EOS:专访蒋旭宪：没有久攻不破的公链 只有尚未发现的漏洞

文︱艾特

核财经APP1月7日报道区块链向我们许诺，以分布式和防篡改的方式存储和交换有价值的信息。

而历史提醒我们，新生事物初期的野蛮生长，总是伴随着重大安全教训。纵观整个2018年，出现了BTG遭双花攻击、BEC智能合约漏洞、EOS“史诗级”漏洞、以太坊“致命报文”、BTC超发漏洞等重大安全事件。事实证明，那一行行的代码，尚不足以保护人类社会已岌岌可危的信任。

“而面对黑客肆虐，资产被盗，公链与DApp应用在被攻破之前，似乎永远不知道它是否安全。”前360首席科学家、PeckShield创始人兼CEO蒋旭宪博士表示，区块链1.0时代大家对技术本身认知还欠缺成熟，存在双花攻击风险以及私钥被盗的问题；2.0时代随着以太坊平台和大量智能合约的涌现，出现了溢出和阻塞等安全问题；3.0时代随着EOS和TRON等公链的兴起，一些追求高并发TPS的平台开始出现，在落地一些实时性互动的竞猜类应用时，出现了随机数和交易回滚问题等等。

蒋旭宪认为，公链冒出的安全问题，与区块链独特属性相关，特别是在币的承载和币的转移方法上面，成了黑客的天堂。而且，没有久攻不破的公链，只有尚未发现的漏洞。

他强调，区块链领域的安全由来已久，从区块链技术的发展来看，每一个系统以及相关的生态都是非常庞大的，其技术层面也是非常复杂的，把多个技术融合在一起，本身就是很困难的事。安全领域有一个所谓的木桶理论，最短的木板决定了你的安全高度。另外，在用户环节体验设计上，目前来看还有相当高的门槛。用户使用上如果不习惯，就容易犯各种错误。

英国游说团体CryptoUK：英国加密货币激励禁令可能会迫使加密企业迁出该国:金色财经报道，英国游说团体CryptoUK表示，金融行为监管局(FCA)计划禁止加密货币激励措施，可能会将加密企业赶出该国。FCA于6月发布了该行业新的加密货币促销规则以及指导意见咨询。CryptoUK呼吁明确什么是“合格的加密资产”和“金融促销”。

此前消息，FCA在6月份公布了加密行业的宣传规则，规定禁止使用空投等财务激励手段促销产品，并指出加密公司需要在广告中进行风险警告。[2023/8/10 16:18:43]

区块链生态安全亟待加强

核财经：从传统互联网安全换道区块链安全领域，您发现了什么？为什么要做一家区块链安全公司？

蒋旭宪：这反映了我个人的创业思考历程。关于创业的思考由来已久，但很遗憾在国外高校期间，完美的错过了国内的PC互联网阶段。在360期间我主要负责移动端的核心安全能力，算是参与和亲身体会了移动互联网的浪潮。

2017年下半年的时候，区块链行业开始热起来，那时候也是看了很多白皮书，不过市场上更多的是炒币，感觉这个做法根本不符合我的性格，也没有太大的兴趣。相反，当我更多的分析几大公链的底层代码，再结合自己个人的安全背景以及攻防的思维逻辑上去研究，这个层面一下子就吸引了我。

看进去之后，觉得区块链技术确实是一大技术变革，可能会是下一代的互联网核心技术，预计会重构目前的很多行业。同时觉得区块链根本上解决的是信任问题，安全又成了里面最核心的基石。如果安全没做好，信任问题根本无从谈起。所以，我决定Allin。

合肥市筹备成立元宇宙产业协会:金色财经报道，近日，合肥市元宇宙产业协会筹备组发布《关于筹备成立合肥市元宇宙产业协会的公告》。公告中称，经合肥市民政局审核同意，核准成立“合肥市元宇宙产业协会”(合民许准字2023011号)。业务主管单位为合肥市科技局。记者采访了合肥市元宇宙产业协会筹备组联系人杨玉凤女士。她表示，目前，合肥市元宇宙产业协会正处于筹备期，前期已经筛选了50多家与元宇宙产业相关的企业。后面等协会正式成立后，还会邀请元宇宙产业链相关企业加入。(大皖新闻)[2023/5/6 14:46:25]

核财经：您认为区块链领域面临的安全问题都有哪些？目前，在区块链行业做安全服务的难点和挑战有哪些？

蒋旭宪：从整个区块链行业的生态来说，我认为，里面的各个环节都碰到了区块链自身独特的安全问题。

我们可以分为横向和纵向来看。横向来说，有交易所、钱包、矿池、合约、DAPP等安全问题；纵向来看，有基础设施、数据层、网络层、共识层、激励层、合约层、业务层等方面的安全问题。

在各个维度上，区块链领域面临的安全服务与挑战也是前所未有的。这里我就不展开说了，但需要特别指出的是，目前区块链上攻击的犯罪成本极低，这会间接放纵安全事件的频发，而安全事件往往是突发的、在区块链上造成的资产损失和影响也是不可逆的。另外，黑客玩的是实打实的数字资产，回报率比传统互联网高很多，而惩罚的技术门槛颇高，力度也是明显不足。从另外一个角度看，比较遗憾的是，目前区块链开发者的安全意识和基础技能还是相对薄弱，不少底层合约代码存在较大的同质性，一旦出现问题就会有连带威胁。

Optimism桥接存储TVL突破50万枚ETH:金色财经报道，据Dune Analytics最新数据显示，以太坊二层扩容解决方案Optimism跨链桥接存储总价值已突破50万枚ETH，截至目前达到500,328枚，按照当前价格计算约合8亿美元，参与桥接交易的用户数量刚刚突破30万，当前为306,294个。

其他L2跨链桥方面，当前Arbitrum跨链桥接存储总价值为2,223,955 ETH、zkSync为204,741 ETH、StarkNet为12,495 ETH。

此前Coinbase宣布推出以太坊L2网络Base并将基于OP Stack构建，同时还将加入Optimism超级链生态。[2023/2/26 12:29:58]

核财经：今年新生了不少做区块链安全服务的公司，这个赛道的整体生态如何？行业寒冬里，您是如何思考在这一领域一展所长的？

蒋旭宪：区块链行业目前还处在早期，区块链安全亦是如此。为此，现在说整体生态还为时尚早，不过可以看出不同安全公司的切入点，大概有以下几种：一是链上数据分析和安全预警；二是形式化验证和机器证明；三是安全众测和威胁情报共享；四是传统互联网的安全业务转型。当然，未来还会有新的安全方向和公司不停的冒出来，包括数字资产的反。

随着区块链行业寒冬的到来，也会有不少安全公司被淘汰或者选择转型。我认为要想在安全服务这个赛道掌握核心竞争优势，关键要看：一是能否实时感知行业生态各个环节的运转动态，敏锐洞察可能出现的安全风险状况，并能准确的提供必要的预警和防范；二是能否切实解决生态中存在的安全问题，对行业生态的合作伙伴提供有感知的，且愿意付费的产品和服务。

Crypto Punk#5066以857枚ETH成交:2月7日消息，北京时间2023年2月7日07:06:11，0x26206c地址以857枚ETH（约140万美元）从0x8721cf处购得Crypto Punk#5066，该NFT是88个Zombie Punk之一。[2023/2/7 11:51:43]

正视公链安全漏洞问题

核财经：从1.0的比特币，到2.0的以太坊，再到3.0的百链竞发时代，公链成了黑客攻击的所谓天堂。那么，在您看来公链的安全问题主要有哪些？

蒋旭宪：区块链1.0时代大家对技术本身认知还欠缺成熟，存在双花攻击风险以及私钥被盗的问题；2.0时代随着以太坊平台和大量智能合约的涌现，出现了溢出和阻塞等安全问题；3.0时代随着EOS和TRON等公链的兴起，一些追求高并发TPS的平台开始出现，在落地一些实时性互动的竞猜类应用时，出现了随机数和交易回滚问题等问题。

总之，随着区块链生态的持续发展和逐渐繁荣，一些安全问题也会随之升级，并和业务场景息息相关，黑客实施攻击的手段和形式也趋于多样化。但根本上来说，对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障，可以支撑成千上万的各类区块链DApp应用。

核财经：2018年里，我印象中有两起重大安全事件，即5月29日360爆出EOS“史诗级”漏洞和6月15日PeckShield宣布发现以太坊上一个高危安全漏洞，可导致当前60%的以太坊节点瞬间崩溃。您如何看待这些被披露的安全问题的？

投行Jefferies：预计FTX用户可收回至多40%资产，已购买部分FTX债权:金色财经报道，纽约的投资银行 Jefferies Financial Group 预计 FTX 债权人可以收回约 20% 至 40% 的资金，但预计这场可能持续数年的破产程序中律师和其他管理人员的费用可能会达到 5 亿至 10 亿美元，故债权人可收回的净资产可能在其在 FTX 上持有资产的 10% 至 35% 之间。此外，包括 Jefferies 在内的公司表示，目前已完成或接近完成几笔收购 FTX 债权的交易。[2022/12/16 21:49:17]

蒋旭宪：360披露的“史诗级”漏洞问题，从严谨安全的层面可能会有一定程度的争议，尤其是“史诗级”的媒体渲染，让不明真相的人感到了恐慌。当时的争议在于，安全公司披露和项目方出现了一些摩擦，造成了广泛的行业影响。不过从另一个角度看，当时360选择在EOS主网上线前披露漏洞，确实让大家认识到区块链底层公链存在的严重安全问题。

PeckShield发现以太坊上的一个高危安全漏洞，也就是“致命报文”（EthereumPacketofDeath—EPoD)。EPoD可导致60%以上节点瞬间崩溃的问题，其实在6月初就已经发现并和以太坊基金会取得联系，协助其展开修复，真正披露是在6月底，确认该漏洞已经彻底修复后才对外披露的。

我认为，对于一个并未产生危害的严重漏洞，媒体披露的角度会过于夸大其危害性，从而警醒媒体受众加强安全认识，这无可厚非。但作为安全公司,我们可以尽量确保安全问题已经修复完之后再在合适时机进行披露，避免造成不必要的负面影响。

核财经：2018年称之为公链元年，您如何评价过去一年公链项目的安全问题的？

蒋旭宪：其实，回顾整个2018年公链安全问题来看，在生态的各个环节都出现了比较重大的安全事件，包括BTC、ETH、EOS、BCH等。这些公链上的安全问题从某种程度上可以完全摧毁整个公链。我认为，这里面影响最大的还是BTC的超发漏洞。虽然大部分媒体可能并不知晓这个漏洞的细节，该漏洞也没引起广泛的媒体传播，这是因为在这个BTC超发漏洞的处理上，包括研究人员的负责任披露、BTC核心团队的应急响应、最后相关的媒体报道，都是非常专业和值得称道的。但我们知晓这个漏洞的时候还是吓了一跳，也在内部认为这是2018年影响最大的漏洞，即使没有广泛的媒体报道。

每个公链漏洞都有它的特殊性，比如说以太坊的“致命报文”、EOS节点的“远程代码执行”等等这些安全问题，我认为都在各自公链上有它的独特性，但也有某种共通性。另外任一公链层面的安全漏洞，因为会影响到上面运行的所有DApp应用，所以他们的重要性必须给予足够的重视和关注。

DApp被薅公链亦成殇

核财经：公链的核心价值是应用，如您所说，公链层面的安全能影响上面所有的应用。为此，其自身应该采取哪些措施，以保护DApp应用的安全性？

蒋旭宪：这个问题我们内部有不少讨论。2018年暑假的时候，Fomo3D游戏火爆，当时攻击者做了一个阻塞攻击之后，把奖金池里面的钱全取走了。类似的攻击也出现在了其它Fomo3D类游戏，比如LastWin。这种阻塞攻击利用的就是公链本身设计的某一个特定环节。而且修复这些漏洞的成本也是很高。本质上说，2017年底的以太猫和2018年中的Fomo3D游戏，暴露了底层以太坊公链技术存在的不足，也就是TPS和响应时间等方面都不够理想。从保护DApp的角度看，期待以太坊公链2.0以及其它竞争公链在自身设计上，应该有一种机制能够防止这些所谓的阻塞攻击。

在EOS的公链，为了有效支持DApp应用，有一个有趣的设计，那就是延迟交易。这一点上，我觉得EOS还是值得赞赏的。通过延迟交易，DApp可以用一个未来的数据来充当随机数，这样就能够形成一个比较可靠的随机数生成，保证了谁也没法预测。这个也是目前各种EOS竞猜类DApp游戏当中，大部分都采用的随机数机制。

核财经：上个月，BetDice因交易漏洞损失近20万EOS。在EOS上，盗币事件屡被诟病，您对此有过哪些关注？为何EOS公链上的盗币事件如此频发？

蒋旭宪：这确实是个很严重的问题。我们内部梳理过EOS上线以来发生的所有安全事件，包括背后的漏洞原理分析、攻击流程的还原、攻击者的定位、获利情况、和最后不正当获利的资金流向等。分析其过程：一是有助于我们更好理解当前行业的现状；二是理解攻击者的能力，有助于我们更好去检测、阻截这些攻击者。也只有这样，我们才能更好的保护DApp开发者和用户。

但为什么现在EOS盗币事件这么频繁？我认为，一是EOS在某些方面的设计，虽然使得这些DApp的开发门槛相对较低，能吸引更多的开发者进来，但由于，它确实是一种新鲜的编程和运行环境，开发者对其认知程度，包括相关的安全考量和影响，我认为还需要时间沉淀。目前的现状是，在某些开发者和开发环节上确实难免会出现疏漏，在单点上也是容易被攻击者利用和攻破。

现在EOS公链上，更多的是竞猜类游戏，而竞猜类游戏又特别容易汇聚资产。有资产之后，资产会对黑客有更大的吸引力。攻击者一进来，就造成目前看到盗币新闻比较频发的问题。必须承认，目前的攻防现状上，攻击者是走在安全防守者的前面，他们甚至比防守者更快定位到哪些有安全漏洞或者安全问题的DApp。

最后，我们发现，在梳理攻击者最终所得的赃款流向的时候，特别是努力帮助开发者追回资金的时候，我们发现黑客的犯罪成本很低，因为目前适用的法律法规还不完善。在EOS上，虽然有ECAF的社区治理机制，但在时间的响应、流程上，我认为还有很大的空间可以改善。

核财经：现在，许多基于公链开发的DApp项目方都会担心会安全问题。从安全角度来讲，你认为DApp项目方应该如何提高自身的安全系数？

蒋旭宪：很多开发者在开发相关DApp的时候，或许因为沿袭了以前在传统互联网或移动互联网的开发模式，为了尽快推动业务上线，在安全方面没有第一时间重视，在安全应急响应流程上也是缺失。

我一直强调在区块链行业，安全一定要先行，而且需要在业务里面第一时间考虑进去。开发者在设计DApp的时候，在整体架构上就需要有安全意识和相应的安全模块。比如在开始设计合约的时候，如果出现了安全问题，应该会有怎样的应急流程和具体的响应机制。我认为好多DApp开发者根本就没思考过这个问题。一旦出了问题，他们可能就懵了。另外，DApp开发者术业有专攻，建议项目方和专业的安全团队建立有效地互动，包括合约上线之前的审计、遭遇攻击事件时的应急响应等等。最后尽量利用社区的力量，用社区的经验避免自己去踩同行以前踩过的坑。同时，也希望把发现的安全问题尽量回馈给社区，让社区都知道有类似的问题。我接触过很多类似的安全事件，别人踩的坑下一个项目方又去踩了一次，这让DApp开发者更加伤痕累累，我认为这个成本是有点高的，也没有必要。

标签：区块链EOS以太坊区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势EOS币是什么币以太坊币是什么币

波场热门资讯