TMT观察网_独特视角观察TMT行业

區塊鏈領域，安全并不是一個新鮮的問題，據粗略統計，2013年以來，比特幣已經被盜100萬枚。黑客攻擊的標志性事件，是2014年2月，世界上最早的、當時市場份額最大的比特幣交易所，日本的Mt.Gox，84萬個比特幣被盜，交易所因此破產清算。

也許是行業過于非主流，安全問題頻出，并沒有得到足夠的重視。

直到5月29日，360公布EOS“史詩級漏洞”，把區塊鏈的安全問題帶到臺前，也把360區塊鏈安全團隊帶到了臺前。

360要做區塊鏈，還是從安全口切。

早在5月25日，360發布了“區塊鏈安全態勢感知系統”，同時針對智能合約、錢包、交易所和礦池四大塊推出安全解決方案。這四大塊也是目前區塊鏈領域最主流的應用，用戶面最廣的應用。此外，EOS超級節點也是360重點關注的領域。

360區塊鏈安全態勢感知系統功能示意圖

據火星財經了解，包括幣安、歐鏈科技等在內的區塊鏈企業，已與360達成安全方面的深度合作。從5月底到現在，360的區塊鏈客戶數量，暴漲了10倍。

火星財經獨家采訪了360信息安全部負責人高雪峰。聽高雪峰講360做區塊鏈安全的各方面想法。對話實錄如下：

360信息安全部負責人高雪峰

區塊鏈安全領域，基本沒有新問題

火星財經：你們什么時候開始關注區塊鏈的？外界看來還是比較突然的。

高雪峰：在2018年元旦前后就還是關注區塊鏈了。所有熱點的東西我們都會關注的，這是一定的。比如去年行業內熱捧的AI，平時關注新的攻防理念等等。

火星財經：你們對新東西、對區塊鏈，都關注什么啊？

高雪峰：除了關注新東西怎么改變互聯網行業，我們也關注怎么把新技術應用到安全上。

拿AI來舉例，一方面是考慮AI自身會不會有安全問題，AI是一個自動學習過程，你給它學習的樣本如果是帶有欺騙性的或者惡意的，它就學壞了，就會導致判斷出錯，AI就會出現安全問題；另一方面，考慮AI技術能不能引進，幫我們解決安全問題。

區塊鏈也是同樣的道理。區塊鏈確實能解決一部分安全問題，比如分布式DDoS攻擊，搞定服務器，后邊的網絡就癱瘓了，可以嘗試用區塊鏈技術解決DDoS攻擊的問題，我們看到目前產業界學術界都有人在研究。同時，區塊鏈不可篡改的特性可用作對賬，很多操作就可以做日志記錄，發布到區塊鏈，不可篡改，不可撤銷，惡意行為就不那么好做。

火星財經：區塊鏈安全問題和互聯網安全問題一樣嗎？

高雪峰：區塊鏈并不是一個新技術，而是把若干傳統技術融合到了一起。區塊鏈領域出現的新應用，會呈現出一些不同的安全風險。

問題處理起來的思想和邏輯是一樣的，攻擊的想法、思路、手法都是類似的，但是具體的漏洞類型，還是要根據具體的業務模式去匹配。

在傳統安全里會遇到的問題，在區塊鏈中也同樣會遇到。比如，智能合約，表現出來的問題是可以惡意轉幣、增發幣，但本身邏輯都是代碼問題。

比如數字錢包，移動App開發過程中遇到安全問題在數字錢包中都會出現，當然作為存儲數字資產的App，出現較嚴重的安全問題直接會導致財產損失。

交易所也是一樣得道理，拋開數字貨幣交易以外，它就是一套在線系統，在安全問題上，同樣面臨接口、服務端安全問題，也需要有完善的整體安全解決方案來防護。

火星財經：區塊鏈領域的安全問題多嗎？

高雪峰：區塊鏈行業確實安全問題比較大。360安全團隊對全球20多個錢包進行了安全審計，發現80%的都存在大大小小的安全問題。比如助記詞，很容易被拿到，而拿到助記詞，就相當于拿到了密鑰。

全球目前有1萬多家大大小小的交易所，基本沒有整體的安全防護策略，交易系統沒有經過安全審計、缺少安全加固是常見問題。

還有，EOS每天更新的代碼量特別多，根據這個量基本可以判斷，沒有做代碼安全測試。我們之前提交漏洞，然后跟BM溝通發現，BM這個人基本不懂安全。

火星財經：區塊鏈行業之前的安全狀況是怎么樣的？

高雪峰：區塊鏈從2017年7月開始走紅，但是行業很早期，只有幾個大的交易所，有自己的人做安全，但也只能算“有一點”防護能力。行業太早期，并沒有第三方安全公司介入。

搭建團隊，很迅速

火星財經：360的區塊鏈安全團隊怎么搭建起來的？

高雪峰： 搭建過程很迅速，因為都是安全工程師，前幾年都關注過比特幣，甚至參與了炒幣，對區塊鏈非常了解。

火星財經：團隊日常主要做什么事情？

高雪峰：我們主要開發一個監測平臺。像比如說大筆、大額交易、異常交易，或者是一些黑地址、灰地址，我們會做一些監控。這個給交易所或者國家監管部門都能用得上。

另一方面，會劃出一部分精力，針對平臺，挖一些漏洞或者安全問題，會報給他們官方去修。

火星財經：漏洞發現以后，什么情況會公布？

高雪峰：發現以后，會首先跟官方溝通，修護。小問題一般就不會往外說，比較嚴重的問題會往外公布，一方面讓大家知道，這里邊是有層層問題的，另一方面，希望其他家，如果也做這一塊兒的，有相似的問題的，可以關注一下，解決一下。

火星財經：會選擇什么時間公布？

高雪峰：比如EOS那個漏洞，是因為當時他們說6月2號要主網上線，那就得趕緊把這個事情公布了，修復了，不能說上線以后再被不法分子利用了。當然我們也借著這個熱度，把我們原來做的區塊鏈的事情，拿出來說了一下。

火星財經：你們團隊用什么方法來分析區塊鏈行業的安全問題？

高雪峰：場景是一個重點考慮問題。一個系統它可能會存在一些安全問題，還需要說能不能利用。所謂利用就是說你造成的危害到底有多大。這個利用過程就相當于他通過寫一些利用程序，然后最后能達到執行的效果，比如說真實的模擬出來。你這種情況下，如果一個黑客他真的來攻擊你，他到底能干哪些事？就是這樣的一個過程。

區塊鏈安全問題，請大家重視起來

火星財經：區塊鏈安全領域的生意模式是什么樣的？

高雪峰：我們現在并不太在意商業模式或賺錢能力。而是希望大家關注這個領域，而360也確實有這個能力幫創業公司解決這個問題。

我們想成立一個聯盟，一個安全生態聯盟，把有能力、愿意做安全的個人、團隊、創業公司們，拉到一起，一起做。用一個安全生態來做到區塊鏈行業的安全。

火星財經：如果我是一個區塊鏈創業者，現在向你們咨詢區塊鏈安全問題，你會給我什么樣的具體點的建議？

高雪峰：我們發布了一個白皮書，上邊是常見的區塊鏈安全問題，相當于一個安全審計列表，大家可以對照著規避，可以對照這個列表，查找問題，然后自己組建安全團隊也可以，找第三方也可以，總之把這些問題解決掉。

火星財經：項目如果跟你們合作，相當于是把安全業務外包給你們嗎？

高雪峰：不能這么講，有一些是這么操作的，幫他們做一些安全的審計，提高他們的門檻。還有一些是公益性的，我們發現問題，然后告訴他讓他去修?，F階段，公益的性質更大一些。

火星財經：現在區塊鏈領域的項目重視安全嗎？

高雪峰：客觀來講，目前區塊鏈落地的項目都是跟幣相關的，跟錢相關的，很多公司也確實愿意花錢來解決安全問題。

這跟傳統的互聯網領域安全不一樣。傳統的互聯網領域，一方面大家更關注的是業務量、用戶量之類的問題，另一方面，安全問題很難證偽，比如一家企業，一年花了300萬解決安全問題，一年過去了，什么都沒有發生。這個時候會想，如果我沒花這300萬，是不是也不會出問題？

幣圈就不一樣，幣圈黑客新聞迭出不窮。發生安全事件，利益受損，才會重視問題。

火星財經：如果我是一個數字資產持有者，現在向你們咨詢區塊鏈安全問題，你會給我什么樣的具體點的建議？

高雪峰：一是學會保護自己的私鑰，二是學會保存數字資產，冷熱錢包以及交易所按照一定比例合理分配，三是提高自己安全意識，防止被釣魚網站攻擊。

重倉區塊鏈？還得看行業發展

火星財經：360對區塊鏈的介入會有多深？

高雪峰：區塊鏈對互聯網的影響有多深，我們對區塊鏈的介入就會有多深。

這個是隨著行業而發展的。其實現在，所有做互聯網的人，都在關注區塊鏈，都會考慮怎么跟自己業務相結合或者做一些區塊鏈嘗試。

如果區塊鏈接下來對行業影響特別大，那我們肯定會加大人手、精力來做這件事情。行業技術下一步怎么發展，我們下一步也會研究這個技術。

火星財經：未來有多看好區塊鏈？

高雪峰：我個人對區塊鏈是比較看好的，雖然它現在還主要是數字貨幣的應用，但是未來，我覺得它能在很多領域應用起來，包括金融領域，包括互聯網C2C的領域，比如滴滴、AirBnb這種領域。