区块链:CBC100 | 黄连金：区块链安全的9个主要问题_区块链怎么入手

区块链安全一直是区块链发展进程中至关重要的议题。如何设置更完善的KYC和AML系统、如何防止私钥被盗、如何实现去中心化数字身份确认等等，都是我们需要日益关切的问题。

本期《CBC100》邀请到黄连金老师为我们解析区块链安全中的9个主要问题。

1.?智能合约

智能合约是区块链中最重要的技术之一，其特征是可以锁定大量资产且在发布后不可更改，但智能合约是开源的，如果被黑客研究出代码的漏洞，则会出现资产流失等问题。在整个区块链发展中，大部分的安全事件都与智能合约漏洞有关，由于智能合约的安全问题而造成的资产损失量不可小觑。

在智能合约的安全审查中，需要关注是谁写的、是否通过第三方审计、是谁将其发布上链、合约地址的私钥由谁掌握以及是否可以升级等方面。智能合约的编程需要遵循开源的最佳实践。例如云安全联盟大中华区最近发布的《智能合约安全指南》白皮书和机械工业出版社的《区块链安全技术指南》的第三章内容。

丹麦国家银行行长：现金使用率低并不能证明发行零售CBDC是合理的:金色财经报道，丹麦国家银行行长 Signe Krogstrup 讨论了现金使用下降和数字支付兴起对央行评估 CBDC 的一些影响。在?演讲中， Signe Krogstrup 指出，现金使用量的下降并不一定证明发行零售CBDC是合理的。这种转变是中央银行货币和金融稳定任务核心的重要趋势。事实上，在 2017 年至 2021 年间，?丹麦的现金支付比例?从 23% 下降到 12%。相比之下，数字支付上升至近 90%。

然而，Krogstrup 并不认为现金减少本身对货币和金融稳定构成重大风险。

但 Krogstrup 认为，商业银行仍需持有央行准备金，因此现金仍是金融体系的核心。

值得注意的是，Krogstrup 的观点与欧洲中央银行的观点形成鲜明对比，欧洲中央银行表示，随着现金使用量的减少，零售 CBDC 对于确保消费者仍然直接拥有政府发行的货币至关重要。[2023/3/27 13:29:36]

2.?数字钱包

乌克兰副总理：将以CBDC领取工资:金色财经报道，乌克兰副总理Mykhailo Fedorov在世界经济论坛上告诉记者，他希望成为计划中的新央行数字货币的第一个用户，并以电子格里夫纳领取工资。新的法律将使该国成为世界领先的加密资产管辖区，此前乌克兰成功地利用加密货币为其武装部队筹集资金。[2023/1/18 11:17:36]

数字钱包是数字货币和区块链应用的入口，且包含了私钥。

区块链的数字资产是链上资产，而拥有这些数字资产的人就是私钥的掌握者。也可以将钱包理解成是存储私钥的地方而非数字资产的地方，因为谁拥有了私钥，谁就拥有了该私钥地址下所有的数字资产。因此，如何保护私钥的安全是区块链安全问题中研究的重要领域。

不同类型的数字钱包，其安全需求是不同的。因此，我们需要了解各类型钱包的情况以及私钥、公钥和密码、签名等之间的关系，这样才能更全面的解决钱包安全问题。关于钱包安全的问题，大家可以参考云安全联盟大中华区最近发布的《数字钱包安全开发与应用实践》

Celer推出的跨链支付网络cBridge宣布支持Aelin Protocol（AELIN）:3月26日消息，由Celer Network推出的跨链支付网络cBridge宣布支持Aelin Protocol，双方还将通过建立“开放的原生资产标准”以实现多链扩展。用户现可通过cBridge在以太坊与Optimism之间进行对AELIN的高速低成本跨链转账。Celer此前发文提出并呼吁建立“开放的原生资产跨链桥标准”，以使各协议和链可同时使用多个跨链解决方案，拒绝供应商锁定。[2022/3/26 14:19:17]

3.?共识算法

区块链如果作为计算平台，那么它有别于其他计算平台的主要特征是共识算法。不同的节点或者服务器对于一个交易进行确认，决定这个交易是否发生、发生的顺序，交易是否合理、是否双化的算法就是共识算法。共识算法有很多种类。有传统数据库的共识算法，例如RAFT，?PAXOS，这两种算法的主要特征是Crush?Tolerant也就是可以容许出现宕机，当其中一台机器宕机，还有别的机器在运作，可以用?RAFT或者PAXOS作为底层的共识算法保证分布式系统的正常运行。但是当这些传统算法遇到恶意节点时，传统的共识算法就会失效。因此需要能够容错的算法，例如比特币的POW算法，就可以防止一些恶意节点，其可以容纳49%的恶意节点；同时还有在联盟链中通常使用的拜占庭容错，可以容纳少于33%的节点错误。而以太坊2.0使用的权益证明和EOS上的DPOS也可以容许一定量的节点错误。

马来西亚央行将运行概念验证项目以衡量CBDC优点:马来西亚国家银行（BNM）金融发展与创新总监Suhaimi Ali在金融科技亚洲论坛会议上表示，马来西亚中央银行将运行一个概念验证（PoC）项目，以衡量中央银行数字化的优点，并将最初的重点放在批发CBDC上。在初始阶段，国行不太可能专注于零售CBDC。中央银行还将根据数字资产和支付领域的发展，积极评估CBDC的潜在价值主张。CBDC的发行应补充现有的支付工具，包括实物现金，以确保所有马来西亚人，尤其是服务欠缺的社区，能够继续获得安全有效的支付解决方案。 （Tech Wire Asia）[2021/6/28 0:11:01]

在共识算法安全问题的研究中可以从四个不同角度进行思考：

1.在网络质量方面研究其安全性和活性。安全性即不会双化，而活性则是指所有合理的交易都会被记录在链上。

2.最终确认性。有些共识算法没有最终确认，例如POW是基于概率的确认性，而拜占庭容错确认则为最终确认。因此从这个角度看其安全和活性，所用的假设都不一样。

CFTC前主席：如果美国没有CBDC ，就会成为一潭死水:美国商品期货交易委员会（CFTC）前主席Chris Giancarlo表示，数字货币的概念，无论是主权的还是非主权的，都与智能合约相关联，可以让货币轻松地在全球范围内移动。你无法阻止技术的前进，如果美国没有CBDC ，就会成为一潭死水。美国必须对这种创新持开放态度。（cointelegraph）[2021/6/22 23:55:44]

3.区块链不同类型私有链、公链、联盟链的共识算法都不一样，应用场景也不同，其中安全性和活性也都不一样。

4.从Game?Theoretical博弈论的角度考虑算法安全性和活性。

目前共识算法的安全性和活性的研究在学术界和区块链初创企业都获得广泛的重视。作为云安全联盟区块链安全工作组的成员单位，北京大学正在这方面展开研究。

4.?交易所

价值交换和价值实现的地方，因此也常收到黑客的攻击。云安全联盟对于经常出现的交易所安全问题进行分析，在2020年12月发布了《数字货币交易所Top10安全风险》可以作为从业者和用户的参考。

5.?DAPP和?DeFi

DAPP就是去中心化的应用。今年大部分去中心化应用都出自DeFi。

去中心化金融很火，但却频发Rug-Pull即项目跑路等问题，当然除此之外也存在自身通证设计的安全问题。DeFi项目需要注意三方面的安全，第一就是智能合约的安全，第二就是通证经济设计方面的安全，第三就是监管的安全。智能合约的安全前面已经提到过。这里就说一下通证经济和监管的安全。如果通证经济没有设计好，会造成死亡螺旋的问题。就是你价格越低，参与的人越少，然后逐渐的就价格就归零了，或者趋近于零，这就是死亡螺旋，你怎么样去避免死亡螺旋，促进价格和生态可持续的发展，这个其实是通证经济与DAO设计的一个关键。或者因为通证经济设计参数方面有漏洞，可以被黑客利用。总体来说DeFi的90%的项目，因为有可能会因为共识不够，通证经济设计不合理，可能技术还可以，但是最后还是要靠生态，靠通证经济，因为它是多学科的领域，其中某个领域没做好，最后可能不能成功偃旗息鼓。DeFi第三方面的安全：是监管安全。现在DeFi生态还小，监管还没有开始。但是到某个程度就要受监管，那么有些如果不符合监管的话，整个生态会受到打击，所以这个风险就严重了。比如去中心化交易所EtherDelta项目被美国政府罚款是一个例子。需要注意的是DeFi项目最终都一定要符合本地的监管，所以首先项目需要有自律的精神，绝对不能够去做非法的一些事情。DeFi要能够真正地进行发展，一定要有行业的自律，现在国内有一些DeFi的仿盘，内在还是中心化的，不是去中心化，有可能会圈钱跑路的，所以大家要小心，保证好项目的安全工作，及时规避风险。

6.?去中心化数字身份

数字身份是保障数字经济安全的信任基石，业界目前的数字身份体系一般都

是中心化的，区块链作为解决可信问题的分布式技术，给数字身份自治的场景打开了天窗，比如减少云计算中心化身份数据大量聚合的泄露风险，在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。去中心化数字身份的标准是W3C正在开发的一系列标准，包括DID数据模型，DID方法，DID通讯等等。利用DID标准来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题，开源组织云安全联盟在2020年9月发布了《用户自治数字身份安全白皮书》可以作为参考。

7.?网络安全

区块链中点对点网络的安全非常重要。数据隐私保护，点对点传输的数据如何进行加密并保证数据通畅和不被篡改。在加密过程中，是否可以用零知识证明，或同态加密、多方安全计算等。北京理工大学作为云安全联盟区块链安全的成员单位正在这方面展开研究。

8.?数据层

区块链数据层次包括链上和链下的数据，数据的保密性，完整性和可用性是数据安全需要关注的问题。区块链本身的不可篡改的安全属性在区块链数据的完整性方面作出非常好的保证。但是在数据保密性和可用性方面，需要做进一步的研究。对于区块链数据进行分类和安全与隐私方面的需求进行分析是利用区块链发挥数据价值的必要条件。云安全联盟区块链安全工作组成员单位武汉大学在这方面正在开展研究。

9.?AM和数字货币溯源技术层

通过大数据研究的方法，对可疑、非法、、恐怖主义融资等不正常交易进行标注，并提供给政府相关部门协助进行整治。关于这方面的内容，建议大家看一下，云安全联盟最近发布的《数字货币溯源技术白皮书》。

总而言之，在这9个方面中，智能合约是使得区块链能够真正用于实践的工具，但在安全方面却一直未受到重视；而钱包作为各方面应用的入口，安全问题也绝对不容小觑。而对于共识算法而言，安全性和活性格外重要。交易所安全事件同样频频发生，因此解决交易所安全问题以及DAPP、去中心化数字身份，网路层次和数据层次和AML安全问题同样刻不容缓。

来源：金色财经

标签：区块链DEFCONEBCO区块链怎么入手Origen DEFISCONEXTBCOIN

LTC热门资讯