我憑技術割的韭菜，你為什麼要防禦我？

策劃｜BCCon

編輯｜Julian

彭峙釀博士畢業於華南理工大學信息安全專業，博士階段主要從事密碼學及數據安全相關學術研究。現就職於 360 核心安全事業部，主要研究方向為：區塊鏈安全，軟體安全和數據安全。彭峙釀博士擁有 15 年信息安全攻防經驗，曾在多領域發現多個具有重大影響的安全漏洞。在信息安全領域發表近十篇論文，同時設計多款安全防護產品。

2013 年開始挖比特幣

您是何時、如何接觸到區塊鏈，並開始研究區塊鏈安全問題的？

2013 年我剛開始讀博士的時候，比特幣開始在我們實驗室火起來。那個時候我就開始挖礦和研究一些區塊鏈相關的技術。區塊鏈技術這些年來一直都在研究，因為裡面密碼技術和我博士階段研究方向是高度吻合的。區塊鏈的安全問題則是我今年加入 360 之後才開始研究的。

在區塊鏈安全的工作中您有什麼樣的體會，區塊鏈安全工作最大的壁壘您覺得是什麼？

在這幾年的區塊鏈發展中，我最關注的主要還是區塊鏈技術本身的發展和其對世界可能帶來的改變。在區塊鏈安全的開發中，我比較大的體會主要有兩點：一個是在傳統軟體安全中的一些不起眼的安全問題，放到區塊鏈安全中會造成十分嚴重的後果。另外一個是數字貨幣的隱私需求給密碼技術提供了很好的應用場景（搞密碼的同學們找工作容易了）。

區塊鏈安全工作方面，目前面臨的最大問題還是行業發展的步子太快了，對安全問題的重視和研究還沒有跟上。不過我覺得隨著關注的提高，這方面的問題會慢慢解決。實際上區塊鏈安全最大的壁壘還是「去中心化，安全性，可擴展性 之間的不可能三角」。在滿足安全性的前提下解決去中心化、和可擴展性問題，是區塊鏈安全工作的最大難題。

哪裡有套利空間，哪裡就有攻擊

治理區塊鏈安全問題與治理互聯網安全問題相比有什麼不同，區塊鏈安全又面臨什麼新的挑戰？

從技術層面看，我認為區塊鏈安全和互聯網安全的技術本質是一樣的。具體表現中的不同點，我覺得主要還是要看業務場景。就目前而言，多數區塊鏈項目本身還是互聯網一個子集。區塊鏈項目因為具有匿名性、歷史不可篡改性等特性，給安全帶來了一些新挑戰。如何追蹤一筆黑產交易，如何追回被竊取的資產等，都是要去解決的新挑戰。

今年以來，51% 的算力攻擊多次在幾個市值靠前的加密幣中上演，如何看待區塊鏈的 51% 攻擊？

51% 曾經被認為是一種不太現實的攻擊方法，因為攻擊成本非常高。但近期針對幾個市值靠前的數字貨幣的 51% 攻擊改變大家對其的看法。區塊鏈安全本身是一個複雜的問題。「哪裡有套利空間，哪裡就有攻擊」，經濟學博弈論等相關理論在區塊鏈安全中也有非常重要的作用。抗抵抗 51% 攻擊，需要嚴謹細緻計算攻擊成本和收益，讓攻擊者無利可圖。

如何看待量子技術對區塊鏈「演算法」的威脅？

量子計算機的出現，會使目前多種主流的非對稱密碼演算法變得不安全。這對區塊鏈技術來講，肯定是一些威脅。但目前量子計算還處於初級階段，留給大家去探索和防禦的時間還很長。「後量子密碼」之後的技術目前是學術界研究的一個重要方向，NIST 也在徵集相關的標準。相信屆時量子計算機對對區塊鏈「演算法」的威脅將會得到解決。

守護分散式的數字資產

您如何理解數字貨幣錢包安全問題？

目前市場上存在的軟錢包大多數都存在安全隱患，360 集團信息安全部發布的《數字貨幣錢包安全白皮書》有對這些問題進行一些統計和總結。總的來說軟體錢包很難完全保證安全，大量資產建議使用硬體錢包或冷錢包進行存儲。

中心化的交易所如何更好地守護分散式的數字資產安全？

交易所存儲了大量的數字貨幣資產，目前正成為黑客們的重要攻擊目標。實際上，我們 360 核心安全近期也監測到實際很多交易所都被黑客控制或者入侵成功。目前國際上也已經發生了多起數字貨幣交易所被盜事件， 給用戶造成了幾乎不可挽回的損失。可以認為目前很多交易所在安全方面投入不夠，安全問題形勢嚴峻。要解決交易所安全問題，實際上非常複雜。除了安全技術能力之外，風控能力、安全制度等方面也非常重要。

關於智能合約漏洞問題。黑客利用智能合約漏洞對項目方和用戶造成巨大的損失。談談您對智能合約漏洞安全問題的理解。

目前很多智能合約會對代幣進行處理，所以一個智能合約的漏洞往往會帶來很嚴重的安全後果。同時智能合約不可修改的特性，要對上線後發現的漏洞進行有效修復，只能選擇重新部署新的合約，這將付出巨大的代價。惡魔在細節中，智能合約的發展和應用目前還只是初級階段，相信還會有很多智能合約相關的安全問題會不斷被發現和修復。

活動預告

學不動了也要學，2018 最純正的區塊鏈技術大會來襲，區塊鏈開發者關注一下：

紙貴|聯盟鏈和公有鏈的混合架構實踐

智鏈|區塊鏈核心技術橫向剖析

京東|企業級區塊鏈技術實踐

360|區塊鏈節點攻擊面及緩解措施

點融|點融區塊鏈雲服務實踐與思考

獵豹|RatingToken- 基於大數據演算法的評級實踐

恒生電子|一個金融區塊鏈技術團隊 2 年的踩坑掃雷之路……

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！