TMT观察网_独特视角观察TMT行业

在區塊鏈的創業圈，人們對青年才俊偶像派、改變世界理想派以及發達致富現實派從來不陌生，他們有的是新人，有的是老兵，通常都懷著高尚的「比特幣信仰」和對自己能力的自信粉墨登場。然而在這樣一個舞臺上，有一波人的發聲最少，卻不容忽視，那就是腳踏實地實力派。

這類創業者往往是技術出身，經歷過完整的自我提升和技術驗證的階段，并且從自己所擅長的方向找到了與區塊鏈結合的落腳點，并以此為基礎開展區塊鏈業務。往往一出手就是大手筆。

蔣旭憲可以說是實力派的典型縮影：2001年出國就讀于美國普渡（Purdue）大學，主攻系統安全，2006年博士畢業后先后在美國喬治梅森大學和北卡州立大學任教，并取得終身教職。2013年加入奇虎360成為首席科學家，是最早發現Android惡意木馬的人之一。2018年成立了區塊鏈安全公司PeckShield，這個成立不到一年只有20多人的團隊，先后發現了BEC、SMT、EDU等多個重大的智能合約安全漏洞以及EOS的主網映射問題和高危賬戶漏洞，并獲得數千萬級別的天使輪融資。

那么，這位實力派創業者有著怎樣的人生經歷？又是怎樣與區塊鏈結緣？對于區塊鏈安全又有哪些思考和忠告？本期人物志就帶你走近蔣旭憲，聽他聊聊自己的人生和PeckShield背后的故事。

“區塊鏈，不符合我的性格”

區塊鏈大本營：請談談自己以往的經歷。

蔣旭憲：2001年出國，赴美讀書，2006年博士畢業，一直研究計算機系統安全，包括惡意木馬入侵檢測和預防等。畢業后在美國高校任教，當時正是國內PC互聯網發展崛起的時候，百度、360、網易等巨頭開始壯大。如果把現在互聯網的發展分為PC互聯網、移動互聯網和區塊鏈的話，我是完美錯過了PC互聯網時代。不過當時在學術界做安全也是蠻high的，因為安全一直是我感興趣的方向。

區塊鏈大本營：錯過了PC互聯網卻趕上了移動互聯網也不錯，能講講這個過程嗎？

蔣旭憲：當時我在高校任教，在遞交tenure材料后，開始隨自己性子展開一個全新的研究方向，也是Android系統的安全漏洞問題。我從Android 1.0版本（2008年）就開始介入了，當時發現了不少Android的安全問題，包括系統本身和底層內核的安全漏洞，還有各大移動應用分發市場發現的惡意木馬。后來有業界安全人士說，我在美國高校的研究團隊在2012年定義了整個移動惡意木馬的元年。

另外，我們把研究發現的全部移動惡意木馬以基因庫的方式，給全球各大安全公司和科研機構共享，到目前為止，應該有400多家公司和教育機構應用了我們的數據集。

蔣旭憲開放的Android惡意木馬基因庫

區塊鏈大本營：所以接著就到企業里繼續研究這塊了？

蔣旭憲：是的。因為當時覺得360是大家認可的最大的互聯網安全公司，然后就借著360的平臺，開始接觸移動互聯網。在360的時候，我主要負責移動端的核心安全能力，包括整個Android系統和廠商手機終端的安全漏洞，核心安全能力會輸送給內部的各個業務線。然后我們還做了一個“加固保”，針對移動端發現的安全漏洞和風險，給移動開發者提供免費的加固服務，這個產品的用戶量也是蠻大的，每天的活躍覆蓋設備都是過億。可以這么說，我是從學校出來之后，在360才算是真正理解了國內的移動互聯網業務吧。

區塊鏈大本營：聽說你并不是一下子就接受區塊鏈的，中間發生了什么？

蔣旭憲：我在360做了四年半的時候想出來創業，在找方向的時候了解到區塊鏈。不過當時整個行業魚龍混雜，有很多聲音和泡沫，感覺很浮躁。老實說，我看到這個情況后，覺得區塊鏈不符合我的性格，所以就沒再關注。后來隨著區塊鏈的聲音越來越大，我就看了一些項目的白皮書，通過top-down的方式理解區塊鏈，當時還是感覺很不靠譜。

最后是采取了bottom-up的方法，我開始靜下心來仔細看了幾個比較代表性的加密貨幣的代碼，包括比特幣和以太坊，從底層開始看，然后往上走。然后一看就完全看進去了，所以就all in區塊鏈，也是專注自己感興趣的方向—安全。因為區塊鏈解決的就是信任問題，如果安全沒做好，信任問題根本無從談起。

區塊鏈大本營：一般來說，人思維的轉變是一個漸進的過程，你從不看好到all in，這個過程中經歷了哪些思考？

蔣旭憲：這個轉變是蠻有意思的。剛開始看白皮書我是真的提不起興趣，是硬逼著自己看了100多個白皮書，不過真正打動我的地方，不是白皮書，而是下面的主鏈，特別是比特幣和以太坊為代表的這些。看了主鏈的代碼后我有以下兩點思考。

第一，主鏈的設計，讓我第一次覺得創業公司跟那些互聯網巨頭有可能在同一個起跑線，巨頭的優勢或商業模式，甚至有可能會成為他們的障礙。

第二，我本身是程序理工男嘛，我從以太坊的設計中看出code is law來，我覺得這是給理工男的絕佳機會。

基于以上兩點，我覺得區塊鏈值得all in玩一把。

區塊鏈大本營：如果用幾個關鍵詞來形容自己，你會用哪幾個？

蔣旭憲：我認為是專注、創新、激情

“變化是永恒的”

區塊鏈大本營：請簡單介紹一下PeckShield現在的團隊情況。

蔣旭憲：現在我們團隊大概20多個人，大部分都是技術人員。整體來說，團隊具有前瞻性的全球化國際視野，包括我個人在內，很多成員或者是在國外拿到博士，或者是在國內一線互聯網公司有過多年經驗，算是將學術界的前瞻性研究和產業界解決實際問題的能力做了一個融合吧。

區塊鏈大本營：在區塊鏈安全業務中，你們遇到過哪些技術挑戰？

蔣旭憲：我認為最大的挑戰在于比黑客更早的發現安全問題，實現起來技術難度很大。另一個難點在于發現安全問題之后的應急響應。我發現區塊鏈安全應急響應的環節應該做成7x24安全服務。這個問題可能不是技術性問題，但我覺得這也是我們面臨的挑戰。

區塊鏈大本營：現在「斜杠」這個詞很流行，形容一個人有很多身份或屬性。如果用這個標準看，你無疑也具備很強的「斜杠屬性」，你的身份包括開發者、科學家、創業者、教育工作者等，你是如何在這種多身份下保持平衡的？

蔣旭憲：這是個很好的問題。我覺得我不可能同時把所有角色做好。比如從高校到企業這個決定就相當于放棄了高校教育工作者的身份，但因為在高校研究本來就是做系統安全的，所以到企業后這種轉變難度倒是不大。而從企業到創業，我依賴的是技術人員的那種第一手感知，我覺得我還是傾向于技術人員這一定位的，這一定位有助于我對行業發展的判斷。然后在企業的人員管理上這個肯定不是我的強項，不過因為自己之前的背景和對行業發展的判斷上的優勢，可以互為補充。

區塊鏈大本營：從企業出來創業，你最大的體會或感受是什么？

蔣旭憲：最大的感受就是變化是永恒的。人們常說「幣圈一日人間一年」，有很多數據和信息，你需要不斷去判斷下一步的走向，然后做出調整。這是我感受比較深的一塊。

這跟大公司的環境不太一樣。在大公司里工作是相對生活在舒適區里面，然后做些成熟的業務或有些科研屬性的東西。但在區塊鏈領域創業，市場動態的捕捉還是蠻關鍵的。因為在區塊鏈中，不斷會有新的東西冒出來，包括游戲規則、玩法，還有生態中各個環節的變化。還是那句話，變化是永恒的。

區塊鏈大本營：你怎么看待目前區塊鏈安全領域的其他公司？目前在安全領域的公司定位上有哪些區別？

蔣旭憲：因為現在區塊鏈行業還處在早期，區塊鏈安全也是如此，現在說各個公司形成了自己的定位還為時尚早。不過可以看到行業內不同公司的切入點，大概有以下幾種：

1.鏈上數據分析和安全預警；

2.形式化驗證和機器證明；

3.情報共享；

4.傳統互聯網轉型。

當然，新的安全方向和公司也會不停的冒出來。

當我們在談論區塊鏈安全，我們到底在談論什么？

區塊鏈大本營：我們現在所談的「區塊鏈安全」這個概念，跟PC互聯網和移動互聯網時代談到的安全，本質上有哪些不同？

蔣旭憲：這也是我們最近在不斷反思的一個問題，就是從PC時代到區塊鏈時代，安全的概念有沒有發生變化？

在PC時代，更多的可能是主機安全和網站服務器的安全。最開始的時候服務器各端口都是打開的，現在服務器的大部分不必要的端口都會關掉，這是一種安全方面的發展。

到了移動互聯網時代，在上述基礎上又多了一些非常獨特的安全場景，比如在數據的隱私保護上。因為手機里有各種傳感器，包括GPS、通訊錄、錄音、運動數據等。所以歐盟有個GDPR法案（《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）），就是針對移動互聯網的個人數據的隱私保護提出來的。

而區塊鏈又是一個非常獨特的不一樣時代，因為它相當于把用戶的數字資產或者是錢直接放到了鏈上，所以在安全和隱私保護上跟前者都不一樣，可以說是提出了更高的要求。

一方面是一旦發生安全問題，造成的后果相當嚴重，比如之前的美鏈BEC的漏洞，被爆出后整個近70億市值斷崖式下跌。

而另一方面是數字資產本身也有隱私保護上的需求， 但同時這會帶來另一個新問題。比如去年的WannaCry大行其道，它利用數字資產隱私保護的匿名性控制加密了好多數據，然后做了一個勒索軟件，直接進行比特幣或其他幣種的勒索。這在以前是不太可能實現的。這一點帶來的威脅也是非常值得思考的。

區塊鏈大本營：這樣看來，安全是否會成為阻礙區塊鏈發展的一個因素？

蔣旭憲：是的。這里我想說一下，互聯網的思維模式，包括產品的快速迭代和小步快跑，這一思維在區塊鏈行業不僅不適用，而且有害。相反，更多的應該是從開始的時候就把安全考慮進去。如果能做到，我并不認為安全是區塊鏈發展的阻礙，只是說整個生態的要求已經不一樣了。

區塊鏈大本營：你認為區塊鏈安全的發展，會經歷哪幾個階段？

蔣旭憲：按照我的理解，我認為會經歷三個階段。

第一個階段是無知階段，就是大家都意識不到安全問題的存在。比如去年下半年ICO特別瘋狂，甚至包括某些基于POW的小公鏈存在51%算力攻擊，但大家都忽視了。

第二個階段是喚醒階段。喚醒最多的肯定是項目方，他們被喚醒了；你看現在各大交易所和項目方的智能合約還是時常被攻擊或曝出安全漏洞，這也提醒我們正處在這個階段。

第三個階段就是警覺階段。區塊鏈相關企業會主動意識到安全問題的重要性， 主動的去找安全解決方案。當然，安全問題最好還是由專業的安全公司來提供服務，幫助主鏈的設計、審計項目方的智能合約、和提升交易所和礦池的安全等。 

區塊鏈大本營：現在很多人有種恐懼，就是很擔心安全會變成一個「道高一尺魔高一丈」的狀態，修復一個漏洞，就會迎來一個新的攻擊，你怎么看？

蔣旭憲：我認為這樣的看法過于悲觀。安全的提升少不了攻防的階段，在安全的很多領域中，包括漏洞的挖掘、利用和預防，本質上來說都是攻防問題。我認為我們現在正在往好的方向走，大家不該因為安全問題對區塊鏈失去信心，因為區塊鏈本身是要建立共識和信任機制，而安全問題是基石。安全問題的曝光和解決，也會推動行業的進步。

被忽略的攻擊重災區

區塊鏈安全：從安全角度，你怎么看待如今的兩大主鏈以太坊和EOS？

蔣旭憲：如果我們看一下以太坊的發展歷程，應該是在2016年4、5月份到10月份之間，遭受了影響比較大的安全攻擊。一個就是TheDao智能合約的安全漏洞，引起了整個以太坊的硬分叉；之后在2016年的7、8月份，又發生了所謂的以太坊主鏈的拒絕服務攻擊。我認為主要是那個時候以太坊gas的設計還不是很完備，有人可以用很低的成本創建成百上千鏈上的以太坊賬號，引起巨大的資源浪費。其間社區也推出了包括EIP150和Spurious Dragon等基于硬分叉的解決方案。

整個過程花了以太坊核心團隊和社區大約5個月的實踐才走出這種低谷。我認為這個過程考驗了整個社區的核心開發團隊，對它的長遠發展有很大的幫助，證明了這個平臺在安全事故發生的時候有自愈能力。包括基金會、核心開發成員、社區等各個環節，是有生命力的。

而EOS剛剛建成，公開暴露的問題可能相對還比較少。我們在4月中旬也分析過EOS，它本身有主網映射過低的問題，這也是反映出了EOS的社群里面，有EOS token的用戶參與度可能不高。 這在EOS主網上線后投票不積極也是得到了驗證。

在社區治理方式上EOS采用的是DPoS機制，但這個機制是否有效，我認為還有待觀察。另外，之前EOS漏洞的Bounty  Program，開始的時期是每個高危漏洞1萬美元，但現在降到100美元。這也從一個側面反映出EOS團隊對于安全的態度，應該引起思考。

區塊鏈大本營：你之前說區塊鏈的安全問題已滲透到各個環節，不過現在被爆出來的經常是合約漏洞，除合約之外，還有哪些安全問題的高發區？

蔣旭憲：我們把這個問題分為橫向和縱向來看。

橫向包括：

交易所；

礦池；

錢包；

合約；

分布式應用。

這些環節里智能合約爆出的問題比較多，包括BEC、EDU等。交易所每半年不到的時間就會有一次大的攻擊被曝出來，礦池的問題大多來自51%攻擊，比如比特黃金。由于現在很多鏈開始從PoW向PoS或DPoS轉型，過去用于挖礦的那些礦機就沒有了用武之地，有些算力租用服務可能會被用來做別的用途，比如51%攻擊。所以我預計，橫向維度里的安全問題會更多發。

縱向維度包括：

基礎設施；

數據層；

網絡層；

共識層；

激勵層；

合約層；

業務層。

現在75%的攻擊來自于合約層和業務層。但是如果往更底層看，比如共識和算法攻擊，包括P2P網絡節點和加密算法，這些問題會影響整個生態。比如最近曝出的以太坊「致命報文」漏洞，攻擊者通過發送一個惡意報文即可向有漏洞geth節點發動攻擊，可瞬間導致以太坊三分之二的節點停擺。

區塊鏈大本營：面對這樣的情況，開發者應該怎么做？

蔣旭憲：開發者看到這么多不安全因素可能會覺得無所適從，其實也沒那么復雜。首先是在項目推進的時候，要重視上鏈前安全審計的必要性，俗話說磨刀不誤砍柴工嘛；其次也要做好應急響應計劃；最后，如果可以，盡量要基于大的公鏈去做。