探討：聯盟鏈智能合約與鏈平臺安全-ODAILY_區塊鏈

2020年8月20日晚7點30分，四川省區塊鏈行業協會《BSI大應用?小故事》欄目準時開播。成都鏈安·安全負責人Frank做客欄目，深度探討了聯盟鏈智能合約與鏈平臺安全的相關問題。

本期欄目『聯盟鏈智能合約與鏈平臺安全』為主題，成都鏈安·安全負責人Frank從『智能合約安全淺析』、『聯盟鏈平臺安全淺析』、『智能合約與鏈平臺安全檢測項』三個切入點展開探討，進行了高質量與高水準的主題分享。

以下內容為本期欄目實況：

01

主持人：Frank老師，您作為成都鏈安·安全負責人，多年從事安全研究，擅長區塊鏈安全平臺的問題分析，擔任多家金融機構、互聯網公司安全顧問，并參與編寫了區塊鏈安全相關書籍，您的從業經驗非常豐富。那么您是怎么樣進入這個行業的呢？

銀之杰：公司已經組建了數字貨幣專項團隊并積極和商業銀行、支付公司、商業場景等機構探討合作:8月30日，上市公司銀之杰稱，數字貨幣（DCEP）現在還在試點階段。作為我國金融領域重要的戰略部署，數字貨幣將會為未來商業帶來巨大變革。現階段，已有六大國有銀行和微眾銀行、網商銀行等銀行成為數字貨幣的運營機構；城商行方面，根據城銀清算中心公布的信息，已確認24家城商行通過城銀清算接入數字人民幣互聯互通平臺，另有94家銀行有意向通過城銀清算接入數字人民幣互聯互通平臺。公司高度重視并關注數字貨幣的發展，已經組建了數字貨幣專項團隊，在產品、技術等方面有基礎的積累，并積極和商業銀行、支付公司、商業場景等機構探討合作。[2021/8/30 22:46:31]

Frank：大家好，我是成都鏈安的Frank，我最初聽說區塊鏈是在大學時期，當時只有一個模糊的概念，在2017年比特幣病攻擊安全事件發生之后，對于區塊鏈有了進一步的認識，之后便開始深入了解區塊鏈，直到與成都鏈安結緣，就開始了對區塊鏈安全的研究。

歐盟委員會正與歐央行探討2021年推出數字歐元計劃的相關隱患:歐盟委員會（European Commission）與歐洲央行（ECB）發表聯合聲明稱，將探討一系列“政策、法律和技術”隱患，其可能會成為2021年年中推出數字歐元加密貨幣計劃的隱患。并表示，隨著數字化程度的提高、支付格局的迅速變化以及加密資產的廣泛出現，引入一種中心化的歐盟數字貨幣非常必要，歐盟委員會認為，在未來引入數字歐元方面，可能還有進一步政策障礙需要解決。（ec.europa）[2021/1/24 13:21:31]

02

主持人：謝謝Frank老師，我們知道您在行業中的經驗是非常豐富的，大家對于區塊鏈安全問題非常關心，現在有請您為我們帶來今晚的演講。

Frank：好的，今晚我為大家分享的主題是『聯盟鏈智能合約與鏈平臺安全』。

動態 | 國家金融與發展實驗室副主任：Libra距離貨幣視角的探討還相距甚遠:8月14日，國家金融與發展實驗室副主任、中新經緯特約專家楊濤發表文章《從Libra看數字貨幣的研究視角》，文章表示，第一：Libra雖然其產生了某些貨幣萌芽式的影響，但是距離貨幣視角的探討還相距甚遠；第二，整個跨境零售支付的規模有限，Libra在此方面的拓展空間并沒有大家想象中那樣大。Libra可能在解決跨境零售支付痛點方面有所改善，但并非顛覆式的影響，因為仍然離不開技術、合規、產品等多方面的約束。或許在某些“弱勢貨幣”、支付效率低下的發展中國家，能夠贏得一些發展場景；第三，在現有日益復雜的各國金融監管規則之下，或許Libra能夠獲得一些“監管沙盒”類的空間，但是整體前景并不樂觀；第四，我們對于Libra背后的技術先進性還未充分觀察到，似乎更多體現為商業模式的變革。總而言之，在研究Libra的時候我們要避免大而化之，更應該在同一語境基礎上，聚焦我們需要討論的問題，然后再不斷深入。[2019/8/15]

首先帶大家明確幾個概念：

韓國國稅廳長表示正在探討對虛擬貨幣交易的利潤征收資本利得稅（CGT):2月2日韓國國稅廳長韓承熙（???）表示正在探討對虛擬貨幣交易的利潤征收轉讓所得稅（capital gain tax）[2018/2/2]

·公有鏈是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。

·私有鏈是指其寫入權限由某個組織和機構控制的區塊鏈，參與節點的資格會被嚴格限制。

·聯盟鏈是指有若干個機構共同參與管理的區塊鏈，每個機構都運行著一個或多個節點，其中的數據只允許系統內不同的機構進行讀寫和發送交易，并且共同來記錄交易數據。

·智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易，這些交易可追蹤且不可逆轉。

隨著區塊鏈技術的不斷發展，越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言，聯盟鏈具有更好的落地性，受到了許多企業與政府的支持。為了提升效率，支持更加友好的設計，各聯盟鏈在智能合約上也出現了不同的發展方向。

目前智能合約與區塊鏈的結合，普遍被認為是區塊鏈一次里程碑式的升級，但智能合約技術發展也面臨諸多挑戰，如安全性問題。隨著智能合約數量的增多，去中心化應用的推廣，智能合約涉及的數字資產呈指數級別增長。相比傳統軟件，智能合約的安全問題更加棘手，現實情況也更加嚴峻。

總體來說，目前智能合約的主流架構是系統合約(預編譯合約)+業務合約，而代碼語言安全特性、合約執行所帶來的安全性問題、系統機制導致的合約安全問題、業務安全問題都會威脅智能合約安全。

對于智能合約的安全建議是：

1.簡化智能合約的設計，做到功能與安全的平衡

2.嚴格執行智能合約代碼安全審計(自評/項目組review/三方審計)

3.強化對智能合約開發者的安全培訓

4.在區塊鏈應用落地上，需要逐步推進，從簡單到復雜，在此過程中不斷梳理合約與平臺相關功能/安全屬性

5.考慮DevSecOps的思想

目前鏈平臺安全主要包括了共識安全、交易安全、合規、賬戶安全、端點安全、RPC安全等，相較于聯盟鏈而言，公鏈安全問題更凸顯，公鏈是匿名且無準入控制，作惡難以被發現，此外，公鏈應用發布沒有審核，上鏈應用質量參差不齊，這也是公鏈漏洞較多的主要原因之一。

在當前鏈平臺漏洞頻出的嚴峻背景下，鏈平臺深度安全檢測勢在必行，成都鏈安采用攻擊測試+專家人工代碼審計的方式對區塊鏈平臺進行深度的安全審計，審計方式為黑盒/灰盒/白盒，漏洞全面覆蓋10大項39小項，目前成都鏈安已經完成24個鏈平臺的深度安全檢測，檢測出30余個高危漏洞。以此不斷努力讓區塊鏈生態更安全。

03

主持人：感謝Frank老師為我們帶來的精彩分享。下面進入問答環節，以下都是大家最關心的問題，請Frank老師為我們作答。

Q：聯盟鏈對于公有鏈有哪些明顯優勢呢？

A：相對于公有鏈來說，聯盟鏈有一個準入機制，通過該機制能夠篩選參與方，從而了解參與方具體情況，把控其行為，杜絕攻擊者。并且聯盟鏈是由多個機構共同控制的，能采用利于性能提升的共識，從而不斷改進其功能。除此之外，聯盟鏈是針對某些業務場景開發的，在落地層面會更適應于國內業務場景應用。

Q：區塊鏈能有效保證信息安全嗎？

A：區塊鏈能夠利用密碼技術等對信息、數據進行加密，然而區塊鏈是無法完全保證信息安全的，只能作為加強信息安全的輔助手段。

Q：智能合約的未來發展方向是什么樣的呢？

A：對公鏈上來說主要還是以虛擬資產為主，但這只是發揮了區塊鏈在密碼學方面的一些功能。而聯盟鏈未來發展的主要方向應該是應用落地，在存證、共識等方向有著非常大的探索空間，能解決很多傳統應用難以解決的痛點。雖然聯盟鏈會產生信息割裂等問題，但利用跨鏈技術也能夠迎刃而解。

Tags：區塊鏈聯盟鏈ANKFRANK區塊鏈MOVEZ幣超級聯盟鏈BANKFRANK價格

BNB