我凭技术割的韭菜 你为什么要防御我？

策划｜BCCon

编辑｜Julian

彭峙酿博士毕业于华南理工大学信息安全专业，博士阶段主要从事密码学及数据安全相关学术研究。现就职于 360 核心安全事业部，主要研究方向为：区块链安全，软件安全和数据安全。彭峙酿博士拥有 15 年信息安全攻防经验，曾在多领域发现多个具有重大影响的安全漏洞。在信息安全领域发表近十篇论文，同时设计多款安全防护产品。

2013 年开始挖比特币

您是何时、如何接触到区块链，并开始研究区块链安全问题的？

2013 年我刚开始读博士的时候，比特币开始在我们实验室火起来。那个时候我就开始挖矿和研究一些区块链相关的技术。区块链技术这些年来一直都在研究，因为里面密码技术和我博士阶段研究方向是高度吻合的。区块链的安全问题则是我今年加入 360 之后才开始研究的。

在区块链安全的工作中您有什么样的体会，区块链安全工作最大的壁垒您觉得是什么？

在这几年的区块链发展中，我最关注的主要还是区块链技术本身的发展和其对世界可能带来的改变。在区块链安全的开发中，我比较大的体会主要有两点：一个是在传统软件安全中的一些不起眼的安全问题，放到区块链安全中会造成十分严重的后果。另外一个是数字货币的隐私需求给密码技术提供了很好的应用场景（搞密码的同学们找工作容易了）。

区块链安全工作方面，目前面临的最大问题还是行业发展的步子太快了，对安全问题的重视和研究还没有跟上。不过我觉得随着关注的提高，这方面的问题会慢慢解决。实际上区块链安全最大的壁垒还是“去中心化，安全性，可扩展性 之间的不可能三角”。在满足安全性的前提下解决去中心化、和可扩展性问题，是区块链安全工作的最大难题。

哪里有套利空间，哪里就有攻击

治理区块链安全问题与治理互联网安全问题相比有什么不同，区块链安全又面临什么新的挑战？

从技术层面看，我认为区块链安全和互联网安全的技术本质是一样的。具体表现中的不同点，我觉得主要还是要看业务场景。就目前而言，多数区块链项目本身还是互联网一个子集。区块链项目因为具有匿名性、历史不可篡改性等特性，给安全带来了一些新挑战。如何追踪一笔黑产交易，如何追回被窃取的资产等，都是要去解决的新挑战。

今年以来，51% 的算力攻击多次在几个市值靠前的加密币中上演，如何看待区块链的 51% 攻击？

51% 曾经被认为是一种不太现实的攻击方法，因为攻击成本非常高。但近期针对几个市值靠前的数字货币的 51% 攻击改变大家对其的看法。区块链安全本身是一个复杂的问题。“哪里有套利空间，哪里就有攻击”，经济学博弈论等相关理论在区块链安全中也有非常重要的作用。抗抵抗 51% 攻击，需要严谨细致计算攻击成本和收益，让攻击者无利可图。

如何看待量子技术对区块链“算法”的威胁？

量子计算机的出现，会使目前多种主流的非对称密码算法变得不安全。这对区块链技术来讲，肯定是一些威胁。但目前量子计算还处于初级阶段，留给大家去探索和防御的时间还很长。“后量子密码”之后的技术目前是学术界研究的一个重要方向，NIST 也在征集相关的标准。相信届时量子计算机对对区块链“算法”的威胁将会得到解决。

守护分散式的数字资产

您如何理解数字货币钱包安全问题？

目前市场上存在的软钱包大多数都存在安全隐患，360 集团信息安全部发布的《数字货币钱包安全白皮书》有对这些问题进行一些统计和总结。总的来说软件钱包很难完全保证安全，大量资产建议使用硬件钱包或冷钱包进行存储。

中心化的交易所如何更好地守护分散式的数字资产安全？

交易所存储了大量的数字货币资产，目前正成为黑客们的重要攻击目标。实际上，我们 360 核心安全近期也监测到实际很多交易所都被黑客控制或者入侵成功。目前国际上也已经发生了多起数字货币交易所被盗事件， 给用户造成了几乎不可挽回的损失。可以认为目前很多交易所在安全方面投入不够，安全问题形势严峻。要解决交易所安全问题，实际上非常复杂。除了安全技术能力之外，风控能力、安全制度等方面也非常重要。

关于智能合约漏洞问题。黑客利用智能合约漏洞对项目方和用户造成巨大的损失。谈谈您对智能合约漏洞安全问题的理解。

目前很多智能合约会对代币进行处理，所以一个智能合约的漏洞往往会带来很严重的安全后果。同时智能合约不可修改的特性，要对上线后发现的漏洞进行有效修复，只能选择重新部署新的合约，这将付出巨大的代价。恶魔在细节中，智能合约的发展和应用目前还只是初级阶段，相信还会有很多智能合约相关的安全问题会不断被发现和修复。

活动预告

学不动了也要学，2018 最纯正的区块链技术大会来袭，区块链开发者关注一下：

纸贵|联盟链和公有链的混合架构实践

智链|区块链核心技术横向剖析

京东|企业级区块链技术实践

360|区块链节点攻击面及缓解措施

点融|点融区块链云服务实践与思考

猎豹|RatingToken- 基于大数据算法的评级实践

恒生电子|一个金融区块链技术团队 2 年的踩坑扫雷之路……