据市场上不完全统计，2011 - 2018 年期间，区块链因安全事件导致的金额损失高达 31 亿美元。值得注意的是，从 2017 年开始区块链安全事件损失金额呈现一个指数级上升趋势，仅 2018 年发展以来它的损失已达到 19 亿美元，安全问题已经成为区块链发展的核心关键。除了安全问题，区块链密码算法、签名标准、底层技术框架、行业应用、测评认证等方面行业尚未达成统一共识，可交互和可操作性缺失，碎片化发展严重。

11 月 28 日，由 Odaily星球日报与 36Kr 集团共同主办的 2018 P.O.D New BlockTrend 新区势峰会在北京举行。会上，Odaily星球日报高级分析师李雪婷、工信部互联网金融安全技术重点实验室主任吴震、中国民生投资集团新业态研究中心副主任刘燕、中国电子信息产业发展研究院赛迪全球公有链技术评估负责人蒲松涛、Cobo 高级副总裁李尧展开了一场关于《区块链技术标准建设》的圆桌讨论。

圆桌主要讨论了：

1.区块链安全的主要风险点，产生风险的原因;

2.区块链技术标准的维度、可量化的指标;

3.目前我国区块链测评方面取得的进展;

4.区块链存储方案，如何确定安全指标，建立安全指标体系;

5.第三方验证机构的发展概况;

6.区块链标准建设中仍需改善的问题。

(主持人)李雪婷：大家好我是 Odaily星球日报分析师李雪婷，是这场圆桌讨论的主持人，我首先介绍一下我们圆桌讨论的背景，我们知道区块链在供应链管理、跨境支付、版权管理等分布式信任管理中有不错的应用前景，但在安全存储等数字资产管理方面仍然存在很多问题。

今天非常荣幸地邀请到几位嘉宾，跟我们一起来探讨区块链技术标准建设这个话题，再次感谢几位嘉宾，接下来我们以问答的形式来进行。

首先第一个问题是关于区块链一些安全事件，我们有统计到 2017 年区块链安全数据是 15 起，2018 年是 75 起，增长率大概是 373% 这样的一个比例，从这个数据上来看是非常惊人的。

我先请教一下吴主任，目前区块链安全的一些风险点主要在哪些方面，产生这些风险点的原因是什么?

吴震：区块链作为一种特定信息系统，既包含信息系统所拥有的风险点，例如说 P2P 网络攻击等等，同时区块链安全又有自己的特点。

我感觉主要是表现在三个方面：第一个是密码算法、第二个是共识机制、第三个是智能合约。密码算法既有算法的选择，也有密钥全生命周期的管理，安全也是比较大的隐患。共识机制是区跨链技术的核心，但很多共识机制无论逻辑上还是实现上都存在较多的隐含。智能合约方面，有大量开源的 APP 应用，一直是黑客攻击的重灾区。

从总体看，区块链既有逻辑上的风险，也有实现上的风险，很多代码实现质量不高，目前已发生的攻击多出现在实现层面。

(主持人)李雪婷：吴主任从密码算法、共识机制、智能合约等技术层面来讲了这个问题。我想请问一下蒲总，您从公有链的角度、从业务层面分析一下目前的风险点主要包括哪些方面?

蒲松涛：刚才你也提到 2018 年的安全事件比 2017 年多很多，不仅是因为本身具有的安全风险，有可能是因为市场更活跃、关注度更高以及黑客带来的安全问题。

从用户、项目方面来讲，不同的层面有不同的层级，大概的安全问题可以分为三大类，链稳定性的问题、数字货币的丢失的问题以及智能合约存在的漏洞问题。后两个问题更重要，今年也有发生过有公有链遭受到攻击的，包括近期有一条公有链出现了长时间没有出块的问题。像钱包丢失的问题，是区别于传统互联网领域问题的。关于智能合约的问题，今年上半年我有跟 360 相关的朋友交流过，发现问题特别多。

(主持人)李雪婷：那蒲总提到钱包丢失的问题，我想请教一下李总，您能从钱包这个角度大概分享一下钱包安全方面有哪些风险点?

李尧：我非常同意前两位的观点，我们观察市场发现，最主要的损失还是来自数字资产的损失，我们先将数字资产进行定义，从 20 世纪 90 年代开始，人类科技向虚拟化和数字化两个方向发展，变得更加地数字形态化，不仅包括数字货币，我们提到的数字 IP、虚拟产品(像QQ 币)，还有商业化的信息流都归为数字资产。

从钱包行业来看，在区块链的世界中，密钥即资产，密钥的生成、分发、存储、更新甚至到销毁都会出现重大问题。比如说销毁，用户只是普通的删除，但是在 BIP32 协议下，黑客通过你的子私钥和主公钥，就可以直接拿到你的主私钥，进而转移你的全部资产。所以对密钥的管理非常重要，这也是我们做钱包公司重要原因，帮助用户守护资产。

同时我们也发现除了安全问题以外，由于不像标准建设比较完善的传统互联网公司，区块链行业很多标准都没有形成，很多创业公司造成了大量的资源浪费，没能得到有效的统一，导致事故经常发生。所以第一是要对密钥进行管理，第二是要大家一起去探讨这个事情。

(主持人)李雪婷：刚刚三位从技术和业务层面来分析了安全风险点，比如说 51% 的攻击、智能合约这些，大概跟互联网的一些安全风险特别像。我想请问一下刘主任，有没有一些风险点是区块链独有的?

刘燕：区块链本身是技术，刚才提到了很多技术漏洞造成的投资者和参与方的损失，这些问题的解决所需要的工作不仅仅在技术层面。不能忽略的是公司治理的问题，比如说相应的信息披露问题。

在传统金融行业中，当投资者参与一个项目的时候，两者之间是有契约关系的，对双方所履行的责任、资金的用途都有非常清晰的标准，也有相应的金融中介机构来负责相关事项。反观区块链发展到今天，2018 年是白皮书发表的第十年，区块链正与我们的生活发生融合，过程中必然会与我们传统的规则、法律、制度相融合，也应该有更合理、更健全的治理机制相融合，以保证对参与方和投资者切身利益的保护。尽管区块链产生的初期是完全出于去中心化的机制设计，实际业务融合过程中，在业务场景方面，传统存在的机制还是有很大的意义。我个人认为安全问题也不是单纯技术层面的问题。

(主持人)李雪婷：刘主任提到传统机制、标准问题，很多人(包括行业内很多人)都不太了解区块链技术标准，这个技术标准有没有一些维度或者可量化的指标，请吴主任给我们普及一下。

吴震：谈到技术标准，首先是可行性，另外是必要性。

从可行性来说， 目前区块链技术发展处于早期，很多东西处于探索的阶段，所以现在定的一些标准如果过于严格会对这个行业产生一定的限制作用。

从必要性来说，为什么会有标准，以通信行业为例，它的标准比较完善、健全，包括 ITU 等等。因为没有一个企业业务可以囊括整个通信行业，各家企业间需要相互协作、互相理解，于是标准制定就成了整个行业的呼吁。除非假定一个企业能力很强，比如说苹果，可以做到自成一体，所有东西都可以在企业内部做随意调整，那它可以不用标准。

对应区块链来说，第一整个区块链需要一些定义和参考架构的标准，大家因此可以达成共识;第二应该有监管的标准，因为监管是行业和外部的接口，但至于监管怎么用是监管的事;第三是安全方面的标准，包括整体的安全要求和测评标准。大家知道安全不可能做到 100% ，但参考标准对行业安全有推动意义。

(主持人)李雪婷：如果一些定义和标准可以达成共识的话，对行业的良性发展可以起到一个指引性的作用。刚才吴主任提到测评，从区块链测评方面来讲，目前我国取得哪些进展?

蒲松涛：在回答您的问题之前，我接着吴主任的话简单讲一讲。我认为行业里大家关注的并不是组织或者国家制定的标准，更关注的是事实的标准。前几年我们在研究云计算的时候大家在讨论一个新的技术，讨论 Docker 是什么?华为认为 Docker 就是标准，现在的事实也是这样。回到区块链行业，代币的标准是什么?代币的标准就是 ERC-20 。如果发展到一定程度、有影响力，就会成为事实标准。我们看到很多底层架构就是以比特币为标准做的。

关于测评，现在的区块链领域，大概有四类标准：密码相关的、技术架构方面的、面向应用的、测评的。测评这块主要是各个组织去设定相关标准去做评级，国内有很多机构做测评，每个机构都有自己的一套标准，但行业内没有一个统一的标准体系，大概是这样一个情况。

(主持人)李雪婷：各家都有一个标准体系的话，会不会产生碎片化，从而阻碍行业的共同发展?

蒲松涛：我认为不会。一件产品出来以后，各家测评机构通过各自的标准体系对产品进行测评，并颁发相应证书，对行业不会带来多大的影响。

(主持人)李雪婷：对于测评刘主任有没有补充的内容?

刘燕：测评推进整个行业往前发展需要跨越比较大的门槛。目前存在的挑战有很多，比如说技术本身是不是成熟的问题。判定一个行业的技术是否成熟，需要产生被这个行业大多数应用方接受的技术标准，以及需要标准在产业端落地、实施方面的龙头型企业来进行标准的实施。目前而言，还没有达到成熟阶段。

一项成熟的技术能够和产业、场景相融合，并推进在各个场景中落地的实现。技术和标准的发展是相辅相成非常动态的过程，一方面需要找到适合区块链的应用场景，为产业端生产找到突破点，另一方面也需要在实施过程中形成一定的技术标准。需要一定的技术标准来评判一个项目是不是区块链项目，同时保证我们在链上的数字资产的安全，保证链运行过程中的效率提升。

(主持人)李雪婷：刘主任刚才说到链上数字资产安全，我想问一下李总，关于数字资产存储方案，这个方案是怎么去确定一些安全指标来建立安全指标体系的?

李尧：刚才三位说的标准我比较同意。我们观察到行业的技术鉴定非常初步，初创企业需要一个行业标准，这样对行业监管和企业自身行为规范有极大的帮助。

另外我想谈一谈在行业内目前不规范的标准，比如说助记词的格式，在不同平台上出现的标准存在多种形式，有的用英文字母，有的用汉字表示，应该要进行统一规范化。再比如行业数据为什么会被盗，我分享一个案例，去中心化漏洞平台 DVP 此前检测到，有超过 600 家交易所使用存在漏洞的已被废弃的开源程序，该漏洞可使攻击者绕过交易所原本的限制，违规修改信息，或在未授权的情况下删除交易所的数据。就是没有一个好的基础协议选择标准，这对用户来讲是非常可怕的。

那什么是好的标准的维度?在我们看来这个标准能达到在共识机制安全的标准、算法安全的标准、网络安全的标准、应用层面的安全标准以及合约安全标准这六个层面的统一，对行业有促进意义，就也是我们 Cobo 钱包希望推动的标准。

(主持人)李雪婷：好的，大家都是从行业的角度来讲标准建设，我想再问一下吴主任标准建设有什么进展?

吴震：首先已经在制定区块链参考架构的国家标准，现在正在立项和起草过程中，会对区块链的术语、参考架构、角色、功能模块进行定义。我们国家互联网应急中心也牵头成立了一个区块链平台安全技术要求的标准，现在也完成了草案，正在征求意见。我们中心在 ITU 也牵头了一个区块链版权国际标准的制定工作。

总的来说，框架性标准是有的，但是区块链应用的标准目前还处于早期，也不成熟，暂时也不是特别迫切。

(主持人)李雪婷：好的，刚才提到测评，据我了解到这个标准制定除了评价指标体系，还需要第三方验证机构，蒲总对第三方验证机构的发展有何看法?

蒲松涛：其实任何行业的发展除了行业自身提供技术产品之外都需要第三方的负责，包括投融资的服务等，这些都需要。对于区块链来讲，第三方机构的介入是非常有必要的。至少我了解到的，工信部下属的科研单位，实际上都在技术测评等方面提供一些服务。

(主持人)李雪婷：各位嘉宾都介绍了目前区块链行业标准建设的进展，我想请教一下各位，在区块链标准建设当中有没有存在一些问题目前是没有办法攻克，或者是仍需改善的?

吴震：处于市场上形成的符合实际情况的标准比较有生命力。比如说大家都知道的 TCP/IP 协议，出现地比较早，虽然存在不足但迅速占领了市场。非市场形成的标准因为缺乏支持容易被束之高阁。实际上标准制定上来说不存在什么问题，问题是制定的标准能否达成共识、能否落地使用。

刘燕：我个人觉得技术标准制定和技术本身发展之间需要达到一个动态的平衡。区块链技术尚处于早期阶段，它的发展还需要从各个维度不停地去提升其基础功能。区块链不是一个单一的技术，加密、算法、共识机制设计，激励机制设计等所有底层技术的成熟，和各个领域的科学家对于某个方面的突破，都会推进技术的发展。

如果标准制定得覆盖面过广，可能会限制技术的发展。我们希望技术标准可以防范一些比如说数据上的重大风险，对应用场景或者一些敏感性数据上，采取一些类似于沙盒监管的措施，既在中间把控严重的漏洞风险，也符合现阶段技术发展的特征，给技术发展留有比较健康的推动力。

蒲松涛：我非常同意这两位的发言，我觉得有两个问题是值得去探讨的。第一个问题是，技术标准制定的必要性，当前整个区块链行业十分活跃，过早制定标准是有影响的;第二个问题是，标准制定后是否有效，如何让大家接受你的标准?特别像我负责的公有链的研究，每一条链都有自己的模式，协议做出来了，各个公有链团队会不会认可就是问题。

技术标准制定的必要性、制定的标准是否能推广出来。我觉得有四个方向值得研究：

1.哪些是我们现在紧缺的、必须制定的标准。我觉得最重要的是术语，这是最基本、最底层的。参考架构也很必要，更多是对于新初创团队，这是必需的。

2.发展空间。各个测评机构、团队、组织都有自己的测评体系，这方面的标准可以有自由发展的空间，基于测评的沙盒也是有可能的。

3.迁移。区块链里很多都是传统行业中有的技术，在传统行业里都是有国标的。据我所知，应该是在国秘算法有 19 项，电子签名大概有 20 项，这些标准能不能迁移到区块链中来。围绕着密码应用的体系相对比较健全，密码的安全大概有 10 项左右的国家标准，包括密码应用的接口大概有 20 项国家标准，这些怎么迁移到区块链行业。

4.值得探索的。刚才也提到像区块链的行业应用相关的标准，包括各家行业组织也没有提出标准，将来真有可能形成事实的行业标准，变成行标、国标。

李尧：简单说下我的感受。链分为联盟链、私有链、公有链，联盟链和私有链一般不涉及到分布式节点，是公司治理而非社区治理，因此标准容易制定。公有链的标准多元复杂，链本身也在不断演变，不断突破，例如比特币的闪电协议，未来可能实现毫秒级到账，以及以太坊的雷电协议等都会极大地提高支付效率。同时对于区块链的共识机制也在不断演进，从 POW 到 POS 、DPOS 等，当这些公链技术和标准非常完善统一后，再反推到联盟链和私有链，会是比较好的尝试，从企业端来看，也会更效率化一点。

(主持人)李雪婷：四位嘉宾从不同角度对区块链技术标准建设进行了一些展望，确实区块链标准化建设能打通应用通道、防范应用风险，对区块链应用落地有积极作用。但现在由于区块链处于发展的早期，过早严格地制定一些标准可能会限制技术的发展。技术标准的建设不是一蹴而就的，是慢慢推进的。我们期待区块链技术标准建设在团体层面和行业层面的共同努力下来推进，从而促进行业的良性发展。