10月19日，國家標準《信息安全技術區塊鏈信息服務安全規范》（下稱《安全規范》）研制啟動會召開。本次啟動會旨在落實相關工作要求，推動《安全規范》標準的編制工作，中國科學院信息工程研究所將負責組織實施標準的編制、推進等工作。

10月19日，國家標準《信息安全技術區塊鏈信息服務安全規范》（下稱《安全規范》）研制啟動會召開。本次啟動會旨在落實相關工作要求，推動《安全規范》標準的編制工作，中國科學院信息工程研究所將負責組織實施標準的編制、推進等工作。

“《安全規范》標準的制定和出臺，對于區塊鏈行業整體發展上有著很好的推動和促進作用;對于部分非法覬覦者和短期利益者，也有著較強的震懾作用;對于行業標準化、規范化的發展，有著很好的敦促和指引作用。”字節互鏈ByteLink CEO杜超向《鏈新》表示。

技術安全存隱患

“區塊鏈究竟安不安全，這個問題是仁者見仁智者見智。”佰鏈薈創始人、中國區塊鏈應用研究中心研究員辛泓睿向《鏈新》表示。

辛泓睿認為，區塊鏈安全主要涉及兩大類：一是區塊鏈+產業生態的安全（如電子交易、版權）;二是區塊鏈+政務（如身份驗證、存證等）。區塊鏈安全主要內容包括：技術安全，例如智能合約以及虛擬機的安全、密碼學與網絡安全、存儲安全等;應用安全，例如金融安全、審計安全等;以及監管安全等安全性要求。

2016年6月17日，區塊鏈業界最大的眾籌項目TheDAO（被攻擊前擁有1億美元左右資產）遭到攻擊，導致300多萬以太坊資產被分離出TheDAO資產池。2017年7月19日，多重簽名錢包Parity1.5及以上版本出現安全漏洞，15萬個以太坊被盜，共價值3000萬美元。這些上億元的安全損失只是因為一行代碼引起的。

“從技術角度來講，區塊鏈面臨的安全問題，既來自于區塊鏈本身，也有其他技術發展產生的潛在威脅。”比特大學聯合創始人、副校長王繼堯向《鏈新》表示。

據王繼堯分析，以較為重視安全維度的公鏈系統自身來講，目前公認較為安全的是比特幣網，運行超過十年年沒有遇到較嚴重的安全問題，主要原因是其在腳本上限制了開發拓展性，且節點數量相對較多，保證了鏈的安全穩定。

相比之下，可編程的區塊鏈系統及其鏈上應用，在編程過程中難免產生漏洞，如近期以太坊上的一些DEFI項目，由于部分合約未經審計以致漏洞未被發現，導致項目不得不暫停運行。

“近年來，區塊鏈安全方面，絕大多數的問題還是黑客攻擊，另外也出現過信息和隱私泄漏風險;數字加密資產領域出現較多的道德風險以及潛在的非法信息和資金傳遞風險。”杜超向《鏈新》表示。

杜超認為，黑客攻擊和開發者的道德風險，一定程度上可以通過技術發展以及逐漸健全、合規的代碼審計機制有所控制;而信息和隱私泄漏以及使用者道德風險，一定程度上可以通過風險意識教育進行部分規避。

“歸根結底，這幾塊的風險會持續存在。其中對公共安全有較大潛在危害的‘非法信息和資金傳遞’風險，比較復雜且難以偵測，但有可能造成極為嚴重的危害，比如：極端組織非法信息傳遞以及跨境洗錢等。”

尋找解決方案

“區塊鏈的安全問題是區塊鏈技術的核心命題，有效解決安全問題將很大程度助力區塊鏈發展。”王繼堯說。

“正如DEFI的去中心化金融給未來金融提供了很多解決方案參考一樣，對于目前產生的各種區塊鏈漏洞，同樣可以進行分類定級，建立一些常見的漏洞及安全識別體系，這有助于提升行業整體安全識別水平。”

王繼堯認為，從技術手段上，通過建立可信的代碼審計體系，可以一定程度上避免安全漏洞。整體而言，區塊鏈的安全相關細則制定，需要涵蓋公鏈、聯盟鏈、智能合約及鏈上應用，這是一個長久的過程，需要建立標準細則、完善體系等，“現在相關安全細則已經著手制定，這是一個好的開始。”

與此同時，也需要建立項目、公司、個人用戶的安全意識。“比如，用戶不去參與未經代碼審計的項目，這就會倒逼項目或企業完成代碼的安全審計。再比如，一些設計BAAS服務類的平臺，對于用戶構建的技術模塊，也應該考慮像以太坊網絡一樣，嵌入一個代碼漏洞識別與審計功能，提升平臺整體安全質量。這既需要商業機制的倒逼，也需要行業廣泛宣傳。”王繼堯強調。

“當前區塊鏈技術在各場景應用的過程中，主要存在密鑰泄露、賬號盜用、DDoS攻擊、協議漏洞、合約漏洞、應用軟件漏洞等安全隱患。”辛泓睿認為，可結合場景特點，從物理設施、區塊鏈底層協議、應用層面針對性展開安全風險防范，開展代碼審計工作，部分法規代碼化，內置于區塊鏈系統，打造符合國家安全要求的自主可控的區塊鏈平臺和應用。

“安全永遠是人們最關心的問題，計算網絡的安全性風險都可以通過技術來解決，來自用戶錢密鑰泄露、賬號盜用的安全主要通過提高用戶的安全意識，加強自我防范來實現。”辛泓睿表示。

目前，在高效低能耗、安全與去中心化這幾個主要設計目標上，區塊鏈技術存在“不可能三角”。如果選擇去中心化和高效低能耗，則要犧牲安全性，特別是在金融領域，幾乎可以一票否決;如果選擇去中心化和安全，舍棄高效低能耗，必然導致交易模式和場景的極大壓縮，幾乎是在所有主流業務上的全面撤退;最后，如果選擇高效低能耗與安全性，又極大損害了區塊鏈的預期發展前景。

“目前市場上相關企業掌握的區塊鏈技術，沒有太大差異，區塊鏈應用需要解決的是基礎理論上的問題，這是政府部門、科研機構牽頭承擔的任務。”辛泓睿表示。

期待標準出臺

“行業開始著手研究制定《安全規范》，恰恰體現了行業的蓬勃發展，并向著產業化、正規化方向邁進，這是我們喜聞樂見的。將對行業的安全防護、代碼審計相關的項目和公司有比較好的促進作用。”王繼堯表示。當下中國區塊鏈產業處于高速發展階段，國內主流金融機構、科技企業等紛紛加快區塊鏈應用投入，區塊鏈技術的應用領域從最初的金融逐步拓展到政務服務、供應鏈管理、工業制造等多個方面，新應用、新業態正在快速落地。

“區塊鏈當前不成熟，但有發展潛力。”辛泓睿認為，雖然區塊鏈行業總體仍處于發展早期，很多人研究區塊鏈底層技術，但到一定程度就很難有進展，需要有實際應用場景拉動。“現在區塊鏈應用落地項目，依然是一個痛點。要防范打擊詐騙，否則這些詐騙行為容易影響行業的發展和聲譽。同時，要鼓勵技術研究，踏踏實實做技術，不要天天炒概念。區塊鏈相對來說還是比較好管理，以鏈管鏈，以技術管技術。”

鑒于當前的技術缺陷，在區塊鏈應用落地項目中，王繼堯認為，應該“強化代碼審計，產業端聯盟鏈或開放聯盟鏈，完善自主核心關鍵技術，盡量采用完全自主研發的技術架構，并制定相應標準。”

杜超建議，重視區塊鏈行業監察、監管，建立有效的、快速的、多部門多層級共同協調的工作機制;加速推動密碼學和隱私保護等技術的發展和研究;逐步建立、健全有法律法規基礎的代碼審查、備案機制;加大從業者普法以及行業自律教育。

“《安全規范》標準的制定，將解決好監管的問題，有助于保障區塊鏈產業的健康發展。”辛泓睿認為，國家標準《安全規范》制定，將有利于研究區塊鏈信息服務安全風險，提出安全要求和測試評估方法，指導區塊鏈信息服務提供者開展安全建設和安全評估，進一步推進‘互聯網+信用’監管，利用區塊鏈、大數據、人工智能等技術手段，加強對行業和個人的信用信息的歸集共享和分析應用，為數字人民幣的開發提供支持，同時將推動云計算、物聯網、區塊鏈、5G等新一代信息技術與智慧信息系統的融合升級。
責編AJX