越來越多的傳統(tǒng)企業(yè)開始接觸 區(qū)塊鏈 ，其中一些已經(jīng)在著手進(jìn)行區(qū)塊鏈應(yīng)用的開發(fā)和使用了。與傳統(tǒng) 互聯(lián)網(wǎng) 一樣，區(qū)塊鏈開發(fā)依然面臨嚴(yán)峻的安全考驗(yàn)，安全永遠(yuǎn)是應(yīng)用開發(fā)的關(guān)鍵。不過，在具體的安全問題上，區(qū)塊鏈又與傳統(tǒng)互聯(lián)網(wǎng)有所不同，開發(fā)者該如何分辨二者的區(qū)別，并正確應(yīng)對(duì)新的挑戰(zhàn)？

智能合約安全漏洞頻發(fā)

北京時(shí)間5月3日凌晨4點(diǎn)12分，以太坊上一款應(yīng)用中的所有波場(chǎng)幣被盜，總價(jià)值427萬多人民幣。其原因就是黑客發(fā)現(xiàn)了該應(yīng)用智能合約中的一個(gè)漏洞，通過該漏洞悄無聲息地轉(zhuǎn)走了應(yīng)用中的所有資產(chǎn)。

而這只是眾多區(qū)塊鏈安全事件的冰山一角。據(jù)迅雷鏈開放平臺(tái)產(chǎn)品負(fù)責(zé)人馬雙陽介紹，在以太坊上38000多個(gè)智能合約中，通過漏洞掃描工具發(fā)現(xiàn)存在815個(gè)漏洞。也就是說，超過2.1%的合約存在漏洞，這是非常驚人的一個(gè)比率。

同時(shí)針對(duì)智能合約漏洞的攻擊也越來越頻繁，馬雙陽透露，自有智能合約以來，漏洞相關(guān)的攻擊事件，59%發(fā)生在2018年年份，可見黑客已經(jīng)意識(shí)到智能合約漏洞的“有利可圖”。

據(jù)迅雷鏈技術(shù)團(tuán)隊(duì)的專業(yè)分析，區(qū)塊鏈安全問題基本分為存儲(chǔ)、協(xié)議、擴(kuò)展、業(yè)務(wù)層這四個(gè)方面，其中，存儲(chǔ)、協(xié)議和擴(kuò)展三個(gè)層級(jí)的安全機(jī)制，都由主鏈平臺(tái)提供，基本上經(jīng)得起檢驗(yàn)，出問題的可能性不大。唯獨(dú)業(yè)務(wù)層是由企業(yè)自己提供的，其中技術(shù)水平良莠不齊，且目前還缺乏真正經(jīng)驗(yàn)豐富的區(qū)塊鏈開發(fā)者，因此往往安全問題就出在業(yè)務(wù)層的智能合約上面。

而智能合約又是開源的，其代碼全都公開，黑客很容易就發(fā)現(xiàn)漏洞并加以利用。同時(shí)智能合約一旦公布，就很難撤回修改，因此漏洞一旦被發(fā)現(xiàn)，彌補(bǔ)起來都非常困難，這是區(qū)塊鏈安全與傳統(tǒng)互聯(lián)網(wǎng)安全問題最大的不同之處。

選擇安全機(jī)制完善的開發(fā)平臺(tái)

因此傳統(tǒng)企業(yè)在使用區(qū)塊鏈的過程中，需要特別注重自身應(yīng)用中的智能合約安全性。而其中最主要的手段就是利用工具自檢排查，所以選擇一個(gè)提供完備的安全排查機(jī)制的開發(fā)平臺(tái)，就顯得非常重要。

目前，一些領(lǐng)先的區(qū)塊鏈平臺(tái)已給出更加專業(yè)和安全的解決方案，如迅雷鏈就推出了專門針對(duì)智能合約的安全機(jī)制。據(jù)介紹，迅雷鏈針對(duì)智能合約的安全審核分為三個(gè)層級(jí)，分別是防護(hù)，驗(yàn)證和審計(jì)。

其中防護(hù)就是在編碼過程當(dāng)中不斷規(guī)范和代碼發(fā)布的規(guī)則，并不斷加以完善和維護(hù)，從源頭上對(duì)安全進(jìn)行防護(hù)。驗(yàn)證就是在開發(fā)工具中進(jìn)行動(dòng)態(tài)的安全檢測(cè)，當(dāng)開發(fā)者使用開發(fā)工具進(jìn)行應(yīng)用開發(fā)時(shí)，該工具會(huì)自動(dòng)對(duì)其中代碼進(jìn)行安全性的檢測(cè)，一旦發(fā)現(xiàn)有問題，就會(huì)直接反饋給開發(fā)者。

最后迅雷鏈還會(huì)對(duì)所有智能合約進(jìn)行完善的審計(jì)，馬雙陽說，其中絕大多數(shù)是人工審核，以此規(guī)避自動(dòng)審查中的不精準(zhǔn)性，最大程度保證合約的安全性。

今年四月，迅雷鏈獲得國(guó)內(nèi)對(duì)非銀行機(jī)構(gòu)的最高級(jí)別安全認(rèn)證——國(guó)家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證。同時(shí)，網(wǎng)心 科技 還作為行業(yè)領(lǐng)軍企業(yè)，受邀參與了《可信區(qū)塊鏈：區(qū)塊鏈安全評(píng)價(jià)指標(biāo)》的制定。這些都是迅雷鏈持續(xù)發(fā)力區(qū)塊鏈安全防護(hù)獲得的肯定。

安全與效率并重

不過業(yè)內(nèi)專家也提醒說，企業(yè)在開發(fā)區(qū)塊鏈應(yīng)用時(shí)，固然要強(qiáng)調(diào)安全性，但也要注重使用效率，二者不可偏廢，否則安全性倒是有保障，但應(yīng)用本身的易用性卻遭到損害，也不利于業(yè)務(wù)的開展。

區(qū)塊鏈頭部平臺(tái)也意識(shí)到了這方面的重要性，開始加強(qiáng)此方面的融和。據(jù)迅雷鏈底層研發(fā)工程師張驍透露，目前迅雷鏈主要是通過對(duì)加密算法等核心層的創(chuàng)新改進(jìn)，在保證安全的同時(shí)努力提升應(yīng)用的開發(fā)和運(yùn)營(yíng)效率。

比如區(qū)塊鏈當(dāng)中最廣泛應(yīng)用的數(shù)字簽名算法，包括密鑰匙生成以及簽名還有驗(yàn)簽三部分，需要同時(shí)保存簽名和公鑰。但迅雷鏈通過對(duì)這種加密算法的改進(jìn)，實(shí)現(xiàn)用簽名倒推公鑰，這樣只需要保存簽名即可，由此減少了至少1/3的存儲(chǔ)空間需求，極大地降低了應(yīng)用的存儲(chǔ)成本。

同時(shí)在很多業(yè)務(wù)場(chǎng)景中，需要對(duì)某些數(shù)據(jù)進(jìn)行求證，而求證過程又往往意味著數(shù)據(jù)的公開，由此又與數(shù)據(jù)安全和隱私保護(hù)形成沖突。鑒于此種情況，迅雷鏈推出承諾系統(tǒng)，利用同態(tài)加密和零知識(shí)證明兩種技術(shù)，實(shí)現(xiàn)了在不公開數(shù)據(jù)的情況下，完成對(duì)數(shù)據(jù)的求證。就好比寫字樓門禁，當(dāng)你拿工牌刷卡開門時(shí)，門禁只會(huì)反饋出“開”與“不開”這兩個(gè)結(jié)果，并不會(huì)告訴你工牌上的姓名、公司、電話等信息。

總體而言，當(dāng)前的市場(chǎng)背景下，區(qū)塊鏈技術(shù)處于不斷更新進(jìn)步之中，區(qū)塊鏈人才極度匱乏，此時(shí)需要特別注重應(yīng)用產(chǎn)品的安全性，否則容易導(dǎo)致災(zāi)難性的后果。而加強(qiáng)安全度的最佳途徑，就是選擇像迅雷鏈這樣值得開發(fā)者和企業(yè)信賴的區(qū)塊鏈開放平臺(tái)，借助它所提供的完備安全機(jī)制，進(jìn)行應(yīng)用開發(fā)。這樣既減輕了開發(fā)的工作量和成本，還最大程度地保障了自身應(yīng)用產(chǎn)品的安全性，能夠更好的服務(wù)消費(fèi)者。