越來越多的傳統(tǒng)企業(yè)開始接觸 區(qū)塊鏈 ，其中一些已經(jīng)在著手進行區(qū)塊鏈應(yīng)用的開發(fā)和使用了。與傳統(tǒng) 互聯(lián)網(wǎng) 一樣，區(qū)塊鏈開發(fā)依然面臨嚴(yán)峻的安全考驗，安全永遠(yuǎn)是應(yīng)用開發(fā)的關(guān)鍵。不過，在具體的安全問題上，區(qū)塊鏈又與傳統(tǒng)互聯(lián)網(wǎng)有所不同，開發(fā)者該如何分辨二者的區(qū)別，并正確應(yīng)對新的挑戰(zhàn)？

智能合約安全漏洞頻發(fā)

北京時間5月3日凌晨4點12分，以太坊上一款應(yīng)用中的所有波場幣被盜，總價值427萬多人民幣。其原因就是黑客發(fā)現(xiàn)了該應(yīng)用智能合約中的一個漏洞，通過該漏洞悄無聲息地轉(zhuǎn)走了應(yīng)用中的所有資產(chǎn)。

而這只是眾多區(qū)塊鏈安全事件的冰山一角。據(jù)迅雷鏈開放平臺產(chǎn)品負(fù)責(zé)人馬雙陽介紹，在以太坊上38000多個智能合約中，通過漏洞掃描工具發(fā)現(xiàn)存在815個漏洞。也就是說，超過2.1%的合約存在漏洞，這是非常驚人的一個比率。

同時針對智能合約漏洞的攻擊也越來越頻繁，馬雙陽透露，自有智能合約以來，漏洞相關(guān)的攻擊事件，59%發(fā)生在2018年年份，可見黑客已經(jīng)意識到智能合約漏洞的“有利可圖”。

據(jù)迅雷鏈技術(shù)團隊的專業(yè)分析，區(qū)塊鏈安全問題基本分為存儲、協(xié)議、擴展、業(yè)務(wù)層這四個方面，其中，存儲、協(xié)議和擴展三個層級的安全機制，都由主鏈平臺提供，基本上經(jīng)得起檢驗，出問題的可能性不大。唯獨業(yè)務(wù)層是由企業(yè)自己提供的，其中技術(shù)水平良莠不齊，且目前還缺乏真正經(jīng)驗豐富的區(qū)塊鏈開發(fā)者，因此往往安全問題就出在業(yè)務(wù)層的智能合約上面。

而智能合約又是開源的，其代碼全都公開，黑客很容易就發(fā)現(xiàn)漏洞并加以利用。同時智能合約一旦公布，就很難撤回修改，因此漏洞一旦被發(fā)現(xiàn)，彌補起來都非常困難，這是區(qū)塊鏈安全與傳統(tǒng)互聯(lián)網(wǎng)安全問題最大的不同之處。

選擇安全機制完善的開發(fā)平臺

因此傳統(tǒng)企業(yè)在使用區(qū)塊鏈的過程中，需要特別注重自身應(yīng)用中的智能合約安全性。而其中最主要的手段就是利用工具自檢排查，所以選擇一個提供完備的安全排查機制的開發(fā)平臺，就顯得非常重要。

目前，一些領(lǐng)先的區(qū)塊鏈平臺已給出更加專業(yè)和安全的解決方案，如迅雷鏈就推出了專門針對智能合約的安全機制。據(jù)介紹，迅雷鏈針對智能合約的安全審核分為三個層級，分別是防護，驗證和審計。

其中防護就是在編碼過程當(dāng)中不斷規(guī)范和代碼發(fā)布的規(guī)則，并不斷加以完善和維護，從源頭上對安全進行防護。驗證就是在開發(fā)工具中進行動態(tài)的安全檢測，當(dāng)開發(fā)者使用開發(fā)工具進行應(yīng)用開發(fā)時，該工具會自動對其中代碼進行安全性的檢測，一旦發(fā)現(xiàn)有問題，就會直接反饋給開發(fā)者。

最后迅雷鏈還會對所有智能合約進行完善的審計，馬雙陽說，其中絕大多數(shù)是人工審核，以此規(guī)避自動審查中的不精準(zhǔn)性，最大程度保證合約的安全性。

今年四月，迅雷鏈獲得國內(nèi)對非銀行機構(gòu)的最高級別安全認(rèn)證——國家信息安全等級保護三級認(rèn)證。同時，網(wǎng)心 科技 還作為行業(yè)領(lǐng)軍企業(yè)，受邀參與了《可信區(qū)塊鏈：區(qū)塊鏈安全評價指標(biāo)》的制定。這些都是迅雷鏈持續(xù)發(fā)力區(qū)塊鏈安全防護獲得的肯定。

安全與效率并重

不過業(yè)內(nèi)專家也提醒說，企業(yè)在開發(fā)區(qū)塊鏈應(yīng)用時，固然要強調(diào)安全性，但也要注重使用效率，二者不可偏廢，否則安全性倒是有保障，但應(yīng)用本身的易用性卻遭到損害，也不利于業(yè)務(wù)的開展。

區(qū)塊鏈頭部平臺也意識到了這方面的重要性，開始加強此方面的融和。據(jù)迅雷鏈底層研發(fā)工程師張驍透露，目前迅雷鏈主要是通過對加密算法等核心層的創(chuàng)新改進，在保證安全的同時努力提升應(yīng)用的開發(fā)和運營效率。

比如區(qū)塊鏈當(dāng)中最廣泛應(yīng)用的數(shù)字簽名算法，包括密鑰匙生成以及簽名還有驗簽三部分，需要同時保存簽名和公鑰。但迅雷鏈通過對這種加密算法的改進，實現(xiàn)用簽名倒推公鑰，這樣只需要保存簽名即可，由此減少了至少1/3的存儲空間需求，極大地降低了應(yīng)用的存儲成本。

同時在很多業(yè)務(wù)場景中，需要對某些數(shù)據(jù)進行求證，而求證過程又往往意味著數(shù)據(jù)的公開，由此又與數(shù)據(jù)安全和隱私保護形成沖突。鑒于此種情況，迅雷鏈推出承諾系統(tǒng)，利用同態(tài)加密和零知識證明兩種技術(shù)，實現(xiàn)了在不公開數(shù)據(jù)的情況下，完成對數(shù)據(jù)的求證。就好比寫字樓門禁，當(dāng)你拿工牌刷卡開門時，門禁只會反饋出“開”與“不開”這兩個結(jié)果，并不會告訴你工牌上的姓名、公司、電話等信息。

總體而言，當(dāng)前的市場背景下，區(qū)塊鏈技術(shù)處于不斷更新進步之中，區(qū)塊鏈人才極度匱乏，此時需要特別注重應(yīng)用產(chǎn)品的安全性，否則容易導(dǎo)致災(zāi)難性的后果。而加強安全度的最佳途徑，就是選擇像迅雷鏈這樣值得開發(fā)者和企業(yè)信賴的區(qū)塊鏈開放平臺，借助它所提供的完備安全機制，進行應(yīng)用開發(fā)。這樣既減輕了開發(fā)的工作量和成本，還最大程度地保障了自身應(yīng)用產(chǎn)品的安全性，能夠更好的服務(wù)消費者。