作者｜视界

编辑｜Steven lin

「没有一个绝对的安全系统」

这是网络安全领域的一句警语，也是黑客对安全防护的戏谑。

据国家信息安全共享平台（CNVD）数据显示，2019年平台所收录的安全漏洞数量达到16,193个，同比增长14.0%，创下了历史新高。

? ? ? ?

CNVD 收录的安全漏洞数量对比（来源：CNCERTCC）

每一个暴露的漏洞，都可能成为黑客眼中的猎物，相比传统互联网的安全防护，在区块链加密货币领域，黑客成为了这里的蛮荒收割者。

2011年6月，Allinvain被盗走了25000个比特币，成为了比特币历史上第一个因为黑客攻击而遭受重大损失的玩家。

2014年2月7日，当时世界上最大的比特币交易所MtGOX（占据全球70%的比特币交易量），因为安全软件漏洞被黑客入侵，损失了85万个比特币，价值达到4.7亿美金，两周后，交易所申请破产，网站关停，众多投资者血本无归。

2016年6月15日，如日中天的The DAO 在半个月的时间里便筹得了价值1亿美金的以太币，仅仅3天后，一名黑客利用合约漏洞盗走了360万个ETH。

为了弥补损失，太坊基金会提出了硬分叉升级，这也造成了社区的分裂，催生出了现在的ETC与ETH。

9月10日凌晨，EOS生态下的DeFi流动性挖矿项目“珊瑚”（wRAM）遭到黑客攻击，损失逾12万的EOS。

根据慢雾科技统计，截至目前，在区块链领域，因为安全事件造成的损失超过了133亿美元，其中DAPP和交易所领域属于重灾区。

? ? ? ?

来源：慢雾科技 hacked.slowmist

频发的安全事故不仅仅影响着投资者的数字资产安全，也影响着行业里各项基础设施的推进，而行业的良性发展也一定是建立在安全与信心的基础上。

从2018年开始，区块链安全服务企业开始涌现，其中既有老牌互联网大厂，也有新生代的佼佼者，他们开始构建起第一道防线，并在行业生态中扮演起越来越重要的角色。

? ? ? ?? ? ?区块链行业网络安全企业（部分） 来源：赛迪区块链研究院

01 威胁

区块链作为一种多技术交叉的复合产物，在各种层面上都面临着理论和实践上的安全威胁。

与早期的互联网发展类似，区块链安全早期出现的安全事件并不多，后来伴随技术的发展催生了更多的业务场景，也引发了更多的安全事件。

? ??区块链行业重大安全事故数量 ?来源：dvpnet.on

自从以太坊开启了区块链2.0时代以来，智能合约就成为区块链行业中的关键核心，同时它也成为了最易被黑客盯上的目标。

从2016年The DAO事件中360万以太币被盗，到2017年Parity钱包因多重签名钱包合约漏洞导致上亿美元资金被冻结、2018年美链BEC因为合约问题导致百亿美金瞬时归零,再到前不久的YAM因为合约漏洞致使币价24小时暴跌99%，智能合约始终面临黑客威胁的重灾区。

从区块链体系架构来看，目前，区块链面临的安全问题可以概括为六个层面：数据层，网络层，共识层，应用层（业务层），合约层和激励层。其中最基础的是数据层，而安全问题最多的地方则来自来自合约层。

? ? ? ?? ??区块链安全问题概览 ?来源：自动化学报

根据老牌代码安全审计机构NCC Group总结，智能合约中出现频率最高的10类安全问题分别是:代码重入（The DAO事件主因）、访问控制、整数溢出（美链BEC事件主因）、不安全函数调用返回值（Parity钱包事件主因）、拒绝服务、可预测的随机处理、竞争条件/非法预先交易、时间戳攻击、短地址攻击以及其他未知漏洞类型。

另一方面，我们从区块链的行业生态划分来看，目前，安全问题主要集中在五个细分行业：交易所、矿池、钱包和区块链底层技术。其中，交易所作为加密货币的主要流通场所，是最容易被黑客觊觎的对象。

据区块链安全公司成都链安数据显示，在 2019 年内，就有共计27起交易所安全事件，其中超过7成属于交易所被盗事件，其余则包括交易所跑路、员工贪污、“内鬼”洗劫、创始人突然去世等花式“漏洞”，造成的损失高达8亿美元。

前不久，EOS下的DeFi项目EMD跑路，共转移78万USDT、49万EOS及5.6万DFS，其中有12.1万EOS已经转移到changenow 洗币平台。

技术BUG易除，人性BUG难平，是对花式“漏洞”最好的诠释。

? ? ? ?

2019交易所安全事件 ?来源：成都链安

因为共识安全薄弱、隐私泄露、系统漏洞等问题，使得区块链行业生态的始终在泥潭中前进。加之加密货币处于监管的灰色地带，使得黑客几乎可以为所欲为，行业俨然成为了黑客的狩猎场。

对于区块链安全的启蒙，不是对行业光明未来的想象而是对黑暗的知觉。

02? 安全服务

从2018年以来，国内的区块链企业开始不断涌现。

按照业务专注程度划分，我们可以分为区块链安全实验室和区块链安全企业。

前者更多的是致力于漏洞信息的收集、安全监测和技术研究等方向，目前行业内知名的有360区块链安全实验室、苗知秋博士创立的墨子安全实验室、前中科大副教授郭宇创立的安比（SECBIT）实验室等。

后者，通过提供区块链基础安全建设服务、安全测试服务、上币安全审计服务、安全监测服务、应急响应等，直接嵌入到了区块链行业生态之中。主要的企业有慢雾科技、派盾科技、Certik、零时科技、成都链安、北京链安、降维安全等新生力量 ，也有传统安全服务企业奇信安、360、知道创宇、白帽汇等。

? ? ? ?

360区块链安全平台

在上币审计方面，慢雾科技、派盾科技、Certik、零时科技、成都链安等头部玩家都与几大头部交易所都达成了深度合作，进行上币的项目往往需要通过这几家机构的安全审计报告。

区块链安全审计一般来说，包含有代码漏洞排查、语义一致性排查、攻防测试、可组合性业务逻辑性风险排查、通证模型及账户体系安全排查等审计流程。

? ? ? ?

交易所钱包安全审计项目 ?来源：可信区块链推进计划

区块链安全服务与传统互联网安全服务相比，彼此既有共性也有差异。交易平台主要采用网站和App的形式，所以针对交易平台的安全防护更加偏传统模式。而涉及到智能合约、共识机制等区块链技术问题，则与传统安全就有很大不同。

墨子安全实验室苗知秋在接受杭链财经采访表示，这两者直接主要区别在于运行环境不同，“区块链是无中心或弱中心的分布式环境，传统互联网安全一般是面向中心化运行环境”。

过去PC互联网安全问题主要存在于主机和网站服务器层面，移动互联网安全则体现在手机和隐私数据层面，到了区块链时代，不仅代码是完全开源的，数字货币的上链催生了新的安全问题。

“这种安全不仅反映在代码层面，还反应在产品自身经济模型设计的业务逻辑方面的问题”派盾科技品牌负责人郝天告诉杭链财经。

? ? ??

由于区块链和数字货币的紧密联系，使得安全审计成为了区块链生态发展必不可少一环。

慢雾科技合伙人启富在接受杭链财经采访时表示“区块链自带金融属性，没有国家监管背书，被盗币后溯源找回资金很难。对于项目方来说，安全审计就是对于自身漏洞的排查，可以在产品上线前将安全风险降到最低”。

? ? ? ?? ??

但安全防护始终是一个动态的过程，要做的是防微杜渐。

“安全既是动态的，也是相对的，绝对的安全是不存在的，因此在现实中，安全是一项没有尽头的工作。我们所能做的是尽可能降低系统的安全风险，实现在一定时空范围内的安全”苗知秋博士这样认为。

而这个空间范围的安全性，总会跟着市场的热度随时走，同时跟着市场热度走的还有黑客，从早期的交易所到公链再到DAPP，再到现在的DeFi。

03??DeFi的安全威胁

与DeFi的热度一同持续的，还有黑客的热情。

今年4月18日，去中心化交易所Uniswap 被黑客攻击，损失 1278 枚 ETH（价值约 22 万美元）。一天后，国产 DeFi 借贷协议 Lendf.Me被曝遭受黑客攻击，24小时内，锁仓资产价值从近2500万美元下跌至6美元。

虽然后续资金被追回，但足以说明DeFi市场安全防护的空缺。

月29日凌晨，Balancer（DEX）项目的两个资金池遭受攻击。攻击者在此次事件中获利约46万美元，资金池市商损失约50万美元。

有人不禁感叹“DeFi 平台不作恶，奈何扛不住黑客太多”。

DeFi作为一个快速迭代的领域，各方DeFi团队都在开发自己的合约产品，但并没有一个统一的、标准的安全方案去遵守，或者说是必须通过严格的安全审计，这就导致了各种合约漏洞与相关安全问题层出不穷。

“DeFi智能合约的安全问题如深海暗礁”派盾科技郝天这样评价DeFi所面临的问题。

此外，由于由于DeFi平台上的资金可以跨平台流动，市场内也就出现了很多乐高积木式的组合型平台，单个平台的模式创新很可能在其他平台内产生漏洞风险。

? ? ? ?? ? ? ?

据咨询公司 Prysm Group 合伙人Johnny Antos介绍，目前DeFi 项目安全威胁主要有四种：

• 一是预言机在DeFi中的激励兼容性问题。DeFi 通常依赖于某种形式的预言机，预言机的模型与数据安全会直接影响DeFi项目安全性。

• 二是DeFi的定价和拍卖机制问题。DeFi 系统通常需要各种金融工具的定价和拍卖机制。劣质的拍卖设计不仅会导致低效率，也会伤及整个系统的安全。

• 三是代币价值的相关性问题。DeFi的金融服务往往和其他数字货币的价格有着直接的联系。这样一来，黑客就可以操作相关代币价格来获利。

• 四是DeFi的危机治理问题。在DeFi领域，大多数项目往往只注重业务端，缺少故障保护、危机治理等后备方案，让黑客很容易入侵。

慢雾科技创始人余弦也谈过“区块链业务发展初期的的公司，往往会把用户量和业务发展放在第一位，这是各种安全问题频发的原因”。

据DeBank数据显示，从今年一月以来，DeFi锁仓总价值增长了12倍，总价值达到了104.7亿美元。不出所料的话，伴随DeFi价值的增加，所面临的黑客攻击也将会大幅增加。

? ? ? ?

近一年DeFi锁仓总价值情况 来源：DeBank

面对DeFi领域日益增加的安全威胁，有业内人士认为，想要维护项目的安全，除了需要选择靠谱的安全公司进行审计外，还需要在代码和业务逻辑上下足功夫，最重要的是要快速更新迭代，尽早发现问题，尽早优化升级。

DeFi 赛道因其可组合、可扩展、可落地的一系列金融特性，成为了传统金融接轨区块链技术的焦点领域。但它在打开未来波澜壮阔般应用前景的同时，也在埋下了危机的种子。

这个种子有智能合约潜在安全漏洞造成的黑客攻击问题，有因币价波动导致的平台清算问题，有链下信息黑洞问题，也有因中心化资产托管潜在的跑路问题等等。

换一个角度来看，这也是 DeFi 市场从小众走向主流，从草莽走向成熟要必须经历的一个过程。

而对于整个区块链行业来说，目前围绕安全所做的攻防，依旧处于“兵来将挡水来土掩”的1.0阶段，能否建立起一套严格安全审计标准与流程，实现“安全前置”，决定了区块链行业发展能达到怎样的深度。

安全不仅仅是区块链行业发展的补充，而是所有0前面的1。