2018年11月13日，2018中国数字资产安全高峰论坛在京召开，会上，业内众多专家学者、企业、投资人各抒己见。北京邮电大学区块链实验室主任马兆丰发表了以《区块链安全技术挑战与机遇》为标题的主题演讲。以下为演讲内容，经金色财经整理。

区块链发展背景

各位嘉宾，下午好!我是北京邮电大学马兆丰。我今天给大家带来的演讲主题是《区块链安全技术挑战及机遇》，我简单从几个方面来做一个说明。

我们在北京邮电大学，我现在是在网络空间安全学院。报告从这么几个方面，区块链基本应用背景、面临的安全挑战、区块链关键的安全需求、区块链安全分层架构、区块链核心保障技术、区块链技术安全发展机遇。

区块链技术本身，在座的各位我想都非常了解区块链这个概念，但是从技术本身来讲和大家再次回顾一下区块链的基本背景。

其实区块链的背景，2008年一些年轻人不太了解，在国际上金融领域发生了什么事情，2008年那时候是朱熔基总理，东南亚，包括印度、俄罗斯、中国，东南亚金融危机爆发，索罗斯发起了一些监管金融的对手交易，使得全球化金融风险剧增，出现了金融挤兑等等问题，在跨境结算以及相关的数字，包括不同币种法币的兑换之间存在了一些问题，2008中本聪发表了点对点的系统。

传统的计算方式，中心化处理的方式，处理过程是完全依赖于中心化单点失效的问题。主要存在三方面可能的问题，中心化业务处理过程当中，业务处理过于集中，新的中心往往不总是可靠的，同时跨境结算处理方式当中增加了交易的成本和代价。

比特币是基于共识机制，工作量证明的机制，由中心化处理方式转变为由6个以上的节点或者区块进行确认，使得做一种交易，这种交易是两种，挖矿和转帐，比特币核心功能是货币。这张图右边，做一次交易往往是6个以上的区块或者6个以上的节点，要确认，确认以后所有相关的数据同步到区块链不同的帐号当中，最后形成永久性的交易，当然这个交易关系是非最终确定的，包括BCH最近的分杈也是这样发生的。

在座的媒体朋友可以看一下这张图，我自己总结的，这是中心化处理方式，中心化处理过程当中，用户不管是后台管理员还是双11的用户，还是阿里、京东的后台，实际都面临中心化处理的方式，一旦中心化处理方式中心节点出现宕机，前段说腾讯一个中心化主机出了一些问题，如果中心化服务器出现宕机，用户的访问就会被拒绝。

区块链从从业专业层面有两个误区，要么说是草根，要么是骗人，为什么很多中国人把好的技术做歪了。区块链解决什么问题?希望各位媒体跟我一起看一看这个图，区块链一般涉及三个层次，核心层，包括共识算法，准入层，就是用户比如通过地址或者账户进入，客户端就是代理或者钱包等等工具。用户使用区块链的时候可以看到，比如交易或者挖矿，这个工作一旦开始会广播一个消息过来，这个时候可以看一下转动的齿轮，往后退一下大家看一下，这个转动的齿轮实际是在做共识，这个工作过程当中可以看到接下来的问题，工作过程当中如果通过共识产生区块，这个区块一旦产生将被多个节点验证的，比如某个节点拥有了区块的情况，这个时候可以进一步看，这个时候会把下面产生的区块广播和同步到其他节点当中去，这个过程就可以看到和传统的计算方式不同的地方在于，传统的方式是中心化方式处理，区块链是以非中心化的方式进行工作，有以下的特点，它是没有中心的平台，这个过程当中通过共识机制达成工作一致性的结果。

同时这个过程当中具有同步数据分散存储的特性，安全机制决定于算法和共识，而不决定于中心化的平台。这个区块里的数据和所有节点区块的数据是一致的，在正常情况下。

从本质理解区块链应用

区块链的基本概念，本质上是分布式的信任基础设施。它本质上是不可篡改的可信帐本，无需新的中心构建可信任的业务处理，在上一张图大家可以看到，在产生区块的时候获得了区块的权利，这个区块权利可能是数字资产，可能是交易，可能是挖矿的结果，也可能是不同节点下不同数据的分布式的存储，可信的安全管理。区块链具有五个特征，去中心化、高度透明、集体维护、不可篡篡改、安全可信性。

区块链有公有链、联盟链、私有链，公有链从2008的比特币、到以太坊到对于发布的联盟链，其中联盟链在这里面不涉及数字资产，但是要知道联盟链也有具备数字资产转移管理的能力，只不过要有许可才可以进入的，通过深耕、节点、排序、验证代码的管理。

在区块链这个领域的应用也非常广泛，从供应链金融、移动电商、文化娱乐、智能制造、慈善公益、征信体系，在很多领域都有应用，数字资产是区块链的第一代，比特币主要的目标是用于数字资产的挖矿、交易、转帐，它的核心就是数字资产。

先到了以太坊以后，创造的一种机制，ETH作为生态的血液，由此可以看到，在这个过程中区块链经历了四个环节，白皮书、募资、开发、交易所交易，在这个过程当中交易所进行交易流通，在过程当中ETH创造了智能合约开放式的区块链平台，我们科研团队做了基于比特币原始代码全部内容的开发，你需要在源码级，以太坊通过智能合约，发布一个智能合约，在这里实现短暂交易，3分钟就可以创建你的资产，在这个过程当中还可以实现转帐、交易、锁定，以太坊提供了以ETH为血液的平台币。

在这个过程当中出现了联盟链，我们把从比特币、以太坊全部源码编辑过了，我们也发现了不同的特点。国际上区块链相关技术发展，包括中国人民银行、中国银行做了很多研究。区块链面临的技术优势也很明确，比如数据的完整性不可篡改性以及抗DDS攻击。

区块链面临安全问题综述

从安全风险角度来讲存在什么问题呢?我们现在的问题在于，在传统的图灵计算模式之下，都是基于数学难题的，是安全的，未来不一定安全，未来如果有了量子计算机可能是巨大挑战，如果量子计算成为现实常态化生活时，我觉得区块链时代体系要发生改变。

因此，未来在算法安全性、数据安全性、使用安全、系统安全方面都需要进一步考虑。

安全需求我们认为是五个层面，一个是数据层面的安全，另外是网络层面安全性，像门头沟事件某种程度是社交工程安全的问题，一定程度上涉及到双花问题，这涉及到共识层面安全的问题，还有激励层面、合约层面的，现在以太坊智能合约有48种典型安全问题，我们实验室把48种问题做了分析，这48种安全发现的现象、原因、后果是什么，在此基础上，我们做了正确安全的合约怎么编写，合约安全每列一条代码损失60多亿人民币，当地址越界以后数值转变为0。

数据层面安全涉及恶意信息攻击、滥用攻击、生日攻击、查分攻击。网络层次的供给，像日食攻击、拒绝服务攻击，比如交易所这个模式面临的是传统的中心化的数据库的问题。共识层面的问题，像工作量证明、权益证明、Dpos权益证明，以及PFBT拜占廷容错。

激励层面也有安全问题，避免中心化的问题，21个超级节点中的15个节点联合起来，就可能对用户资产、交易安全造成威胁，同时吸引数据的节点，这里BT的模式在超级节点可能就会出现问题。

合约层面的问题，典型的有48种，但是主要问题是六个层面，一个是整数的益处、信息泄露、越权访问、逻辑措施、函数误用、拒绝服务。这些里面并不以为这有这样的协议就一定安全。

交易所的安全就是DDOS攻击、支付漏洞、恶意程序的感染，以及认为内部访问权限的控制等等，都可能造成这样的事件，比如mtgo事件，7000个币丢失，宣称65万，另外的比特币去哪儿了?所以资产管理、自身数据安全管理方面非常重要，神鱼今天讲完以后我也在仔细听每个嘉宾的内容，很大程度是满足区块链核心的需求，就是数字资产的管理要求。

分层体系，这个体系涉及算法的共识、验证机制，以及对应的钱包的安全，中心化钱包、多种类钱包、网络钱包、本地钱包、硬件钱包的问题，从分层体系架构来讲涉及五个层面，交易层面、账户层面、分布式组织层次、网络层次、账户层次的。

从保障技术来讲，从增强系统安全性进行网络的隔离、选择优质的服务商、完善治理机制、完善应急机制、提高安全意识都是非常重要的。

从安全的维度涉及算法的安全、协议的安全、实现安全、使用安全、综合安全性，这是我们认为重要的层面。特别是使用安全方面，我记得在很多人中，我们数字钱包很多人不备份，我曾经做了这样的一个事情。数字资产的安全性方面，密钥的保存、钱包的备份，Keystore的导出以及转帐过程的安全、策略制定都是非常重要的事情。

从用户隐私的角度，我们认为区块链使用当中，比如数字资产或者交易所，用户的保护性、数字保护性、交易保密性、系统的保密、安全防护都是核心的安全因素。

钱包安全

对于Cobo钱包，国内还有其他钱包，都是重要的硬件设施，国际上对标哪一些?trezor keepkey Ledger、bitgo，这些钱包我用过三个，今天在座的各位嘉宾，特别是Cobo，我觉得是典型的机遇，Cobo融资了接近两千万美元，大家可以做一些借鉴。区块链发展角度来讲，加密机制问题、效率问题、博弈都是关键的问题，在外延和内涵，从安全角度来讲问题非常多，机遇也如此巨大。

未来做区块链的角度来讲，区块链数字资产的安全管理、区块链数字资产安全的使用、区块链数字资产安全的保护，这个为未来的商业生产生活提供了很大的机遇。去中心化的应用，从DApp开发，DApp+ABCD，人工智能、云计算、大数据这些结合起来，区块链更有广阔的前景，应用在银行、保险、供应链、医疗保障、投票和身份证明，包括公安部一所我也注意到。

未来区块链的应用，区块链的核心从数字代币到记录保全、存证、智能合约，还有拓展的应用，从区块链的底层到交易所、钱包，比如供应链金融、版权管理、核心身份认证等等具有广阔而重要的应用前景。