深諳媒體套路的 360 對(duì) EOS 打的一個(gè)響指，像區(qū)塊鏈領(lǐng)域的一顆深水炸彈，喚醒了圈內(nèi)人對(duì)公鏈安全性的重視。

所謂“安全”似乎永遠(yuǎn)是一個(gè)薛定諤的狀態(tài)。畢竟一個(gè)系統(tǒng)被攻破之前，你永遠(yuǎn)不知道它是否安全。

歷史總是重演。就像當(dāng)年 PC 和移動(dòng)互聯(lián)網(wǎng)時(shí)代一般，新生事物出現(xiàn)之初野蠻生長(zhǎng);隨之節(jié)點(diǎn)到來(lái)，安全事件爆發(fā)，行業(yè)開(kāi)始被動(dòng)關(guān)注安全問(wèn)題;最后安全方案成為標(biāo)配。

目前，區(qū)塊鏈領(lǐng)域似乎就處于這樣的節(jié)點(diǎn)：BTG 遭到雙花攻擊、BEC 智能合約出現(xiàn)重大漏洞;幣安遭到黑客攻擊，OKex 網(wǎng)站出現(xiàn)漏洞;360 如此大體量的互聯(lián)網(wǎng)安全公司開(kāi)始關(guān)注一個(gè)公鏈的漏洞，無(wú)疑也襯托出區(qū)塊鏈和 EOS 網(wǎng)絡(luò)的巨大影響力。數(shù)家安全創(chuàng)業(yè)公司在此后宣布獲得融資。區(qū)塊鏈安全問(wèn)題似乎瞬間得到了重視。

實(shí)際上區(qū)塊鏈領(lǐng)域的安全問(wèn)題存在已久。

對(duì)技術(shù)不明所以的吃瓜群眾，似乎天然對(duì)區(qū)塊鏈的安全有著蜜汁自信，認(rèn)為資產(chǎn)放在鏈上就不會(huì)丟失，但此前曾發(fā)生多起交易所私鑰被盜案件;也有人鼓吹將私鑰放在自己手里最為安全，臺(tái)面上是更多的個(gè)人私鑰被盜、丟失等案例。

在破解這個(gè)迷思之前，我們來(lái)聊聊比特幣的精巧設(shè)計(jì)。

一位名叫中本聰?shù)拿艽a學(xué)專(zhuān)家，在神秘的“密碼朋克”郵件系統(tǒng)中發(fā)布了比特幣客戶端，創(chuàng)造了一種新型的數(shù)字黃金。其沒(méi)有任何發(fā)行主體，也就是任何人都不能增發(fā)，其資產(chǎn)價(jià)值和歸屬基于共識(shí)，共識(shí)背后是數(shù)學(xué)。“有句話叫 Code is Law，我認(rèn)為 code 的本質(zhì)不是代碼，而是數(shù)學(xué)。數(shù)學(xué)就是上帝之手，是自然界的真理。”網(wǎng)絡(luò)安全公司知道創(chuàng)宇 CEO 趙偉如此對(duì) Odaily星球日?qǐng)?bào)感嘆。

P2P 網(wǎng)絡(luò) + PoW 共識(shí)機(jī)制+激勵(lì)機(jī)制，使得這個(gè)系統(tǒng)似乎變得牢不可破。中本聰在白皮書(shū)中計(jì)算出的這個(gè)系統(tǒng)的安全邊界，便是有人掌握了 51% 算力即可隨意篡改賬本。然而，PoW(Proof of Work，工作量證明)的存在會(huì)讓這個(gè)攻擊變得得不償失，何況 51% 算力持有者更是網(wǎng)絡(luò)的最大利益相關(guān)者，為了自身的長(zhǎng)期利益，他甚至愿意放棄壟斷算力來(lái)維持網(wǎng)絡(luò)的健壯性。趙偉說(shuō)：“我第一次看到比特幣的時(shí)候，我覺(jué)得很容易攻擊，但是他加入了工作量證明，我覺(jué)得對(duì)黑客來(lái)說(shuō)簡(jiǎn)直是噩夢(mèng)。”

中本聰大概并無(wú)設(shè)想到礦機(jī)的出現(xiàn)，與 PC 相比一騎絕塵的礦機(jī)算力，“算死”了后來(lái)無(wú)數(shù)小幣種;卻又吊詭地讓比特幣網(wǎng)絡(luò)的算力增強(qiáng)，攻擊門(mén)檻更高。

從區(qū)塊鏈1.0到3.0，安全性在退步

購(gòu)買(mǎi)力無(wú)法被任一發(fā)行主體隨意調(diào)節(jié)，賬本無(wú)法被篡改，只有掌握私鑰的你，才能處置你的資產(chǎn)。信仰者認(rèn)為這就是“真正掌握了自己的資產(chǎn)”，這是一種資產(chǎn)無(wú)法被剝奪的安全。

這就是區(qū)塊鏈 1.0——比特幣。

這個(gè)系統(tǒng)一直運(yùn)行至今。即便它已經(jīng)堵塞得讓人發(fā)指，卻從未被攻破。

區(qū)塊鏈 2.0 未能如此牢固。

名為 Vitalik Buterin 的少年希望在比特幣網(wǎng)絡(luò)之上增加智能合約，遭到了比特幣團(tuán)隊(duì)的拒絕。于是他在 2013 年到 2014 年間自行創(chuàng)立了以太坊：一個(gè)可以運(yùn)行智能合約的分布式網(wǎng)絡(luò)。

圖靈完備的智能合約帶來(lái)了巨大的靈活性，也帶來(lái)了安全問(wèn)題。此后，基于以太坊的智能合約被多次曝出漏洞。其中最大的是 2016 年 6 月黑客通過(guò)組合漏洞攻擊 The DAO 項(xiàng)目，盜走價(jià)值數(shù)千萬(wàn)美元以太坊，以及當(dāng)年 10 月的 DOS 攻擊，分別導(dǎo)致了以太坊分叉。直至今天，以太坊的智能合約仍存在數(shù)千尚待解決的漏洞?？梢哉f(shuō)，越是靈活的智能合約，功能強(qiáng)大，也越容易出現(xiàn)漏洞。一些新型公鏈為了安全性，甚至犧牲了合約的圖靈完備。

“主要是虛擬機(jī)不是設(shè)計(jì)來(lái)這么用的。虛擬機(jī)不是專(zhuān)門(mén)設(shè)計(jì)用來(lái)處理資產(chǎn)的，可是以太坊和 EOS 等公鏈卻用它來(lái)處理資產(chǎn)。”趙偉解釋?zhuān)幱诎踩钥紤]，資產(chǎn)和用戶功能的處理應(yīng)該分開(kāi)，資產(chǎn)處理和變更應(yīng)該由單獨(dú)的引擎來(lái)處置。“這個(gè)過(guò)程是原子化的、事務(wù)性的，中間不能打斷。比如我正在收銀，你不能讓我去擦桌子?？墒窃谔摂M機(jī)里，則存在重入漏洞。”

雖說(shuō)區(qū)塊鏈 3.0 仍未正式到來(lái)，但把 EOS 看成 3.0 代表的人還不少。

“到了第三代，EOS 為了 TPS，引入了 DPOS 機(jī)制。”在趙偉看來(lái)，這已經(jīng)不僅有跟以太坊的智能合約類(lèi)似的“代碼安全”問(wèn)題，而是在架構(gòu)上棄安全于不顧，甚至已經(jīng)不能算是真正的區(qū)塊鏈。“P2P 網(wǎng)絡(luò)才是真正的區(qū)塊鏈。”

“越來(lái)越中心化，導(dǎo)致黑客很容易攻擊。在網(wǎng)狀結(jié)構(gòu)中，有一兩個(gè)節(jié)點(diǎn)被搞定，網(wǎng)絡(luò)依然能夠繼續(xù)正常運(yùn)行。 可是在樹(shù)狀網(wǎng)絡(luò)結(jié)構(gòu)中，21 個(gè)節(jié)點(diǎn)背后可能是 7-8 個(gè)人，被恐怖分子一抓，網(wǎng)絡(luò)安全性不復(fù)存在。所以說(shuō)，網(wǎng)絡(luò)安全不安全，看誰(shuí)說(shuō)了算。PoW 就是礦機(jī)說(shuō)了算，就是數(shù)學(xué)背書(shū)，數(shù)學(xué)就是上帝之手，智能就是法律執(zhí)行的一種。”

因此，從區(qū)塊鏈 1.0 時(shí)代到 3.0 時(shí)代，趙偉認(rèn)為在退步。“安全性在退步，但是更易用。易用性上是在進(jìn)步的。”

以太坊主要安全漏洞整理(表格來(lái)自雷鋒網(wǎng))

區(qū)塊鏈帶來(lái)安全，也帶來(lái)安全挑戰(zhàn)

比特幣所構(gòu)建的資產(chǎn)安全，是一種資產(chǎn)不被剝奪，價(jià)值基于共識(shí)，發(fā)行主體無(wú)法操控的安全。這并不是一種大眾可以簡(jiǎn)單理解的“安全”，更不意味著大眾所理解“安全”在此處已被完全消弭。

大眾所理解的安全是“我不丟幣”。實(shí)際上，資產(chǎn)不被竊取的前提都建立在私鑰(鑰匙)不丟的前提下。比特幣給予資產(chǎn)所有者的，是一種權(quán)利(自由)。想掌握自己的資產(chǎn)，就得自行承擔(dān)保管私鑰的責(zé)任。而大部分用戶并不一定有意愿或能力承擔(dān)這種責(zé)任——自己保存資產(chǎn)，還不如放在有品牌保證的大交易所里來(lái)得安心。

安全是要付出成本的。

正如比特幣為了保證記賬系統(tǒng)的安全性，耗費(fèi)了大量的算力。趙偉認(rèn)為，其所帶來(lái)信息的公開(kāi)透明、不可篡改、不可刪除，也對(duì)安全有很大的作用。然而，從另一方面看，比特幣的匿名性、獨(dú)立于法幣系統(tǒng)之外的自由、以及技術(shù)門(mén)檻，都對(duì)其資產(chǎn)保護(hù)提出了挑戰(zhàn)。

他總結(jié)了五點(diǎn)：

1、首先區(qū)塊鏈資產(chǎn)在大多數(shù)國(guó)家不受法律保護(hù)，公安機(jī)關(guān)和銀行也都沒(méi)有備案。

2、區(qū)塊鏈的匿名性，使得幣一旦丟了難以追蹤，你不知道誰(shuí)偷了，也無(wú)法證明資產(chǎn)是你的。

3、保護(hù)區(qū)塊鏈資產(chǎn)有一定技術(shù)門(mén)檻，用戶很難保護(hù)自己;加上資產(chǎn)價(jià)值基于技術(shù)，一旦技術(shù)被操控，黑客可隨意偷取利益，資產(chǎn)價(jià)值成零。

4、生成與分布式數(shù)據(jù)庫(kù)上的資產(chǎn)表面上安全，但是行業(yè)中交易所、托管錢(qián)包、礦池等企業(yè)的系統(tǒng)是集中化的，是黑客攻擊的目標(biāo)。

與傳統(tǒng)的交易所相比，數(shù)字貨幣交易所的 KYC 做得不好。“在室內(nèi)做安全，還是在曠野是不一樣的。(在曠野上)獲得了自由，也更難做安全。區(qū)塊鏈就是曠野。”

5、生態(tài)不完整，空氣幣頻現(xiàn)，空氣幣的目的就是圈錢(qián)套現(xiàn)，不可能好好做安全。這一方面導(dǎo)致劣幣驅(qū)逐良幣，好好做安全的優(yōu)質(zhì)幣種反而不受重視;魚(yú)龍混雜的空投信息竊取用戶數(shù)據(jù)，之后信息泄露用于撞庫(kù)，危害用戶其他資產(chǎn)的安全。

網(wǎng)絡(luò)安全越來(lái)越重要，但中國(guó)企業(yè)對(duì)此重視遠(yuǎn)遠(yuǎn)不夠

時(shí)至今日，互聯(lián)網(wǎng)已經(jīng)不是那個(gè)“信息傳遞的工具”。

趙偉認(rèn)為，網(wǎng)絡(luò)安全的目標(biāo)隨著互聯(lián)網(wǎng)用途改變也一直在變化。“第一步是用來(lái)娛樂(lè);第二步用于通訊和社交，繼而是電子商務(wù);第三是你的資產(chǎn)在網(wǎng)上處理。”

在 PC 互聯(lián)網(wǎng)時(shí)代，擁有 PC 的人有限，中毒后黑客獲取的信息有限，不過(guò)是讓我電腦中毒變慢、宕機(jī)。移動(dòng)互聯(lián)網(wǎng)時(shí)代，我們的日常生活、資金管理、身份認(rèn)證，都在手機(jī)上運(yùn)行;安全的主題變成個(gè)人隱私、資金和密碼的泄露。到了區(qū)塊鏈時(shí)代，技術(shù)就是資產(chǎn)本身，代碼的漏洞就是資產(chǎn)的損失。

趙偉表示，知道創(chuàng)宇關(guān)注的是全生態(tài)，此前主要關(guān)注錢(qián)包和交易所安全，因?yàn)檫@兩者一旦崩潰，業(yè)內(nèi)影響巨大。公鏈安全則是這幾年來(lái)出現(xiàn)的新問(wèn)題，“公鏈安全確實(shí)比較麻煩，很難改，一旦要改只能硬分叉。”

區(qū)塊鏈的資產(chǎn)屬性注定黑客對(duì)其虎視眈眈，其對(duì)安全的需求應(yīng)該更為強(qiáng)烈。

然而中國(guó)互聯(lián)網(wǎng)企業(yè)卻未給予足夠重視。報(bào)告顯示，中國(guó)信息安全投入僅占 IT 行業(yè)總投入的 1%-2%，遠(yuǎn)不及歐美國(guó)家的 8%-14%。

這與國(guó)內(nèi)金融數(shù)字化與互聯(lián)網(wǎng)發(fā)展階段有關(guān);同時(shí)對(duì)比起歐盟等國(guó)家，國(guó)內(nèi)對(duì)個(gè)人隱私的保護(hù)還不夠重視。趙偉表示，《網(wǎng)絡(luò)安全法》對(duì)行業(yè)發(fā)展有促進(jìn)，但效果還需要逐漸體現(xiàn)。

“報(bào)漏洞有時(shí)候也沒(méi)啥報(bào)酬。所以安全行業(yè)很痛苦，明明黑別人可以賺大錢(qián)。”

安全公司可以做滅霸，但他們不愿帶自己的無(wú)限手套。

這也許我們就能理解，為什么應(yīng)該審慎而負(fù)責(zé)任曝光漏洞的 360，會(huì)用一種“史詩(shī)級(jí)”的姿態(tài)將其公之于眾。既然我不能像滅霸一樣“殺敵一千”來(lái)展示漏洞威力，只能用這種嘩眾取寵的方式倒逼企業(yè)了。

根據(jù)專(zhuān)訪內(nèi)容，我們以問(wèn)答形式將內(nèi)容整理如下：

Odaily星球日?qǐng)?bào)：從安全的角度，你怎么看待目前的區(qū)塊鏈行業(yè)，比如交易所、公鏈、錢(qián)包等，他們的安全級(jí)別跟傳統(tǒng)互聯(lián)網(wǎng)產(chǎn)品比怎么樣?

趙偉：我先講下整個(gè)區(qū)塊鏈的演變。

首先，比特幣公鏈的出現(xiàn)基于三點(diǎn)，平等的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)、共識(shí)算法(PoW)、區(qū)塊鏈賬本(腳本的應(yīng)用)。后來(lái)變成以太坊，更容易發(fā)幣，加入了智能合約，分成網(wǎng)絡(luò)層、共識(shí)層、合約層三層。EOS 更是引入 DPoS，提高了 TPS。

功能復(fù)雜化之后導(dǎo)致了一些問(wèn)題：

1、網(wǎng)絡(luò)層不是那么點(diǎn)對(duì)點(diǎn)和平等，結(jié)構(gòu)是樹(shù)狀而不是網(wǎng)狀;

2、以太坊、EOS 等網(wǎng)絡(luò)上加入了運(yùn)行智能合約的虛擬機(jī)，但虛擬機(jī)不是設(shè)計(jì)來(lái)這么用的。處理資產(chǎn)變更應(yīng)該是有單獨(dú)的引擎，應(yīng)該是原子化的，中間不能打斷。比如我正在收銀、你不能讓我去擦桌子。

現(xiàn)在的區(qū)塊鏈雖然速度快，但在安全上絕對(duì)是倒退的。不過(guò)，應(yīng)用和用戶體驗(yàn)上，以太坊和 EOS 是進(jìn)步，你不能老把保險(xiǎn)箱扛a著。

在區(qū)塊鏈技術(shù)之上，則是礦機(jī)、礦池、交易所、冷熱錢(qián)包等，其實(shí)沒(méi)有什么特別，為了用戶體驗(yàn)，他們都是很中心化的。他們就算想改，但為了資金沉淀、速度、用戶體驗(yàn)等，都不可能用分布式架構(gòu)。

這時(shí)候安全性不再只是區(qū)塊鏈的安全，而是區(qū)塊鏈生態(tài)的安全。比如礦機(jī)礦池容易被 DDos，被入侵、被修改地址;交易所的安全又分為技術(shù)、業(yè)務(wù)、商業(yè)、合規(guī)性安全;錢(qián)包有分中心化和去中心化，冷熱之分，需要保護(hù)私鑰。

安全是木桶，任何一環(huán)短板都會(huì)帶來(lái)問(wèn)題。

分布式架構(gòu)不太可能達(dá)到一定體驗(yàn)?

趙偉：PoW 夠嗆，我認(rèn)為利用側(cè)鏈、分片技術(shù)、閃電網(wǎng)絡(luò)提速是比較有希望的，但大家為了 TPS 都想自己做有點(diǎn)中心化的鏈。

所以，你覺(jué)得區(qū)塊鏈?zhǔn)遣粦?yīng)該做應(yīng)用?

不能這么說(shuō)。

公鏈分好多種，從不同的維度看，有不同分類(lèi)。包括從網(wǎng)絡(luò)構(gòu)建看，是不是 P2P 的平等網(wǎng)絡(luò);從共識(shí)機(jī)制角度，有工作量證明，有權(quán)益證明。

區(qū)塊鏈本身就是一個(gè)流水賬賬本，個(gè)人保留自己的數(shù)據(jù)是不合適的，數(shù)據(jù)不能保留在本機(jī)上，都是在線上。

現(xiàn)在很多的區(qū)塊鏈已經(jīng)不像第一代的區(qū)塊鏈。P2P 網(wǎng)絡(luò)才是區(qū)塊鏈，后來(lái)為了應(yīng)用追求 TPS 改變了網(wǎng)絡(luò)結(jié)構(gòu)，帶來(lái)了新問(wèn)題。我認(rèn)為跑智能合約的鏈不適合作為資產(chǎn)(價(jià)值存儲(chǔ))，而是通證。

現(xiàn)在資產(chǎn)屬性在變化，所以安全防護(hù)在變化。我們做安全盡可能做到比敵人先一步，但是很難，所以往往是慢一步，案例見(jiàn)多了，你可能也就知道。

Odaily星球日?qǐng)?bào)：那你覺(jué)得區(qū)塊鏈安全跟傳統(tǒng)互聯(lián)網(wǎng)安全的差異點(diǎn)在哪兒呢?

趙偉：大致有五點(diǎn)(文中已經(jīng)提及) 。

Odaily星球日?qǐng)?bào)：有人認(rèn)為把數(shù)據(jù)放在區(qū)塊鏈比原來(lái)更安全，因?yàn)椴粫?huì)丟失、也不可篡改，你怎么理解這種安全?分布式架構(gòu)比集中式安全在哪? 此外是私鑰的保存，你怎么看待把安全責(zé)任交給平臺(tái)和讓用戶承擔(dān)兩種模式?

趙偉：比特幣出現(xiàn)的背景是，2008 年金融危機(jī)之后，美國(guó)政府大幅發(fā)幣、割韭菜，民眾手中貨幣的購(gòu)買(mǎi)力在下降，你無(wú)法保護(hù)自己的資產(chǎn)。原來(lái)金子你可以放家里，但如果你自己拿著，風(fēng)險(xiǎn)很大，就像在美國(guó)西部時(shí)代，隨時(shí)有人來(lái)?yè)寠Z，這是你自由的代價(jià)?？墒侨绻惴陪y行，銀行可能會(huì)亂發(fā)，比特幣則想將其變成一個(gè)數(shù)學(xué)來(lái)背書(shū)的機(jī)制，建立共識(shí)很重要。

區(qū)塊鏈不是一個(gè)復(fù)雜的技術(shù)，不是改變生產(chǎn)力，而是改變生產(chǎn)關(guān)系。區(qū)塊鏈技術(shù)擁有幾個(gè)特性：匿名、不可篡改、不可刪除，這本身就促進(jìn)了安全性。理念上改變的是共識(shí)機(jī)制。

因此，這里涉及到兩方面的安全性，一方面是非洲小政府，一旦政府倒臺(tái)了，貨幣沒(méi)有了為其背書(shū)的機(jī)構(gòu)，這是購(gòu)買(mǎi)力方面的安全，能確保你真正擁有你的資產(chǎn)安全，這是一種自由。比特幣通過(guò)共識(shí)機(jī)制實(shí)現(xiàn)了這種數(shù)字黃金式的自由。

你拿到這種自由之后，就有黑客的風(fēng)險(xiǎn)，面臨的安全風(fēng)險(xiǎn)。如何儲(chǔ)存實(shí)際上要看你的技術(shù)水平和資產(chǎn)大小。對(duì)于普通人來(lái)說(shuō)，交給專(zhuān)業(yè)機(jī)構(gòu)才是更安全的。因?yàn)椋?/p>

1、資產(chǎn)丟了以后沒(méi)有辦法恢復(fù)，這是比特幣的匿名的特性。這導(dǎo)致你的身份和你的幣權(quán)是脫節(jié)的。

2、區(qū)塊鏈就是你自己是你自己的主人，沒(méi)有辦法國(guó)家保護(hù)。

3、數(shù)字貨幣本身又面臨著黑客攻擊問(wèn)題。

4、虛擬資產(chǎn)還有繼承問(wèn)題。

5、很難存儲(chǔ)。冷錢(qián)包稍微安全一點(diǎn)，但很容易丟，電池會(huì)漏液。丟了我還幫客戶恢復(fù)。

Odaily星球日?qǐng)?bào)：從互聯(lián)網(wǎng)歷史發(fā)展來(lái)看，你覺(jué)得網(wǎng)絡(luò)安全的重點(diǎn)有什么變化?你目前比較關(guān)注區(qū)塊鏈行業(yè)的哪些風(fēng)險(xiǎn)點(diǎn)?

趙偉：安全就是保護(hù)大家，隨著互聯(lián)網(wǎng)用戶的擴(kuò)展，其目標(biāo)一直在變化：互聯(lián)網(wǎng)第一步是用來(lái)娛樂(lè)，第二步商業(yè)、溝通，電子商務(wù)網(wǎng)站;第三，你的資產(chǎn)整個(gè)在網(wǎng)上辦理。所以安全越來(lái)越重要。

目前，比較關(guān)注錢(qián)包和交易所，交易所一旦奔潰，業(yè)內(nèi)影響巨大。至于公鏈安全，“確實(shí)比較麻煩，很難改，一旦要改只能硬分叉”。

我們一直在關(guān)注，我們不是公布出去，都是報(bào)給項(xiàng)目方。一般項(xiàng)目方會(huì)很重視，都會(huì)很重視。不過(guò)，報(bào)漏洞也沒(méi)啥報(bào)酬，有時(shí)候雷聲大雨點(diǎn)小。所以安全行業(yè)很痛苦，明明黑別人可以賺大錢(qián)。

Odaily星球日?qǐng)?bào)：你曾經(jīng)多次公開(kāi)批評(píng) EOS，為什么這么不爽 EOS?

趙偉：EOS 太過(guò)分了，首先他是個(gè)公司不是社區(qū)，他收錢(qián)(募資)，錢(qián)打在一個(gè)離岸的公司上;但是他不服務(wù)，他說(shuō) EOS 發(fā)布之后的所有安全問(wèn)題他都不負(fù)責(zé)，甚至不保證一開(kāi)始發(fā)行的 EOS 就是后來(lái)公鏈的貨幣;錢(qián)的用途也不透明，把錢(qián)提走之后也不說(shuō)明。

以太坊則不一樣，更為透明，而且說(shuō)清楚有百分之多少的錢(qián)用在哪里。EOS簡(jiǎn)直是我收這個(gè)錢(qián)不一定做這個(gè)事。

Odaily星球日?qǐng)?bào)：你認(rèn)為未來(lái)區(qū)塊鏈技術(shù)面臨的潛在安全危險(xiǎn)是什么?

趙偉：有抗量子計(jì)算，所以量子計(jì)算不是問(wèn)題，最大的問(wèn)題是 PoW 太耗能，但是新型的 POS 等共識(shí)算法是人治，越來(lái)越中心化，導(dǎo)致黑客很容易攻擊。

網(wǎng)狀結(jié)構(gòu)中，你把這幾個(gè)點(diǎn)搞定，網(wǎng)絡(luò)也還是繼續(xù)運(yùn)行;DPoS 機(jī)制，21 個(gè)節(jié)點(diǎn)背后可能是 7-8 個(gè)人，被恐怖分子一抓，要他做什么都做了。

因此，網(wǎng)絡(luò)安全不安全，看誰(shuí)說(shuō)了算，PoW 就是礦機(jī)說(shuō)了算，礦機(jī)就是數(shù)學(xué)，數(shù)學(xué)就是上帝之手，智能合約就是法律執(zhí)行的一種。有句話說(shuō) code is law，不是代碼就是法律，而是數(shù)學(xué)。

然而，代碼都是程序員寫(xiě)的，可能會(huì)出錯(cuò)，所以需要形式化驗(yàn)證，也就是用數(shù)學(xué)來(lái)做審計(jì)。我設(shè)計(jì)過(guò)通用的代碼審計(jì)系統(tǒng)，之前沒(méi)有人用，現(xiàn)在爆發(fā)了，因?yàn)楝F(xiàn)在程序是錢(qián)本身。

可是，這個(gè)程序的設(shè)計(jì)還存在一定問(wèn)題。程序其實(shí)一個(gè)函數(shù)，就是滿足什么條件，我就做什么。那么我怎么證明這個(gè)函數(shù)沒(méi)有問(wèn)題，我需要描述。這時(shí)候就需要一種描述智能合約的語(yǔ)言，就是形式化語(yǔ)言。

在智能合約很簡(jiǎn)單的時(shí)候，大家都能看出來(lái)，可是一旦復(fù)雜了，就需要用到形式化驗(yàn)證，而且形式化語(yǔ)言大家都不會(huì)用，因此安全公司幫你搞定，最后變成一種服務(wù)。

Odaily星球日?qǐng)?bào)：怎么評(píng)估一個(gè)漏洞的重大級(jí)別?

趙偉：業(yè)內(nèi)有一個(gè)標(biāo)準(zhǔn)。破壞力級(jí)別從低到高分別是，導(dǎo)致信息泄露、DDOS 攻擊(宕機(jī))、資產(chǎn)轉(zhuǎn)移。不過(guò)對(duì)漏洞的評(píng)級(jí)是很難的，有的小漏洞組合在一起就變成大漏洞，所以都要重視。

Odaily星球日?qǐng)?bào)：知道創(chuàng)宇參與發(fā)起了一個(gè)區(qū)塊鏈行業(yè)安全聯(lián)盟。為什么安全行業(yè)需要成立一個(gè)聯(lián)盟?

趙偉：首先業(yè)內(nèi)對(duì)報(bào)漏洞沒(méi)有形成共識(shí)和標(biāo)準(zhǔn)。第二，很多時(shí)候安全聯(lián)盟并非是技術(shù)上的聯(lián)盟，而是社會(huì)上的。比如打擊空氣幣，需要運(yùn)用國(guó)家法律和社會(huì)支持，法律上需要取證、公安部門(mén)方面要配合。其實(shí)報(bào)個(gè)漏洞，從整個(gè)行業(yè)來(lái)看，都是小事，因?yàn)橛行﹩?wèn)題，技術(shù)、管理都能解決，但是更多的其實(shí)是社會(huì)問(wèn)題，這才是大問(wèn)題。

Odaily星球日?qǐng)?bào)：中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)跟國(guó)外比較發(fā)展如何?

趙偉：我們?cè)诨A(chǔ)安全設(shè)施發(fā)展不太完善，這跟人的意識(shí)有關(guān)，大家還缺少風(fēng)險(xiǎn)意識(shí)，不會(huì)在安全上投資。歐美公司會(huì)把自己的錢(qián)的百分之多少，固定放在安全上，但是中國(guó)公司在這方面則是能省則省。

主要原因可能是國(guó)內(nèi)在網(wǎng)絡(luò)上的個(gè)人資產(chǎn)以前確實(shí)比較少。歐美民眾有數(shù)字資產(chǎn)。這跟社會(huì)的金融數(shù)字化和互聯(lián)網(wǎng)階段有關(guān)。另一個(gè)原因是國(guó)家法律重視度不夠。歐盟有 GDPR(歐盟通用數(shù)據(jù)保護(hù)法，被稱為史上最嚴(yán)個(gè)人隱私法)，國(guó)內(nèi)在《網(wǎng)絡(luò)安全法》對(duì)行業(yè)發(fā)展有促進(jìn)，但效果還需要逐漸體現(xiàn)。