經(jing)常(chang)主打(da)安全概念的(de)區(qu)塊鏈到底(di)是不是安全的(de)?作為多年(nian)�������研究區(qu)塊鏈的(de)專家,如何看���(kan)待頻出的(de)安全事件?這背后的(de)原因有哪些?
在ISC2018 上,由眾(zhong)享比(bi)特主辦的(de)(de)(de)區(qu)(qu)塊(kuai)鏈與安全論(lun)壇中,來(lai)(lai)自中科院的(de)(de)(de)博(bo)士趙(zhao)赫就結合近年來(lai)(lai)眾(zhong)多著名的(de)(de)(de)區(qu)(qu)塊(kuai)鏈安全事件來(lai)(lai)剖析背后的(de)(de)(de)原(yuan)因。趙(zhao)赫本人不僅(jin)從事區(qu)(qu)塊(kuai)鏈的(de)(de)(de)學(xue)術研究,同時也深耕行(xi�����ng)業,目(mu)前是中科智鏈的(de)(de)(de)聯合創始人,他當(dang)天的(de)(de)(de)演講(jiang)是那場分(fen)論(lun)壇中反響最大的(de)(de)(de)之一(yi),現將其整理,以(yi)饗讀者。
����� 以下(xia)為趙赫(鐘隱)在ISC2018 區塊(kuai)鏈與安全(quan)論壇上的演(yan)講,雷鋒(feng)網編(bian)輯整理。
首先(xian)自我介紹一(yi)下,我是(shi)來自中科(ke)院的(de)一(yi)名科(ke)研人員(yuan),從(cong) 2013 年(nian)開始就進入(ru)區塊(�����kuai)鏈和加(jia)密數字(zi)貨幣(bi)領域。
直(zhi)接切入正題。為什么很多人都說區塊鏈技術很安全�������,屬于(yu)一種數據(ju)安全保護,或(huo)者軟件系(xi)統安全架(ji������a)構的一種技術。
可能許多人都已經聽說過(guo)了(le),包(bao)括像數據公開透明、記錄(lu)不可篡改,還(huan)有經常說的分布式共識,相(xiang)信(xin)代碼(ma),相(xiang)信(xin)數學,相(xiang�����)信(xin)組織,今天很多老(lao)師(shi)和同學都已經分享過(guo)了�����(le)。
我們重(zhong)點還(huan)是講(jiang)講(jian�����g)它不安全的地方。為什么我������們要說區塊(kuai)鏈還(huan)不是很安全?
實際上就是區塊(kuai)鏈的(de)現狀導致������(zhi)的(de)。區塊(kuai)鏈的(de)現狀等于黑客的(de)提款機,很容易變現,前面的(de)老(lao)師也說過,基本跟錢是一(yi)(yi)回事,而且很難追(zhui)蹤(zong)。我(wo)們把區塊(kuai)鏈里面的(de)各種(zhong)攻擊(ji),各種(zhong)漏洞(dong)的(de)形態也分(fen)成了三個大類,與大家也探(tan)討一(yi)(yi)下,分(fen)享一(yi)(yi)下,最后再給出(chu)我(wo)們的(de)建議或者最佳實踐的(de)一(yi)(yi)些內(nei)容。
首先(xian),第一(yi)個是(shi)應用(yong)層(ceng)的攻擊,主要是(shi)講錢包合乎智(zhi)能合約,像這兩�������個范�������圍內的攻擊手段。
第二個是和區塊鏈相關(guan)的交易(yi)所和在線服務提供(gong)商。
第(di)三種是(shi)特別針(zhen)對于區塊鏈本身系統里面的攻(gong)擊(ji)手段。比如(ru)說(shuo)共識算法、加密學的基(j�����i)礎、P2P網絡等(deng)等(deng)內容。
第(���di)一部分,應(ying)用側的(de)攻(gong)擊,這個可(ke)能(neng)是爆發最(zui)多的(de),對(dui)于普通(tong���)用戶來說是最(zui)容易體(ti)會到(dao),有一種很(hen)強(qiang)烈的(de)威(wei)脅感存在(zai)。這個幣存在(zai)哪好(hao)呢?有可(ke)能(neng)存著(zhu)存著(zhu)就丟了。
這是(shi)(shi)以(yi)(yi)太(tai)(tai)坊(fang)非常流行的(de)一個(ge)(ge)錢包(bao),攻(gong)擊的(de)方(fang)式(shi)非常多(duo),比如(ru)說被域名劫持,因為它是(shi)(shi)一個(ge)(ge)在(zai)(������zai)線的(de)情況,在(zai)(zai)網站上訪(fang)問了(le)之后(hou),輸入私(si)鑰(yao)就(jiu)可以(yi)(yi)將以(yi)(yi)太(tai)(tai)幣(bi)或者(zhe)以(yi)(yi)太(tai)(tai)坊(fang)上面的(de)Token都(dou)可以(yi)(yi)收發,很方(fang)便(bian),但是(shi)(shi)黑客(ke)也(ye)就(jiu)抓住了(le)這個(ge)(ge)方(fang)便(bian),把安全也(ye)就(jiu)很容(rong)易把幣(bi)轉到(dao)他手里。比如(ru)釣魚事(shi)件,現(xian)在(zai)(zai)有統計,統計了(le) 5000 多(duo)種(zhong)攻(gong)擊,同時(shi)有 1000 多(duo)種(zhong)都(dou)是(shi)(shi)針對于在(zai)(zai)線錢包(bao)的(de)攻(gong)擊。
第(di)二種(zhong)類�������型也是最(zui)(zui)古老的(de)(de)攻擊手段,就是本地(di)(di)錢(qian)(qian)包(bao)地(di)(d�����i)址(zhi)(zhi)替換的(de)(de)情況。大家可能(neng)聽說過 2014 年好萊塢艷照門的(de)(de)事件,黑客把(ba)很多(duo)好萊塢的(de)(de)私密照片發(fa)到(dao)(dao)了(le)(le)網上,最(zui)(zui)后留(liu)了(le)(le)一(yi)(yi)個地(di)(di)址(zhi)(zhi),希望(wang)大家給(gei)他打賞,結(jie)果這個地(di)(di)方出了(le)(le)一(yi)(yi)個問題,很多(duo)人把(ba)自己的(de)(de)地(di)(di)址(zhi)(zhi)給(gei)換了(le)(le),最(zui)(zui)后沒得(de)到(dao)(dao)多(duo)少(shao)幣(bi)。對(dui)于用戶來說,我(wo)們(men)這里看到(dao)(dao)代碼邏(luo)輯(ji)非常簡單(dan),直(zhi)接(jie)把(ba)內(nei)存里面監(jian)測到(dao)(dao),把(ba)錢(qian)(qian)包(bao)直(zhi)接(jie)給(gei)換掉。
最新(xin)的(de) 360 安全衛(wei)士已經增加(jia)了預警功能,這個值得點贊,如果發現錢包的(de)地址被換了會(hui)提示,黑(hei)客會(hui)不(bu)停的(de)收到幣(bi)。比較普(pu)遍的(de)方式是針對手(s���hou)機(ji)郵箱(xiang)的(de),是基于社會(hui)工(gong)程學的(de)一種東西, 2016 年(nian)(nian)年(nian)(nian)底的(de)時(shi)候(hou),國(guo)內的(de)區(qu)塊(kuai)鏈大V在(zai)手(shou)機(ji)上被黑(hei)了,當時(shi)不(bu)僅自己損失了一大筆錢,而且造(zao)成了市場劇烈的(de)振蕩。智能合約(yue)的(de)攻擊事件我就不(bu)多說了。
我們再講講第(di)二部分(fen),系統層(ceng)面(mian)的(de)攻擊(ji)(ji)。比(bi)(bi)如交(jiao)易所的(de)攻破,這個(ge)(ge)聽(ting)說(shuo)的(de)也比(bi)(bi)較(jiao)多,怎(zen)么(me)比(bi)(bi)特(te)幣(bi)(bi)(bi)又(you)被黑了,比(bi)(bi)特(te)幣(bi)(bi)(bi)又(you)被偷(tou)了,比(bi)(bi)特(te)幣(bi)(bi)(bi)本身(shen)沒錯,是(shi)交(jiao)易所被黑了。第(di)二種比(bi)(bi)較(jiao)大的(de)類型是(shi)監(jian)守自(zi)盜(dao),內鬼(gui)做(zuo)案(an)的(de)事情,國內也出現過(guo),應(ying)該(gai)(gai)是(shi) 2014 年的(de)時候,如果(gu�������o)進入這個(ge)(ge)圈子(zi)比(bi)(bi)較(jiao)早的(de)同(tong)學應(ying)該(gai)(gai)知道(dao)有一個(ge)(ge)比(bi)(bi)特(te)幣(bi)(bi)(bi)存(cun)錢罐,存(cun)一個(ge)(ge)比(bi)(bi)特(te)幣(bi)(bi)(bi)一年給你1. 1 個(ge)(ge)還是(shi)1. 2 個(ge)(ge),過(guo)了一段(duan)時間存(cun)了幾千個(ge)(ge)幣(bi)(bi)(bi)之后(hou)跑了。第(di)三種是(shi)針對于區塊鏈底層(ceng)BUG被利用的(de)攻擊(ji)(ji)。門頭溝的(de)盜(dao)幣(bi)(bi)(bi),監(jian)守自(zi)盜(dao),也有一小部分(fen)被人(ren)利用了比(bi)(bi)特(te)幣(bi)(bi)(bi)交(jiao)易延(yan)展性的(de)攻擊(ji)(ji),偷(tou)了幾千個(ge)(ge)比(bi)(bi)特(te)幣(bi)(bi)(bi)。
我們再(zai)看第二類(lei),針對非交易所的(de)(de),是一(yi)些在線(xian)服務商的(de)(de)安全事(shi)故,這樣(yang)類(lei)型(xing)的(de)(de)也(ye)非常多(duo)。在去年(nian)的(de)(de)一(yi)個(ge)ICO的(de)(de)項目(mu)被攻擊(ji)的(de)(de)原理是,服務器上有一(yi)個(ge)網站,很多(duo)程序(xu)員(yuan)都(dou)(dou)知道,結果沒有打好補丁,被人找到(dao)了(le)(le)一(yi)個(ge)漏(lou�������)洞,上傳了(le)(le)木馬,拿到(dao)服務器權限之后,把里面(mian)的(de)(de)幣全都(dou)(dou)給轉走了(le)(le)。
我(wo)想多(duo)說(shuo)一(yi)說(shuo)這一(yi)塊(kuai)。很(hen)多(duo)人覺得區塊(kuai)鏈是(shi)代碼寫好(hao)就(jiu)(jiu)OK了(le)(le)(le),人的(de)因素攻(gong)擊(ji)(ji)還(huan)是(shi)蠻嚴重(zhong)的(de)隱(yin)患(huan)。BTP是(shi)硅谷的(de)一(yi)個(ge)(ge)名企,屬于支(zhi)付(fu)商。如(ru)果你在網上用比(bi)特幣(bi)(bi)買東西(xi),比(bi)如(ru)在國(guo)外(wai)海淘付(fu)款(kuan),有(you)(you)可(ke)能你用的(de)支(zhi)付(fu)就(jiu)(jiu)是(shi)他們(men)(men)(men)提(ti)供的(de)。他們(men)(men)(men)的(de)首席(xi)財政官(guan)有(you)(you)一(yi)天收到(dao)一(yi)個(ge)(ge)郵(you)件(jian),這個(ge)(ge)郵(you)件(jian)是(shi)黑(hei)客給(gei)他發(fa)(fa)的(de),他當然不知道(dao)。他說(shuo)我(wo)們(men)(men)(men)是(shi)一(yi)個(ge)(ge)幣(bi)(bi)圈人或者(zhe)鏈圈的(de)一(yi)個(ge)(ge)媒(mei)體,需要提(ti)供一(yi)個(ge)(ge)答案,他就(jiu)(jiu)真(zhen)的(de)點(dian)了(le)(le)(le)郵(you)件(jian)里面的(de)鏈接(jie)(jie),沒有(you)(you)這么(me)(me)(me)(me)簡(jian)單,點(dian)了(le)(le)(le)鏈接(jie)(jie)之后(hou)讓他輸一(yi)個(ge)(ge)帳號(hao)(hao)密碼。輸進去之后(hou)黑(hei)客拿(na)到(dao)了(le)(le)(le)郵(you)箱(xiang)的(de)登(deng)陸帳號(hao)(hao)。拿(na)到(dao)了(le)(le)(le)郵(you)箱(xiang)登(deng)陸帳號(hao)(hao),黑(hei)客很(hen)雞賊,先(xian)去學習,先(xian)學習郵(you)箱(xiang)里的(de)所有(you)(you)軟件(jian),發(fa)(fa)郵(you)件(jian)是(shi)什么(me)(me)(me)(me)樣的(de)內容,有(you)(you)什么(me)(me)(me)(me)規定,掌握完了(le)(le)(le)之后(hou)黑(hei)客模仿CFO的(de)身份給(gei)CEO發(fa)(fa)了(le)(le)(le)一(yi)個(ge)(ge)郵(you)件(jian),我(wo)們(men)(men)(men)現在有(you)(you)一(yi)個(ge)(ge)大客戶,用什么(me)(me)(me)(me)緣(yuan)故(gu)要轉 100 個(ge)(ge)比(bi)特幣(bi)(bi),我(wo)已(yi)經檢(jian)查過了(le)(le)(le)沒有(you)(you)什么(me)(me)(me)(me)問題,請您(nin)批示一(yi)下。沒有(you)(you)多(duo)想就(jiu)(jiu)給(gei)他批準了(le)(le)(le),黑(hei)客拿(na)到(dao)這個(ge)(ge)幣(bi)(bi)之后(hou),一(yi)而再在二(er)三(san)偷(tou)了(le)(le)(le)三������(san)次,偷(tou)了(le)(le)(le)一(yi)共 5 個(ge)(ge)億(yi)。這個(ge)(ge)是(shi)針(zhen)對人的(de)攻(gong)擊(ji)(ji)。最(zui)后(hou)BTP找保險公司索賠了(le)(le)(le),但是(shi)沒有(you)(you)獲得賠償。
第三種是針(zhen)對(dui)云平臺或者云服務(wu)(wu)器的攻擊,這(zhe)也是早(zao)前發生過(guo)的一個(ge)案例。國外有一個(ge)云平臺,類似阿里云、騰訊云,當時國際上也有很多礦池的云平臺服務(wu)(wu),當時它的管理權限被人獲(huo)取(qu)了,有好幾個(ge)比(bi)較早(zao)的創業企業被偷了 2 萬多個(ge)比(bi)特(te����)幣(bi)。
我們重(zhong)點(dian)講一(yi)(yi)(yi)講第(di)三部分,很多(duo)人覺得(de)這(zhe)個(ge)(ge)技(ji)術像比(bi)特(te)(te)(te)幣(bi),很多(duo)年沒有出過大的(de)(de)(de)安全問題,所(suo)以(yi)這(zhe)個(ge)(ge)數(shu)字貨幣(bi)是(shi)非(fei)常可(ke)信(xin)的(de)(de)(de)。其(qi)實這(zhe)個(ge)(ge)數(shu)字不(bu)是(shi)特(te)(te)(te)別嚴謹(jin),不(bu)是(shi)沒有出現(xian)過,而且出現(xian)過不(bu)僅一(yi)(yi)(yi)次,各(ge)種(zhong)因(yin)素化險為夷(yi)了。第(di)一(yi)(yi)(yi)個(ge)(ge)案例,德國的(de)(de)(de)一(yi)(yi)(yi)個(ge������)(ge)碼農,發現(xian)比(bi)特(te)(te)(te)幣(bi)的(de)(de)(de)腳本(ben)程(cheng)序(xu)里面有一(yi)(yi)(yi)處潛在的(de)(de)(de)破壞力(li)極強的(de)(de)(de)BUG,這(zhe)個(ge)(ge)BUG基本(ben)內容(rong)是(shi),右上角(jiao)是(shi)原始代碼的(de)(de)(de)邏輯(ji),case,黑客利用(yong)BUG可(ke)以(yi)調用(yong)語句,使得(de)可(ke)以(yi)用(yong)之(zhi)前錢包里面的(de)(de)(de)比(bi)特(te)(te)(te)幣(bi)。如果我能花你錢包里的(de)(de)(de)錢,這(zhe)個(ge)(ge)錢還值錢嗎?
這(zhe)(zhe)個BUG最早的時候(hou)是(shi)沒(mei)有被公(gong)開的,這(zhe)(zhe)個程(cheng)序員(yuan)發(fa)了一個郵件給比特幣的創始(shi)人(ren)(ren),在郵件里講(jiang),對(dui)于不知道BUG的人(ren)(ren),千萬別講(jiang)BUG的名字,��������如果你是(shi)很熟悉������的人(ren)(ren),你一聽就知道到底怎(zen)么調用這(zhe)(zhe)個BUG,你可以想想當時的影響到底有多大。
這(zhe)(zhe)個(ge)BUG沒有被公(gong)開,悄(qiao)悄(qiao)被修復(fu)。悄(qiao)悄(qiao)的來,悄(qiao)悄(qiao)的我(wo)又(you)走了(le),這(zhe)(zhe)個(ge)BUG后(hou)面的比(bi)特(te)幣升級其它的內(nei)容(rong),就是(shi)(shi)常規性的內(nei)容(rong)更新的時(shi)候(hou),把(ba)問(wen)題(ti)給悄(qiao)悄(qiao)的修復(fu)了(le),修復(fu)完之(zhi)后(ho���u)在(zai)所有的節點,大部(bu)分都更新了(le)之(zhi)后(hou)才(cai)被公(gong)之(zhi)于眾。所以這(zhe)(zhe)個(ge)程序員也(ye)是(shi)(shi)比(bi)特(te)幣或者(zhe)區塊鏈歷史上最鮮為人知的大救星,他(ta)第一次救了(le)比(bi)特(te)幣。也(ye)有一種說(shuo)法,因為他(ta)自己也(ye)持有比(bi)較多(duo)的比(bi)特(te)幣,他(ta)不想自己的幣貶(bian)值,所以他(ta)寫了(le)這(zhe)(zhe)個(ge)郵件。這(zhe)(zhe)也(ye)是(shi)(shi)加密(mi)經濟(ji)學里面的角(jiao)度考慮(lv)。
比(bi)特(te)幣天(tian)量刷幣漏(lou)洞,比(bi)特(te)幣誕生半年(nian)到一(yi)(yi)年(nian)的(de)(de)(de)(de)時(shi)(shi)候,僅(jin)過了(le)一(yi)(yi)個(ge)(ge)月(yue)出現了(le)第二個(ge)(ge)BUG,是美國(guo)的(de)(de)(de)(de)一(yi)(yi)個(ge)(ge)碼農程(cheng)序員(yuan)(Jeff),他發現比(bi)特(te)幣的(de)(de)(de)(de)區(qu)塊鏈(lian)里面 7400 多個(ge)(ge)區(qu)塊有(you)(you)一(yi)(yi)個(ge)(ge)很異常的(de)(de)(de)(de)交易(yi),有(you)(you)三個(ge)(ge)收款地(di)址,有(you)(you)兩個(ge)(ge)收了(le) 900 多億比(bi)特(te)幣,一(yi)(yi)共是 1800 多億個(ge)(ge)。知道(dao)比(bi)特(te)幣的(de)(de)(de)(de)同學都知道(dao),在求和(he)的(de)(de)(de)(de)這(zhe)個(ge)(ge)邏輯里面,有(you)(you)一(yi)(yi)個(ge)(ge)求和(he)溢出,當時(shi)(shi)是沒有(you)(you)被處理的(de)(de)(de)(de)。發現這(zhe)個(ge)(ge)BUG之后,這(zhe)個(ge)(ge)時(shi)(shi)候比(bi)特(te)幣已經在運營(ying)當中了(le),而且(qie)是比(bi)較嚴重的(de)(de)(de)(de)BUG,結(jie)果(guo)社區(qu)表現出來比(bi)較強的(de)(de)(de)(de)能力。開發者(zhe)出了(le)修復(fu)BUG的(de)(de)(de)(de)版本(ben)之后,號(hao)召大(da)家趕(gan)緊(jin)在Node的(de)(de)(de)(de)版本(ben)上去挖礦(kuang),哪一(yi)(yi)個(ge)(ge������)鏈(lian)最(zui)長,才(cai)是最(zui)終被認可的(de)(de)(de)(de)鏈(lian),結(jie)果(guo)帶有(you)(you)補(bu)丁版本(ben)的(de)(de)(de)(de)區(qu)塊鏈(lian)的(de)(de)(de)(de)程(cheng)度(du)最(zui)后趕(gan)上并且(qie)超(chao)越了(le)原來有(you)(you)BUG的(de)(de)(de)(de)這(zhe)個(ge)(ge)鏈(lian),最(zui)終才(cai)化險為夷。
說(shuo)完核心代碼的(de)(de)一(yi)些漏洞之(zhi)后(hou)(hou),我(wo)們(men)來聊一(yi)聊共識機制的(de)(de)問(wen)題。先講一(yi)個(ge),大(da)(da)家(jia)(jia)可能都(dou)知道,51%攻擊的(de)(de)問(wen)題,現(xian)在(zai)發現(xian)它是現(xian)實的(de)(de)存在(zai),原來以(yi)為是理(li)論(lun)的(de)(de)存在(zai)。我(wo)們(men)提(ti)出一(yi)種方案,他可以(yi)避免雙花。通過(guo)什(shen)么呢(ni)?通過(guo)PUW,是有前提(ti)的(de)(de)。惡意用戶不能超(chao)過(guo)50%。比特(te)幣的(de)(de)歷史上曾經(jing)有過(guo)這(zhe)種擔憂, 2014 年的(de)(de)時候有一(yi)個(ge)礦(kuang)池,不停的(de)(de)增長,幾乎(������hu)已經(jing)達到甚(shen)至要(yao)超(chao)過(guo)一(yi)半(ban)了(le),結果就(jiu)說(shuo)大(da)(da)家(jia)(jia)別在(zai)我(wo)這(zhe)兒挖了(le),我(wo)這(zhe)兒已經(jing)變成一(yi)個(ge)中心化的(de)(de)礦(kuang)池了(le),我(wo)要(yao)提(ti)高手續費了(le),后(hou)(hou)面慢慢也就(jiu)沒有出現(xian)51%攻擊的(de)(de)隱患。
現在有(you)很多詬(gou)病說中國(guo)(guo)(guo)的(de)(de)幾家礦池聯合起來也(ye)是可以完成51%攻(gong)擊(ji)的(de)(de),這(zhe)也(ye)是理論上(shang)的(de)(de)可能。但(dan)是比(bi)特幣(bi)沒(mei)有(you)真(zhen)正被(bei)51%攻(gong)擊(ji)成功(gong)過。有(you)一(yi)個比(bi)方,為什么說安全沒(mei)有(you)被(bei)51%攻(gong)擊(ji),因為它的(de)(de)代價太大了(le),如果對它產生足夠的(de)(de)挑戰。我(wo)以前看了(le)一(yi)個數(shu)據,需要全國(guo)(guo)(guo)Top500 的(de)(de)�������怪獸(shou)級的(de)(de)超散,包括中國(guo)(guo)(guo)的(de)(de)神威、美(mei)國(guo)(guo)(guo)的(de)(de)泰坦集合在一(yi)起才可能發起有(you)一(yi)定威脅性的�������(de)(de)攻(gong)擊(ji)。現在差(cha)距(ju)可能更(geng)大了(le)。
51%攻(gong)(gong)擊(ji)的(de)(de)風險在于其它的(de)(de)幣(bi)(bi)種(zhong),而(er)不是(shi)比(bi)(bi)特幣(bi)(bi),這(zhe)種(zhong)攻(gong)(gong)擊(ji)是(shi)史詩(shi)級的(de)(de),或(huo)者(zhe)(zhe)是(shi)毀滅級的(de)(de)攻(gong)(gong)擊(ji)。大部分(fen)都(dou)是(shi)一(yi)些所(suo)謂的(de)(de)空氣幣(bi)(bi)或(huo)者(zhe)(zhe)是(shi)山寨幣(bi)(bi)。BitcoinGold、Zencash、Vnrge,這(zhe)些幣(bi)(bi)種(zhong)都(dou)比(bi)(bi)較小(xiao),沒有特別強的(de)(de)保護措施,很容(rong)易被(bei)人通(tong)過(guo)租(zu)用云端算(suan)力,租(z�������u)用大量算(suan)力沖進(jin)來(lai)到這(zhe)個(ge)小(xiao)比(bi)(bi)重里面去挖(wa)礦(kuang),超(chao)過(guo)原始整個(ge)網絡(luo)的(de)(de)算(suan)力,一(yi)下就(jiu)造成了51%攻(gong)(gong)擊(ji)雙花。我們預計未來(lai)可能(neng)會越(yue)來(lai)越(yue)多(duo)。也(ye)有學者(zhe)(zhe)做(zuo)過(guo)研(yan)究,ETC采用的(de)(de)共識算(suan)法和挖(wa)礦(kuang)的(de)(de)機(ji)制(zhi)和以太(tai)幣(bi)(bi)是(shi)完全一(yi)樣(yang)的(de)(de)。巴西的(de)(de)學者(zhe)(zhe)研(yan)究出來(lai),可能(neng) 5000 多(duo)萬的(de)(de)攻(gong)(gong)擊(ji)成本就(jiu)有可能(neng)造成 10 個(ge)億的(de)(de)收益。
剛才講過門頭(tou)溝被(bei)(bei)盜其實有(you)一部分被(bei)(bei)交(jiao)易(yi)延展性比(bi)特幣(bi)(bi)的(de)(de)(de)(de)BUG給坑了(le)(le),根據(ju)這(zhe)個(ge)基礎(chu)協(xie)議上(shang)的(de)(de)(de)(de),我沒確(que)認(ren)(ren)嗎?黑客這(zhe)部分的(de)(de)(de)(de)交(jiao)易(yi)被(bei)(bei)確(que)認(ren)(ren)了(le)(le),我就(jiu)把這(zhe)個(ge)幣(bi)(bi)再(zai)重發一遍,就(jiu)是發幣(bi)(bi)過程有(you)問(wen)題。造成(cheng)的(de)(de)(de)(de)影(ying)響還是挺大的(de)(de)(de)(de),比(bi)特幣(bi)(bi)的(de)(de)(de)(de)協(xie)議升級已經把這(zhe)個(ge)問(wen)題解��������決(jue)掉(diao)了(le)(le)。第二個(ge)是日蝕攻擊,也(ye)(y��������e)是很常(chang)見的(de)(de)(de)(de)一個(ge)手段(duan),在(zai)比(bi)特幣(bi)(bi)和以(yi)(yi)太(tai)坊(fang)的(de)(de)(de)(de)節點(dian)里都被(bei)(bei)找出(chu)了(le)(le)BUG,都被(bei)(bei)人修復了(le)(le),原理(li)也(ye)(ye)是通俗易(yi)懂(dong)的(de)(de)(de)(de),節點(dian)在(zai)連上(shang)區(qu)塊鏈網絡(luo)的(de)(de)(de)(de)時(shi)候需要有(you)很多(duo)連接來看,比(bi)如說現(xian)在(zai)的(de)(de)(de)(de)區(qu)塊高度是多(duo)少,現(xian)在(zai)網上(shang)哪些交(jiao)易(yi)已經被(bei)(bei)確(que)認(ren)(ren)了(le)(le),相關的(de)(de)(de)(de)交(jiao)易(yi)有(you)沒有(you)被(bei)(bei)確(que)認(ren)(ren),交(jiao)易(yi)的(de)(de)(de)(de)是什么(me),你(ni)(ni)(ni)(ni)連接的(de)(de)(de)(de)節點(dian)都是黑客控制(zhi)的(de)(de)(de)(de)節點(dian),他可以(yi)(yi)告訴(su)你(ni)(ni)(ni)(ni)某(mou)一個(ge)交(jiao)易(yi)的(de)(de)(de)(de)時(shi)間根本就(jiu)沒有(you),現(xian)在(zai)的(de)(de)(de)(de)高度是某(mou)一個(ge)區(qu)塊高度,其實你(ni)(ni)(ni)(ni)根本就(jiu)不是這(zhe)個(ge)高度,浪費了(le)(le)你(ni)(ni)(ni)(ni)的(de)(de)(de)(de)算(suan)力,告訴(su)你(ni)(ni)(ni)(ni)的(de)(de)(de)(de)時(shi)間沖(chong)也(ye)(ye)是不對的(de)(de)(de)(de)等(deng)等(deng),這(zhe)個(ge)問(wen)題就(jiu)在(zai)于(yu),如果說我們寫(xie)新的(de)(de)(de)(de)系(xi)統的(de)(de)(de)(de)時(shi)候,比(bi)特幣(bi)(bi)和以(yi)(yi)太(tai)坊(fang)都出(chu)過這(zhe)種BUG。
下(xia)面(mian)(mian)講一下(xia)漏(lou)(lou)洞(dong)算(suan)法的(de)(de)(de)(de)問題(ti)。這(zhe)(zhe)個(ge)(ge)(ge)漏(lou)(lou)洞(dong)發生過程(cheng)也很有(you)(you)意思。 2017 年 5 月份,IOTA是(shi)集DOT做的(de)(de)(de)(de)一個(ge)(ge)(ge)區(qu)塊(kuai)鏈系統,請MIT的(de)(de)(de)(de)研(yan)(yan)究組來(lai)審(shen)(shen)計代碼(ma),本來(lai)是(shi)一個(ge)(ge)(ge)好事(shi)(shi),MIT的(de)(de)(de)(de)研(yan)(yan)究者就(jiu)做了(le)(le)檢(jian)查,兩(liang)(liang)個(ge)(ge)(ge)月之后他(ta)們發現(xian)確實好,這(zhe)(zhe)個(ge)(ge)(ge)里面(mian)(mian)還有(you)(you)問題(ti),我(wo)一開始(shi)也上(shang)當了(le)(le),IOTA創始(shi)人我(wo)們是(shi)Curl被騙(pian)了(le)(le),是(shi)一個(ge)(ge)(ge)加密(哈(ha)西)值(zhi)的(de)(de)(de)(de)漏(lou)(lou)洞(dong)。我(wo)可以構造(zao)兩(liang)(liang)個(ge)(ge)(ge)不(bu)一樣的(de)(de)(de)(de)原(yuan)始(shi)數據,本來(lai)(哈(ha)西)要避免(mian)的(de)(de)(de)(de)事(shi)(shi)情,在這(zhe)(zhe)個(ge)(ge)(ge)里面(mian)(mian)竟然有(you)(you)這(zhe)(zhe)樣一個(ge)(ge)(ge)問題(ti),顯(xian)而(er)易見,導(dao)致(zhi)數字簽名的(de)(de)(de)(de)安(an)全性(xing)是(shi)無法保障的(de)(de)(de)(de)。 9 月份MIT,因(yin)為這(zhe)(zhe)個(ge)(ge)(ge)BUG已經修(xiu)復(fu)了(le)(le),就(jiu)公布(bu)了(le)(le)漏(lou)(lou)洞(dong)審(shen)(shen)查的(de)(de)(de)(de)報告,沒成(cheng)想(xiang)出現(xian)了(le)(le)戲(xi)劇性(xing)的(de)(de)(de)(de)一幕,IOTA馬上(shang)表示(shi)強烈的(de)(de)(de)(de)抗議,MIT違反學(xue)術道德,我(wo)們是(shi)故意把它放在你們的(de)(de)(de)(de),我(wo)放在你們是(shi)防止別人抄我(wo)們的(de)(de)(de)(de)代碼(ma)。這(zhe)(zhe)個(ge)(ge)(ge)也是(shi)很有(you)(you)意思的(de)(de)(de)(d���e),區(qu)塊(kuai)鏈漏(lou)(lou)洞(dong)系統里面(mian)(mian)的(de)(de)(de)(de)歷(li)史(shi)事(shi)(shi)件。
�������
第二個(ge)(ge)是共識機制(zhi)里(li)面的(de)(de)(de)(de)(de)(de)攻(gong)擊,這(zhe)個(ge)(ge)叫IOTA纏結縫合(he)攻(gong)擊,纏結是區塊鏈(lian)的(de)(de)(de)(de)(de)(de)一(yi)個(ge)(ge)名(ming)詞,今年有一(yi)個(ge)(ge)科(ke)幻電影《湮滅》,IOTA經歷(li)了(le)這(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)事情,黑(hei)客(ke)造(zao)出來的(de)(de)(de)(de)(de)(de)各種垃圾(ji)交(jiao)易(yi)(yi),并(bing)且在這(zhe)兩(liang)個(ge)(ge)鏈(lian)之(zhi)間不(bu)停的(de)(de)(de)(de)(de)(de)用(yong)鏈(lian)串(chuan)聯出來。這(zhe)個(ge)(ge)造(zao)成(cheng)(cheng)什么結果(guo)呢?IOTA當時的(de)(de)(de)(de)(de)(de)共識算法(fa)是不(bu)需(xu)要交(jiao)手續費的(de)(de)(de)(de)(de)(de),交(jiao)易(yi)(yi)的(de)(de)(de)(de)(de)(de)確(que)認(ren)是需(xu)要打包前面兩(liang)個(ge)(ge)交(jiao)易(yi)(yi),就(jiu)造(zao)成(cheng)(cheng)了(le)普通的(de)(de)�������(de)(de)(de)(de)用(yong)戶去確(que)認(ren)的(de)(de)(de)(de)(de)(de)時候(hou),大家基本上都在確(que)認(ren)大量的(de)(de)(de)(de)(de)(de)垃圾(ji)交(jiao)易(yi)(yi),黑(hei)客(ke)也在確(que)認(ren)垃圾(ji)交(jiao)易(yi)(yi),這(zhe)樣(yang)造(zao)成(cheng)(cheng)整個(ge)(ge)網(wang)絡是無法(fa)使(shi)用(yong)很長一(yi)段(duan)時間,整個(ge)(ge)系統等于(yu)是不(bu)可用(yong)了(le)。后面通過共識機制(zhi)的(de)(de)(de)(de)(de)(de)升級,才解決(jue)了(le)這(zhe)個(ge)(ge)問題。
其實我(wo)們聊了很多,還有大量的,今天時間關系沒有辦(ban)法和大家一起分享討論。
我(wo)們再回到區(qu)塊(kuai)鏈(lian)的(de)安(an)全(quan)主(zhu)題上來。區(qu)塊(kuai)鏈(lian)到底是不是重(zhong)新定(����ding)義安(an)全(quan),我(wo)們覺得(de)區(qu)塊(kuai)鏈(lian)技(ji)術�������并不是安(an)全(quan)的(de)一個(ge)萬(wan)能鑰,區(qu)塊(kuai)鏈(lian)系(xi)統里面仍然會繼承現有的(de)互聯網安(an)全(quan)、軟(ruan)件安(an)全(quan)等問(wen)題,同時還引(yin)用了新的(de)攻擊向量(liang)。
區(qu)(qu)塊(kuai)鏈確�������實在(zai)(zai)有(you)些方面(mian)是(shi)(shi)(shi)顯著(zhu)提(ti)高安(an)全(quan)(quan)性(xing)的(de)(de)。比如這里提(ti)出了(le)兩點(dian),容(rong)忍部分(fen)節點(dian)做,但(dan)是(shi)(shi)(shi)系(xi)(xi)統還是(shi)(shi)(shi)不(bu)影響的(de)(de)。還有(you)一個沒列出來的(de)(de),能夠抗(kang)審查,在(zai)(zai)微(wei)博、微(wei)信(xin)上(shang)的(de)(de)東西(xi)可能被(bei)刪,存在(zai)(zai)這個上(shang)面(mian)的(de)(de)東西(xi)是(shi)(shi)(shi)沒法兒(er)被(bei)刪的(de)(de)。要達(da)成這樣的(de)(de)安(an)全(quan)(quan)性(xing)顯著(zhu)提(ti)升的(de)(de)目標,有(you)一個前(qian)提(ti),在(zai)(zai)它的(de)(de)設計(ji)研發和運營之(zhi)中還要要對(dui)問題充分(fen)的(de)(de)重視,做好防(fang)范(fan)。我(wo)們覺得現有(you)的(de)(de)安(an)全(quan)(quan)技(ji)(ji)術(shu)和區(qu)(qu)塊(kuai)鏈技(ji)(ji)術(shu)是(shi)(shi)(shi)相輔(fu)相成,良(liang)性(xing)循環(huan)(huan)的(de)(de)過程。區(qu)(qu)塊(kuai)鏈技(ji)(ji)術(shu)在(zai)(zai)很(hen)多方面(mian)補齊(qi)了(le)現有(you)安(an)全(quan)(quan)技(ji)(ji)術(shu)不(bu)足的(de)(de)地(di)方,但(dan)是(shi)(shi)(shi)現有(you)安(an)全(quan)(quan)技(ji)(ji)術(shu)又反過來可以(yi)促(cu)進區(qu)(qu)塊(kuai)鏈的(de)(de)技(ji)(ji)術(shu)提(ti)升,兩個是(shi)(shi)(shi)相互促(cu)進良(liang)性(xing)循環(huan)(huan)的(de)(de)關系(xi)(xi)。
第一(yi)(yi)(yi),如果你(ni)(ni)是(shi)(shi)(shi)(shi)(shi)區塊鏈資(zi)產的(de)(de)(de)(de)持有(you)者(zhe)(用(y������ong)戶),私(si)鑰(yao)還是(shi)(shi)(shi)(shi)(shi)權利,以前你(ni)(ni)的(de)(de)(de)(de)法幣(bi)的(de)(de)(de)(de)資(zi)產,或(huo)者(zhe)什么東西(xi)丟了(le)(le),去警察局報個(ge)案,去銀(yin)行凍結(jie)誰(shui)動(dong)了(le)(le)你(ni)(ni)銀(yin)行的(de)(de)(de)(de)卡好。這(zhe)(zhe)個(ge)是(shi)(shi)(shi)(shi)(shi)幣(bi)圈或(huo)者(zhe)老(lao)人(ren)說的(de)(de)(de)(de)一(yi)(yi)(yi)句(ju)話(hua),如果說你(ni)(ni)買了(le)(le)幣(bi),第一(yi)(yi)(yi)時間把(ba)它提出(chu)來不(bu)(bu)(bu)要(yao)放到(dao)交易所,交易所里面(mian)的(de)(de)(de)(de)幣(bi)都(dou)是(shi)(shi)(shi)(shi)(shi)欠條,你(ni)(ni)并不(bu)(bu)(bu)真正擁有(you)這(zhe)(zhe)些(xie)幣(bi),它只是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)個(ge)符號。不(bu)(bu)(bu)要(yao)重(zhong)復(fu)使用(yong)密碼(ma),盡量(liang)使用(yong)自動(dong)生成(cheng)的(de)(de)(de)(de)密碼(ma),很多人(ren)就是(shi)(shi)(shi)(shi)(shi)幾(ji)位數的(de)(de)(de)(de)密碼(ma),最好都(dou)通過(guo)軟件(jian)自動(dong)生成(cheng)它,開啟短(duan)(duan)信(xin)認證(zheng)(zheng),這(zhe)(zhe)個(ge)是(shi)(shi)(shi)(shi)(shi)比短(duan)(duan)信(xin)驗(yan)證(zheng)(zheng)碼(ma)更(geng)安全(quan)(quan)(quan)(quan)的(de)(de)(de)(de)機(ji)制,學會識別各種推廣鏈接(jie),百(bai)度的(de)(de)(de)(de),谷歌的(de)(de)(de)(de),仔(zi)細閱讀安全(quan)(quan)(quan)(quan)提示的(de)(de)(de)(de)相關內(nei)容,大(da)(da)額資(zi)產建議(yi)大(da)(da)家是(shi)(shi)(shi)(shi)(shi)離(li)線(xian)存(cun)儲,或(huo)者(zhe)是(shi)(shi)(shi)(shi)(shi)考(kao)慮(lv)硬件(jian)錢包(bao),當然硬件(jian)錢包(bao)也不(bu)(bu)(bu)一(yi)(yi)(yi)定安全(quan)(quan)(quan)(quan),可能是(shi)(shi)(shi)(shi)(shi)比直接(jie)在電(dian)腦(nao)上直接(jie)存(cun)著被偷(tou)的(de)(de)(de)(de)概率低一(yi)(yi)(yi)些(xie),最好是(shi)(shi)(shi)(shi)(shi)硬件(jian)存(cun)儲。我的(de)(de)(de)(de)一(yi)(yi)(yi)個(ge)老(lao)朋友,是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)個(ge)老(lao)兵(bing),把(ba)私(si)鑰(yao)存(cun)到(dao)記事(shi)本(ben)里面(mian),傳到(dao)云盤上去,在本(ben)地把(ba)文件(jian)就刪(shan)了(le)(le),結(jie)果把(ba)刪(shan)除的(de)(de)(de)(de)這(zhe)(zhe)一(yi)(yi)(yi)步(bu)步(bu)驟同步(bu)到(dao)云盤上去了(le)(le),這(zhe)(zhe)樣做也是(shi)(shi)(shi)(shi)(shi)非(fei)常危險(xian)(xian)的(de)(de)(de)(de)。保管好郵箱帳(zhang)號是(shi)(shi)(shi)(shi)(shi)顯而易見(jian)的(de)(de)(de)(de)。最后建議(yi)大(da)(da)家考(kao)慮(lv)優先使用(yong)蘋果手機(ji),我也很喜歡用(yong)安卓,只不(bu)(bu)(bu)過(guo)因為這(zhe)(zhe)些(xie)年安卓的(de)(de)(de)(de)碎片化是(shi)(shi)(shi)(shi)(shi)比較嚴重(zhong)的(de)(de)(d������e)(de),除了(le)(le)剛剛發布的(de)(de)(de)(de)第一(yi)(yi)(yi)年安全(quan)(quan)(quan)(quan)更(geng)新比較頻(pin)繁,比較快,稍微老(lao)一(yi)(yi)(yi)點的(de)(de)(de)(de)安全(quan)(quan)(quan)(quan)更(geng)新很多做的(de)(de)(de)(de)是(shi)(shi)(shi)(shi)(shi)不(bu)(bu)(bu)到(dao)位的(de)(de)(de)(de),不(bu)(bu)(bu)僅僅錢包(bao)有(you)風(feng)險(xian)(xian),短(duan)(duan)信(xin)驗(yan)證(zheng)(zheng)碼(ma),包(bao)括兩步(bu)驗(yan)證(zheng)(zheng)的(de)(de)(de)(de)APP都(dou)有(you)可能會被竊(qie)取里面(mian)的(de)(de)(de)(de)信(xin)息(xi)。
如果您是(shi)(shi)一位(wei)區(qu)塊鏈項目的(de)開發(fa)者,幾位(wei)前輩都�������講過這(zhe)個(ge)問(wen)題,最好是(shi)(shi)能自(zi)己(ji)去看(kan)看(kan)里(li)(li)面(mian)的(de)代碼邏輯,里(li)(li)面(mian)到(dao)底(di)是(shi)(shi)不是(shi)(shi)真的(de),不要(yao)(yao)信某個(ge)牛(niu)人或者某個(ge)泰斗,在(za��������i)數字貨幣或者區(qu)塊鏈的(de)這(zhe)個(ge)領(ling)域里(li)(li)面(mian)蠻有(you)反叛性精(jing)神的(de),沒有(you)所(suo)謂的(de)權威在(zai)這(zhe)里(li)(li)面(mian),大家還是(shi)(shi)自(zi)己(ji)去看(kan)是(shi)(shi)最保險的(de)方式(shi)。用(yong)去中(zhong)心化(hua)的(de)思(si)維(wei),沒有(you)以前的(de)服(fu)務器客戶端的(de)架構,沒有(you)BS架構,CS架構了,各種(zhong)攻(gong)擊都可能在(zai)里(li)(li)面(mian)出現,你要(yao)(yao)考(kao)慮這(zhe)個(ge)方面(mian),不要(yao)(yao)去嘗試自(zi)己(ji)設計(ji)一種(zhong)加密算法,這(zhe)是(shi)(shi)一個(ge)很大的(de)坑(keng)。好像自(zi)己(ji)天不知道地不知道,只有(you)我(wo)自(zi)己(ji)安(an)全。
謹慎對待慈基數(shu)或者時間(jian)戳這(zhe)(zhe)(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)變量和數(shu)值,這(zhe)(zhe)(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)在(zai)區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)編程也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)非(fei)常難的(de)(de)(de)(de)(de)(de)(de)(de)(de)。我也(ye)(ye)(ye)在(zai)思(si)考(kao)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)問(wen)(wen)(wen)題(ti),讓用(yong)(yong)(yong)戶參與進(jin)來提(ti)供周邊的(de)(de)(de)(de)(de)(de)(de)(de)(de)環(huan)境信(xin)號,包括麥克風或者傳感(gan)器的(de)(de)(de)(de)(de)(de)(de)(de)(de)數(shu)據(ju),混合(he)本地(di)的(de)(de)(de)(de)(de)(de)(de)(de)(de)隨機(ji)數(shu)據(ju),這(zhe)(zhe)(zhe)(zhe)樣(yang)也(ye)(ye)(ye)許會(hui)安(an)(an)(an)全(quan)(quan)一(yi)(yi)(yi)點。時間(jian)戳也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)樣(yang)的(de)(de)(de)(de)(de)(de)(de)(de)(de),重(zhong)視安(an)(an)(an)全(quan)(quan)用(yong)(yong)(yong)例(li)的(de)(de)(de)(de)(de)(de)(de)(de)(de)編寫(xie),一(yi)(yi)(yi)定(ding)要(yao)(yao)重(zhong)視你(ni)寫(xie)的(de)(de)(de)(de)(de)(de)(de)(de)(de)每(mei)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)Library,哪怕是(shi)(shi)(shi)(shi)(shi)別人寫(xie)的(de)(de)(de)(de)(de)(de)(de)(de)(de)智(zhi)能(neng)(neng)合(he)約里面(mian)(mian)有(you)(you)BUG,您(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)系(xi)統(tong)仍然是(shi)(shi)(shi)(shi)(shi)可能(neng)(neng)會(hui)被找到漏(lou)洞(dong)(dong),會(hui)被擊潰的(de)(de)(de)(de)(de)(de)(de)(de)(de)。如(ru)果您(nin)的(de)(de)(de)(de)(de)(de)(de)(de)(de)工作是(shi)(shi)(shi)(shi)(shi)基于比(bi)特幣(bi)、以太(tai)(tai)坊(fang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)去(qu)做(zuo)的(de)(de)(de)(de)(de)(de)(de)(de)(de),不(bu)用(yong)(yong)(yong)重(zhong)復發(fa)(fa)明文(wen)字,一(yi)(yi)(yi)定(ding)要(yao)(yao)同(tong)(tong)步(bu)去(qu)更(geng)(geng)新像比(bi)特幣(bi)、以太(tai)(tai)坊(fang)攻擊的(de)(de)(de)(de)(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)代碼,一(yi)(yi)(yi)般能(neng)(neng)夠(gou)比(bi)較快的(de)(de)(de)(de)(de)(de)(de)(de)(de)及時響應(ying)里面(mian)(mian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)問(wen)(wen)(wen)題(ti),如(ru)果你(ni)的(de)(de)(de)(de)(de)(de)(de)(de)(de)工作是(shi)(shi)(shi)(shi)(shi)基于他(ta)(ta)們的(de)(de)(de)(de)(de)(de)(de)(de)(de)工作基礎(chu)上(shang)來做(zuo),你(ni)又(you)沒有(you)(you)去(qu)跟進(jin),等(deng)于是(shi)(shi)(shi)(shi)(shi)告(gao)訴黑客,比(bi)特幣(bi)和以太(tai)(tai)坊(fang)等(deng)于是(shi)(shi)(shi)(shi)(shi)告(gao)訴黑客,告(gao)誡自己(ji)智(zhi)能(neng)(neng)合(he)約很(hen)難寫(xie),很(hen)難寫(xie)的(de)(de)(de)(de)(de)(de)(de)(de)(de)好(hao)(hao)寫(xie)的(de)(de)(de)(de)(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan),一(yi)(yi)(yi)定(ding)要(yao)(yao)謹小慎微,補齊密碼學的(de)(de)(de)(de)(de)(de)(de)(de)(de)基礎(chu)知識。您(nin)開(kai)(kai)(kai)發(fa)(fa)的(de)(de)(de)(de)(de)(de)(de)(de)(de)系(xi)統(tong)有(you)(you)多安(an)(an)(an)全(quan)(quan),這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)取決于您(nin)。第三(san)個(ge)(ge)(ge)(ge)(ge)類(lei)別,如(ru)果您(nin)是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)位區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)相關(guan)產品的(de)(de)(de)(de)(de)(de)(de)(de)(de)創(chuang)業者,如(ru)果你(ni)以前不(bu)是(shi)(shi)(shi)(shi)(shi)做(zuo)這(zhe)(zhe)(zhe)(zhe)一(yi)(yi)(yi)塊(kuai)(kuai)的(de)(de)(de)(de)(de)(de)(de)(de)(de),現在(zai)來做(zuo)這(zhe)(zhe)(zhe)(zhe)一(yi)(yi)(yi)塊(kuai)(kuai),我們的(de)(de)(de)(de)(de)(de)(de)(de)(de)建議(yi)是(shi)(shi)(shi)(shi)(shi),如(ru)果您(nin)的(de����)(de)(de)(de)(de)(de)(de)(de)(de)項(xiang)目還沒有(you)(you)開(kai)(kai)(kai)始,還是(shi)(shi)(shi)(shi)(shi)問(wen)(wen)(wen)一(yi)(yi)(yi)問(wen)(wen)(wen)自己(ji),是(shi)(shi)(shi)(shi)(shi)不(bu)是(shi)(shi)(shi)(shi)(shi)一(yi)(yi)(yi)定(ding)要(yao)(yao)用(yong)(yong)(yong)區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)。第二(er)個(ge)(ge)(ge)(ge)(ge),如(ru)果項(xiang)目已經開(kai)(kai)(kai)始了(le),可以重(zhong)新從安(an)(an)(an)全(quan)(quan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)角度審(shen)查一(yi)(yi)(yi)下各個(ge)(ge)(ge)(ge)(ge)方面(mian)(mian)。應(ying)該充分了(le)解,在(zai)區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)領域特別是(shi)(shi)(shi)(shi)(shi)這(zhe)(zhe)(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)(de)(de)(de),要(yao)(yao)投入大量的(de)(de)(de)(de)(de)(de)(de)(de)(de)人力、物(wu)力、財力是(shi)(shi)(shi)(shi)(shi)看不(bu)到的(de)(de)(de)(de)(de)(de)(de)(de)(de),一(yi)(yi)(yi)旦出(chu)現事故(gu)之后是(shi)(shi)(shi)(shi)(shi)影(ying)響很(hen)大的(de)(de)(de)(de)(de)(de)(de)(de)(de),追悔莫及。針(zhen)對于自己(ji),針(zhen)對于關(guan)鍵(jian)團隊成(cheng)員(yuan),甭管C什(shen)么O,這(zhe)(zhe)(zhe)(zhe)里面(mian)(mian)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)關(guan)鍵(jian)人物(wu)出(chu)了(le)問(wen)(wen)(wen)題(ti),可能(neng)(neng)也(ye)(ye)(ye)會(hui)造成(cheng)影(ying)響。非(fei)區(qu)(qu)(qu)(qu)塊(kuai)(kuai)鏈(lian)服(fu)務系(xi)統(tong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)漏(lou)洞(dong)(dong),這(zhe)(zhe)(zhe)(zhe)也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)容易忽(hu)視的(de)(de)(de)(de)(de)(de)(de)(de)(de)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)問(wen)(wen)(wen)題(ti),服(fu)務器上(shang)放(fang)上(shang)您(nin)的(de)(de)(de)(de)(de)(de)(de)(de)(de)代碼,操作系(xi)統(tong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)漏(lou)洞(dong)(dong)就不(bu)用(yong)(yong)(yong)說了(le),他(ta)(ta)的(de)(de)(de)(de)(de)(de)(de)(de)(de)問(wen)(wen)(wen)題(ti)也(ye)(ye)(ye)會(hui)導致(zhi)您(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)系(xi)統(tong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)問(wen)(wen)(wen)題(ti)。劃撥資(zi)金池,最(zui)(zui)好(hao)(hao)還是(shi)(shi)(shi)(shi)(shi)有(you)(you)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)單獨的(de)(de)(de)(de)(de)(de)(de)(de)(de)資(zi)金,這(zhe)(zhe)(zhe)(zhe)樣(yang)更(geng)(geng)多的(de)(de)(de)(de)(de)(de)(de)(de)(de)放(fang)在(zai)社區(qu)(qu)(qu)(qu)里面(mian)(mian)會(hui)更(geng)(geng)有(you)(you)動(dong)機(ji)去(qu)介入進(jin)來,他(ta)(ta)會(hui)覺得這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)項(xiang)目是(shi)(shi)(shi)(shi)(shi)比(bi)較友好(hao)(hao)的(de)(de)(de)(de)(de)(de)(de)(de)(de),他(ta)(ta)也(ye)(ye)(ye)樂意去(qu)幫助你(ni),聘(pin)任(ren)顧問(wen)(wen)(wen),來審(shen)計(ji)第三(san)方產品。建議(yi)使用(yong)(yong)(yong)兩(liang)組人員(yuan),兩(liang)種不(bu)同(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)語(yu)言來進(jin)行開(kai)(kai)(kai)發(fa)(fa),把協議(yi)約定(ding)好(hao)(hao)。以太(tai)(tai)坊(fang)采(cai)用(yong)(yong)(yong)了(le)這(zhe)(zhe)(zhe)(zhe)種路線,所以避(bi)免了(le)好(hao)(hao)幾(ji)次(ci)大的(de)(de)(de)(de)(de)(de)(de)(de)(de)問(wen)(wen)(wen)題(ti)。同(tong)(tong)樣(yang)也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)針(zhen)對供應(ying)鏈(lian),開(kai)(kai)(kai)源(yuan)才是(shi)(shi)(shi)(shi)(shi)最(zui)(zui)安(an)(an)(an)全(quan)(quan)的(de)(de)(de)(de)(de)(de)(de)(de)(de),但是(shi)(shi)(shi)(shi)(shi)千萬別等(deng)到明天上(shang)線今(jin)天宣布開(kai)(kai)(kai)源(yuan),上(shang)線的(de)(de)(de)(de)(de)(de)(de)(de)(de)時候是(shi)(shi)(shi)(shi)(shi)開(kai)(kai)(kai)源(yuan)產品,這(zhe)(zhe)(zhe)(zhe)樣(yang)其實是(shi)(shi)(shi)(shi)(shi)最(zui)(zui)危險(xian)的(de)(de)(de)(de)(de)(de)(de)(de)(de),今(jin)年有(you)(you)幾(ji)個(ge)(ge)(ge)(ge)(ge)數(shu)字貨幣(bi)就出(chu)現過(guo)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)問(wen)(wen)(wen)題(ti),官方的(de)(de)(de)(de)(de)(de)(de)(de)(de)錢包出(chu)現,第一(yi)(yi)(yi)天就找到了(le)BUG。最(zui)(zui)后,做(zuo)好(hao)(hao)思(si)想準備,您(nin)這(zhe)(zhe)(zhe)(zhe)個(ge)(ge)(ge)(ge)(ge)系(xi)統(tong)一(yi)(yi)(yi)定(ding)會(hui)有(you)(you)漏(lou)洞(dong)(dong),有(you)(you)漏(lou)洞(dong)(dong)就一(yi)(yi)(yi)定(ding)會(hui)有(you)(you)攻破的(de)(de)(de)(de)(de)(de)(de)(de)(de),至少有(you)(you)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)安(an)(an)(an)全(quan)(quan)專員(yuan),要(yao)(yao)有(you)(you)一(yi)(yi)(yi)個(ge)(ge)(ge)(ge)(ge)應(ying)急預案(an)。
