360区块链安全专家李佳峰：没有安全保护，你就

 

要点速览：

1.安全才是区块链的未来。

2.没有安全保护，你就是韭菜;有了安全保护，你才是真正的用户。

3.巨头纷纷布局区块链，不只是纯研究，更多的是与自己的业务相结合。

4.攻击成本低，发生攻击的概率大。

近日，2018 ISC区块链与安全论坛在京举办，中国信息通信研究院云计算与大数据研究所部门主任魏凯、360安全团队、SECBIT实验室创始人郭宇等做了主题分享，内容涉及区块链标准化进程、全球区块链安全态势、智能合约安全审计等话题。

会议期间，火星财经(微信：hxcj24h)采访了360区块链安全专家李佳峰。他表示，安全才是区块链的未来，“没有安全保护，你就是韭菜，有了安全保护，你才是真正的用户”。

在分析钱包安全、交易所安全等问题的基础上时，他建议用户不要把所有的资产全部存在交易所，而是尽量保存在自己的钱包中。

以下为李佳峰与媒体的互动内容，由火星财经(微信：hxcj24h)整理：

Q1：区块链领域存在“不可能三角”，即无法同时满足去中心化、安全和可扩展性，您认为应该如何更好地处理这个难题?

A1:我们一直认为安全才是区块链的未来。现在大家对于区块链交易最寒心的是什么?无非是交易所及项目圈钱跑路，那么谁来保证这些用户的安全呢?如果没有安全保护，你就是韭菜，有了安全保护，你才是真正的用户。整个行业如果想走向繁荣，肯定需要相应的安全保障。

Q2：腾讯在前段时间也进军区块链安全领域，您怎么看?未来区块链安全领域的竞争会是怎样的?

A2：个人认为，我们更关注的是安全，关注技术层面，也可能结合到业务上，不会做一些其他的操作。现在巨头们都在研究区块链，更多的是与自己的业务相结合，而不是纯研究，比如腾讯涉足区块链，可能更想跟自己的业务结合，京东可能用区块链技术解决实际问题。

Q3：现在公链主要面临哪些安全威胁?

A3：公链主要分几个层，比如底层是网络层，我们会关注其网络安全。其实区块链基本上用的是P2P网络，所以我们会关注P2P的安全，也就是节点之间的安全，关注网络通信上的安全。

网络层上面是共识层，即你选择什么样的共识机制，就可能相应地存在一些潜在威胁，比如POW可能存在51%攻击。

还有激励机制，比如以太坊用区块奖励，但POS运算速度更快，会产生一些孤立的区块，有些矿工拿到这些块之后相当于没拿到奖励，由此可能引发一些问题。

Q4：您认为51%攻击是不是目前主要的安全威胁?

A4：这个威胁肯定存在的，这得看项目的用户量大不大，也要看产生攻击的成本有多少，如果你攻击比特币网络，可能需要十几甚至二十亿美元，因为需要大量的节点帮你做这个工作，如果你要对一个小币发生攻击，比如以太坊上的一个小币只有两个用户，你只要控制一个用户就可以了，这样的攻击成本就很低，产生的概率会比较高。

攻击成本低的话，发生攻击的概率大;攻击成本高的话，发生攻击的概率小。

Q5：如果识别和选择共识机制?

A5：这需要看具体的应用场景，如果你的用户比较少，可以用POW， 如果你做电商或者游戏，用户量比较大，那么需要选择一个运行速度更快的机制，达到需要实现的效果。

Q6：之前有消息说90%的数字货币钱包存在安全问题，现在有没有改善?

A6：我们测试过多款钱包，百分百渗透，每一款都拿到了用户的私钥和API，能够操控他们的金额，最小的也有200多万。

Q7：这是用户自身的问题，还是钱包的问题?

A7：有用户自身的问题，也有钱包的问题。目前的钱包主要在App上做，客户端是由人开发的，或多或少存在漏洞;开发钱包的企业可能存在代码问题;用户的问题包括使用比较弱的密码、助记词等，或者轻易相信别人发的东西，陷入钓鱼风险。

Q8：针对交易所的攻击主要有哪些?

A8：针对交易所的攻击主要集中在4个方面，首先是主机安全，与传统的攻击方式差不多，即攻击交易所中心化的服务器，其次是支付安全、用户注册安全，还有逻辑上面的问题，比如我只是一个普通用户，如果通过一些手段拿到管理员的身份，就可以采取攻击手段。

Q9：现在交易所的安全情况如何?

A9：其实大多数交易所都是较为安全的，但是也存在一些内部或外部的不足，所以建议不要把所有的资产全部存在交易所，尽量保存在自己的钱包中。

现在大多数黑客攻击不是为了自身的娱乐性，更多的是看到了数字货币的价值，他们攻击交易所主要有两个原因，一是可以获得大额回报，二是有内部人员呼应，里应外合。

Q10：去中心化交易所的安全性会不会高一些?

A10：这种技术可能存在，但你可能不知道他们内部是怎么做的，也有可能是噱头，还需要时间去验证，毕竟现在还只是雏形。