已經(jīng)過去的2018年，區(qū)塊鏈行業(yè)安全事件頻發(fā)。交易所、錢包、合約、公鏈項目都受到了嚴峻的安全挑戰(zhàn)。有人說，隨著區(qū)塊鏈熊市的到來，資金的短缺使得安全防護能力正在減弱。區(qū)塊鏈安全也沒有那么熱門和受人關注了。

但是，從各種數(shù)據(jù)來看，不管是區(qū)塊鏈安全事件、還是勒索軟件、挖礦木馬等與區(qū)塊鏈相關的威脅仍然在持續(xù)。對此，Trias區(qū)塊鏈安全專家說，提升安全意識應該作為一種行業(yè)共識，這樣才能促進整個區(qū)塊鏈行業(yè)的良性發(fā)展。針對去年一些典型的安全事件，下面Trias安全專家做了解讀，并對一些行業(yè)問題發(fā)表了自己的看法。

Q1： 前段時間，ETC遭受51%攻擊，我看網(wǎng)上有很多人說，這將成為所有PoW小生態(tài)夢魘。對此你怎么看？

PoW本質(zhì)上就是在所有提供算力資源的集群中通過一種算法機制選擇出一個幸運節(jié)點，并且因PoW算法不存在交易終結(jié)確認（即可被后期追趕的最長鏈推翻）狀態(tài)，一旦總算力過小，則非常容易被攻擊者通過租借算力等方式劫持整個區(qū)塊鏈，嚴重影響區(qū)塊鏈系統(tǒng)的安全性。

在我看來，以上問題出現(xiàn)的根本原因是PoW共識算法的機制問題，針對總體算力不高的區(qū)塊鏈系統(tǒng)，應避免使用PoW共識，采用PoS，DPoS，PBFT算法等。

Q2： 從賬戶安全問題來講，密鑰存在嚴重的安全隱患，問題的根源在于部分密鑰生成工具允許用戶采用較弱的助記詞組合。

去年EOS 賬戶遭受彩虹攻擊， 就是一些EOS 錢包采用強度較弱的助記詞組合。那么什么是“彩虹攻擊”，關于用戶私鑰的生成、使用與保護，有什么好的建議？

所謂“彩虹攻擊”，即通過事先遍歷所有常見的助記詞組合并預先生成對應的公私鑰，然后在網(wǎng)絡中尋找已經(jīng)被彩虹表記錄碰撞出來的賬戶，一旦被彩虹表碰撞，則意味著攻擊者擁有了對應賬戶的控制私鑰，驗證威脅賬號安全。

用戶私鑰的生成最好使用隨機字符串進行生成，若允許用戶自定義輸入則必需輸入足夠復雜的助記詞，私鑰的使用必需恪守在本地使用的原則，不允許進行網(wǎng)絡傳輸，對于私鑰至少應該加密保存到本地，按照需求進行離線保存使用。

Q3： 我們剛剛談到賬戶安全的問題，那么Trias是如何保護用戶交易隱私的？

Trias采用隱私地址的方式來處理發(fā)送方和接收方的地址，使隱藏交易雙方的地址信息；

通過零知識證明的方式對交易金額進行加密保護；

在一筆采用了隱私地址和零知識證明的Trias交易中，礦工只能驗證并記錄執(zhí)行交易，無法獲知其他任何有效信息。

Q4： 你在前面提到，智能合約的安全威脅目前比較嚴重。大家都知道，2018年，EOS 被爆出可能存在BEC 代幣合約類似的整數(shù)溢出漏洞。能否談一下什么是整數(shù)溢出漏洞以及它可能帶來的后果？

在當前普遍存在的智能合約中，其中針對數(shù)值的計算和存儲都是在無符號整數(shù)的范圍中計算和存儲，一旦提供的數(shù)字輸入或計算結(jié)果超過定義的字節(jié)數(shù)（即其數(shù)值范圍超過了正常能夠表示的數(shù)值范圍），則會發(fā)生數(shù)值溢出情況，導致歸0或變成超大數(shù)。

此種情況一旦在合約中出現(xiàn)，極易影響其合約中的處理邏輯和數(shù)值狀態(tài)，導致引發(fā)驗證的安全問題。

數(shù)值上下溢出問題屬于典型的智能合約安全漏洞之一，所以我建議，在開發(fā)數(shù)值計算相關的智能合約時盡量使用安全數(shù)值計算庫，并做完整的生命周期式安全合規(guī)檢查，這樣可以簡單而有效的避免此類問題的發(fā)生。

Q5： 如果把區(qū)塊鏈安全劃分為非常安全、安全、令人堪憂、極度危險四個等級的話。你覺得目前區(qū)塊鏈行業(yè)屬于哪個等級？

從我個人的角度來看，我認為目前的區(qū)塊鏈安全處于令人堪憂的階段。

現(xiàn)在整個區(qū)塊鏈行業(yè)處于爆火階段，各方的參與者重點關注的方向主要還是區(qū)塊鏈系統(tǒng)的生產(chǎn)落地。就安全方面的考慮，除了部分業(yè)內(nèi)的頂級公司，其余各方在安全方面所做的工作的確令人堪憂，尤其在智能合約安全性方面，因開發(fā)者安全意識的總體不足，目前在此方面的安全威脅是最嚴峻的。

但是，這僅僅是現(xiàn)狀，我相信通過各方參與者的努力，可以有效提升整個行業(yè)的安全水平。比如，加強區(qū)塊鏈和合約開發(fā)者的安全意識，充分發(fā)揮社區(qū)眾測和專業(yè)區(qū)塊鏈安全企業(yè)的作用等等。