酷应用

安全在区块链世界的重要性

百家作者：余弦 2018-10-29 07:50:20

这是个大话题，我的风格是简要描述，如果一个重要的事都无法通过干净利落的方式来表述，那么这个事也不一定那么重要。

去年我们决定先发进入区块链安全细分领域，有个重要原因是零距离体会到了几个现象：

公链的世界自带金融属性，里面到处都是钱（币）；
这个世界还没国家背书，不像银行，出事了，国家力量会搞定；
币被盗了，溯源很难，只要攻击者稍微认真点，你找不到他。

往深里说，这个世界，私钥就是身份，谁拿到私钥谁都可以获取里面的财富，这个世界不管私钥最原始持有者，这不是这个世界需要思考的事。当然未来肯定会有所不同，这点我们在 EOS 生态里已经看到，通过里面特殊的共识机制来冻结甚至归还丢失的财富，感兴趣的可以自行去了解 EOS 生态里的 ECAF 与 21 个超级节点。其实在 EOS 之前，就有交易所的 KYC 及 AML(反洗钱) 这些机制来进行这种风险对抗，以及我们之后搞起的 BTI(区块链威胁情报)，AML 是 BTI 的一个重要模块。这些都试图在这个世界里寻找些安全感。

除了金融属性，区块链，被大量提及的另一个属性是“去中心化”，这似乎导致，试图要在这里面做某种决策都是件非常艰难的事。但这个世界是微妙且多变的，艰难的也不一定会艰难，英明的决策还是会得到社区的普遍支持，只要它看起来真的很对，大不了直接来个硬分叉，社区该分裂的分裂，反正我不担心分裂出去的能真的干成我最熟悉的世界。就是这么的屌。比如现在的门罗币。

我们在这个世界感受到了很多美好，也感受到了人性许多黑暗的一面。这里面除了大量的技术革新、经济革新，还有大量相比中心化世界初级得多的政治斗争。

这个世界有提倡“代码即法律”，也有自己的“宪法”，自己的治理机制。在攻击者的眼里甚至会认为，我凭本事发现的代码漏洞（比如某智能合约漏洞）拿到的币，为什么说我是违法的？如果代码即法律，我的行为反而应该得到认可，是我促进了你们加强代码的质量与安全。

从安全角度来看，这个世界就是这样的一种世界，一个严重缺乏安全感的世界。这是攻击者的一个大机会，也是我们做安全的一个大机会。我经常说：安全在这个世界已经是必选项，无论你通过什么方式做安全，你都无法忽略它的存在。但安全在许多其他领域是很容易被忽略的，或者说里面的所谓安全市场很难形式市场规模，甚至很多安全是刻意被创造出来的，我深刻觉得这种安全生意无法持久，持久不了就会导致安全研究显得成就感过低。一个缺乏成就感的事，很难诞生出伟大的创意。

去年我开始认真提区块链安全，那时我们已经做了几个数字货币钱包与交易所的安全，并且我们很早就持有了一些币种，这促使我们比任何人都关注这个领域的安全。去年底，几个好友分别有建议我们出专门针对区块链的安全解决方案，一定大火，现在看来真是要感谢这些好友。我们很快拉上一些志同道合的朋友发起了慢雾，找了场地，于今年 3.1 号宣布正式开张。

开张到现在，我们经历了许多重大安全事件，从以太坊黑色情人节到智能合约各种漏洞到持续针对几个大币种的假充值攻击再到 EOS 主网启动及后续的一系列安全事件...这些过程中，我们成功安全服务了交易所、钱包、公链、智能合约等许多头部与新秀资源，也得到了许多帮忙，从创建到现在一直在持续自负盈亏地发展着（我之前有说过这点很重要）。

虽然我们有点先发优势，但我们一直很克制，原因很简单，这个世界太火热，泡沫是任何人都可以看到的。现在已经在降温，又一个凛冬已至，这让我有些许时间可以用来多琢磨这个世界的未来，包括写点现在这些文字。

我说我们在做区块链安全，其实我们在做都是公链生态的安全，慢雾的机会仅在这，如果这个生态没了，慢雾也会沉静甚至消失。是的，所谓的联盟链、私链不是我们的机会，我们的机会在自由的网络空间里:-)

在我们眼里自由永远不等于无政府主义，这个话题很深远，有机会再谈。

这个世界的安全可以简单分为两大类型：传统体系的安全攻防与区块链自身体系的安全攻防。对于传统安全人员来说，需要突破的门槛是区块链自身体系的安全攻防，但传统体系的安全攻防也不能忽略，很多时候往往也很重要。这两大类型是一体，否则做不好这个世界的安全。从这可以看出，要做好这个世界的安全，当前确实会很有门槛，但我们觉得未来的世界会如现在的 Web 世界如此的方便，如此的无感知，如此的自然而然，那个时候，大多数安全人员只需仅关注偏向业务层面的安全就好，其他的都有分工明确的团队来聚焦解决。

同样，这个世界的黑客（攻击者）也分为两大类型：传统体系的黑客与区块链自身体系的黑客。可以大概这样理解：现在这个世界发生的攻击事件，只要特别涉及到区块链技术的，比如：智能合约漏洞、假充值、双花、51% 等等，大多都是区块链本身的相关技术人员动了些邪念，这些人是区块链自身体系的黑客。而这些之外的，都可以粗暴地认为是传统体系的黑客的行为，比如：钓鱼、业务漏洞、木马植入、社会工程学等等。

你看，从做好安全上来说，传统体系也好、区块链自身体系也好，都很重要。千里之堤溃于蚁穴，在区块链世界毫不夸张。

接着，我们从不觉得区块链技术是独立的存在，所以做安全需要覆盖的也必须是方方面面，为了提高效率，我们也会用到云计算、大数据、人工智能等技术资源。

我们之所以这样去做，原因开头已经提了部分，这里再列一下：