硬币总有反正两面，在享受区块链带来便利的同时，人们注定要面对更高的风险。进入2018年以来，数字货币交易所被攻击，数字钱包泄露，区块链传销、诈骗、抢劫等区块链安全问题频发。

终于，业内人士坐不住了。6月下旬，腾讯安全、知道创宇等企业宣布成立“中国区块链安全联盟”，着重打击空气币、传销币等一切假借区块链名义进行变相传销、诈骗等敛财行为。另外，国家互联网金融安全技术专家委员会秘书长吴震，也对如何解决区块链安全提出了自己的建议。

不过想解决区块链安全问题，得先盘点一下目前区块链行业的那些坑。

关于区块链开源软件漏洞：根基不稳何以立足？

国家互联网金融安全技术专家委员会曾发布过一则非常重要的报告——区块链开源软件源代码安全漏洞分析。委员会选取了25款具有代表性的区块链软件，包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等，结合漏洞扫描工具和人工审计，进行了安全检测。

检测在代码层面发现高危安全漏洞和安全隐患共746个，中危漏洞3497个。被测软件中，安全风险相对较为严重的是区块链支付网络Ripple，包含高危漏洞223个。而渣打、西太银行等一些大型银行已经宣布将加入其支付网络，荷兰合作银行（Rabobank Group）已经于2018年3月完成了Ripple的Interledger解决方案的测试工作，Interledger是Ripple公司推出的一个协议，旨在将银行账本和区块链技术整合在一起。

考虑到Ripple协议直接处理金融资产，且拥有如此大规模的用户，一旦这些漏洞被黑客利用，后果不堪设想。同样，其它区块链开源软件也多与资产、货币交易相关，漏洞也可能导致财产损失的严重风险。

关于数字钱包泄露：每一步都需要小心翼翼

2018年6月11日，全球最大的以太坊钱包imToken披露其遭遇一次黑客攻击事件，所幸没有资产损失。但是imToken称，黑客有可能拿到了部分参与公测的用户邮箱地址，可能给用户发钓鱼邮件。

早在2017年11月，旧金山安全公司High-Tech Bridge就曾在一份报告中称“绝大多数的移动数字货币钱包APP的安全性都很糟糕”。

这份报告分析了谷歌Play商店中超过2000款移动数字货币钱包APP。在前30款总安装量达到10万的数字货币钱包APP中，93%包括至少3个“中等风险”漏洞，90%包含至少2个“高风险”问题。最常见的漏洞包括“数据存储安全性不足”以及“密码系统安全性不足”。

以知名数字钱包Bitcoin Wallet为例，Bitcoin Wallet助记词是以明文的方式存放在系统的/data/data/com.bitcoin.mwallet/files/profile文件里面的，也就是说，Bitcoin Wallet已经完全将资产的安全性交给了系统来保护。

但是系统本身是非常复杂的，而且充满了各种安全漏洞，只要利用一个漏洞就可以瞬间获取到Bitcoin Wallet钱包的助记词和私钥。例如只要手机里面有任何APP利用漏洞拿到了系统的ROOT权限，那么这个APP就可以瞬间拿到钱包的助记词，导致数字资产可以随时被盗取，而上述动作是完全可以在后台发生的，用户完全不知道；即使没有应用有ROOT权限，只需将手机的充电端口连接到黑客控制的充电设备，也可以在几分钟时间内拿到钱包的助记词，导致数字资产可以随时被盗取。

如《三体》的“黑暗森林法则”，在数字货币的世界里穿行，每一步都需要小心翼翼。

这些都是区块链的技术风险，而这并不是全部。区块链世界里的经济风险，你再小心翼翼都躲不开。

关于空气币：他们也知道我知道他们在击鼓传花

吴震秘书长在今年6月底的金融科技峰会上表示，区块链的经济风险第一是诈骗，诈骗手段分为空气币、传销币、蹭链。而“中国区块链安全联盟”主要发起人董海平也表示，发起联盟的第一个原因就是空气币泛滥，他透露目前市面上有两万多种数字货币，符合空气币特征的占95%以上。

但如何定义空气币？大型矿场主王诚认为挖不出来的币就是空气币。识别币能否被挖出来，可以通过挖矿浏览器来确定。比特币、莱特币、以太坊都有各自的浏览器，浏览器上会显示每个区块出来后打入哪个账户，有多少个币。如果没浏览器，这个币就不是基于区块链技术产生的。

但王诚也提到，哪怕真的有浏览器，也可能是对方在局域网里刻意伪造的。所以目前分辨空气币很难。他只能根据多年挖矿经验来推断，目前有99%以上的币是空气币。

无论99%还是95%都是非常高的比例，抛开这个不谈，令人深思的是人们对空气币的态度。

虽然国家已经禁止了ICO，但私募又悄悄转向了社群。随便打开一个炒币群看都会发现，人们都知道是空气币，也经常遇到忽悠的骗子，但都抱着投机和侥幸的心理。一旦有新币私募，大量人抢着上去，希望自己能买到百倍币，割韭菜大赚一把。

“我知道他们在击鼓传花，他们也知道自己是击鼓传花，他们也知道我知道他们在击鼓传花，但鼓声仍不停，因为最后一棒如果不是我，那我就能赚钱。”

关于传销币：与空气币的区别是它们更加赤裸裸

据统计，传销币主要利用门户网站、微博、

吴震秘书长认为，传销币和空气币的区别是传销币更底层。说白了，就是传销币的敛财手段更加赤裸裸。而且，“大唐币”、“五行币”、“普洱币”、“恒星币”、“幸孕币”，传销币连名字都带着浓浓的莆田医院风。

从2018年3月28日到4月17日，西安的“大唐币”在短短半个月的时间就吸引8000多万的资金。“大唐币”的发起人称会员只要投入300万元，每天可生利8万元，一个月就可以获利200多万元。而“普洱币”案更是民警潜伏四个多月才破获，涉案金额高达3.07亿元。

其实传销币的骗人手段非常明显。以“恒星币”为例，方法是“当你花了100元，买了激活币，有了自己的推广链接之后，群主就使劲叫你去推广了，有推就有钱，有人买币，毎个币你就可以提成20元”，并宣称“花100万元买200台矿机生产‘恒星币’，一年后能获得365万美元的收益！”吸引了大量想空手套白狼的人。

传销币玩的最转的是俞凌雄，“幸孕币”、“车链”、“易货链”等都是他的成果，人称其“每月两个币、敛财几十亿”。自从区块链媒体“北纬31度”连发数篇曝光俞凌雄发布传销币的文章后，俞凌雄开始被外界质疑。

实际上，俞凌雄早在开展“发币大业”之前，就由于欠款1.25亿余元在2017年12月4日被广东省揭阳市中级人民法院列入失信人名单并限制出境。截止目前，剩余6713万余元尚未还清。去天眼查上查询俞凌雄的信息，提示个人风险高达81条。

但即使这样，俞凌雄目前仍有大量拥趸。所以一旦人们被传销币套住了，也只是在为自己的“贪嗔痴”缴税而已。

关于蹭链：刷牙能挖矿？没毛病

蹭链这个词可以用马云爸爸曾举的一个例子来解释。马云爸爸说他们公司一个程序员在相亲网站没人理，把资料改成“区块链程序员”后，很快就收到大量情书。

这个程序员可能真的是区块链程序员，但许多产品其实跟区块链并没有关系。蹭链是指为提高产品

今年3月，一家名叫BAIC社区推出多款具备挖矿功能的区块链智能牙刷，该挖矿智能牙刷会根据用户使用频次及口腔健康数据，将其数据价值以Token的形式返还给用户。同时，Token可提现，也可用其购买其他BAIC物联网价值链中的其他商品，从而形成流通，产生价值。

这款牙刷在淘宝上已经能买到，售价高达258元人民币。此外，在淘宝上还有售价9999元的区块链手表，自称“腕上算力之王”，且是为李笑来、老猫、易理华等大佬专门订制的。还有走路挖矿的区块链手环、区块链手机等。

此外，还有上市公司企图蹭链，甚至引来监管层

深交所这么做，是因为3月16日上午，银江股份在“银江股份”

仅2018年1月到3月期间，上交所与深交所就已经向20余家涉嫌“炒作”区块链概念的上市公司采取了问询、

相比空气币和传销币，目测蹭链的危害没有那么大，但它更加隐蔽，更加无处不在，所以它对区块链的公信力影响更大。

关于监守自盗：“山大王”何时会被招安？

“门头沟”是日本一家比特币交易所MT.Gox的中译名。2014年2月，MT.Gox在网站页面宣传停止交易并随后申请破产，称其由于受到黑客攻击，总计丢失744000个比特币。但许多人怀疑失窃是因为“门头沟”监守自盗。

在区块链行业，大型交易所由于不受国家监管，可谓自己天地里的国王，一旦代币丢失，别人根本无法判断是不是交易所自己做了手脚。

2017年11月，Tether官网发布公告表示，由于外部攻击者的恶意行为，$30,950,010USDT（泰达币）于2017年11月19日从Tether Treasury钱包中移除，并发送至未经授权的比特币地址。事情发生后，Tether公司被推上风口浪尖，同样被怀疑监守自盗。因为这件事发生前几个月，Tether公司就被传操纵币价。

在今年5月份的第四届贵阳数博会上，北大教授刘晓蕾建议国家建立数字货币交易所，一边对行业进行摸索，一边监管。这个建议得到许多业内人士的认可。

半个月前，重庆经信委曾发文称将建立数字货币交易所，但迅速又删除了这一政策，后来有人又在重庆市政府的官网上看到这一政策。重庆官方的躲躲闪闪，其实也透露出一个讯号：国家或许准备适时推出数字货币交易所，结束各个“山大王”独霸一方的局面。

关于矿机之难：被坑一个亿也无处说理

大部分人认为区块链的风险主要在ICO上，但区块链行业的“卖水人”矿机商同样面临高风险，他们的风险主要来自“先打款后发货”的销售方式。

与其它实体行业不同，采购矿机要提前订货，有时要提前两个月，而且一定要先打款。之所以这样，是因为矿机价格与币价成正比，币价瞬息万变，矿机价格同样如此。同样一台矿机，价高时达到三万多，低时五六千元。如果矿机商价高时进了货，采购人却不买了，货就套在矿机商手中了。

听起来有道理，但有时却变成了供货商强势的理由。今年2月份时，比特大陆就曾打出一条霸王条款：“无论是否发货，付款后均不能退款、退货”。

有人就真的遇到打了款收不到机器的情况。今年年初，安徽淮南有名矿机经销商收款后不发货，侵占下游矿机商上亿元货款，下游几十家矿机商遭受严重损失，直到现在警方还未抓到诈骗者。同样，去年深圳也曾发生过类似案件，涉案金额高达数千万。

“这行水太深了，我一脚一个坑。”有位矿机商如是说。

结语

区块链的风险还有很多，操作市场风险、转价跑路风险，尤其是币圈，有人称其是坑蒙拐骗黄赌毒的互联网化。另外，一些币圈人因为身家不菲，在生活中也有风险了。据外媒消息称2018年2月，PRIZM数字货币的创始人Yuri Mayorov在莫斯科遭到绑架和抢劫，劫匪抢走了2万美元和300个比特币。真是一幅浮世绘啊。

区块链离钱太近，世界为之疯狂，人性如此，谁能管制？

也许只有靠国家监管的介入。不过国家现在也没有好办法。据吴震秘书长的说法是，区块链行业尚处于早期，建议观察再做，但是严厉打击防范ICO诈骗肯定是要做的。他认为，技术上对区块链管理不是特别困难，但是存在着客观因素，包括公链全球性和各国法律不一致等。总体上他主张以链管链，以技术对技术。

不管怎么样，民间和官方都开始重视了。在业内没有摸索出好的监管措施时，我们能做的，只能是小心加自律。

（来源： 金融界）