度加速樂(lè)，當(dāng)時(shí)我們是第一個(gè)接受比特幣進(jìn)行支付的。當(dāng)時(shí)比特幣基金會(huì)主席說(shuō)，這是比特幣歷史上最大的一步，因?yàn)楫?dāng)時(shí)中國(guó)第一的互聯(lián)網(wǎng)公司開(kāi)始接受比特幣了，納斯達(dá)克當(dāng)天漲了40美金，第二天漲了70美金。因?yàn)檫@個(gè)行為，當(dāng)時(shí)幫助了很多的比特幣交易基金、交易所和錢(qián)包，當(dāng)時(shí)漲的超過(guò)了每克黃金的價(jià)值。

比特幣到底是符合什么愿望，達(dá)到了什么目標(biāo)?這是時(shí)間軸和真正的目標(biāo)，就是我們眾生如何使用這個(gè)東西?我們發(fā)現(xiàn)比特幣的支付和費(fèi)用問(wèn)題，網(wǎng)絡(luò)出塊太慢，不能試用電子現(xiàn)金的高頻交易?？赡苡腥擞盟畠r(jià)的支付網(wǎng)絡(luò)，最后也沒(méi)了。支付的成本越來(lái)越高，暗網(wǎng)貨幣最后發(fā)現(xiàn)，在暗網(wǎng)中使用的時(shí)候成本很高，并且可以被追蹤，因?yàn)樗皇呛?jiǎn)單的匿名，不是加密的，抗審查的數(shù)字黃金，它模擬的是數(shù)字黃金，黃金的本質(zhì)是限量，可永遠(yuǎn)保留，并且不可分割，你不能帶一公斤的黃金去買(mǎi)東西，非常重。

比特幣也非常重，滿足了數(shù)字黃金的概念。在加密貨幣行業(yè)的儲(chǔ)備貨幣上，它做到了這兩點(diǎn)，并且是非相關(guān)的金融資產(chǎn)，跟股票不掛鉤，很多家族基金把錢(qián)投入到了比特幣，它的價(jià)格擺在那。數(shù)字黃金的價(jià)值導(dǎo)致很多人把錢(qián)儲(chǔ)存在那，作為抗割韭菜的方法。儲(chǔ)備貨幣是一種穩(wěn)定幣，這是比特幣真正的未來(lái)目標(biāo)。

因?yàn)槲液竺嫦敫蠹曳窒淼奶嗔?，所以?jiǎn)單過(guò)一下區(qū)塊鏈的基礎(chǔ)。我們認(rèn)為區(qū)塊鏈的基礎(chǔ)，是因?yàn)槲覀儚淖畹讓拥陌踩恢弊龅搅俗钌蠈?。這樣來(lái)講安全，一個(gè)是技術(shù)層次，一個(gè)是生態(tài)層次，我先講技術(shù)層次，然后再講生態(tài)層次怎么做安全。應(yīng)用層、激勵(lì)層、共識(shí)層，這個(gè)很重要，然后是網(wǎng)絡(luò)層、數(shù)據(jù)層。我以前主要是研究P2P網(wǎng)絡(luò)這些東西，當(dāng)時(shí)我看到比特幣，我覺(jué)得非常天才，把網(wǎng)絡(luò)用在了點(diǎn)對(duì)點(diǎn)支付上。

應(yīng)用層大家都知道，DAPP、分布式應(yīng)用，我不詳細(xì)說(shuō)了。這個(gè)以太貓?zhí)貏e搞笑，我朋友花了80萬(wàn)買(mǎi)了一只貓，現(xiàn)在跌成了0。

激勵(lì)層，挖礦機(jī)制如何獎(jiǎng)勵(lì)，每個(gè)挖礦的人其實(shí)是賬本的確立者，如果沒(méi)人干這個(gè)活，就沒(méi)人維護(hù)賬本的交易。

共識(shí)層，POW、POS、POA、DPOS等等，非常多。這么多的算法，其實(shí)是不可突破的三角。第一個(gè)角，安全性。POA、POW都在這。第二個(gè)角，去中心化，高度自制，不希望有中心化的金融機(jī)構(gòu)存在。第三個(gè)角，可擴(kuò)展性。高吞吐、高容量、低延遲。POS在中間，我們不喜歡POS，它很容易導(dǎo)致整個(gè)生態(tài)的混亂。

理解了之后有一個(gè)重大好處，你可以預(yù)測(cè)哪支幣將會(huì)爆炸式增長(zhǎng)。這是我們自己畫(huà)的曲線，為什么當(dāng)時(shí)比特幣高速增長(zhǎng)，然后是POS高速增長(zhǎng)，然后是DPOS高速增長(zhǎng)，最后又回到了比特幣的增長(zhǎng)。根據(jù)我提到的，用法是去中心化的安全性，他們發(fā)現(xiàn)不行，流動(dòng)性不好，所以加強(qiáng)的TPS，變成了追求資金的流動(dòng)型經(jīng)濟(jì)效益。出現(xiàn)了DPOS、POS，又回到了比特幣，一直沒(méi)有人給比特幣代碼，中本聰是匿名的，導(dǎo)致一堆山寨幣搶了比特幣的份額。我經(jīng)常站出來(lái)說(shuō)，比特幣未來(lái)保值并且會(huì)增長(zhǎng)。這條線就是普通民眾如何追求共識(shí)算法代表的數(shù)字貨幣，導(dǎo)致了背后的價(jià)值增長(zhǎng)。

目標(biāo)是網(wǎng)絡(luò)層，對(duì)等網(wǎng)絡(luò)。節(jié)點(diǎn)就是打包，我不詳細(xì)講了。

其實(shí)它的去中心化我要深度說(shuō)一下，對(duì)黑客來(lái)說(shuō)，真正的去中心化不存在，其實(shí)它是分時(shí)的去中心化。選擇一個(gè)中心來(lái)進(jìn)行的。

這個(gè)是數(shù)據(jù)層，有區(qū)塊鏈的結(jié)構(gòu)，我不詳細(xì)講了，有Merkle證明及結(jié)構(gòu)。

未來(lái)的演進(jìn)，不會(huì)有鏈回來(lái)的圈，所以它是有方向的。但它不會(huì)變成回執(zhí)的，由多條鏈共同確認(rèn)賬本。你改一個(gè)轉(zhuǎn)賬，要改成多條鏈，所以很難改。但是它也有一個(gè)問(wèn)題，很難保證安全性。

我再說(shuō)一下不可能突破的三角。圖靈獎(jiǎng)的得主上個(gè)月提出他想突破不可能的三角。他大概用了一些算法，有三段共識(shí)機(jī)制，用了兩段共識(shí)階段，第一段是找隨機(jī)的投票人，這種方法有點(diǎn)像咱們以前玩的表，用多層哈希加速。

講到安全風(fēng)險(xiǎn)，區(qū)塊鏈生態(tài)暴跌是因?yàn)楹诳偷陌踩珕?wèn)題。數(shù)字貨幣為什么這么有價(jià)值?因?yàn)樗枪沧R(shí)，大家都認(rèn)為它有價(jià)值，所以它就有價(jià)值。如果安全問(wèn)題導(dǎo)致貨幣隨便被偷取，大家的共識(shí)就會(huì)崩潰，所以它的價(jià)值會(huì)暴跌。大家可以看到，數(shù)字貨幣的交易所最大，13.4億美元。智能合約12.4億美元，超過(guò)了28億美元甚至更高，很多的交易所和錢(qián)包丟幣以后不會(huì)對(duì)外公布。

我們?yōu)槭裁匆霭踩?應(yīng)無(wú)所住而生其心，你知道它是建立在沙上的塔，但你還是有想做的心，這種想法就是我們安全人員真正想做的。

從“幣”開(kāi)始進(jìn)行發(fā)幣，然后是幣的發(fā)行，接著是幣的流通，最后達(dá)到個(gè)人的持有。我們把它大概總結(jié)了一些，智能合約、基礎(chǔ)協(xié)議、共識(shí)機(jī)制、外部引用的大類(lèi)，但如果分得很細(xì)，從區(qū)塊鏈的自身機(jī)制來(lái)說(shuō)，有很多的安全問(wèn)題，智能合約漏洞、51%算力攻擊等等，不詳細(xì)說(shuō)了。

我要詳細(xì)說(shuō)一下區(qū)塊鏈生態(tài)。區(qū)塊鏈不光是技術(shù)和程序?qū)е碌?，而是整個(gè)生態(tài)。鏈?zhǔn)欠植际降?，但我的生態(tài)是集中的，是中心化的。比如交易所，它是集中處理交易請(qǐng)求、買(mǎi)賣(mài)請(qǐng)求的，會(huì)把持幣人全部集中在交易所，如果它被攻破了，所有的幣都被偷了，生態(tài)中心化導(dǎo)致了安全問(wèn)題。

分到整個(gè)的生態(tài)鏈，幣的發(fā)行、流通和持有，碰到了很多很多的安全問(wèn)題。怎么做安全?就是一步一步這樣做過(guò)來(lái)的。

2003年當(dāng)時(shí)有一些天才的想法，利用區(qū)塊鏈機(jī)制，利用以太坊虛擬機(jī)機(jī)制，利用了腳本和虛擬機(jī)之間的機(jī)制，利用了生態(tài)中間的gap產(chǎn)生攻擊，這種邏輯性攻擊和本身系統(tǒng)的特性進(jìn)行攻擊的方法是非常牛的。

佛教用人的弱點(diǎn)，或者說(shuō)我們的七情六欲，用這種東西攻擊我們自己，摧毀我們的輪回，這是佛教的方法，其實(shí)黑客也在區(qū)塊鏈里應(yīng)用到了。

智能合約的遞歸調(diào)用問(wèn)題非常常見(jiàn)，有腳本層和虛擬機(jī)層，以前我也做虛擬機(jī)層，虛擬機(jī)非常難處理很多的遞歸調(diào)用和權(quán)限。所以我認(rèn)為，我們?cè)趨^(qū)塊鏈里一直提倡，應(yīng)該把虛擬機(jī)設(shè)計(jì)為所有資產(chǎn)的操作、處理，比如轉(zhuǎn)賬、收賬，資產(chǎn)處理全部應(yīng)該原則化。比如我正在收銀，我被叫過(guò)去擦桌子、洗碗，然后回來(lái)了別人告訴我，我剛剛給了你100塊錢(qián)，你趕緊給我找錢(qián)，我又給他找了99塊錢(qián)。中間會(huì)產(chǎn)生很多的遞歸問(wèn)題，很多問(wèn)題都是因?yàn)闆](méi)有對(duì)資產(chǎn)處理進(jìn)行原則化處理。

這個(gè)事件導(dǎo)致超過(guò)5000萬(wàn)美元的損失，這5000萬(wàn)美金后來(lái)可能值3億美金。大家知道，社區(qū)有共識(shí)，導(dǎo)致共識(shí)有一段時(shí)間是崩潰的。其實(shí)這個(gè)非常簡(jiǎn)單，調(diào)用withdraw再調(diào)用withdraw進(jìn)行遞歸，非常簡(jiǎn)單的漏洞。

這個(gè)漏洞非常有意思，假充值。我給交易所一充值，交易所馬上確認(rèn)我充了100萬(wàn)美金。你看這個(gè)很復(fù)雜，轉(zhuǎn)賬有多層，第一層是在網(wǎng)絡(luò)里，大家收到了包，驗(yàn)證哈希是否正確，因?yàn)樵诰W(wǎng)絡(luò)層沒(méi)有損壞。收到了包，他會(huì)認(rèn)為這個(gè)包已經(jīng)收到了。在小額支付的時(shí)候，比如信用卡支付，我是記名方式，有些幣為了快速支付，包收到了他就認(rèn)為你是支付成功，因?yàn)槟悴粫?huì)在實(shí)名情況下欺詐一家咖啡店。在快速確認(rèn)機(jī)制的時(shí)候，不能被用在確認(rèn)大額的轉(zhuǎn)賬。

有些交易所的程序員不懂，直接把這個(gè)搬上了交易所的支付。本來(lái)是幾十塊錢(qián)咖啡的問(wèn)題，我充了一百萬(wàn)美金過(guò)去，只要網(wǎng)絡(luò)上交易所的節(jié)點(diǎn)收到了這個(gè)包，并且驗(yàn)證了包的哈希是正確的，完整性也ok，他就認(rèn)為收到了，所以導(dǎo)致了當(dāng)時(shí)的巨大損失。

還有更傻的安全問(wèn)題。為了運(yùn)行區(qū)塊鏈的運(yùn)轉(zhuǎn)，有一個(gè)交易費(fèi)用，我們把它記為燃料費(fèi)。礦工是按照你發(fā)的gas費(fèi)用排名，這個(gè)是全網(wǎng)P2P收到的，我就在我的節(jié)點(diǎn)上收，誰(shuí)突然發(fā)了這個(gè)包，gas的費(fèi)用很低，我就可以發(fā)更高價(jià)格的，然后更高價(jià)格和更低價(jià)格的費(fèi)用在同一個(gè)池子里，然后礦工會(huì)選取誰(shuí)的利益最大，然后打包做成區(qū)塊鏈。所以就導(dǎo)致了一個(gè)情況，比如我們?cè)谧霾聰?shù)類(lèi)的游戲，大家知道網(wǎng)上有很多資金盤(pán)的賭博游戲，誰(shuí)先猜到數(shù)是正確的，因?yàn)樵趶V播，大家拿到這個(gè)數(shù)以后就可以驗(yàn)證，出一個(gè)更高的gas攔截，導(dǎo)致第一個(gè)發(fā)現(xiàn)檔案的人被中途攔截，因?yàn)樗膅as費(fèi)用更高。

我們講一下網(wǎng)絡(luò)協(xié)議和技術(shù)安全。網(wǎng)絡(luò)協(xié)議的挖礦算法、加密算法、RPC服務(wù)的漏洞太多了，還有時(shí)間戳的問(wèn)題。

我們把這個(gè)問(wèn)題叫以“太坊黑色情人節(jié)”，當(dāng)時(shí)大概被盜了47000枚以太坊，大概是十幾億。它有非常傻的兩個(gè)問(wèn)題。

第一，RPC接口可被遠(yuǎn)程調(diào)用，在全節(jié)點(diǎn)情況下可做成錢(qián)包也可以做成挖礦者，為了加上遠(yuǎn)程調(diào)用的功能，但是在這種情況下可以進(jìn)行遠(yuǎn)程訪問(wèn)，這是第一個(gè)錯(cuò)誤，沒(méi)有權(quán)限設(shè)置。

第二，為了方便，在固定的時(shí)間段不會(huì)讓我再次輸入密碼，默認(rèn)我還是擁有權(quán)限的。

這導(dǎo)致黑客掃了全球幾萬(wàn)個(gè)錢(qián)包，過(guò)幾秒鐘或幾分鐘給這個(gè)錢(qián)包發(fā)一筆賬，全球幾萬(wàn)個(gè)錢(qián)包轉(zhuǎn)來(lái)轉(zhuǎn)去的交易，任何一個(gè)人給了錢(qián)包權(quán)限，攻擊者馬上擁有權(quán)限，把錢(qián)就轉(zhuǎn)走了。

虛擬機(jī)的安全，剛才我說(shuō)了很多，資產(chǎn)跟虛擬機(jī)要原則化進(jìn)行分層。更可怕的是他們直接把GS的虛擬機(jī)拿過(guò)來(lái)用，這里有一個(gè)整數(shù)溢出，出現(xiàn)以后呈負(fù)數(shù)，所以不會(huì)報(bào)異常，導(dǎo)致引用虛擬機(jī)代碼和使用虛擬機(jī)的時(shí)候有巨大的安全問(wèn)題。

共識(shí)算法，這個(gè)我不講細(xì)節(jié)。POW的耗能巨大，51%的算力攻擊。DPOS有腐敗、黑客攻擊、硬分叉等問(wèn)題都非常多。

這塊是非常經(jīng)典的雙花攻擊，被人們真正使用起來(lái)很少，有一個(gè)學(xué)校發(fā)現(xiàn)這是硬挖礦。充幣提款后，提交先挖礦，區(qū)塊鏈中誰(shuí)的算力大，誰(shuí)的鏈長(zhǎng)用誰(shuí)，所以導(dǎo)致賬本沒(méi)有記錄真正的花銷(xiāo)，所以叫雙花。

以前我們認(rèn)為礦機(jī)就是Linux，怎么會(huì)有漏洞?但其實(shí)非常多的礦機(jī)就用了默認(rèn)的應(yīng)用，連密碼都有。很多的物聯(lián)網(wǎng)設(shè)備其實(shí)都有這種密碼，所以他用了很多的物聯(lián)網(wǎng)設(shè)備做了肉機(jī)跳板，掃了全球的礦機(jī)地址，把礦機(jī)的挖礦地址改成了自己的地址。當(dāng)時(shí)做了非常好的東西，5分鐘改一次，只讓自己每天挖5分鐘。有1500多個(gè)礦池的節(jié)點(diǎn)被它改了，也是獲利巨大。

我大概講一下，現(xiàn)在交易所的DDoS攻擊非常嚴(yán)重，是混合型的?，F(xiàn)在的黑客都已經(jīng)是經(jīng)濟(jì)學(xué)家了，比如幣安事件。他在外部交易所大量囤入山寨幣，漲了110多倍的價(jià)格，用98個(gè)比特幣買(mǎi)1個(gè)山寨幣，價(jià)格上來(lái)之后他又把存儲(chǔ)的一點(diǎn)幾億的山寨幣賣(mài)掉了。

這個(gè)是資金盤(pán)的玩法，被黑客利用成阻塞交易。比如5分鐘內(nèi)，黑客是最后一個(gè)人，他把以太坊整個(gè)堵塞，所以最后的錢(qián)只能算給黑客。

硬件錢(qián)包也沒(méi)有想象的那么安全，知道創(chuàng)宇連續(xù)破解了好多次，手機(jī)版被我們發(fā)現(xiàn)的是，在結(jié)構(gòu)硬件框架里有漏洞，被我們利用了，可以直接提取密鑰。我們又看了有安全芯片的Ledger，同樣發(fā)現(xiàn)了問(wèn)題，把思路放在高通、華為、蘋(píng)果上，同樣也達(dá)成了。

我們提出了攻防循環(huán)，把區(qū)塊鏈應(yīng)用直接用沙盒預(yù)警起來(lái)，通過(guò)高概率影響和低概率影響做了一個(gè)圖。我們還做了一些大數(shù)據(jù)的方法進(jìn)行了追蹤。

最后是五個(gè)佛系認(rèn)知。

首先，現(xiàn)實(shí)社會(huì)和數(shù)字孿生。區(qū)塊鏈系統(tǒng)所呈現(xiàn)的運(yùn)行機(jī)制和模式就像是現(xiàn)實(shí)社會(huì)在數(shù)字世界數(shù)學(xué)化、算法化的孿生體。

第二，傳統(tǒng)經(jīng)濟(jì)和通證經(jīng)濟(jì)。我們發(fā)現(xiàn)區(qū)塊鏈已高度達(dá)成數(shù)字化，比如交易、數(shù)字黃金、數(shù)字金融，通證經(jīng)濟(jì)是權(quán)益，一個(gè)公司的小股東很容易被大股東欺負(fù)，但通證經(jīng)濟(jì)的股權(quán)都Token化了，所以可以在市場(chǎng)流動(dòng)。傳統(tǒng)經(jīng)濟(jì)的很多東西自己都沒(méi)數(shù)字化，很難搬上通證經(jīng)濟(jì)。

第三，人治社會(huì)和算法社會(huì)。一致性機(jī)制都是為了沒(méi)有中間商賺差價(jià)，是無(wú)人化的中介。現(xiàn)在政府在做這種算法社會(huì)，我覺(jué)得還挺創(chuàng)意的。

第四，實(shí)體化和數(shù)字化?，F(xiàn)在區(qū)塊鏈行業(yè)很佛系的來(lái)說(shuō)，還不能達(dá)到數(shù)字化階段，更別說(shuō)進(jìn)入智能階段，然后進(jìn)入?yún)^(qū)塊鏈階段、Token化階段，還沒(méi)有完成。

第五，剛性安全和柔性安全。經(jīng)濟(jì)虛擬到鏈上，涉及數(shù)學(xué)、算法、經(jīng)濟(jì)、治理機(jī)制各個(gè)方面，安全非常難保證。從治理機(jī)制、人的問(wèn)題、算法問(wèn)題上來(lái)說(shuō)，生態(tài)問(wèn)題很難解決，以前的安全失效，所以我們?cè)谔剿魅嵝园踩绾尾迦雲(yún)^(qū)塊鏈的安全生態(tài)。

最后，知己知彼要攻守有道，我們要詳細(xì)了解黑產(chǎn)是怎么獲利的，我們才能更好的防御，謝謝大家!

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！