Bianews报道 伴随着区块链概念火热、市场涌动，区块链安全问题也日益凸显，今日ISC互联网安全大会区块链与安全论坛上，包括中国信息通信研究院云计算与大数据研究所主任魏凯、360集团信息安全部王伟波、Peckshield漏洞研究总监罗元琮等在内的嘉宾就探讨了区块链安全领域相关话题。

中国信息通信研究院云计算与大数据研究所主任、可信区块链推进计划秘书长魏凯在其演讲中表示，“我们已经前脚已经迈进了数字经济的门槛，但是我们建立信任关系的技术仍然停留在工业时代，高度依赖中心化的机构、技术和基础设施。”

近日发布的信通院与可信区块链推进计划共同组织编写的《区块链白皮书》（2018年）就深入解读了区块链内涵概念，提出了区块链技术体系架构，分析了区块链关键技术发展路线，剖析当前区块链在政策、产业、技术和标准方面的最新形势和发展机遇，探讨了区块链发展面临的挑战，并提出相应政策建议。

白皮书还提及了区块链智能合约方面，可插拔、易用性、安全性讲成为发展重点。而作为升级的互联网技术、解决方案，区块链领域面临的安全问题还有很多，包括在应用层面矿池、交易所、钱包等面临的业务攻击风险，合约层面智能合约存在的漏洞，共识层面的共识协议攻击等。

360集团信息安全部王伟波在演讲中就分享了一些漏洞攻击实例，并从技术角度解释了一些安全问题，据他介绍，360安全团队内部对以太坊网络上现存的合约做了全面排查，总共发现有160多个合约漏洞，包括很多公开的还有未公开的漏洞。

同时他指出了市面上热钱包APP存在的Top5安全风险，包括：用户操作被截屏/录屏记录，未监测软件运行环境安全，交易密码未检测弱口令，核心功能代码未加固、钱包APP伪造漏洞。

他介绍称，360从服务端安全审计、APP端安全审计、硬件钱包安全审计三个方面对数字货币钱包的安全审计做出了建议，供相关项目对比筛查，降低自身安全风险。

此外，王伟波还讲到公链及交易所存在的安全问题，数字货币交易所可以说是这波区块链热潮中最引人注目的存在了，一边是中心化暴利传言，一边是频繁被攻击的消息，近日，科廷大学高级研究员Vidyasagar Potdar进行的一项研究表明，现今流行的11种加密货币交易所均存在密码安全性问题，这些安全漏洞可能直接导致用户的加密货币或是用户凭证被盗用，交易所也会因此丧失声誉和公信力。

王伟波表示，从360内部团队对多家交易所的测试经验来看，安全问题基于四大块，主机安全、业务逻辑、支付和账户的体系安全。主机安全主要是会存在一些开放的危险端口，或者是远程注入这种问题。业务逻辑是交易所的日常业务会不会存在越权这种问题的存在。

支付安全体现在处理提现的时候会不会存在流程上有问题，导致提现出现比较严重的安全隐患。账户体系安全则表现在用户异常登陆应该如何处理，以及垃圾账户的注册如何应对等。

可以肯定的是，区块链改变了信息记录方式，变成共享记账，不依赖于任何一个“会计”，用表决的方式来达到数据的一致性。在操作层面上，区块链用密码学来保证数据的不可篡改。但目前区块链技术仍在发展，还不稳定、不成熟，区块链的数据结构以及达成共识的协议都在快速衍变。除了安全技术挑战，行业也仍然存在算力中心化、财富中心化、权利中心化等等不理想的问题。 

我们可以看到，无论是监管政策在收紧，还是从国家层面以及一些有影响力的金融机构、科技企业的积极布局，行业在渐渐在风口当下学会理性思考，企业也需要依据自身业务需求和技术实力进行考量，不让“区块链理想”成为“区块链焦虑”，只有每一步都扎实，才能构建一个健康的区块链生态。