安全至上| 成都鏈安深度探討聯盟鏈智能合約與鏈平台安全

2020年8月20日晚7點30分，四川省區塊鏈行業協會《BSI大應用•小故事》欄目準時開播。成都鏈安·安全負責人Frank做客欄目，深度探討了聯盟鏈智能合約與鏈平台安全的相關問題。

本期欄目『聯盟鏈智能合約與鏈平台安全』為主題，成都鏈安·安全負責人Frank從『智能合約安全淺析』、『聯盟鏈平台安全淺析』、『智能合約與鏈平台安全檢測項』三個切入點展開探討，進行了高質量與高水準的主題分享。

以下內容為本期欄目實況：

01

主持人：Frank老師，您作為成都鏈安·安全負責人，多年從事安全研究，擅長區塊鏈安全平台的問題分析，擔任多家金融機構、互聯網公司安全顧問，並參與編寫了區塊鏈安全相關書籍，您的從業經驗非常豐富。那麼您是怎麼樣進入這個行業的呢？

Frank：大家好，我是成都鏈安的Frank，我最初聽說區塊鍊是在大學時期，當時只有一個模糊的概念，在2017年比特幣病毒攻擊安全事件發生之後，對於區塊鏈有了進一步的認識，之後便開始深入了解區塊鏈，直到與成都鏈安結緣，就開始了對區塊鏈安全的研究。

02

主持人：謝謝Frank老師，我們知道您在行業中的經驗是非常豐富的，大家對於區塊鏈安全問題非常關心，現在有請您為我們帶來今晚的演講。

Frank：好的，今晚我為大家分享的主題是『聯盟鏈智能合約與鏈平台安全』。

首先帶大家明確幾個概念：

·公有鍊是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。

·私有鍊是指其寫入權限由某個組織和機構控制的區塊鏈，參與節點的資格會被嚴格限制。

·聯盟鍊是指有若干個機構共同參與管理的區塊鏈，每個機構都運行著一個或多個節點，其中的數據只允許系統內不同的機構進行讀寫和發送交易，並且共同來記錄交易數據。

·智能合約（Smart contract）是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易，這些交易可追踪且不可逆轉。

隨著區塊鏈技術的不斷發展，越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言，聯盟鏈具有更好的落地性，受到了許多企業與政府的支持。為了提升效率，支持更加友好的設計，各聯盟鏈在智能合約上也出現了不同的發展方向。

目前智能合約與區塊鏈的結合，普遍被認為是區塊鏈一次里程碑式的升級，但智能合約技術發展也面臨諸多挑戰，如安全性問題。隨著智能合約數量的增多，去中心化應用的推廣，智能合約涉及的數字資產呈指數級別增長。相比傳統軟件，智能合約的安全問題更加棘手，現實情況也更加嚴峻。

總體來說，目前智能合約的主流架構是系統合約(預編譯合約) +業務合約，而代碼語言安全特性、合約執行所帶來的安全性問題、系統機制導致的合約安全問題、業務安全問題都會威脅智能合約安全。

對於智能合約的安全建議是：

1. 簡化智能合約的設計，做到功能與安全的平衡

2. 嚴格執行智能合約代碼安全審計(自評/項目組review/三方審計)

3. 強化對智能合約開發者的安全培訓

4. 在區塊鏈應用落地上，需要逐步推進，從簡單到復雜，在此過程中不斷梳理合約與平台相關功能/安全屬性

5. 考慮DevSecOps的思想

目前鏈平台安全主要包括了共識安全、交易安全、合規、賬戶安全、端點安全、RPC安全等，相較於聯盟鏈而言，公鏈安全問題更凸顯，公鍊是匿名且無准入控制，作惡難以被發現，此外，公鏈應用發布沒有審核，上鍊應用質量參差不齊，這也是公鏈漏洞較多的主要原因之一。

在當前鏈平台漏洞頻出的嚴峻背景下，鏈平台深度安全檢測勢在必行，成都鏈安採用攻擊測試+專家人工代碼審計的方式對區塊鏈平台進行深度的安全審計，審計方式為黑盒/灰盒/白盒，漏洞全面覆蓋10大項39小項，目前成都鏈安已經完成24個鏈平台的深度安全檢測，檢測出30餘個高危漏洞。以此不斷努力讓區塊鏈生態更安全。

03

主持人：感謝Frank老師為我們帶來的精彩分享。下面進入問答環節，以下都是大家最關心的問題，請Frank老師為我們作答。

Q：聯盟鏈對於公有鏈有哪些明顯優勢呢？

A：相對於公有鏈來說，聯盟鏈有一個准入機制，通過該機制能夠篩選參與方，從而了解參與方具體情況，把控其行為，杜絕攻擊者。並且聯盟鍊是由多個機構共同控制的，能採用利於性能提升的共識，從而不斷改進其功能。除此之外，聯盟鍊是針對某些業務場景開發的，在落地層面會更適應於國內業務場景應用。

Q：區塊鏈能有效保證信息安全嗎？

A：區塊鏈能夠利用密碼技術等對信息、數據進行加密，然而區塊鍊是無法完全保證信息安全的，只能作為加強信息安全的輔助手段。

Q：智能合約的未來發展方向是什麼樣的呢？

A：對公鏈上來說主要還是以虛擬資產為主，但這只是發揮了區塊鏈在密碼學方面的一些功能。而聯盟鏈未來發展的主要方向應該是應用落地，在存證、共識等方向有著非常大的探索空間，能解決很多傳統應用難以解決的痛點。雖然聯盟鏈會產生信息割裂等問題，但利用跨鏈技術也能夠迎刃而解。

Q：目前在聯盟鏈這塊，成都鏈安的客戶有哪些？市場需求量大嗎？

A：成都鏈安當前主要是與相關政府部門及企業去合作，做一些標準制定的諮詢方，對出台標准進行解讀，幫助企業按照標準實現聯盟鏈平台，促進標準落地；還會幫助企業業務往聯盟鏈上進行遷移，提供技術支持。成都鏈安與螞蟻、騰訊等企業都有相關合作，在聯盟鏈上成都鏈安也積極探索，非常看好聯盟鏈未來的落地。

作為全球領先的區塊鏈安全公司，成都鏈安已面向『聯盟鏈智能合約與鏈平台安全』這一細分賽道推出了專業的一站式解決方案。隨著聯盟鏈生態的不斷發展，我們將提供全方位的安全服務與支持，廣泛參與到聯盟鏈生態的建設和防護中。

一方面，依託於『Beosin一站式區塊鏈安全服務平台』的各項產品和服務，持續為聯盟鏈生態提供『軍事級』的安全防護工作；另一方面，充分發揮全球客戶資源和市場優勢，與聯盟鏈生態共拓市場！