《耳朵听言》姚昌林：新轮牛市，如何共筑行业安全助发展？(3)

姚昌林：安全是区块链发展面临的首要问题，一定需要顾及安全。Defi承载的不仅仅是业务，还直接关乎着项目参与方的资产安全。如果前期没有考虑周全，一旦发现安全问题，那整个项目很有可能会面临失败，而投资者的数字资产也将血本无归。

对于发展初期的区块链企业和项目方，可以根据企业和项目自身的特点，建立内部安全管理制度和规范。当然也可以邀请第三方的安全公司合作，帮助建立和补充完善内部的安全安全隐患。同时，它也能减轻项目方早期投入的一些问题，知道创宇凭借在互联网安全防护经验和安全研究能力，也提供了从安全研发——业务安全运行——运营期间的安全交易风控等全生命周期的区块链安全解决方案。

问题二：在钱包，交易所以及项目方等区块链生态中，哪一环节的安全问题最棘手？以及有哪些防范措施？

姚昌林：安全无小事。在区块链的生态中，任何一个看似微不足道的安全隐患，都有可能会产生严重的后果。区块链因为它自身的匿名性、跨国界的特点，一旦出现资产安全事件，对损失资产的追回将会面临较大的挑战。

从技术方面来看，钱包在使用的过程中主要包含钱包创建和使用两个环节，包含随机数生成的风险、私钥存储方式和数据备份的安全风险、网络传输的风险、运行环境的安全风险以及应用自身的安全风险等等。

交易所因为它对接了自身中心化的用户撮合业务，除了中心化企业钱包自身的安全风险之外，业务系统中的安全漏洞、风险管控的疏忽也会导致用户资产相关的安全问题。

Defi项目方面临的除了链上合约的安全风险之外，DAPP链下的安全风险也同样会有。

从另外一个角度来看，大部分的安全问题，其实均源于企业内部。内部安全保障能力得以提升后，可以大大降低安全事件的发生。

讲几个目前比较通用的防范措施，第一，加强企业内部的安全规范管理，提升员工的安全技能安全意识。

第二，业务上线前需要做全方位的安全评测，从代码安全、业务安全、网络安全等维度进行梳理，规避安全风险。安全公司一般会通过黑盒模拟黑客攻击，加以白盒的业务代码审计相结合的方式，及时发现项目缺陷和修正，保证上线项目的业务安全。

第三，业务上线之后，企业也需要随着运营工作的深入去持续完善业务风控能力，及时发现并且解决安全隐患。

第四，当出现安全安全问题后，需要在第一时间找安全公司进行应急响应。对于资产损失，可能还需要报警处理，并且通过安全公司的大数据分析能力定向追踪和实体的身份溯源，以辅助项目方进行调查取证和资产追回。

问题三：在您的安全从业经历中，有哪些重要的经验可以分享给从业者？

姚昌林：区块链是一个全新的领域，它的运行机制以及玩法和传统的互联网有很大的区别，同时门槛也较高，建议从业者首先要对区块链的原理和基础进行学习。如果基础不牢，后期发展肯定会受到阻碍。

其次，对于传统互联网领域的安全能力，无疑会为区块链生态提供强有力的支撑。基于区块链特性的一些新的安全问题可能还没有被发现，我们都应该抱着学习的心态持续强化安全意识能力和拓展知识视野，保持不骄不躁，持续空杯的心态。

还有一个最重要的点是在区块链网络当中的诱惑很多，作为从业者，必须要守住自己的道德底线，做正确的事情。尽管区块链具有一定的匿名性，但随着科技的进步，谁又能确保一直如此。有因必有果，今天种下的因，也许在未来某个时候会产生结果。