2018年，区块链引领着中国进行了一场关于技术和金融的混乱试验，近20年以互联网技术为核心的独霸局面开始倾斜，区块链成为继大数据风口之后，和人工智能、物联网并列的未来最有价值的三大战略技术。充斥着暴富幻象和投机心态的技术试验，在过度夸大作用和故意炒作下，给人们关于未来的更多思考。

同一时间，国家级的区块链产业相关政策陆续下发。包括教育部、工业和信息化部、国家知识产权局、国家邮政局、商务部办公厅、国务院办公厅、中国保险监督管理委员会、财政部、国家发展和改革委员会、国土资源部、交通运输部等部门，相关政策文件中，都将区块链技术在各部门的业务中应用。

1区块链网络安全现状

此外，各地政府也开始从政策上为区块链初创企业提供适合生长的土壤，一些地区甚至给出政策性的优惠条件，吸引区块链企业入驻。北京市、上海市、天津省、重庆市、广东省、江苏省、浙江省、河北省、安徽省、山东省、福建省、甘肃省等相继出台政策，或建立区块链技术试点区域，或开展基于区块链、人工智能等新技术的试点应用。

去中心化思想，被赋予了无限的可能，成为所有跟人性有关事件的解药。加密匿名性，被看作隐私泛滥的救星，不可篡改和伪造则成为存证溯源的关键。每一个直击痛点的特点，背后都是区块链技术对应的与以往全然不同的技术公开化，操作匿名化，行为透明化。

经过一整年的高速发展，行业在乱象丛生中逐渐沉淀，区块链的真正价值重要性被挖掘。国家层面上，很多国家将区块链技术加入到国家鼓励发展的战略技术名单，越来越多在互联网赛道上屈居二线的企业也将区块链技术看作是新一轮技术革命制胜的关键。国际上，更多国家加大对区块链研究经费的投入，全球统一的区块链标准也正在构建。

在发展的过程中，区块链技术落地的主要问题还是效率和匿名的矛盾性，但二者的取舍取决于产品的具体场景，不能一概而论。其次，区块链技术的安全保障目前仍存在较大问题。一方面是区块链产品本身的代码运行时间短，前期试错需要一定时间。另一方面，从业者能力参差不齐造成的安全隐患。随着更多传统安全机构进入，这种不安全因素会大量减少。

经过近3年的发展，区块链技术已经成为业内公认的，继大数据、云计算、物联网、人工智能之后，又一颠覆性的新兴技术，也被一些国家列为国家战略级的前沿技术。

在技术不断积累深入时，国内部分城市已开始鼓励区块链产业入驻，创建出初步的区块链创业扶持政策。与此同时，国外相对成熟的资本市场也正在完善区块链衍生品加密数字货币的相关法规。

技术层面上，区块链技术目前生活化的场景落地以蚂蚁金服、腾讯、百度、京东等巨头企业为主力，区块链创业公司在底层技术上取得较大成果，成为传统企业连接区块链技术的桥梁。

但不可忽视的是，区块链领域的安全问题屡见不鲜，合约机制中的天然弊端和发展过程中产生的漏洞成为不法分子的攻击点。

具体表现上，加密数字货币交易的日交易量和总市值呈现相同的趋势。2018年1月到12月，总市值从最高点2973亿美元降至1111亿美元，年蒸发量达73%。日交易量也与趋势吻合，从年初到年末经历了大幅缩水。

2018年加密数字货币交易市场呈现出两个极端表现，加密资产交易在2017年12月至2018年4月的牛市呈现异常火热的状态，资金和投资人大量涌入，交易所作为最大获利者也屡次受到黑客攻击。5月-12月，整个区块链行业都在下行的阴影中，币价表现不佳，部分心思不纯的项目方趁机抛售代币，引发市场恐慌，币价走向更低点。

与此相反的是，主打底层技术，在上半年的牛市中被湮没的DAPP团队，在熊市中反而创造出屡屡刷屏的爆款作品。不论是FOMO3D，还是310个比特币悬赏的藏宝图，简单的游戏设置和幼稚的内容，都成功打破区块链行业在外界的乏善可陈和晦涩难懂的原始标签。

在牛市集中的上半年，加密数字货币交易参与者急剧增加，安全事件也明显增加。下半年熊市中，发展迅猛的DAPP成为安全事件频出的对象，区块链安全问题亟待解决。黑客盗币以2014年3月Mt.Gox被盗4.6亿美元比特币、银行账号被盗2740万美元为典型。至2018年，黑客攻击变得更加复杂和谨慎。3月初，黑客在币安实施了精心策划的盗币计划，盗取用户账号买入小币种，在拉升该币种前下好期货单，开创黑客盗币新模式。

投资机构方面，机构和个人面临的最大问题就是专业素养缺失和项目尽调不合格，二者是导致投资者遭受巨大损失的核心原因。火热的市场和项目方的虚假包装，容易使专业判断出错。加上缺乏规则化的行业行为准则和监管措施，也使得机构和投资人的加密资产安全问题更加突出。

对开发团队来说，刨除道德风险，团队面临基础设施、网络攻击威胁、数据丢失和泄漏等三重安全风险，不论是区块链存储设备的漏洞和所处环境等客观因素造成的安全风险，还是团队内部矛盾造成的主观安全风险，都成为项目开发团队的重点安全问题。

安全事件使得区块链的2018年动荡不安，其背后，是区块链技术的不断革新和区块链项目对生活的变革。在资本和技术人才的大量涌入下，国内区块链技术已经进入了3.0时代，一定程度上掌握了区块链技术的信息技术主导权。在跨境支付、慈善溯源、电子发票等方面已有场景落地。未来，更多更加规范的项目将会落地在人们的具体生活场景中。

同时，作为区块链的最佳应用场景，加密数字货币在2018年度过转折年，先后经历狂热迷恋、萎靡不振、以及批量退潮三个阶段。目前加密数字货币交易市场进入低潮期，所有币价都在不断刷新底线，大量不合格投资人和趁乱捞油水的机构被清洗出去。对金融市场来说，此次清洗对金融市场起到普及风险教育的作用，也让数字货币交易有了模板，为今后行业监管规则的创建打下基础。

总体来看，2018年区块链安全问题突出。数据显示，2018年区块链安全事故造成的经济损失高达22.38亿美元，较2017年大增253%，2018年区块链安全事故数量也达到了138起，远超2017年的15起。进入2019年之后，区块链安全事故数量有增无减，2019年1月份前两周就发生了6起安全事故，等于2015年全年的安全事故数量。与此同时，因为各区块链开发团队对安全的重视，安全事故造成的经济损失也得到了大幅度下降。

加密数字货币与个人财产直接相关，因此很容易成为黑客攻击的突破口。而除去高额的数字资产损失，风险事件给普通民众心中的区块链打上混乱、无序、不安全的标签，也降低使用者对加密数字资产的信心，严重影响了区块链市场的用户获取。

当前区块链生态处于发展初期，百废待兴之时，安全攻防对抗非常激烈。而且随着区块链生态的丰富和完善，未来这种激烈的对抗将会继续增强。

一行代码葬送一个项目的事情频频发生，数据显示，2018年上半年，有价值约11亿美元的数字加密货币被盗，在全球范围内因区块链安全事件损失金额还在不断攀升。

区块链生态自带金融属性，让攻击者更容易套现，更多的黑客正加速。另外，区块链生态被盗币后，由于生态的匿名属性，也让溯源变得困难。这两个原因直接导致了区块链安全将会成为一场没有硝烟的战争。

 区块链安全和传统互联网安全的区别是区块链有一些新的东西，智能合约、语言等，这些也可能存在漏洞。

具体来说，区块链网络安全问题根据受损主体的不同可以分为以下几类：

 （1）交易所安全

在区块链安全问题中，交易所安全问题占了大头。各国监管的滞后性，导致数字资产成为黑客眼中的肥肉，各大交易所安全事故不断。

数字货币交易所有中心化交易所和去中心化交易所，两者的安全内容也各有侧重点。当前中心化交易所在区块链生态中占了很大的比重，中心化交易所的安全问题，其实囊括了互联网安全的方方面面。

去中心化交易所构建在智能合约之上，所以去中心化交易所面临的主要是智能合约的安全问题，包括权限管理、数据校验、余额检查、撮合交易等业务逻辑。

无论是以太坊、EOS或者其他，它们都是通过插件或者钱包来进行操作，都包含Web的程序，以及钱包的DApp。

在相关安全公司统计整理的交易所安全审计项中，将审计内容分为十二大类，开源情报采集、App安全审计、服务端安全配置审计、节点安全审计、身份鉴别管理审计、认证与授权审计、会话管理审计、输入安全审计、业务逻辑审计、密码学安全审计、热钱包架构安全审计、私钥管理系统安全设计。

 （2）智能合约安全

区块链频繁爆出智能合约的安全问题，由智能合约安全事件导致的经济损失甚至超越交易所，智能合约成为区块链项目的重中之重。

早期BEC等token类的智能合约，因为出现了溢出或者逻辑漏洞，攻击者无中生有地创建了非常大量的token，最后将token拿去交易所交易来获得收入，这会对整个token市场和交易所的交易造成很大的影响。比如，the DAO事件损失很大。

除了BEC通过智能合约溢出的问题，另外还有条件竞争，比如合约初始化，攻击者可以影响token的相关信息。

智能合约的开发人员需要有足够的安全意识，尽可能避免一些常见的安全问题，例如智能合约溢出、权限控制或者构造函数的大小写等。

（3）钱包安全

在区块链的圈子里，钱包有着举足轻重的地位，无论是用户还是企业，无论是to C还是to B都有需求的场景，钱包也分为去中心化的钱包和中心化的钱包。在安全审计方面，不同类别的钱包，安全各有侧重。

但它们的共同点是，加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上，私钥是唯一的数字资产凭证。私钥一旦创建就不能修改，没法重置，只要私钥不丢失，资产就不会丢失。

因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。而数字钱包却又不尽安全。目前数字钱包主要存在三方面的安全隐患：第一，设计缺陷。第二，数字钱包中包含恶意代码。第三，电脑、手机丢失或损坏导致的丢失资产。

 （4）游戏安全

随着区块链游戏的井喷，慢雾也披露了多个区块链游戏的安全问题，比如EOS Fomo3D、God Game等。

在游戏的安全和审计方面，慢雾科技也做了很多的安全研究，无论是针对游戏攻击方式的预警，还是攻击源码的复现，以及对新出现的智能合约进行威胁监测。

以太坊天然具有上传源码进行验证的功能，以太坊上的游戏一般都会公开源码。相较而言，EOS的各种设施还不完善，急需区块链安全从业者提供查询EOS合约合约是否开源的工具产品。

2创业者的应对措施

利用区块链技术搭建而成的系统有较高的复杂度，系统整体的安全离不开整体架构的科学性和安全性，更离不开其中每一个环节的安全性。为了更加全面和系统化地应对区块链所面临的安全问题，不仅要考虑技术架构中的每个层面面临的安全风险，也要将安全方案融入区块链开发的每一个环节中去。

从预防角度而言，区块链创业者需要先于攻击者发现系统中潜藏的问题，并予以解决。在开发阶段，无论是何种机构研发的区块链平台，其自身程序和代码中存在的漏洞和问题，是导致被攻击的关键因素。这些问题就如同不定时的隐藏炸弹，暴露在网络环境中，一旦为有心人发现和利用，造成的损失难以估量。

如果在项目上线之前，或者虽然上线但尚未遭受攻击，就通过技术手段发现了潜藏的问题，则在面对激烈的攻防对抗时，占据了极大的主动权。而掌握主动权的方式，则是引入渗透测试、代码审计等高级安全服务，先于攻击者发现漏洞和安全隐患并排除。

通过代码审计、渗透测试等安全服务，企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险，特别是在进行安全项目之前进行的渗透测试，可以对信息系统的安全性得到深刻的感性认知，有助于进一步健全安全建设体系；审计完毕后，也可以帮助用户更好地验证经过安全保护后的网络是否真实的达到了预期安全目标、遵循了相关安全策略、符合安全合规的要求。

从合规的角度而言，凡是属于相关法律规定需要满足一定网络安全需求的信息系统，都应及时地完成等保测评，并部署安全措施符合相应等级的安全保护要求。

关注生态文明

馈赠名家字画