大家好，我是柯南。今天来和大家聊一聊区块链安全的那些事儿，马上就要到农历春节了，在这里我先祝大家新年快乐。

区块链安全的话题也会被大家多次提起，尤其是我们的资产安全。很多朋友会私信我们，问的比较多的也就是数字资产存放在交易所或者某某钱包是否安全，甚至让我们给建议怎么更好的保管自己的数字资产。

但区块链“安全”是个挺难弄明白的事儿。我们之所以选择区块链，就是为了让彼此，特别是相互不信任的彼此，以一种安全的、防篡改的方式共享数据资产。区块链的数据存储背后，是一系列复杂创新且难以被攻击者操纵的数学、软件规则。 但是，即便是设计最为优良的区块链系统，其高级数学、软件规则也不是‘100%防弹’的，特别是当子弹来自现实世界的高手时，就难办了。

而且在数字资产交易的历史上，安全事故一直层出不穷。其中不乏世界知名的交易所也出现了很大的安全事件。从门头沟到币安，种种都告诉用户必须仔细选择交易所才能保证自身的资产安全。

为大家整理了一下2019年以来的交易所安全事故盘点：

3月24日，DragonEX交易所被攻击，预计损失达到602万美金，具体被攻击原因未知。

3月26日，BIKI交易所被攻击，被攻击原因是为绑定谷歌验证码，短信验证码被劫持，官方已经对受损用户进行了赔付。

3月30日，Bithumb交易所被盗。预计损失达300万枚EOS，被攻击原因是私钥被盗（内部人员所为）。

5月8日，币安交易所被攻击损失了7000枚BTC，被攻击原因是多种攻击手段混合，币安基金已赔付损失。

不过大家也不要看到这些案例就觉得很慌，任何行业，哪怕大型的传统金融机构，也有出现安全风险的可能性。所以安全是个斗智斗勇的过程，我们也要理性去认识和认知各个平台的安全建设情况。

首先，要说说区块链被称为‘安全的’根本原因。以比特币为例，比特币区块链中，共享数据指全部比特币交易的历史记录，可以理解成核算分类账。这个分类帐被存储在计算机网络上的多个副本中，这些副本叫做“节点”。每当有人向分类帐提交交易时，节点检查提交交易确保其有效性，意思是说花掉一个比特币的朋友首先得有一个比特币能花。然后部分节点会竞争对有效交易打包进‘区块’并将其添加至区块链的权利。

说比特币系统是防篡改的，原因有两个：首先，每个区块独有自己唯一的加密指纹；其次是“共识协议”，即网络中节点就共享历史达成一致的过程。

以上这些是我们认知的区块链安全的由来，但这仅仅是区块链技术本身的安全特性，但由于数字资产平台或者项目方组织，他们是利用区块链技术在互联网世界开发相关产品，这个产品本身就有着各种各样的传统风险。

而目前的现状是，安全事件发生的频率很频繁，要知道这只是列举近期部分影响比较大的事件，如果把时间范围扩大，或者算上可能存在的影响较小的以及被掩盖的事件的话，数量会比这个更多;二是平台或用户的损失数额巨大，动辄数千万甚至数亿美元。

说到这里，还得说一说，为什么黑客们总是要攻击数字资产平台？

从逻辑上说，任何行为都是有目的的，黑客攻击行为的目的，不乏有为了炫耀技术或者表达政治诉求之类的情况，但是占比最大的还是为了获得经济回报。

现实生活中，是存在攻击传统金融机构例如银行或者证券交易所系统的情况的，但是这方面的记录相对之前说到的案例而言少很多。

我认为这里主要存在两方面的原因，一方面，传统金融机构所保有的资产，无论是数字化的相对于实体化的纸币和硬币法定货币，还是证券凭证，普遍都是记名的，其流转过程有迹可循，并且接受监管，要实现难以追踪的转移效果，成本高难度大。另一方面，传统金融行业的数字化历史已经很久，无论是人才储备，技术积累，制度规范都已经很成熟，单就信息安全方面的建设水平也相对很高了，要从技术上实现成功侵入盗走资产并逃脱追捕这一系列步骤难度非常大。

但是我们看数字资产交易所，一方面，数字货币的匿名性，不可篡改性以及无监管特性，导致了资产转移便捷，溯源找回难度大。另一方面，数字货币交易行业出现时间短，发展又非常快，利润高，导致本来技术积累就不足的情况下，仍然忽视信息安全方面的建设，隐藏的安全漏洞多，攻击起来相对容易。

当然了，也不是说数字资产平台就一定都很弱鸡，都充满了风险，哪怕刚提到的币安，虽然有安全事故，但依然是头部比较靠谱的平台，赔付机制也比较完善，其他像火币、OKEx、Coinbase、BitMex都在安全性方面有非常好的表现。

而且结合历史来看，OKEX在抵御风险方面比较强。根据官方透露，OKEX有自行组建的专业安全团队，在产品主页也有安全应急响应中心，可以奖励提交BUG的组织和个人，针对异常交易等非常规措施会有提醒，OKEX合约业务也有爆仓预警等措施，同时也和业内多家知名安全公司也建立了合作，除了对风控系统进行了升级，也建立了完善的赔付机制。

目前数字货币交易所在技术方面面临的安全威胁，主要分为两大部分。

一、传统信息系统安全漏洞

这一部分来说，数字货币交易所，和传统金融机构差别不大，其整个信息系统，由Web服务器，后端数据库等元素构成，用户通过浏览器，移动端App以及交易所提供的API等多种方式作为客户端访问服务器。

结合我之前提到过的事情可以看出，这部分面临的安全威胁主要包括，服务器软件漏洞，配置不当，DDoS攻击，服务端Web程序漏洞(包括技术性漏洞和业务逻辑缺陷)，办公电脑安全问题，内部人员攻击等。

对于规模较大，用户较多的交易所，还会面临用户被攻击者利用仿冒的钓鱼网站骗取认证信息的问题。

二、智能合约安全漏洞

以太坊被称为“区块链2.0”技术的代表，因为它支持智能合约的运行。可以这么来理解，比特币系统就是在底层区块链技术的基础之上，加上一个定义了奖励分发规则的“合约”所构成的。而以太坊的出现，提供了现成的底层区块链网络。

开发者编写好智能合约代码之后，将代码部署到区块链上，程序在以太坊节点的EVM虚拟机上执行。代码上链之后，各节点执行相同的操作，同步数据状态。

和传统的程序一样，智能合约也不可避免的会存在安全漏洞，不同的是，由于区块链技术的不可篡改特性，一旦合约部署好之后，就很难再修复其中的问题。一些存在例如整型溢出等漏洞的代币分发合约部署之后，上线交易所交易，接着漏洞被触发利用，短时间内超发大量代币影响市值，对交易所和用户来说都会造成巨大的经济损失。

实际的威胁情况可能比这还要严重得多。我们说智能合约之所以“智能”，是因为一旦部署上链之后，它的执行过程透明可见，不可篡改，无需人工干预，自然解决了执行过程中的信任问题，这也是区块链技术出现时所想要解决的根本问题。然而虽然解决了程序“运行”阶段的问题，但是如果合约代码存在漏洞，开始执行之后被利用，背离了原本的涉及初衷，那区块链技术的这些优秀特性反而会成为挽救损失的障碍。

应对这部分安全威胁，需要交易所在上线新的代币之前，先经过完善的合约代码安全审计工作，防患于未然，将可能的攻击威胁降到最低。

而且目前市场上活跃的第三方安全公司也出现了非常多，而安全问题是一个永恒的话题，也是一直斗智斗勇的过程，是全行业参与者都会十分关注的点，这里面除了技术的发展，也有像何一提到的政策的宽容性和空间，我们也会一直关注这些事件。

声明：本文所发表资讯不代表本公司任何投资暗示，亦不构成任何投资意见或建议，图片来源网络，若存在侵权行为，请联系我们删除。