原文標題:《2018 年度區塊鏈安全報告》
本報告由區塊鏈安全團隊 PeckShield (派盾)全程提供數據與技術支持。

報告核心看點:

回顧:

1、2018 年區塊鏈安全事件造成的經濟損失高達 22.38 億美元,較去年暴增 253%。2018 年區塊鏈安全事件發生 138 起,較去年暴增 820%。區塊鏈安全問題主要集中在業務層和合約層,兩者安全事件導致的經濟損失佔整個區塊鏈安全行業的 98.87%,分別發生了 64 次和 58 次,累計損失 22.1 億美元。

2、以太坊與 EOS.IO 2018 年全年安全事件回顧,以太坊全年發生 54 起安全事件,EOS.IO 全年發生 49 起安全事件。

3、四起重大區塊鏈安全事故覆盤:幣安黑客攻擊、以太坊 BEC 智能合約黑客攻擊、EOS 智能合約黑客攻擊,BCH 硬分叉導致的粉塵攻擊和重放攻擊。

4、項目團隊、安全團隊、公鏈團隊、錢包團隊等區塊鏈行業參與者對於區塊鏈安全的看法與展望。

展望:

1、2019 年第一個月發生的區塊鏈安全事故數量已經超過 2017 年全年的區塊鏈安全事故數量。

2、2019 年區塊鏈安全事件持續增加,但經濟損失量已經大幅度縮減,2019 年前三週僅造成了超過 400 萬美元的損失。

2018 年區塊鏈安全概述

經過近 3 年的發展,區塊鏈技術已經成爲業內公認的,繼大數據、雲計算、 物聯網、人工智能之後,又一顛覆性的新興技術,也被一些國家列爲國家級戰略發展技術。

在技術不斷積累深入時,國內部分城市已開始鼓勵區塊鏈產業入駐,創建出初步的區塊鏈創業扶持政策。與此同時,國外相對成熟的資本市場也正在完善區塊鏈衍生品加密數字貨幣的相關法規。

技術層面上,區塊鏈技術目前生活化的場景落地以螞蟻金服、騰訊、百度、京東等巨頭企業爲主力,區塊鏈創業公司在底層技術上取得較大成果,成爲傳統企業連接區塊鏈技術的橋樑。

但不可忽視的是,區塊鏈領域的安全問題屢見不鮮,合約機制中的天然弊端和發展過程中產生的漏洞成爲不法分子的攻擊點。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

具體表現上,加密數字貨幣交易的日交易量和總市值呈現相同的趨勢。2018 年 1 月到 12 月,總市值從最高點 2973 億美元降至 1111
億美元,年蒸發量達 73%。日交易量也與趨勢吻合,從年初到年末經歷了大幅縮水。

從上圖也可以看出,2018 年加密數字貨幣交易市場呈現出兩個極端表現,加密資產交易在 2017 年 12 月-次年 4 月的牛市呈現異常火熱的狀態,資金和投資人大量涌入,也引來最大獲利者交易所屢次受到黑客攻擊。5 月-12 月,整個區塊鏈行業都在下行的陰影中,幣價熊市表現不佳,部分心思不純的項目方趁機拋售代幣,引發市場恐慌,幣價走向更低點。

與此相反的是,主打底層技術,在上半年的牛市中被湮沒的 DAPP 團隊,在熊市中反而創造出屢屢刷屏的爆款作品。不論是 FOMO3D,還是 310 個比特幣懸賞的藏寶圖,簡單的遊戲設置和「幼稚」的內容,都成功打破區塊鏈行業在外界的「乏善可陳」「晦澀難懂」的原始標籤。

總體表現上,2018 年區塊鏈安全問題突出。根據騰訊安全團隊的數據,加密數字貨幣安全問題主要集中在區塊鏈自身機制安全、生態安全和使用者安全這三個方面。2018 年上半年,這三方面造成的經濟損失分別爲 12.5 億、14.2 億和 0.56 億美元,總計高達 27 億美元。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

根據 BCSEC 和 PeckShield 數據顯示,2018 年區塊鏈安全事故造成的經濟損失高達 22.38 億美元,較 2017 年大增 253%,2018 年區塊鏈安全事故數量也達到了 138 起,遠超 2017 年的 15 起。

從以上數據中我們也發現,進入 2019 年之後,區塊鏈安全事故數量有增無減,2019 年 1 月份前兩週就發生了 6 起安全事故,等於 2015 年全年的安全事故數量。與此同時,因爲各區塊鏈開發團隊對安全的重視,安全事故造成的經濟損失也得到了大幅度下降。

在牛市集中的上半年,加密數字貨幣交易參與者急劇增加,安全事件也明顯增加。下半年熊市中,發展迅猛的 DAPP 成爲安全事件頻出的對象,區塊鏈安全問題亟待解決。黑客盜幣以 2014 年 3 月 Mt. Gox 被盜 4.6 億美元比特幣、銀行賬號被盜 2740 萬美元爲典型。至 2018 年,黑客攻擊變得更加複雜和謹慎。3 月初,黑客在幣安實施了精心策劃的「盜幣」計劃,盜取用戶賬號買入小幣種,在拉昇該幣種前下好期貨單,開創黑客「盜幣」新模式。

投資機構方面,機構和個人面臨的最大問題就是專業素養缺失和項目盡調不合格,二者是導致投資者遭受巨大損失的核心原因。火熱的市場和項目方的虛假包裝,容易使專業判斷出錯。加上缺乏規則化的行業行爲準則和監管措施,也使得機構和投資人的加密資產安全問題更加突出。

對開發團隊來說,刨除道德風險,團隊面臨基礎設施、網絡攻擊威脅、數據丟失和泄漏等三重安全風險,不論是區塊鏈存儲設備的漏洞和所處環境等客觀因素造成的安全風險,還是團隊內部矛盾造成的主觀安全風險,都成爲項目開發團隊的重點安全問題。

安全事件使得區塊鏈的 2018 年動盪不安,其背後,是區塊鏈技術的不斷革新和區塊鏈項目對生活的變革。並且,在資本和技術人才的大量涌入下,國內區塊鏈技術已經進行了 3.0 時代,一定程度上掌握了區塊鏈技術的信息技術主導權。在跨境支付、慈善溯源、電子發票等方面已有場景落地。未來,更多更加規範的項目將會落地在人們的具體生活場景中。

同時,作爲區塊鏈的最佳應用場景,加密數字貨幣在 2018 年度過轉折年,先後經歷狂熱迷戀、萎靡不振、以及批量退潮三個階段。目前加密數字貨幣交易市場進入低潮期,所有幣價都在不斷刷新底線,大量不合格投資人和趁亂撈油水的機構被清洗出去。對金融市場來說,此次清洗對金融市場起到普及風險教育的作用,也讓虛擬數字貨幣交易有了模板,爲今後行業監管規則的創建打下基礎。

1. 發展與問題

據 BCSEC 網站數據和 PeckShield 提供的數據顯示,2018 年全年因爲區塊鏈安全事故而造成的經濟損失高達 22.38 億美元。2018
年下半年,儘管熊市背景下活躍人數和交易量都驟然減少,安全事件發生的頻率卻沒有放緩,尤其是 EOS 區塊鏈的智能合約出現的問題最多。

安全問題成爲加密數字貨幣行業的痼疾之一,各類攻擊預警信息不斷。年初,日本加密數字貨幣交易所 Coincheck 遭黑客攻擊,平臺超 5.2 億美元 NEM (新絆幣)被非法轉移。之後,美鏈 BEC、SMT、EDU 等智能合約被派盾 PeckShield 曝出重大安全漏洞。

安全問題頻發的同時,攻擊預警也有了相應的成績。早前,慢霧安全團隊披露一起因以太坊生態缺陷導致的數字資產盜竊事件,阻止攻擊者長達兩年時間的數字資產盜用行爲。之後,360
發現 EOS 區塊鏈系統在解析智能合約 WASM 的溢出漏洞,防止黑客控制整個 EOS 網絡後造成的嚴重損失。

一年的重點事件

全球同步跨交易所的拋售暴跌事故

3 月 7 日,幣安被黑客攻擊,開創首次黑客攻擊用戶無客觀損失的案例。黑客通過非法入侵幣安用戶的賬戶,將用戶各種各樣的代幣即時幣幣交易換成 BTC。

大量拋售代幣引發恐慌性拋售,黑客則選取其中一種——VIA (維爾幣),用操縱的賬號在 1 小時內買入 1 萬個比特幣的 VIA,造成該幣種的暴漲。使得該幣種從
22 點 50 分的 0.000225 美元直接上漲 100 倍到 0.025 美元,拉爆 110 倍。黑客並未趁機提幣取現,而是悄然離場。

事實上,在拋售用戶的各種代幣前,其已經在全世界各個交易所上掛出「代幣做空單」,在大盤下跌時獲得收益。

整個過程通過幣安的影響力獲得利益,未提取用戶代幣在客觀上也沒構成損失,開創黑客攻擊交易所獲利的新模式。

造成此次攻擊的原因,有用戶反映是幣安賬戶的 Google 二步驗證沒有起效,幣安也承認 API key 是賬號被盜的原因。

監管收緊引發市場波動,交易所技術缺陷回滾交易

3 月 9 日,中國人民銀行行長周小川就「金融改革與發展」相關問題回答中外記者提問時,回答了記者關於 ICO 的提問。他將 ICO
定性爲「會讓人產生可以一夜暴富的幻想,不是什麼好事」的金融衍生品。

監管層對 ICO 的態度是,央行不支持比特幣和人民幣直接交易,也不認可比特幣等虛擬貨幣作爲零售支付工具。對於亂象頻出的現狀治理,要將不慎重的產品停一下,有前途的經過測試後再推廣。

彼時擁有中國金融領域最高話語權的小川行長,對加密數字貨幣市場的研究並非表面,他指出比特幣等分叉產品出臺太快,不夠慎重,可能對金融穩定和貨幣政策傳導產生不可預測的作用。他鼓勵研究新的技術,但要求不要鑽政策的空子。

這些觀點直接影響了整個加密數字交易,當日所有交易所幾乎全部飄紅,市場恐慌情緒加重,OKEx 實際控制人徐明星也發出要上交國家的聲音。

徐明星是加密數字貨幣交易所 OKcoin 和 OKEx 的實控人,提前佈局該領域使其成爲第一批吃螃蟹的人之一。憑藉獨創的與股市期貨一脈相承的合約交易模式,OK 系資本快速積累,成爲國內三大交易所之一。

但技術上的不純熟使得 OK 系交易所頻頻出現故障,用戶遭受鉅額損失得不到賠償,由此引發激烈的公衆事件。二者的根本,還是技術安全引發的監管不信任和用戶信心耗損。

3 月 30 日凌晨,加密數字貨幣交易所 OKEx 出現 BTC 季度合約比現貨指數高出超 20%,最低點逼近 4000 美元。該情況持續近 100
分鐘,OKEx 隨後採取措施,宣佈將進行交易回滾。

OKEx 團隊稱,經技術初步調查,此價格劇烈走偏於市場價,是異常賬戶通過大量異常操作,導致 BTC 季度合約價格異常,大幅偏離指數。

業內人士認爲,在市場的正常交易下出現價格偏差是正常情況。相比之下,此前幣安用戶被黑客操縱交易 VIA/BTC 爲例,幣安也沒有回滾交易。在發佈回滾決定時,OKEx 稱會公佈異常用戶通過不計成本的異常平倉,突破限價的交易細節,但至今未給出。且 OKEx 一再強調交易所權利,更大可能上,是對自身利益的維護,和市場交易這一基本原則的破壞。

加密數字貨幣是去中心化技術的產物,公然回滾交易不僅證明了加密貨幣交易所對交易的可操控性,還公然破壞區塊鏈不可篡改的特性。交易所的強勢地位在此前的天價上幣費上有所體現,此次 OKEx 的回滾交易操作,開創了交易所公然操作用戶交易的先河,也再次證明交易所在幣圈產業鏈中佔據主導地位。而這種強勢地位直接影響着用戶的交易安全,也使得行業風氣下行。

BCH 硬分叉引發算力戰,用戶資產受到嚴重安全威脅

2018 年 11 月 15 日,因爲未對未來的升級計劃達成一致,BCH (比特幣現金)的兩個核心團隊 BCH ABC 和 BCH SV 宣佈對 BCH
開啓分叉,標誌着幣圈勢力開始分裂。

凌晨 1:52 分,BitcoinCash (BCH)網絡完成升級,BCH 算力戰開啓。這次分叉後,吳忌寒支持的 BCH ABC 與澳洲中本聰支持的 BCH SV 正式開始爭奪 BCH 主導權。當日下午 BCH ABC 領先 BCH SV 36 個區塊後,吳忌寒代表的 BCH ABC 一直處於出塊領先地位。最終以兩條鏈 BCH ABC、BCH SV 分叉的兩條鏈共存結束,目前用戶資產暫時得到了保全。

BCH ABC 和 BCH SV 原本在同一陣營,此次倒戈分裂代表着幣圈舊勢力的重新劃分。BCH 的爭奪對幣圈的影響是直接的。分叉前,BCH ABC 和 BCH SV 多次在社交平臺發佈具有煽動性的宣言,使得以 BTC 爲首的加密數字代幣連續暴跌。

BCH 算力爭奪,實際上是 BTC 保守派和激進派的決裂,相關企業站隊背後,代表着鏈圈勢的重新劃分。吳忌寒和澳洲中本聰的分裂,也使得算力之外的勢力被迫選擇一方,交易所開始被迫站隊,用戶沒有選擇權,成爲二者勢力劃歸的受害者。

在算力戰期間,因爲存在雙花攻擊的風險,用戶手中的 BCH ABC 和 BCH SV 幾乎無法交易,交易所也暫停了兩個幣種的充值和體現,這讓大量用戶的資產在這次資本對抗中受損。

EOS 智能合約安全漏洞,從未停止

7 月 25 日,EOS DAPP《狼人殺》智能合約被攻擊。這是 EOS DAPP 首例被攻擊案例。當日,慢霧安全團隊警告 EOS 狼人殺團隊,遊戲合約遭受溢出攻擊,資金池已變成負數。

EOS Fomo3D 狼人殺是一款與以太坊 Fomo3D 相似的遊戲,英文全稱爲 Fear of missing out。EOS Fomo3D 遊戲使用閃拍模式,主要規則爲:遊戲開始有 24 小時倒計時,每位玩家購買,時間就會延長 30 s,越早購買的玩家,能獲得更多的分紅,最後一個購買的玩家,將獲得獎池中 48% 的 eth。

但是,該遊戲就因出現智能合約存在嚴重漏洞、被黑客攻擊、團隊有強制結束權利等問題被參與者所詬病。遊戲團隊緊急上線新合約之後,仍然發生第二次攻擊,攻擊者(eosfomoplay1)盜走 60686 個 EOS,是 EOS DAPP 不完全統計中,被黑客攻擊損失代幣數量最多的合約漏洞。

在此之後,EOS 上出現大量博彩類型 DAPP,因爲採用開源模板和未對合約安全進行考慮等原因,此後出現了幾十次與 EOS DAPP
有關的黑客攻擊,包括回滾攻擊、隨機數預測攻擊、可重入攻擊、邏輯漏洞攻擊等。

2. 以太坊與 EOS.IO 區塊鏈安全回顧

2018 年年初,以太坊代幣 ETH 的價格達到了歷史最高點,這不僅成功地吸引了普通投資者的關注,也讓地下黑客們看到了這個初生新事物脆弱的一面。

據 Peckshield 統計數據,在 2018 年全年,以太坊區塊鏈一共發生了 54 起安全事故,其安全類型多爲交易所安全問題、交易所交易系統和錢包管理問題、錢包網站安全問題、智能合約問題以及公鏈設計缺陷問題等。

與之對應的 EOS.IO,從年中主網上線到 2018 年結束,共計發生了 49 起安全事件。其中,絕大多數的安全問題都發生在 EOS 智能合約之上,而且漏洞在不同的智能合約中可以輕易復現,當黑客發現某個漏洞在一個智能合約可用時,便會對其他智能合約發起相同的攻擊手段。這種「復讀機」式的攻擊屢次成功,甚至讓 EOS.IO DAPP 開發者多次遭到損失。而這一條區塊鏈的安全問題並沒有因此而得到解決。

下面是兩條具有代表性的公鏈過去一年的安全事件與價格趨勢圖,區塊律動 BlockBeats 將在下面覆盤 4 個具有代表性的安全事件。

因圖片過長請橫屏查看

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

3. 重點案例覆盤

幣安黑客攻擊

2018 年 3 月 8 日,幣安交易所發佈了一篇名爲《Binance 部分用戶賬號異常事件始末》的公告。

在前一天,許多幣安用戶發現自己持有的各種數字貨幣被市價交易成了比特幣,然後約一萬枚比特幣又被用來買入一個本來毫不起眼的小幣種——VIA 幣,以至於在短時間內,VIA 的價格被拉昇了超過一百倍。

根據這篇公告的說法,這是一起失敗的攻擊。黑客未能成功高價賣出自己預先存入的 VIA 然後提幣走人。黑客先是用釣魚網站盜取了用戶賬號信息,但是他們的異常交易觸動了風控,未能提幣,甚至自己預先存入的 VIA 幣也被凍結,反倒給自己帶來了損失。

事實真的是這樣嗎?黑客真的這麼慘嗎?又爲什麼利用釣魚網站能輕鬆盜取賬號呢?不是需要二次驗證的嗎?我們來從頭深入覆盤一下這起黑客攻擊事件。

從釣魚網站說起,幣安的公告是這樣描述的:「黑客在長時間裏,利用第三方釣魚網站偷盜用戶的賬號登錄信息。最早被釣魚的賬號可追逆到一月初,但大多數賬號是在 2 月 22 日左右,用 unicode 的 Binance 域名(Binance 底部有兩個點)釣魚。黑客獲得賬號後,自動創建交易 API。」

CZ 在推特上展示了一個被盜賬戶的歷史,如下圖。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

按照時間戳從下往上看,這位用戶先是谷歌了一下 binance,然後打開了搜索結果——假幣安網站。雖然 CZ 的電腦屏幕確實該擦了,但是仔細觀察一下打開的域名,還是可以發現這個 www.binance.com 裏面的 i 和 a 下面都有個點,正如幣安公告裏所提及的那樣。

然後用戶在這個釣魚登錄頁面內輸入了自己的賬戶密碼,隨後通過 2FA (雙因素驗證,這裏也即谷歌驗證器)驗證登陸幣安。此刻顯示出現錯誤,這裏發生的事情是黑客將釣魚網站和真正的幣安網站連通,實現了即時登陸。於是頁面跳轉到了真正的幣安網站。

安全漏洞:二次驗證沒有做到 OTP

與此同時,發生的更重要的是幣安公告中所提到的「黑客獲得賬號後,自動創建交易 API」。這一步也即是爲何黑客操作時谷歌二步驗證沒有起效的關鍵。

谷歌的二步驗證碼屬於 OTP (One-time Password),有效時間爲 30 秒,也即被使用過一次之後立即失效,即使還沒有達到 30 秒。

但是 OTP 需要服務器來實現,如果服務器沒有做出每個密碼的限制邏輯,那麼在這 30 秒內,驗證碼可以被反覆使用。結果就是用戶資產面臨極大風險。更可怕的是,黑客在這 30 秒內創建了 API,獲得了包括閱讀信息、進行交易、提現操作的最高權限。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

很遺憾,在發生這起黑客攻擊事件時,幣安使用的還是「假的 OTP」,給了黑客可趁之機,不過很快幣安就修補了這個漏洞。

這樣的漏洞在當時並不少見。幣安黑客攻擊事件發生後,根據知乎用戶「二子乘舟」的測試,主流交易所中 Kraken、火幣、Bigone 的二次驗證都不符合 OTP
邏輯。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

黑客攻擊手法的去中心化

幣安的黑客攻擊事件與以往的交易所攻擊事件都不同的地方在於,這次黑客並不靠從被黑的交易所提幣來獲利,而是在攻擊幣安的時候在其他交易所開下了大額空單,依靠市場恐慌情緒來做空大賺一筆。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

由於幣安在數字貨幣交易領域巨大的影響力,在這裏的風吹草動都會影響到整個加密貨幣市場的動向。在幣安上的用戶驚慌失措、開始拋售的同時,整個加密貨幣市場就都不淡定了。比特幣的價格在一個小時內跌去了
10%。

黑客通過提前在多家交易所開下的空單,實現了一波完美的「收割」——沒有任何用戶的幣被黑客從交易所提走,然而在市場開始下跌的那一刻,黑客就開始賺到期貨的收益。而且由於交易分散無法具體到賬戶,實際上也實現了攻擊的去中心化。

以太坊 BEC 智能合約黑客攻擊

4 月 22 日 OKex 發佈公告暫停美鏈 BEC 的交易和提現,然而 BEC 市值已經迅速蒸發 60 億,價格幾近歸零。緊接着 4 月 25 日,火幣發佈公告暫停了所有幣種的充提幣業務,公告稱 SMT (SmartMesh)的以太坊智能合約存在漏洞,此時當日 SMT 價格已跌去 20%。

BEC 的代碼漏洞被稱爲 batchOverflow,SMT 的代碼漏洞被稱爲 proxyOverflow,他們的本質都是 ERC20
合約的整數溢出安全漏洞。

安全漏洞:整數溢出

常見的整數類型有 8 位,16 位,32 位等整數溢出發生在試圖把數據放入比它本身小的儲存空間中時。

整數分爲有符號整數 (signed integer) 和無符號 (unsigned integer) 整數兩種。前者包括正數和負數會在最高位用 0 表示正數,用 1 表示負數;而無符號整數只能識別非負數。對於無符號整數來說,位數爲 n 意味着可以表示 0~2^n-1 這個範圍內的整數。

比如無符號的 16 位整數可以表示 0~2^16-1,也就是 0~65535 這麼多的數值。在這個範圍內程序可以得到正確的顯示。如果嘗試放入的數據不在這個範圍內,輸出結果就不正確。數值過小會發生下溢,過大則會發生上溢。

這個漏洞可以使黑客通過轉賬的手段生成合約中本不存在的鉅額代幣,將其轉入到自己的地址中。而這些代幣可以被轉入交易所,進行正常的交易,與原本存在的真的代幣並無區別。而這一切的操作都十分簡單,只需要輸入一串數字就好了。

BEC 攻擊事件詳解

根據 PeckShield 披露的技術細節,BEC 整數溢出漏洞在代碼中的體現。問題出在 257 行這裏(如下圖)

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

注:cnt:轉賬接收者地址數量;value:向每個接收者發送的轉賬數額;amout:發送者總計發送的數額,也即 cnt 和 value 的乘積。

uint256 是說這裏的數據都應該是 0~2^256-1 範圍內的整數,而在轉賬交易中,黑客在 value 這裏輸入了相當大的數值,導致它和 cnt
的乘積 amout 超過了這個範圍,結果 amount 無法正常顯示,只能顯示爲 0。

在 amount 爲 0 的情況下,就輕鬆通過了 259 行要求發送者餘額大於 amount 的驗證。

261 行表示,在轉賬過後,發送者的餘額應該減去這筆 amount,在這裏也就是減去了零,發送者餘額不變。

然而在 263 行我們可以看到,接收者的餘額卻可以成功的加上這巨大的 value。也就是說,黑客從 A 地址到 B 地址進行了鉅額轉賬,然而 A 地址的餘額卻沒有絲毫減少。黑客憑空製造出了鉅額代幣。

後來發生的事情就是,黑客將大量 BEC 代幣轉入交易所 OKEx 拋售。先是試探性地轉入了 100 萬枚代幣,在成功售出後,又分兩次轉入了共 1000 萬枚代幣,依然進展順利,後來於是一次轉入了 1 億枚。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

雖然在這 1 億枚代幣轉入後,OKEx 發現了異常並暫停交易,但在這之前,市場上迅速出現的大量來源不明的 BEC 已經引起了恐慌,拋售潮出現,BEC 價格迅速下跌,幾乎歸零。

後來 BEC 決定與 OKEx 合作回滾交易挽回損失,但是事後回滾交易終究不是安全漏洞的真正解決方法。三天後 SMT 也被黑客用同樣的套路攻擊,遭受巨大打擊。

儘管這個漏洞並不是 ERC20 標準本身的問題,但是確實有許多的智能合約都沒有經過細緻的檢查。在 BEC 攻擊事件發生時,PeckShield 團隊調查稱超過 12 個項目的代幣存在同樣的整數溢出漏洞,隨時可能被用同樣的手法致命攻擊。

如果 BEC 團隊在部署發幣智能合約之前能夠對代碼進行審覈,那麼這麼簡單的漏洞將會避免。

EOS 智能合約黑客攻擊

隨機數生成算法漏洞:EOSDice 十天內的兩次攻擊

EOS 憑藉較高的吞吐量在公鏈上線之後就吸引了許多 DApp 的開發者和使用者,其中數量最多的是博彩類遊戲。但與此同時,這些博彩遊戲的黑客攻擊事件層出不窮,數得上來的就有 Luckyos、EOS WIN、DEOSGames、Fair Dice、EosRoyale、 FFGAME、LuckyGo 等等。其中人氣頗高的 EOSDICE 在 11 月初更是在十天之內遭遇兩次攻擊,被盜取數千個 EOS。

2018 年 11 月 4 日,EOSDice 合約遭到賬號 jk2usllkjfd 攻擊,損失的超 2500 個 EOS 被轉入火幣交易所。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

本次,黑客採用的手法是在知道隨機數種子來源和隨機數生成的算法情況下,通過控制種子的數值讓算法計算出自己下注的結果,以此來獲勝盜取 EOS。

在這個算法中,影響隨機數生成結果的主要種子信息有:用戶賬戶名、ID、當前時間、合約餘額和指向區塊信息。其中賬戶名、ID
和當前時間都很好獲取,合約餘額可以在只有一個用戶訪問時計算得到,比較難以得到的是最後一個:指向區塊信息。

在 EOSDice 開源的代碼中,我們可以看到指向區塊是由 EOS 鏈指定的。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

黑客通過實際操作發現,指向區塊在默認狀態下是執行當前 action 的上一個區塊。也就是說,在下注時,也已經可以獲得指向區塊的信息。

這樣一來,黑客便獲得了影響隨機數生成結果的所有種子信息。於是便可以根據生成算法計算出隨機數結果,據此來下注。

這次攻擊事件發生後,EOSDice 團隊很快便修改了隨機數生成的算法。他們選擇的方法是將指向區塊設定爲在下注時還未生成的區塊,實時開獎被變爲了延時開獎。在這種情況下,黑客就不能提前計算出隨機數結果再下注了。

然而,11 月 10 日,EOSDice 再次遭到攻擊。4900 個 EOS 被盜取後轉入 bitfinex 交易所。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

通過模擬遊戲合約,將攻擊合約與其置於同一個區塊中來獲得相同的種子。然後在這個模擬的攻擊合約中不斷修改合約餘額來測試出能夠得到目標隨機數的正確餘額值,然後將正確的餘額匯入到真正的遊戲合約中去。這樣的話,隨機數就能完全按照黑客的意願來生成了。

經過多次的隨機數漏洞攻擊後,目前 EOS 上的博彩遊戲通常採用的隨機數生成方法是:延時開獎的同時,在種子中不設置可控制變量。然而這樣的做法也不能說是完美,只能說是暫時還未被黑客攻破罷了。

爲什麼隨機數攻擊總是發生在 EOS 鏈上?

或許有人會感到奇怪的是,爲什麼博彩遊戲遭遇隨機數漏洞攻擊的事件似乎總是在 EOS 鏈上發生?很少聽到其他鏈上的遇到同樣手法的攻擊。並不是因爲其他鏈上的博彩遊戲少,只是其他鏈上或許採用的是完全不同的隨機數生成方式。

區塊鏈上從本質來講幾乎是不可能生成隨機數的。因爲區塊鏈要求各個節點間達成共識,然而每個計算機卻會生成不同的隨機數,無法驗證。

以太坊爲例,以太坊提出的解決方法是推薦 DApp 使用鏈下的 Oraclize 庫生成隨機數。這實質上是引入了一個第三方,這樣的隨機數生成方法對第三方有着極高的要求,需要第三方可信。因此這也引發了不符合區塊鏈去中心化本質的要求。

不過從目前來看,這樣的解決方案確實提供了較高的安全性。區塊鏈能解決很多問題,可是不能解決所有問題。或許 DApp 的某些部分暫時還是需要靠鏈下解決。

爭論:DApp 該不該開源?

爲什麼要在區塊鏈上博彩?可能很多人都會回答:因爲區塊鏈公開、透明,博彩更公平。事實卻是:絕大多數 EOS 上的博彩遊戲都沒有開源。

爲什麼呢?很多開發者都是出於被人發現漏洞的顧慮,開源之後可能會吸引更多黑客攻擊。而 EOSDice 是衆多博彩類 DApp 中的一股清流,儘管數次被黑客攻擊,仍然堅持開源。或許之前 BM 高額獎金懸賞 EOS 漏洞的經驗開發者們也可以學習一下,使用適當的激勵機制來減小漏洞發現者作惡的可能。

另外還有避免抄襲的說法。不過博彩遊戲本身的技術門檻就不是很高,況且代碼開源的初心就是爲了能夠相互學習共同進步。

目前 DApp 玩家最擔心的可能是暗箱操作使得開發者不敢開源,這樣的可能性的確存在。對開發者來說,不願開源可能會造成相當數量的用戶流失。

BCH 硬分叉中的粉塵攻擊與重放攻擊

根據 PeckShield 的數據統計,11 月 16 日,即 BCH 硬分叉後的當天,BCH ABC 和 BCH SV 兩條鏈上存在 341,068 筆重放交易;11 月 18 日,在受到不明巨量粉塵攻擊的影響下,BCH ABC 和 BCH SV 兩條鏈上的重放交易數高達 1,409,055 次,達到了百萬級。

由於比特幣現金將於半個月後分叉,2018 年 11 月初起,許多投資者便開始大量屯幣,比特幣現金價格一路飆升到超過 600 美金。

之前比特幣和以太坊的分叉由於持有者能憑空獲得另外一種新幣種,價格在分叉前也是迅速上漲。然而這次的比特幣現金分叉卻和之前兩次的走向有些不同。

根據 CCN 的報道,從 11 月 6 日到 12 月 6 日整整一個月間,BCH 的價格跌去了 81.6%,從 638 美金跌倒了 117 美金。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

如果說以往的分叉是由於共識出現分歧,那麼這次的分叉可以更多的被認爲是兩大利益集團之間的紛爭了。BSV 陣營的 CSW, Coingeek 和 Calvin Ayre 不斷對 BCHABC 陣營發出威脅,而 BCHABC 也不甘示弱。

重放攻擊與重放保護

重放攻擊首次引起人們的注意是在以太坊分叉出以太坊經典時,那時候還沒有重放保護的意識。所謂重放保護,即是使分叉後一條鏈上的交易在另一條鏈上無效。

於是當人們從交易所提以太坊到錢包時,會同時從交易所地址提出以太坊經典。這樣一來,把以太坊經典存放在交易所地址的持幣者就遭受了損失。

之前的分叉一般都會實施重放保護,這也通常被認爲是分叉成功的表現之一。然而這次雙方均表示不會進行重放保護,大有要爭個你死我活之意。

結果就是,隨着分叉之後交易所陸續開放比特幣現金的存取,存放在交易所內的幣就會被置於極大的風險之中。

對於存放在自己個人錢包裏的幣,同樣的風險也是存在的。比如 A 本來持有 20 個 BCH。這 20 個 BCH 並不僅僅是 20 個單獨的 BCH 的和,而是多筆 output 的總和。舉個例子,可能是一個 5 枚 BCH 的 output,一個 8 枚 BCH 的 output 和一個 7 枚 BCH 的 output 的總和。在分叉之後它們變成了 20 個 BCHABC 和 20 個 BCHSV,當他想要轉 7 個 BCHABC 給 B 的時候,這個廣播會被 BCHSV 也聽到,結果就是他也失去了自己的 7 枚 BCHSV。

如果 BCHABC 陣營和 BSV 陣營都不願做出重放保護的話,那麼持幣者就只有靠自己了。

1、分離 BCHABC 和 BCHSV 錢包地址:生成兩個不同的地址,BCHABC 和 BCHSV 鏈各一個,然後分別將 BCHABC 和 BCHSV 發送到這兩個地址。一旦確認了這兩筆交易,就會保護兩個新地址中的代幣免受重放攻擊。

2、在交易中添加特殊的 input:進行 BCHABC 和 BCHSV 交易時,在 input 添加一個特殊的少量分叉後 BCHABC / BCHSV 的 UTXO。由於此 UTXO 在另一個鏈上無效,因此此交易可防止重放攻擊。這些特殊的 UTXO 可以由第三方服務生成,也可以由用戶自己生成。分叉發生後 Poloniex 交易所就是採取這種方法在每筆提幣中都添加一個 UXTO 來保護用戶資產的。

3、在交易中添加特殊的 OP 代碼:OP 代碼僅在兩個鏈中的一個上有效。通過將它們添加到交易的 input 中,也可以保護交易免受重放攻擊。例如,OP 代碼 OP_CHECKDATASIG 可用於 BCHABC 的交易,而 OP_MUL 用於 BCHSV 交易。

粉塵攻擊

根據 PeckShield 的數據 , BCHABC 和 BCHSV 兩個鏈上均存在一些容量爲幾千筆交易的異常區塊,其中包含大量在相同地址間互轉的垃圾小額(大約 0.0002 BCH 或更小)的交易。

例如:BCHABC 鏈上的 556846 和 556843 塊,存在一地址
qqgusvva8 hnjpycgm0pfl6ywlmrcjvad5qlgqtaay5,發起了大量轉給自己的小額交易;

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

BCHSV 鏈上的 556821 等塊,也有大量不同地址發起轉給自己的小額交易。這些粉塵攻擊可能會造成 BCH 網絡阻塞,進而拉高交易費用。

粉塵攻擊的防禦解決起來就沒有重放攻擊那麼容易了。因爲粉塵攻擊本質上其實還是拓展性的問題。

擴容、隔離見證、閃電網絡 ...... 多種多樣的解決方法被提出來,可是至今也沒有哪種方法獲得了一致的認同。

4. 區塊鏈行業看安全

2017 年到 2018 年,區塊鏈成爲全民熱點,大量的安全問題也在此時暴露。應用業務層安全和智能合約安全兩部分造成的安全事故,佔區塊鏈安全事故總數的 80% 以上。原因多數爲智能合約代碼編寫出現漏洞,或應用層上的權限管理、密鑰管理等漏洞。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

根據 BCSEC 的數據顯示,安全問題主要集中在業務層和合約層,兩者安全事件導致的經濟損失佔整個區塊鏈安全行業的 98.87%,分別發生了 64 次和 58 次,累計損失 22.1 億美元,共識層安全事件發生了 6 起,造成經濟損失近 2216 萬美元,佔 2018 年區塊鏈安全事件經濟損失的 0.99%。

加密數字貨幣與個人財產直接相關,因此很容易成爲黑客攻擊的突破口。而除去高額的數字資產損失,風險事件給普通民衆心中的區塊鏈打上混亂、無序、不安全的標籤,也降低使用者對加密數字資產的信心,嚴重影響了區塊鏈市場的用戶獲取。

隨着整個行業從初期走向成熟,區塊鏈本身的分佈式系統架構和共識機制等技術將有助於提供更好的安全性。由此進行的,加密資產相關產業和區塊鏈應用的各個場景的安全更新,試圖通過最快的優化方式,避免更多的安全事件發生的迭代技術,也將發揮更有效的作用。

爲了更好地瞭解區塊鏈生態對安全的看法,我們與區塊鏈行業的多方參與者進行了溝通,他們包括正在使用區塊鏈技術的團隊、區塊鏈安全團隊、提供區塊鏈技術的公鏈團隊、爲用戶提供區塊鏈入口的錢包團隊以及行業內的權威專家。

區塊鏈項目團隊——迅雷

沒有參照物,也沒有具體法規,跟傳統互聯網相比,區塊鏈面臨更大的安全壓力。無論是項目本身的漏洞還是監管風險,區塊鏈項目涉及的具體場景,常見的如加密數字貨幣交易所、底層公鏈提供者,評級機構和數據統計平臺等,這些囊括幾乎所有領域的區塊鏈項目,都或多或少地面臨着安全風險。

區塊鏈安全主要包括應用層安全、智能合約安全、共識機制安全、網絡安全、數據安全、密碼學安全等方面。迅雷鏈底層研發工程師張驍認爲,其中任何一個環節出現漏洞,都有可能造成巨大的損失。此前,由於區塊鏈的開發者或使用者對安全的專業性或重視程度不夠,導致許多針對區塊鏈安全的攻擊事件發生。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

據不完全統計,區塊鏈技術自應用至今,近 10 年時間裏,因爲安全事件造成的損失達數十億美元,而且這個數字的漲幅隨着區塊鏈的普及在逐年遞增。但與此同時,隨着行業逐漸走向成熟,區塊鏈安全的重要性也正在逐漸被大家所重視。

區塊鏈產業仍處在一個非常初期的階段,目前的安全指數還沒有達到當前其他成熟技術的安全程度。區塊鏈的典型特徵是數據的不可篡改性,如果出現安全漏洞,後果難以消除。即使解決也要付出巨大代價,如以太坊的安全漏洞,最終導致硬分叉。其次,區塊鏈智能合約必須開源才能達成信任,公開的源碼、虛擬機以及編譯器一旦出現安全漏洞,很容易成爲黑客攻擊的對象。

張驍認爲,這些給區塊鏈的安全性帶來了更高的要求。但區塊鏈安全正在逐漸被從業所重視,相關應用層的模型安全,和智能合約的代碼審查逐漸被提上日程,加上區塊鏈本身的分佈式系統架構有助於抵抗網絡安全攻擊,共識機制可以抵抗來自內部或外部的惡意攻擊。隨着這些技術的發展和成熟,區塊鏈可以達到甚至超過當前這些成熟技術的安全指數。

並且,密碼學的發展也有助於區塊鏈數據隱私安全,通過應用同態加密、零知識證明等技術,區塊鏈上數據的隱私保護將更加安全和完善。以迅雷鏈爲例,其目前正在研究同態加密、零知識證明、多方安全計算等技術,並開展合約代碼安全審計等方面的工作,以此能夠滿足用戶和鏈上合作客戶對數據隱私保護的需求,並提升鏈上合約的安全可靠性。

因此,隨着區塊鏈體系的成熟和相關安全技術的發展,以及漸露雛形的監管細則,區塊鏈行業安全的未來是值得期待的。

安全團隊談安全——派盾 PeckShield

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

目前,區塊鏈各大生態都處於發展早期,技術上的薄弱使其容易受到黑客攻擊。並且,安全系統落後,安全防護建設弱於攻擊技術,攻擊事件頻繁發生,已經嚴重影響區塊鏈生態建設的速度。

據 PeckShield 統計,截至 2018 年 12 月 31 日,公鏈 EOS 上已經發生 49 起 DApp 安全事件,共計損失超過 74 萬個
EOS。這些安全事件合約開發者的建設進程,還嚴重打擊了生態建設者的信心。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

PeckShield 創始人蔣旭憲認爲,區塊鏈安全在技能和系統上,都需要更多的深入,才能更及時地發現漏洞,避免攻擊造成損失。區塊鏈安全存在着顯著矛盾:一方面,智能合約在鏈上公開透明,處於「明處」,處於「暗處」的黑客隨着當前數字資產價值上漲增多,攻擊風險增大。另一方面,整個生態中做安全服務的投入和預估明顯不足,這也使得整個區塊鏈生態面臨着較大的安全威脅,如進入雷區步履艱難。

區塊鏈行業早期的野蠻生長期,合約開發者良莠不齊。PeckShield 通過觀察分析發現,雖然攻擊者的攻擊方式在不斷升級,但開發者也會不斷積累受攻擊的經驗加強防禦措施。也就是說,如果生態內都是做事的開發者,安全事件的突發只會影響一時,安全意識薄弱與合約開發規範類的安全問題並不能威脅區塊鏈的長遠發展。

如果把目前的區塊鏈安全劃分爲非常安全、安全、令人堪憂、極度危險四個等級,蔣旭憲認爲現階段的區塊鏈安全,判定爲極度危險有些危言聳聽,但確實還未達到安全的層次。行業發展超 10 年,早期以比特幣爲主,鮮少聽說有安全漏洞。隨着公鏈技術逐漸成熟,分散的智能合約以及 DApp 開發者成爲主要被攻擊對象。

受到挑戰是一個生態發展乃至壯大的必經過程,監管的相應法律法規還不夠完善,也間接助長安全事件的發生。但通過混亂時期的歷練,區塊鏈安全的基礎設施纔會真正建設起來。目前,區塊鏈整個生態中問題重重,但整體開發環境趨於良性,用戶的參與行爲也更加理性。

DApp 在競猜類、金融類場景不斷延伸向更多新的應用領域;公鏈在交易性能、處理速度和使用體驗上不斷改進和優化。整體而言,幣圈、鏈圈、礦圈、和 DApp 圈,都會在寒冬中去僞存真,從價值投機迴歸價值投資。

公鏈團隊說安全——唯鏈 VeChain

熊市已久,DApp 成爲區塊鏈唯一活躍的領域,但區塊鏈行業的技術門檻和「重生」亟需新鮮流量的矛盾仍然存在。除操作外,ETH 鏈的 gas 費用,EOS 的賬戶創建費用和 CPU 資源質押等,操作成本的增加將進入門檻提升到更高。最重要的是,頻繁發生的安全事件大幅拉低新用戶對 DApp 的好感和信任度。因此,儘管更多形式和新機制的 DApp 層出不窮,DApp 的參與者仍然有限。

一個火爆的 DApp 平均日活僅數千人,需要進行下載錢包,安全保存私鑰,才能轉賬買賣等操作,流程繁瑣且不友好。安全係數不高和操作難度較高使得普通用戶進入障礙重重。如迅雷鏈底層研發工程師張驍所說,隨着區塊鏈與各行各業融合越來越緊密,安全意義已經不再只關係到區塊鏈技術本身,而是與這些已經形成或即將形成的整個區塊鏈應用生態圈息息相關。

區塊鏈安全此前一直被忽視。2018 年,公鏈安全事件頻繁發生,原因主要是 2018 年加密數字貨幣價格上漲,引發人們對區塊鏈的集中關注。唯鏈 COO 馮藝凱認爲,公鏈的安全防禦永遠是落後於黑客攻擊的,因爲幣價的大幅攀升將黑客的注意力吸引到公鏈的安全漏洞上。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

公鏈安全有兩個層次:一是公鏈本身,其安全是個比較難的課題。相對傳統安全領域,代碼都有制定好的供開發者遵循的安全標準,但剛剛興起的公鏈行業並沒有形成安全共識,項目各自爲營,行業缺乏成熟的體系和行業標準約束代碼質量。且公鏈運行的公開化,使得開發者忽略的漏洞變得更加容易受到攻擊。第二個層次,就公鏈團隊而言,參與者越來越多,質量參差不齊。大部分跟風進入的團隊不具備相應的安全防禦能力,其他大部分爲募資而進入的項目方對安全不重視,也是公鏈安全重要原因。

熱門公鏈中,ETH 、EOS 上已經擁有上百個供用戶選擇的 DAPP。就整個行業來說,不同公鏈的安全程度差別較大。運行時間較長的公鏈更成熟,使用者和開發者相對較多,整體安全性也相應較高。但短時間內安全事件很少,並不能保證長期的安全性。團隊硬實力仍需提高。

總體來說,2018 年安全被提到一定高度,是行業進步的表現。隨着傳統行業的正規軍加入,項目團隊技術素質將進一步提升,安全性會得到更有效的保障。區塊鏈行業會逐步建立起相對成熟的安全體系。2019 年,更多優秀的安全服務機構出現,將逐漸建立起整個行業的安全標準。

錢包團隊——比特派 Bitpie

2018 年下半年,行業內上萬家交易所和數千個錢包團隊如雨後春筍般出現。短時間內積累的行業繁榮,其實是技術團隊組成人員泥沙俱下。參差不齊的加密數字幣錢包團隊由此組成,缺乏專業素養導致的用戶資產損失和用戶隱私泄漏,以及僞造數據,都成爲加密資產錢包的潛在風險。

錢包是所有從業者參與加密數字貨幣交易的必要條件,與用戶的利益直接掛鉤,擁有存儲數字資產的重要功能,安全至關重要。在比特派開發者文浩看來,相比其他安全類攻擊,認爲錢包相對安全、風險低的觀點的不正確的。不維護的錢包 = 不安全的錢包。

以交易所爲例,其成爲安全事件高發領域,主要原因是交易所裏集中且數額巨大的虛擬資產,黑客攻擊交易所能夠直接盜鉅額數字貨幣。2018 年年末 DApp 智能合約類攻擊多次出現,也是因爲合約裏的加密資產。而去中心化錢包因爲私鑰在用戶手中,資產較爲分散,攻擊所得直接利益誘惑較小,相對交易所顯得相對安全、風險低。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

事實上,如果黑客攻入加密錢包的中心化服務器,僞造數據欺騙用戶,獲取收益的可能性會提升。不過此類攻擊的難度較大,需要了解對應錢包的實現邏輯及安全策略等方面的內容。即使僥倖通過每款錢包不同的安全校驗邏輯,仍然有被錢包客戶端識別的可能,操作成功率不高。

加密錢包本身的安全性可以保障,市場的外部因素是拉低錢包安全係數的關鍵。市場錯誤預判下涌入的大批錢包團隊,在熊市越發深入下,將會面臨資金鍊斷裂,進入難以維持正常運營的情況。一些失去基本的迭代開發能力和更新安全升級的錢包,已經威脅到用戶的資產安全。目前的虛擬數字錢包安全情況整體上不容樂觀。

「之前我們曾發現,有團隊在開發錢包時,簽名交易時未遵循 RFC6979 規範,在安卓系統上使用不安全的 SecureRandom 隨機數等錯誤,」文浩認爲,這些危險的操作手法,是去中心化錢包安全環節最薄弱的緩解——「團隊的技術能力」。

密碼學、點對點數據同步、智能合約、區塊鏈技術等基礎知識,是加密錢包最爲基礎的能力配置。但事實上,通過很多開源的加密數字貨幣錢包,一些團隊對開源錢包的 UI、皮膚稍作調整,「複製」出新錢包,但團隊並不具備維持錢包安全的能力,因此產品出現安全隱患。

錢包安全事件後果嚴重,開發者的 BUG,通常情況下是用戶資產的巨大損失。錢包需要在易用和安全方面找到平衡,爲不同用戶、不同需求提供不同安全級別的、軟硬結合的解決方案。通過技術實力積累起公信力,確保用戶加密資產的安全性。2018
年這兩方面的提升很明顯。

權威觀點——原中國人民銀行行長周小川

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

對於新興行業來說,政策變化是市場最大的變數。加密數字貨幣的匿名、去中心特性,一定程度上是國家政府對其保持謹慎的原因。其中,區塊鏈項目募資和加密數字資產交易更是令監管頗爲頭痛的一點。因此,在區塊鏈行業快速更迭的過程中,監管的態度和權威人士的觀點、行爲,成爲決定投資者行爲的關鍵因素。也成爲投資者恐慌指數的重要構成部分。

年初的加密數字貨幣交易熱潮過去後,相關產業參與熱情逐漸冷卻,投機者也隨着市場冷清退場。此後,代表國家意志和行業發展的言論,無論是上層監管動向還是個人動態,都能在第一時間內造成幣價的大幅度起伏。

從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題

其中,影響力最大的是今年 3 月兩會期間原中央銀行行長周小川對區塊鏈相關領域的定調。周小川行長稱,虛擬資產交易需更加慎重,從中國的角度來講,其不符合國內金融產品、金融服務須服務實體經濟的方向。提醒比特幣爲代表的加密數字貨幣不要鑽政策空子。未來的監管將由技術的成熟程度來決定,技術發展是動態的,但前提是不要與現行政策相悖,能夠服務實體經濟而不是造成暴富的投機幻象。

2018 年 12 月財新峯會上,周小川以中國金融學會會長的身份發表演講,對區塊鏈技術的作用有所肯定。他稱區塊鏈技術和分佈式賬本技術可能在某些領域中發揮作用,有些關係到未來支付體系。但目前不能確定的是,區塊鏈技術中,去中心化是不是支付體系中最核心的問題。

2018 年,整個加密數字貨幣市值整體下跌近 90%。如周小川會長所言,飛躍式的技術發展經常會伴隨着風險與扭曲,比如還沒發揮潛在的金融能力,就投放到市場上來當做投機賺錢的工具。幣價泡沫結束後,以技術爲核心的項目價值顯現出來。

區塊鏈技術的真正價值開始被應用到具體的場景中。越來越多與區塊鏈技術相關的國家政策和地區優惠相繼確立。區塊鏈成爲各地政府政策的扶持對象,各地政府招商引資的重點內容,對區塊鏈初創企業的政策性優惠力度也空前絕後。

2018 年以來,國家級的區塊鏈產業相關政策陸續下發。包括教育部、工業和信息化部、國家知識產權局、國家郵政局、商務部辦公廳、國務院辦公廳、中國保險監督管理委員會、財政部、國家發展和改革委員會 、國土資源部、交通運輸部等部門,相關政策文件中,都將區塊鏈技術在各部門的業務中應用。

此外,各地政府也開始從政策上爲區塊鏈初創企業提供適合生長的土壤,一些地區甚至給出政策性的優惠條件,吸引區塊鏈企業入駐。北京市、上海市、天津省、重慶市、廣東省、江蘇省、浙江省、河北省、安徽省、山東省、福建省、甘肅省等相繼出臺政策,或建立區塊鏈技術試點區域,或開展基於區塊鏈、人工智能等新技術的試點應用。

進入 2018 年下半年,國內監管的態度從「一刀切」轉向「謹慎接納」。監管趨於穩定給區塊鏈市場帶來穩定的發展機遇,市場整體較少出現劇烈波動。同時,監管帶來的利空風險減少,安全的市場環境下,區塊鏈技術主導型產業發展愈發繁榮。以公鏈爲例,目前
ETH、EOS、TRON 上已有多款應用運行。隨着技術的迭代,內容也隨着用戶反饋不斷變化。目前已形成區塊鏈應用的初步試驗階段。

世界範圍內,區塊鏈技術發展伴隨着監管的升級保障。歐美市場,以現有較爲成熟的金融監管體系爲基礎,將加密資產交易向證券化推進。但在具體情況上,採取的手法相對保守,重點遏制潛在風險。如 SEC 拒絕比特幣 ETF 申請 15 次,並在年末逮捕並罰款 ICO 項目方。整體來說,相對國內的只警示不處罰,歐美監管的寬嚴並從對市場有序發展作用明顯。

加密數字貨幣交易產業以馬耳他、新加坡、日本爲主,其中,馬耳他因對加密資產交易的寬鬆態度成爲交易所的集中入駐地。新加坡和日本都奉行牌照制,爲合格企業發放通行證,一定程度上遏制了跟風者亂入。

較爲特殊的是委內瑞拉,在年初發行國家背書的加密數字貨幣石油幣,作爲國內通貨膨脹和國際經濟遏制的解決措施,但石油幣並沒有發揮像法定貨幣一樣的作用。目前來看,國家發行數字貨幣仍是一個大膽的嘗試,結果尚不可預測。

總結

2018 年,區塊鏈引領着中國進行了一場關於技術和金融的混亂試驗,近 20 年以互聯網技術爲核心的獨霸局面開始傾斜,區塊鏈成爲繼大數據風口之後,和人工智能、物聯網並列的未來最有價值的三大戰略技術。充斥着暴富幻象和投機心態的技術試驗,在過度誇大作用和故意炒作下,給人們關於未來的更多思考。

去中心化思想,被賦予看似無限的神奇功能,成爲所有跟人性有關事件的解藥。加密匿名性,被看作隱私氾濫的救星,不可篡改和僞造則成爲存證溯源的關鍵。每一個直擊痛點的特點,背後都是區塊鏈技術對應的與以往全然不同的技術公開化,操作匿名化,行爲透明化。區塊鏈賦予人們的,是能夠改變未來的無限可能。

經過一整年的高速發展,行業在亂象叢生中逐漸沉澱,區塊鏈的真正價值重要性被挖掘。國家層面上,很多國家將區塊鏈技術加入到國家鼓勵發展的戰略技術名單,越來越多在互聯網賽道上屈居二線的企業也將區塊鏈技術看作是新一輪技術革命制勝的關鍵。國際上,更多國家加大對區塊鏈研究經費的投入,全球統一的「區塊鏈標準」也正在構建。

總體來看,技術層面,區塊鏈已經擺脫了「投機」「暴富」「比特幣」等負面和片面標籤,分佈式數據存儲、點對點傳輸、共識機制、加密算法,區塊鏈技術的核心特點完成基礎普及階段。行業發展從投機過渡到穩定的模式研發階段,以 DAPP 的迭代爲代表,行業共識和規範在技術更新中逐漸形成。

在發展的過程中,區塊鏈技術落地的主要問題還是效率和匿名的矛盾性,但二者的取捨取決於產品的具體場景,不能一概而論。其次,區塊鏈技術的安全保障目前仍存在較大問題。一方面是區塊鏈產品本身的代碼運行時間短,前期試錯需要一定時間。另一方面,從業者能力參差不齊造成的安全隱患。隨着更多傳統安全機構進入,這種不安全因素會大量減少。

目前,加密數字貨幣相關產業發展逐漸正規化,以歐美資本市場爲主的金融證券化金融屬性歸類,豐富了原有金融市場,也會使得證券形式更加多元化。從亂象頻出到產品迭代,區塊鏈領域是目前唯一一個沒有監管介入而自發完成市場淨化的領域。更深入後,區塊鏈技術將掀起經濟和產業格局大變革。