区块链能否助力大数据安全应用？ 金融等场景的应用，更需要高度关注潜在风险
摘要：大数据安全现在已经上升成为国家安全极为关键的组成部分。最近我们正在这方面做探索，比如与金融界合作，尝试将分布式数据库与区块链技术结合在一起，这意味着可以即时发现数据库中的数据进出状况，从而真正保障数据安全。
查看更多华夏时报文章，参与华夏时报微信互动（微信搜索「华夏时报」或「chinatimes」）
赞(2)收藏(0)
评论（0）评论（0）评论（0）评论（0）评论（0）评论（0）
中国上市公司风险管理高峰论坛（金盾奖）
中国旅游品牌发展论坛
金票根影迷嘉年华
Copyright 2018 华夏时报网 All Right Reserved 版权所有
网站管理及技术支持：华夏时报新媒体中心
联系邮箱：NewMedia@ChinaTimes.cc《区块链著作（套装全17册）区块链革命 区块链冲击 区块链核心算法解析 等》【摘要 书评 试读】- 京东图书
客户服务
区块链著作（套装全17册）区块链革命 区块链冲击 区块链核心算法解析 等
与行业相比
京 东 价 &
[定价 &￥]
PLUS会员专享价
您购买此商品可享受专属价
增值业务 &
重　　量 &
搭配赠品 &
加载中，请稍候...
加载中，请稍候...
加载中，请稍候...
加载中，请稍候...
加载中，请稍候...
规格与包装
商品介绍加载中...
下载客户端，开始阅读之旅
出版社中信出版社 机械工业出版社 等
著者安德烈亚斯·安东诺普洛斯 野口悠纪雄 等
权利声明：京东上的所有商品信息、客户评价、商品咨询、网友讨论等内容，是京东重要的经营资源，未经许可，禁止非法转载使用。
注：本站商品信息均来自于合作方，其真实性、准确性和合法性由信息拥有者（合作方）负责。本站不提供任何保证，并不承担任何法律责任。
印刷版次不同，印刷时间和版次以实物为准。
价格说明：
京东价：京东价为商品的销售价，是您最终决定是否购买商品的依据。
划线价：商品展示的划横线价格为参考价，该价格可能是品牌专柜标价、商品吊牌价或由品牌供应商提供的正品零售价（如厂商指导价、建议零售价等）或该商品在京东平台上曾经展示过的销售价；由于地区、时间的差异性和市场行情波动，品牌专柜标价、商品吊牌价等可能会与您购物时展示的不一致，该价格仅供您参考。
折扣：如无特殊说明，折扣指销售商在原价、或划线价（如品牌专柜标价、商品吊牌价、厂商指导价、厂商建议零售价）等某一价格基础上计算出的优惠比例或优惠金额；如有疑问，您可在购买前联系销售商进行咨询。
异常问题：商品促销信息以商品详情页“促销”栏中的信息为准；商品的具体售价以订单结算页价格为准；如您发现活动商品售价或促销信息有异常，建议购买前先联系销售商咨询。
价　格： 到
　　　
iframe(src='//www.googletagmanager.com/ns.html?id=GTM-T947SH', height='0', width='0', style='display: visibility:')81131 条评论分享收藏感谢收起比赛结果=NBA官方网站API.get("总决赛")
if(骑士赢)
pay 40 to A
pay 40 to B
这个账户唯一会动账的可能就是获取比赛结果后，按照规则支付。我把代码给A看后，表示无异议。我们就把代码放到一个区块链上去运行。这个叫做”智能合约账号“的账户，事实上是一个无人信托，它只会按照代码去执行。等比赛结果出来了，代码一执行，谁都赖不了账。A再信不过我，我再信不过A，我们都能实现对赌。别的行业先不说，金融行业里实在太多这样的需求要这样做。比如私募基金协会出了个新八条，股票配资不让超过1：1了，赌场老油条们怎么办？吃惯优先利息的银行怎么办？于是大家想了一个利用信托的办法。劣后资金比如5000万，要搞个1:3的杠杆，然后银行出优先资金1.5个亿，双方都把钱打入信托账户。这时候信托账户上就有2个亿了，然后再拿信托的名义去券商开户做交易。信托负责审核，如果产品的净值小于0.8了，那么平仓，银行本金和利息拿走，剩下的钱归劣后拿回去。如果净值很高，并且到期了，银行拿走本金和利息，剩下归劣后。信托是银行和劣后都认可的可信第三方，问题是这活不是白干的，信托要收管理费用的。如今一块信托牌照大概能卖好几十亿，这钱太好挣了。整个流程耗时耗财不说，千三的通道费管理费忍了，最关键的问题，如果信托公司出问题了呢？信托公司可不是都做无风险业务的，天天嚷嚷着要打破刚兑啥的，如果哪一天真出问题了咋办。托管账户在银行这里，银行也不是没倒闭的风险。要解决信任问题的办法恰恰是谁都不信。咱们再写个智能合约净值=券商报告.get(产品名称)
运行天数=DateTime.Now - 起始日期
应计利息=优先资金量×日利息×运行天数
银行应收=优先资金量+应计利息
劣后应得=净值×总额-银行应收
if(净值&=0.8 or 运行天数&=到期天数)
pay 银行应收 to 银行
pay 劣后应得 to 劣后
往区块链上那么一放，一样实现这个效果，但你不用担心任何一个第三方违约或者倒闭，因为这里并没有第三方。或者说全世界都是你的第三方。具体的底层技术细节不是码农兄弟就别管了，就跟你不需要知道链路层通讯协议照样能打王者荣耀一样。好了，民间配资公司都可以洗洗睡了。标准优先劣后协议开源后，资金方自己可以打钱进智能合约，等劣后方打钱进去，填写个产品名称后就可以跑起来了。配资公司吃掉的利息差有多大，旧模式其实浪费的资源就有多大。比信托的通道费和管理费大多了。撇开费用不谈，想想债券代持的萝卜章事件吧，不信任任何第三方是何等的重要。如果债券代持这笔业务是放在区块链上的话，那根本不可能有公章是伪造这种奇葩借口。因为区块链上的身份确认，是用高级加密算法的数字签名来实现的，不是地摊上私刻公章能做出来的。人类科技都发展到这水平了，还在用印章和笔迹来验证核实身份，这是何等奇怪之事。说到中间人的浪费，莫过于保险公司了。保费里只有一小部分是真正发挥作用的，你的钱都付给brokers和宏观的核心CBD地段大楼去了。更别说各种模糊抠字眼的不理赔条款了。我们再写个智能合约航班抵达时间=航空公司官网.get(航班号)
pay 30 to I
if(航班抵达时间-预期时间&3小时）
pay 1000 to C
这里I是保险公司，C是客户。I要先充1000到智能合约里，B要充30到智能合约。这是个标准合同，任何人充个1000都能当保险公司，试图去赚个30块钱。当然啦，保险公司靠大数定律赚钱，最好别只搞一次。智能合约在区块链上跑不是没有成本的，是要付费的，但远比传统大型金融中介机构要便宜得多得多。成本还不是主要考量，最最关键的是，没有模糊条款。比起自然语言，代码没有歧义性。如果保险公司和信托公司的违约风险大家没体会的话，想想场外期权的违约风险，行业是有血的教训的。比如现在大热的螺纹钢，没有期权不给力啊，搞个场外的话，但交易对手违约风险怎么办。螺纹钢报价=上期所报价.get("rb1801")
Pay 期权费 to Seller
if(DateTime.Now()&=到期日 and 螺纹钢报价&4000)
内在价格=螺纹钢报价-4000
pay 内在价值 to Buyer
这和杠杆的保险有点像，这是一张执行价4000的螺纹钢的欧式看涨期权，期权的买方只需要充值期权费用进去就可以了。关键是期权的卖方，保证金充多少进去。到期了，如果期权的卖方保证金不足以支付了怎么办？我们有两种解决方案，一个是在智能合约里规定，一旦卖方的保证金不足以支付，直接强制平仓将保证金全部给多头。另外，智能合约是可以发送消息的，让卖方追加保证金进去，否则触发强平。这里的保证金不是给交易所的，而是打到智能合约的账户上的。虽然是场外，但你也不用担心对手盘风险了。事实上，合约你可以自己定义规则，不一定要是标准的期权期货合约，衍生品人人可以设计，不用等交易所上市产品。A股股票融券难，不易做空？股价=上交所报价.get("600516")
价差=股价-对赌价
if(价差&0)
pay 价差 to Long
pay Math.Abs(价差） to Short
//Math.Abs 的意思是取绝对值
多头（Long）和空头（Short）都充值保证金进去，然后开始对赌。保证金比例大家商量在合约里体现，也设计保证金Margin Call功能，这就是个股期货了。看好600516的可以获得没有配资利息的杠杆，空头可以不用融券做空。所谓“现金交割”的金融期货，无非就是拿个指数对赌。沪深300啦，VIX期货啦，莫不如此。其实只要是有公允数据的东西，都可以拿来对赌，NBA比赛和飞机航班是否延误之外，还能有各种各样的公开数据，对冲掉你不想要的任何风险，只要你有交易对手。其实在区块链智能合约出现之前，金融行业里已经有个东西有点像智能合约。这东西叫信用证，是银行开具的。什么意思呢？大家都用过支付宝。在淘宝上卖家担心发货了买家不付款，买家担心付款了，卖家不发货。那怎么办？买家先打钱给支付宝，然后支付宝收到钱后告诉卖家买家已经付款，发货收货完成后买家确认收货，支付宝放款给卖家。支付宝是淘宝交易的可信第三方。信用证是贸易过程中，银行充当可信第三方的角色。比如A公司要买B公司的货，是笔跨国贸易。A公司担心付钱给B公司货过不来，B公司担心发货了A迟迟不打款。于是，A公司给自己的银行打保证金让银行开具一张信用证给B的开户银行，信用证里写了只要海关数据显示货到了，我就会支付给你钱。如果条件迟迟不触发，那么银行会把保证金退还给客户。这里银行就是支付宝的角色。问题是如果跨国贸易对手是一家名不见经传的小银行怎么办？信用不足怎么办？谁都别信谁的，大家用区块链技术做。根本不信任任何机构比任何机构要可信。如今，已经有大量的国际信用证开始使用区块链技术来做了。智能合约怎么写？相信大家已经有数了。供应链金融也是区块链技术应用得比较多的一个领域。放贷方要知道有没有真实上下游的交易，应收确权等等。谁都别信谁，上区块链，上下游把自己有没有发货有没有应付写上去。谁都别想赖账，明明白白的公开账本。放贷方就能做风险控制了。上面说的主要是金融方面的应用，区块链技术能做的其他领域的应用还很多。比如房地产的确权工作，这比一纸地契要可靠，在一些法制程度比较差的地方在应用。还节约了房地产交易的费用，当然这不如打保证金去智能合约里那么牢靠。毕竟公开账本里明明白白就是你的地，地方军阀完全可以不认账。投票系统也是大的应用场景，不用担心“被代表”了。因为区块链上所有的信息都是靠数字签名来验证你的身份的，并且信息的一致性有保证，所以利用区块链技术可以做到非常可信的投票体系。NasdQ交易所的区块链交易系统Linq就是个好例子，股票的股东在做投票的时候，谁有多少股谁就有多少个投票权，股东决议变得可信而高效。区块链技术因为是跑在一个完全P2P的网络里的，完全不知道运行在网络里的哪里，拥有绝佳的保密性和安全性。所以有一个比较有意思的项目，利用这个做的保密通讯工具。每个人的身份通过数字签名技术验证，不需要根证书啥的。一个不需要中心化网络的加密通信信道，简直可以再造一个升级版暗网。版权也是个大的应用领域，版权的交易可以去中心。这样的场景在各行各业还有很多，区块链技术的价值还等待大家去挖掘。值得一提的是，智能合约的设计是区块链这个技术本身就自带的。第一个版本的bitcoin就是跑一个脚本来解锁一个加密数字货币的。大意是说：我希望比特币在0.1版就能拥有稳定的架构，未来不需要再做底层改变。在过去几年设计比特币的过程中，我发现只有使用脚本系统才能完成我希望支持的各种复杂交易类型——担保交易、连带合同、第三方仲裁、多方签名等等。援引这就叫先见之明。赞同 2.3K302 条评论分享收藏感谢收起信息安全、合规、效率……
什么才是银行区块链应用的当务之急信息安全、合规、效率……
什么才是银行区块链应用的当务之急每日经济新闻百家号图片来源：摄图网从概念诞生的那天起，区块链技术便赚足了眼球。在没有第三方平台提供信用保证的前提下，区块链技术就可以让你完成一次安全的几乎无瑕疵的交易，困扰世界的信息安全问题仿佛一夜间迎刃而解，各行业的运营模式仿佛将迎来颠覆性的区块链革命。热度过后，除了比特币暴涨，还有“区块链”的概念性资本运作，区块链就像兴奋时高举的手，冷静后却不知如何落下。区块链真的无懈可击吗？交易的效率问题会让区块链技术最终无功而返吗？区块链应用的困难和挑战在哪？日前，在《每日经济新闻》举办的银行业区块链应用研讨会上，多位来自银行业的与会人士认为，区块链发展依然长路漫漫，相比技术共性问题，当务之急是找到最大化运用技术优势的场景，让区块链技术应用落地。区块链技术仍任重道远麦肯锡在近期发布的报告中称，区块链技术是继蒸汽机、电力、信息和互联网科技之后，目前最有潜力触发第五轮颠覆性革命浪潮的核心技术。由于具备去中心化、高安全性、信用成本低、无法篡改和公开透明这些特殊优势，区块链技术提供了一种新的信用创造机制，尤其在金融领域表现出广泛的应用前景。统计显示，金融服务业也是目前区块链经济最活跃的组成部分，无论是资源投入还是人才争夺都是如此。而业内人士认为，在现有的金融机构运营模式下，区块链技术的介入可能会引发一些新的问题。微众银行科技创新产品部副总经理范瑞彬指出，作为一种新的、分布式、多方协作的技术基础设施，区块链的治理模式与目前金融机构原有IT体系中的模式有很大的不同，两者如何既能很好地完成对接，又满足高效、可靠、安全、合规，是一个非常重要且有挑战的问题。范瑞彬表示：“区块链本身作为一种新的基础设施，跟金融机构原有架构有很多不一样，肯定会带来一些多方机构之间的隐私保护问题。另外，是否突破了原有的监管合规对科技方面的要求，也需要特别小心。”在他看来，信息安全、合规等都是区块链应用中必须要面对和解决的问题。兴业数金中心区块链应用项目经理王海腾认为，区块链的效率问题先天就存在，只能通过应用层去解决。“整个区块链都是一个共享的分布式账本，达成一个共识就需要一个点，需要的时间比单机预算要长，但这个问题可以通过应用层去解决。”如何解决？王海腾也提出了一个解决方案：构建一个区块链的云，在云上有机器达成共识，只需要在上面写智能合约就可以了。他透露，这也是公司目前已初步达成的一个目标。区块链是一个非常新的技术领域，业内很多机构伙伴普遍担忧自己对这个领域的技术掌握和熟悉程度有限，包括底层的熟悉、应用的开发、系统的部署、服务的治理、业务的运营等各个环节。同时很多机构又难以找到可靠的技术支持或系统提供商。范瑞彬认为，目前在机构之间、行业之间非常迫切地需要相关经验的交流、分享，大家应更多地形成合力去探索前进，共同成长。据中国平安旗下金融壹账通区块链资深技术专家谢丹力的分享，金融壹账通在区块链产品化过程中的思路和尝试是，平安银行的钻石交易平台充分利用了Sparrow零知识证明技术，让参与钻石业务的国际合作方，对自身商务信息的隐私安全完全掌握；再者，FiMAX还提供了快捷的一键部署功能，可以一次性搭建好整个FiMAX区块链系统，包括排序节点部署、数据节点部署、用户身份体系创建、智能合约部署以及区块链创建等工作，大大降低了运营成本和操作风险。技术落地长路漫漫尽管存在这样或者那样的问题，区块链技术依然以令人惊讶的速度进入了人们的视野，甚至被各国列入下一步信息发展规划。当资本站上“区块链”概念的风口，区块链真的成了解决各行各业痛点的灵丹妙药吗？在与会业内人士看来，真正有效的场景应用依然屈指可数，区块链应用更多还处于试验阶段。这与区块链技术推出时间不长、技术成熟度不够有关，更多是由于人才和技术基础储备的缺乏，目前业内尚未找到合适的场景，去真正充分发挥出区块链技术的优势。招商银行信息技术部高级架构师张育明就表示，现阶段更重要的还是业务价值问题。他称，对于部分业务场景，区块链确实能解决一定的问题。“区块链并不是唯一能提供解决办法的方案。”对于业务部门而言，区块链应用的迫切性还不高。还有业内人士补充道，如果业务部门动力不足，整个系统的使用量和效果都将有限。在百信银行信息技术部高级总监朱清沂看来，技术的产生是为业务或者是为所有场景服务的。就银行而言，周边的一些机构有强烈意愿加入到区块链应用当中，传递到技术部门的压力就更大，行业都在关注这一技术的应用，这是一个好的信号。但有些地方是解决不了的，比如在仓单质押、保证金等多个场景中。《每日经济新闻》记者注意到，目前在部分场景下，区块链应用已被公认为很有价值，比如涉及到多方主体协作，涉及到长周期等业务场景。谢丹力表示：“从区块链与传统技术的比较看，传统技术在很多具体场景的应用上能够完成功能的80%~90%，但区块链完成的恰好是最难的10%，如平安上线的主账户对账业务，通过对传统业务的改造，资产提供方将交易入链，将原本需要T+1日才能处理完成的80%差错进行实时处理，这样的效率传统技术几乎做不到。”谢丹力还表示：“必须承认的是，区块链技术的推广和普及，取决于区块链技术的成熟度以及市场的接受度。尤其是金融行业对这种新技术持谨慎态度。为此，以区块链技术为主的各家机构都在努力。在可以预见的未来，区块链有望成为一个公共基础设施。届时，大规模的企业应用有望真正落地。”本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。每日经济新闻百家号最近更新：简介:中国主流财经全媒体平台作者最新文章相关文章一文看懂区块链技术安全，在安全行业区块链又有什么用一文看懂区块链技术安全，在安全行业区块链又有什么用雷锋网百家号雷锋网注：本文作者，360CERT 。原文出处： Seebug Paper 。区块链技术是金融科技（Fintech）领域的一项重要技术创新。作为分布式记账（Distributed Ledger Technology，DLT）平台的核心技术，区块链被认为在金融、征信、物联网、经济贸易结算、资产管理等众多领域都拥有广泛的应用前景。区块链技术自身尚处于快速发展的初级阶段，现有区块链系统在设计和实现中利用了分布式系统、密码学、博弈论、网络协议等诸多学科的知识，为学习原理和实践应用都带来了不小的挑战。区块链属于一种去中心化的记录技术。参与到系统上的节点，可能不属于同一组织、彼此无需信任；区块链数据由所有节点共同维护，每个参与维护节点都能复制获得一份完整记录的拷贝，由此可以看出区块链技术的特点：维护一条不断增长的链，只可能添加记录，而发生过的记录都不可篡改；去中心化，或者说多中心化，无需集中的控制而能达成共识，实现上尽量分布式；通过密码学的机制来确保交易无法抵赖和破坏，并尽量保护用户信息和记录的隐私性。虽然单纯从区块链理解，仅仅是一种数据记录技术，或者是一种去中心化的分布式数据库存储技术，但如果和智能合约结合扩展，就能让其提供更多复杂的操作，现在活跃的各个数字货币就是其中一种表现形式。0x01 区块链安全性思考由于区块链技术的特性，在设计之处就想要从不同维度解决一部分安全问题：01 Hash唯一性在blockchain中，每一个区块和Hash都是以一一对应的，每个Hash都是由区块头通过sha256计算得到的。因为区块头中包含了当前区块体的Hash和上一个区块的Hash，所以如果当前区块内容改变或者上一个区块Hash改变，就一定会引起当前区块Hash改变。如果有人修改了一个区块，该区块的 Hash 就变了。为了让后面的区块还能连到它，该人必须同时修改后面所有的区块，否则被改掉的区块就脱离区块链了。由于区块计算的算力需求强度很大，同时修改多个区块几乎是不可能的。由于这样的联动机制，块链保证了自身的可靠性，数据一旦写入，就无法被篡改。这就像历史一样，发生了就是发生了，从此再无法改变，确保了数据的唯一性。02 密码学安全性以比特币为例，数字货币采用了非对称加密，所有的数据存储和记录都有数字签名作为凭据，非对称加密保证了支付的可靠性。03 身份验证在数字货币交易过程中，由一个地址到另一个地址的数据转移都会对其进行验证：- 上一笔交易的Hash(验证货币的由来)- 本次交易的双方地址- 支付方的公钥- 支付方式的私钥生成的数字签名验证交易是否成功属实会经过如下几步：- 找到上一笔交易确认货币来源- 计算对方公钥指纹并与其地址比对，保证公钥的真实性- 使用公钥解开数字签名，保证私钥真实性04 去中心化的分布式设计针对区块链来说，账本数据全部公开或者部分公开，强调的是账本数据多副本存在，不能存在数据丢失的风险，区块链当前采用的解决方案就是全分布式存储，网络中有许多个全节点，同步所有账本数据（有些同步部分，当然每个数据存储的副本足够多），这样网络中的副本足够多，就可以满足高可用的要求，丢失数据的风险就会低很多。所以建议部署区块链网络时，全节点尽量分散，分散在不同地理位置、不同的基础服务提供商、不同的利益体等。05 传输安全性在传输过程中，数据还未持久化，这部分空中数据会采用HTTP+SSL(也有采用websocket+websocketS)进行处理，从而保证数据在网络传输中防篡改且加密处理。0x02 数字货币安全性思考01 BTC比特币（Bitcoin，代号BTC）是一种用去中心化、全球通用、不需第三方机构或个人，基于区块链作为支付技术的电子加密货币。比特币由中本聪于日，基于无国界的对等网络，用共识主动性开源软件发明创立。比特币也是目前知名度与市场总值最高的加密货币。比特币区块结构钱包和交易比特币钱包的地址就是公钥通过 Base58 算法编码后的一段字符串，使用该算法可以将公钥中的一些不可见字符编码成平时常见的字符。Base58 相对于 Base64 来说消除了非字母或数字的字符，如：“+”和“/”，同时还消除了那些容易产生混淆的字符，如数字 0 和大写字母 O，大写字母 I 和小写字母 l。这一段用作比特币钱包地址的字符串就相当于一个比特币账户。交易属于比特币中的核心部分，区块链应用到数字货币上也是为提供更安全可靠的交易。交易之前会先确认每一笔笔交易的真实性，如果是真实的，交易记录便会写入到新的区块中去，而一旦加入到区块链中了也就意味着再也不能被撤回和修改。交易验证流程大概为：验证交易双方的钱包地址，也就是双方的公钥。支付方的上一笔的交易输出，前面也说到了钱包里面是没有存放你的比特币数量的，而你每一笔交易都会产生交易输出记录到区块链中。通过交易输出可以确认支付方是否能够支付一定数量的比特币。支付方的私钥生成的数字签名。如果使用支付方的公钥能解开这个数字签名便可以确认支付方的身份是真实的，而不是有人恶意的使用当前的支付方的钱包地址在做交易。一旦这些信息都能得到确认便可以将交易信息写入到新的区块中去，完成交易。受比特币区块大小的限制（目前的为 1MB，一笔交易信息大概需要 500 多字节），一个区块最多只能包含 2000 多笔的交易。因为区块链中记录了所有的交易信息，所以每个比特币钱包的交易记录和币的数量都是可以被查到的，但是只要没有对外公开承认钱包地址是属于你的，也不会有人知道一个钱包地址的真实拥有者。还有一种交易叫做 coinbase 交易，当矿工挖到一个新的区块时，他会获得挖矿奖励。挖矿奖励就是通过 coinbase 交易拿到手的，也一样是需要把交易信息添加到新的区块中去，但是 coinbase 交易不需要引用之前的交易输出。安全问题比特币基于区块链，具有去中心化结构，用户通过一个公开的地址和密钥来宣示所有权。某种程度上，谁掌握了这个密钥，谁就实质性地拥有了对应地址中的比特币资产。而区块链的防篡改特征，是指比特币的交易记录不可篡改，而非密钥不会丢失。同时，也正因为区块链不可篡改，密钥一旦丢失，也意味着不可能通过修改区块链记录来拿回比特币。因此针对比特币的盗币事件屡有发生，主要是通过下面三个手段：交易平台监守自盗交易所遭受黑客攻击用户交易账户被盗交易平台监守自盗可以向平台索回，但是黑客攻击导致的盗币，很难被追回。因为黑客一旦盗取比特币，接下来便会通过混币等手段进行洗白，除非有国家力量强力介入，否则追回的可能性仅仅停留在理论层面。02 ETH以太币（Ether，代号ETH）为以太坊区块链上的代币，可在许多加密货币的外汇市场上交易，它也是以太坊上用来支付交易手续费和运算服务的媒介。以太坊（Ethereum）是一个开源的有智能合约功能的公共区块链平台。通过其专用加密货币以太币提供去中心化的虚拟机（称为“以太虚拟机”Ethereum Virtual Machine）来处理点对点合约。智能合约以太坊与比特币最大的一个区别——提供了一个功能更强大的合约编程环境。如果说比特币的功能只是数字货币本身，那么在以太坊上，用户还可以编写智能合约应用程序，直接将区块链技术的发展带入到 2.0 时代。以太坊中的智能合约是运行在虚拟机上的，也就是通常说的 EVM（Ethereum Virtual Machine，以太坊虚拟机）。这是一个智能合约的沙盒，合约存储在以太坊的区块链上，并被编译为以太坊虚拟机字节码，通过虚拟机来运行智能合约。由于这个中间层的存在，以太坊也实现了多种语言的合约代码编译，网络中的每个以太坊节点运行 EVM 实现并执行相同的指令。如果说比特币是二维世界的话，那么以太坊就是三维世界，可以实现无数个不同的二维世界。安全问题ETH最大的特点就是智能合约，而智能合约漏洞也就导致了ETH的安全问题。2016年黑客通过The Dao，利用智能合约中的漏洞，成功盗取360万以太币。THE DAO持有近15%的以太币总数，因此这次事件对以太坊网络及其加密币都产生了负面影响。The DAO事件发生后，以太坊创始人Vitalik Buterin提议修改以太坊代码，对以太坊区块链实施硬分叉，将黑客盗取资金的交易记录回滚，得到了社区大部分矿工的支持，但也遭到了少数人的强烈反对。最终坚持不同意回滚的少数矿工们将他们挖出的区块链命名为Ethereum Classic（以太坊经典，简称ETC），导致了以太坊社区的分裂。在虚拟货币历史上，这是第一次，也可能唯一一次由于安全问题导致的区块链分叉事件。无独有偶日, 多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个ETH被盗,共价值3000万美元。两次被盗事件都是因为智能合约中的漏洞。让我们看到，虚拟货币的安全不仅仅是平台和个人，区块链上的应用，也是我们应该关注的内容。03 XMR门罗币（Monero，代号XMR）是一个创建于2014年4月开源加密货币，它着重于隐私、分权和可扩展性。与自比特币衍生的许多加密货币不同，Monero基于CryptoNote协议，并在区块链模糊化方面有显著的算法差异。隐蔽地址隐蔽地址是为了解决输入输出地址关联性的问题。每当发送者要给接收者发送一笔金额的时候，他会首先通过接收者的地址（每次都重新生成），利用椭圆曲线加密算出一个一次性的公钥。然后发送者将这个公钥连同一个附加信息发送到区块链上，接收方可以根据自己的私钥来检测每个交易块，从而确定发送方是否已经发送了这笔金额。当接收方要使用这笔金额时，可以根据自己的私钥以及交易信息计算出来一个签名私钥，用这个私钥对交易进行签名即可。环签名隐蔽地址虽然能保证接收者地址每次都变化，从而让外部攻击者看不出地址关联性，但并不能保证发送者与接收者之间的匿名性。因此门罗币提出了一个环签名的方案——事实上，在古代就已经有类似的思想了：如图5所示，联名上书的时候，上书人的名字可以写成一个环形，由于环中各个名字的地位看上去彼此相等，因此外界很难猜测发起人是谁。这就是环签名。除了交易地址，交易金额也会暴露部分隐私。门罗币还提供了一种叫做环状保密交易（RingCT）的技术来同时隐藏交易地址以及交易金额。这项技术正在逐步部署来达到真正的匿名。这项技术采用了多层连接自发匿名组签名（Multi-layered Linkable Spontaneous Anonymous Group signature）的协议。安全问题比特币交易私密性方面做的不太好，关于货币隐私的两个基本属性：不可链接性（Unlinkability）：无法证明两个交易是发送给同一个人的，也就是无法知道交易的接收者是谁。不可追踪性（Untraceability）：无法知道交易的发送者是谁。比特币交易要发送地址信息，很明显不符合之上的要求。门罗币通过隐蔽地址来保证不可链接性，通过环签名来保证不可追踪性，从而给用户的交易信息提供了很好的隐私性。另一方面，比特币挖矿主要依赖于大量专业化的专用集成电路（ASIC）。它的算法在ASIC上的运行速度远超于在标准家庭电脑或者笔记本电脑上运行。相比之下，门罗币的挖矿算法要精良得多。它并不依赖于ASIC，使用任何CPU或GPU都可以完成，这就意味着门罗币具有更低的挖掘门槛。门罗币的这些特性，使其成为黑产挖矿的不二之选。过去的一段时间，出现了许多以门罗币挖矿为目的的网络攻击事件。04 小结在以太坊这种平台区块链上，如果运行智能合约，应用程序出现漏洞，同样也会威胁其上的数字资产。以太坊解决了比特币的单应用的局限，使得区块链像一个操作系统，开发者可以在其上搭建自己的“应用”。门罗币降低了挖矿的门槛，同时又满足了交易私密性需求。这些特性都符合黑产的需要，过去的一段时间，以门罗币挖矿为目的的网络攻击事件时有发生。0x03 交易平台安全性思考随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台，部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计，然而交易平台背后的经营者能力与平台的自身的安全性并没有很好的保障。从14年至今据不完全统计，单纯由于交易所安全性导致的直接损失就达到了1.8亿美元之多。随着虚拟币的水涨船高，交易所就成了黑客们的首要目标，据统计入侵一家交易所给黑客带来的直接利益大约1000万美元左右，然而交易所的安全性参差不齐和各个国家对这类平台基本都暂时没有好的管控策略，这给黑客带来了很大的便利，同时也直接威胁着用户的资金安全。01 平台被黑事件回顾比特儿(Bter.com) 比特币交易平台被盗事件 事件简介： 比特儿是一家中国的山寨币交易所。NXT等山寨币都在上面交易。 由于POS币的钱包必须上线运行才能获取利息。因此NXT钱包必须在线运行，给了入侵的机会。POS币不能冷钱包保存，暴露出POS的重大安全隐患。黑客盗走NXT后与平台方通过交易留言进行了谈判：并要求平台方支付BTC作为赎金换回NXT最终平台支付了110个BTC，却未能完全赎回NXT，只能要求社区回滚NXT的交易区块。本次比特儿被黑是历史上第一次完全公开展现的网络犯罪，暴露出交易平台和数字货币在当时没有监管野蛮生长的严肃问题。以太币组织The DAO被黑事件2016-06 事件简介： 以太币的去中心化组织The Dao被黑，价值逾5000万美元的以太币外溢出DAO的钱包。以太币（ETH）市场价格瞬间缩水，从记录高位21.50美元跌至15.28美元，跌幅逾23%。 在此前的智能合约写法中，有三个严重漏洞，黑客也正是利用这几个漏洞攻击The DAO窃取以太币。fallback函数调用向合约地址发送币有两种写法：二者都是发送20个ether,都是 个新的message call, 同的是这两个调 的gasli mit 样。send()给予0的gas(相当于 call.gas(0).value()() ), call.value()() 给予全部(当前剩余)的gas。 当我们调 某个智能合约时,如果指定的函数找 到,或者根本就没指定调 哪个函数(如发送ether)时,fallback函数 就会被调用。当通过 addr.call.value()() 的 式发送ether,和send() 样,fallback函数会被调 ,但是传递给fallback函数可 的 是当前剩余的所有gas,如果精 设计 个fallback就能影响到系统,如写storage, 新调 新的智能合约等等。递归调用一段用户从智能合约中取款的代码如下：如果付款方的合约账户中有1000个ether，而取款方有10个ether，此处就有严重的递归调用问题，取款方可以将1000个ether全部取走。调用深度限制合约可以通过message call调用其他智能合约， 被调用的合约继续通过message call在调用其他合约，这样的嵌套调用深度限制为1024。如果攻击者制造以上的1023个嵌套调用，之后再调用sendether()，就可以让add.send(20ether)失效，而其他执行成功：在DAO的代码当合约执行到withdrawRewardFor(msg.sender);进入到函数withdrawRewardFor判断putOut如下：和此前的举 类似,DAO通过 addr.call.value()() 发送以太币 没有选择 send() 从 客只需要创建fallback再次调 splitDAO() 即可转移多份以太币,PoC如下:The DAO事件给整个以太坊社区带来了重大影响，也导致了之后的硬分叉和ETC(以太经典)的剥离。Bitfinex遭黑客攻击事件2016-08 事件简介：Bitfinex是交易比特币、ether和莱特币等数字货币的最大交易所之一。根据Bitfinex在8月2日凌晨发布的公告，该交易所在发现了一个安全漏洞后便停止了交易。发布在官网上的声明表示：Bitfinex负责社区和产品开发的主管塔克特(Zane Tackett)证实，119,756个比特币遭窃，该公司已经知道相关系统是如何被入侵的。以周二的价格计算，失窃比特币价值约6,500万美元，受此消息影响，全球比特币价格应声下跌25%。随后Bitfinex官网发布公告称这次损失将由平台上所有用户共同承担，这将导致每位用户的账户平均损失36%对于类似比特币这样的数字货币，由于是通过数学算法挖矿形成，与实体质地的纸币不同，这些数字货币交易的安全性就完全体现在交易所的风险控制能力以及防黑客能力上。Parity多重签名钱包被盗事件2017-07 事件简介： Parity是一款多重签名钱包，是目前使用最广泛的以太坊钱包之一，创始人兼CTO 是以太坊前CTO黄皮书作者Gavin Woods。7 月 19 日，Parity发布安全警报，警告其钱包软件1. 5 版本及之后的版本存在一个漏洞。据该公司的报告，确认有150，000ETH(大约价值 3000 万美元)被盗。据Parity所说，漏洞是由一种叫做wallet.sol的多重签名合约出现bug导致。后来，白帽黑客找回了大约377,000 受影响的ETH。本次攻击造成了以太币价格的震荡，Coindesk的数据显示，事件曝光后以太币价格一度从235美元下跌至196美元左右。此次事件主要是由于合约代码不严谨导致的。我们可以从区块浏览器看到黑客的资金地址可以看到，一共盗取了153,037 个ETH，受到影响的合约代码均为Parity的创始人Gavin Wood写的Multi-Sig库代码。通过分析代码可以确定核心问题在于越权的函数调用，合约接口必须精心设计和明确定义访问权限，或者更进一步说，合约的设计必须符合某种成熟的模式，或者标准，合约代码部署前最好交由专业的机构进行评审。否则，一个不起眼的代码就会让你丢掉所有的钱。USDT发行方Tether遭受黑客攻击事件2017-12 事件简介： Tether公司是USDT代币的发行公司——USDT是一种与美元挂钩的加密货币，如今正在被交易所广泛用于进行交易。该公司在公告中声称其系统遭受攻击，已经导致价值3000万美元的USDT代币被盗。被盗的代币不会再赎回，但Tether公司表示他们正在试图恢复令牌，以确保这些交易所不再交易或引入这些被盗的资金，不让这些资金回到加密货币经济。此次被黑事件后，比特币的价格下降了5.4%，是11月13日以来的最高纪录。然而，Tether被盗声明一出，国外社区有用户认为，该地址中被盗的3000万美元只是Tether掩耳盗铃的第一步。实际面临的兑付危机远远不止3000万美元。此次事件不仅单纯的一次虚拟币被盗事件同时导致了Tether的信任危机。Youbite交易所被入侵事件事件简介：12月19日，韩国数字货币交易所Youbite宣布在当天下午4时（北京时间3时）左右，交易平台受到黑客入侵，造成的损失相当于平台内总资产的17%。 这家平台是韩国一家市场份额较小的数字货币交易平台，在今年4月，这家平台也曾经遭受过黑客攻击，损失了近4000个比特币。Youbit表示，在4月份遭遇黑客攻击之后，其加强了安全策略，将其余83％的交易所资金都安全地存放在冷钱包里。尽管如此，运营该交易所的公司Yaipan还是于本周二申请了破产，并停止了平台交易。公告显示，该交易所将所有客户的资产价值减记至市场价值的75%，客户可立即提取这部分资产。该公司表示，将在破产程序结束时偿还剩余的资金，届时将提出保险索赔并出售公司的经营权。03 小结虚拟币的火热，直接搅动着金融市场与科技市场，也面临着各种安全问题。现在各个国家也开始对区块链市场与虚拟币市场相继出台政策与治理方案，对交易所也开始纳入管控范围，韩国前段时间对其国家7家大型交易所进行了安全测试均被成功入侵，但每个交易所每天交易量是数以亿计的。可见这类安全问题不是个例，作为虚拟币交易平台，是否有资质有能力保护在线虚拟货币啊安全性成为一个值得考究的问题，虚拟币已经渐渐的从网络进入到现实世界中，然而这个过程的进步同样带来了很大的隐患，这也促使着政府企业以及个人对交易平台以及虚拟币本身更加的慎重选择与投入。0x04 区块链在安全行业的应用区块链社区非常活跃，人们经常认为，这项技术不仅有效地推动了虚拟货币的发展，而且还加强了现有的安全解决方案，从区块链角度解决了一些安全问题。列举几个区块链技术的安全用途：01 更安全的认证机制根据区块链技术的特性，设备可以以对等的方式识别和交互，而不需要第三方权威。伴随着双重身份验证，伪造数字安全证书成为不可能，使得网络结构具有更好的安全性。比如应用到密码验证服务，物联网设备认证。02 更安全的数据保护在基于区块链的系统中，存储的元数据分散在分布式账本中，不能在一个集中点收集，篡改或者删除。其中的数据，具有更好的完整性，可靠性以及不可抵赖性。可以应用到公共数据存储场景，比如产权记录，金融记录。03 更安全的基础设施利用区块链分布式特性，可以提供一种分散式平台，通过这种系统，可以访问和利用共享的带宽，这种方式远优于带宽有限的单服务器集中模型。去中心化的平台可以降低DDoS成功的风险，更好的保护基础设施。比如网站，DNS解析服务等。雷锋网注：本文作者，360CERT 。原文出处： Seebug Paper 。若有疑问，请联系雷锋网。本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。雷锋网百家号最近更新：简介:雷锋网——关注智能与未来！作者最新文章相关文章}