《耳朵听言》姚昌林：新轮牛市，如何共筑行业安全助发展？

整理 小玲儿

出品 耳朵财经

4月12日，融易资讯网（www.ironge.com.cn），耳朵财经的新栏目《耳朵听言》邀请了知道创宇区块链安全实验室技术负责人姚昌林在耳朵财经专访社群做了精彩分享，其内容整理如下：

各位群友，大家下午好，我是知道创宇的姚昌林，非常感谢耳朵财经的邀请来和大家一起探讨和交流区块链生态安全相关的主题——新一轮牛市，如何共筑行业安全助发展？我从2011年开始从事互联网安全工作，随着区块链行业的崛起和发展而逐步转向区块链方向的安全和技术研究，目前是知道创宇区块链安全实验室的技术总负责人。

不论是在传统互联网还是在区块链行业，安全都被认作是一个永恒的话题，没有绝对的安全。近期大家在Fei的事件中也能看出一些。整个生态其实是在攻与防的持续对抗发展中前进的。相对于传统互联网的安全而言，在区块链领域，我认为安全的作用和地位会更凸显，这也是制约区块链应用生态发展的关键短板。

中心化应用系统的代码大部分是闭源的，攻击者面对于黑盒的业务系统需要通过技术手段进行利用和攻破，有比较高的门槛。中心化系统在遭受攻击时，通过网络防护手段可以进行相应的一些防御，或事后进行数据恢复和补救。而区块链网络，基于它的去中心化、开放性、机制透明，还有数据不可篡改的特性，如果在项目上线前没有做安全方面的考虑，就很有可能因存在安全隐患而导致项目失败。

与此同时，区块链作为价值互联网的一个载体，数字资产就代表财富，基于这种财富的高诱惑力，使得大量攻击者眼红。据已知安全事件统计结果，从2018年至今，每年发生的安全事件都数以百计，造成的经济损失也呈指数级增长趋势。在这些安全事件中，不乏一些明星项目和区块链头部企业。

另外一方面，对于众多的用户和投资者，他们在区块链红利的驱动下纷纷涌入。但由于缺乏足够的区块链安全基础知识，对于投资项目也缺乏甄别能力。因区块链诈骗或是由于钱包使用不当导致的安全事件频频出现。

基于区块链的运行机制和特性来看，我认为应该从不同的方面来解决这些问题，共建生态的长期安全发展。

首先第一个，公链平台的安全是区块链的基础，它负责支撑各类区块链应用的运行环境，是区块链生态中的核心与基石。区块链的核心是通过先进的密码学技术，能够在不可信的网络环境中以低成本建立信任机制。同时，又具备一系列的加密算法和数字签名等方式确保交易安全，并且形成一种随时间戳排序的链式结构来保证数据不可篡改。

这既是区块链的优势和特点，但也因为其开放性而导致它的受攻击面比较大，比如在节点安全、区块处理、交易逻辑、数据存储以及共识机制等方面都比较容易受到威胁。

解决底层公链的问题，一方面需要生态中各方加强安全技术的研究和攻关，并且借鉴传统行业的密码学的研究成果，在设计上实现新的技术突破，从机制上尽量规避一些相关的问题。

其次，重视公链平台的安全审计工作，在公链上线运行之前，建议与专业的第三方安全公司进行针对于链平台的代码安全测试，可以有效保障链平台的节点、通信、存储、共识和权限管理等各个层面的安全性。

第二个维度，是私钥的安全。私钥的安全性是区块链密码体制安全的前提，谁拥有私钥就拥有了对应地址上的所有资产和权限。目前主要的方式是通过软硬件钱包进行管理，或是由用户自行保管。一旦私钥丢失，用户不仅无法对数据、资产进行任何操作，也无法找回所拥有的资产。

所以加强私钥的安全管理，是最为直接和高效的应对策略。以最直观的理解，保证私钥永不触网，可以解决大部分的安全问题。我们发现很多用户经常将私钥放到云笔记、邮箱等地方进行保存和备份，这是很危险的行为。在企业钱包应用当中，由于需要和业务进行对接，钱包和私钥的安全保管和签名问题也将会更严峻。

关于私钥和钱包安全，去年我们牵头研究和撰写的《数字钱包安全开发与应用实践》白皮书，也在云安全联盟进行了发布。里面有对钱包面临的安全问题进行了汇总和整理，以及对于钱包的安全开发实践、测试标准、私钥安全保管和签名等做了详细的讲解，如有兴趣，可以去网上找一下，可以帮助钱包、交易所等根据自身业务情况做下安全自查工作。同时，我们也基于创新的多签技术和多年持续积累的安全风控能力提供了企业级钱包托管服务。