《耳朵听言》姚昌林：新轮牛市，如何共筑行业安全助发展？(2)

说一个和钱包资产相关的问题，当你通过钱包访问某个智能合约时，智能合约可能会为了更方便操纵你的资产而向你申请授权。在实际授权的过程中，授权范围涉及的权限往往过大。例如你有一万U，而只想给智能合约授权100U进行投资，如果合约没有采用最小的授权原则，那么合约管理者就有权限操纵你钱包中的所有资产，而不用再经过你的私钥签名。如果合约本身存在安全问题，那极有可能会被黑客利用，会出现在私钥没有泄漏的情况下，损失所有的资产。

这便是我想讲的第三点——智能合约安全。当前智能合约的发展还处于较早的阶段，不像传统开发语言有完善的开发编码规范的约束，以及有比较完备的代码安全检测工具。即使出现了代码逻辑漏洞，因为是黑盒，在早期也不定会被攻击者发现。而智能合约运行在更为开放的环境中，并且天生带有金融属性，升级成本还极高，这意味着智能合约对安全的要求更高，任何一点瑕疵都可能带来不可估量的损失。所以建议项目方一定要找有很强技术功底的开发人员来编写合约。

这类的开发者他们有一个特点，就是项目的经验更为丰富，自己有比较严谨的编码规范。相对于普通的开发者，他们在编码过程中犯错的几率会更小，代码的质量也会更高。另外，项目方为了保证项目的公开、透明性，一般会开源合约代码。所以在合约部署前一定要经过专业的第三方安全审计。

据了解，当下生态中部分项目方将合约安全审计仅作为背书功能，这里我想强调一下，合约安全的审计，对项目自身的业务安全保障价值更为重要。

创宇在这块儿的安全研究工作做了很多，历史上已累计为项目方完成了4000多次的智能合约以及公链的审计工作。从编码规范、设计缺陷、编码安全、编码设计等方面梳理了全面的智能合约审计 checklist，这些也都贡献到了云安全联盟发布的《智能合约安全指南》白皮书中了，有兴趣的可以自行去下载。

第四，区块链项目的政策合规性，以及面对虚拟资产的犯罪活动监管问题。随着虚拟资产的价值升高和体量的迅速增大，虚拟资产犯罪的活动门槛很低，利用虚拟资产进行非法洗钱、诈骗、非法交易等犯罪行为也日益猖獗。这些犯罪活动所造成的影响也极其恶劣，他们严重破坏了当前的经济秩序以及金融市场的稳定运转，也让很多的用户投资者血本无归。

各国在政策监管上陆续都出台了一些制度和法规，并且提供监管沙盒以推进区块链的生态发展。作为生态中的参与企业，我觉得一方面是要积极配合监管机构，加强自身的安全管理制度落地和保证业务合规性，同时也需要持续完善业务风控能力，建立起虚拟资产的交易风控体系和监管方案。

对于用户和投资者而言，需要持续地进行安全知识的普及，加强自身的安全意识和防骗意识，谨慎分辨一些网络上出现的消息，不要掉进圈套里。在行业生态里，也需有专业的团队或个人对披着区块链外套的骗子项目进行监控和定期披露，提醒投资者谨防上当受骗。据我了解，有些公益项目已经在做了，未来可以期待一下。

第五，区块链安全应该是一个共建生态，不应该闭门造车或各人自扫门前雪。例如在区块链中，可以因为一个漏洞就影响一大批相关的项目，我们看到的这些项目，大部分都有同样的问题。因为它们源自同一个开源的合约代码。另外，区块链网络中的黑客无处不在，他们除了利用技术漏洞攻击，也还是金融套利高手。

例如之前发生的一些闪电贷攻击，还有我们熟知的科学家抢跑等，这些黑客在实时监测链上的交易，一旦发现有利可图，就会实施攻击。另一个，在行业各方从业者在关注自身业务安全的同时，也应该及时跟进热点领域的安全事件，并相互配合建立情报共享机制，共促整个生态的安全建设。关于这点，头部区块链企业做的比较好，他们有自己的安全团队，也会和第三方安全公司合作，以形成互补。在保障自身业务稳定发展的同时，也将自身能力共享输出，为整个区块链安全生态增加贡献。

以上是我今天分享的几点内容，总结一下：对于区块链的生态安全建设，我们应该是从底层公链平台安全、私钥安全、智能合约安全、区块链监管安全以及行业生态共建几个维度着手。好啦，谢谢大家。

提问环节：

问题一：Defi火爆之后，新矿涌现，矿工和资金便大量进入，项目方可能会被迅猛发展所裹挟而不能顾及安全。请问项目方在发展浪潮中如何携手安全同行？