慢霧創始人余弦：2020 后區塊鏈世界及安全的一些思考_加密貨幣

在這作為已經是區塊鏈世界的局內人，我有一些思考寫出來和我的關注者們聊聊。

三個魔盒

區塊鏈發展史，我認為有三個魔盒般的里程碑，既然是魔盒，那一定是帶來足夠影響力的，雖然不一定帶來足夠的落地。

第一個就是比特幣，中本聰共識的世界，這個其實不用多說，比特幣/中本聰已經是這個世界的最高信仰。

說個有趣的，在維基百科上“密碼朋克”人物列表里，一個是中本聰，另一個是阿桑奇。阿桑奇是維基解密(WikiLeaks)創始人，2006 年底就開始運作維基解密，維基解密是通過協助知情人讓組織、企業、政府在陽光下運作的、無國界、非盈利的互聯網媒體，由于發布了大量機密文件而其飽受爭議，反正許多強大的國家不喜歡他們，最終這些國家忍無可忍，2019 年，正式把阿桑奇給抓了...

回到 2010 年，當時阿桑奇看到了比特幣的發展，宣布維基解密要接收比特幣贊助，這是個非常天才的想法，除了比特幣，維基解密的法幣贊助渠道都被各國監管嚴密封堵，而比特幣很難被封堵。當時中本聰很著急，覺得阿桑奇你這樣高調宣布，這對才發展 2 年的比特幣來說可不是個好事，畢竟維基解密是什么局面？中本聰又不是傻子，萬一一個不小心，才 2 年的比特幣被超級力量干掉，那如何是好。當時中本聰留下了一段話：

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(馬蜂窩), and the swarm is headed towards us.

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

2011 年，中本聰消失了...我們不好推測他為什么消失，但確實比特幣已經開始失控地發展。現在回頭來看，比特幣過去的歷史波瀾成就了比特幣的今天，比特幣打開了加密貨幣世界的第一個魔盒。

第二個魔盒是以太坊打開的，引入了圖靈完備的智能合約，讓區塊鏈不僅是跑加密貨幣，還可以跑自定義計算，雖然這種計算并沒想象的那種“智能”，雖然這個魔盒的打開帶來了許多亂象，但我們現在知道：“哦，區塊鏈能做這樣的事。”

第三個魔盒是 Libra 打開的，這個魔盒的開啟，讓非加密貨幣世界的人都關注到：“哇，原來區塊鏈能被這樣的玩...”Libra 這個一攬子全球穩定幣由 Facebook 主導，整個官網充滿了數字貨幣革命的感覺，愿景極其霸氣：

聲音 | 慢霧預警：Fastwin再次被攻破，攻擊者獲利2000多枚EOS:根據慢霧威脅情報系統捕獲，今日（1月31日）凌晨前后，知名競技類EOS DApp Fastwin再次被攻破，攻擊者獲利2000多枚EOS，攻擊者是此前攻擊 BETX 的同一批賬號。慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略，攻擊者們已經開啟了狩獵攻擊模式。[2019/1/31]

建立一套簡單的全球貨幣和金融基礎設施，為數十億人服務。

重新創造貨幣。重塑全球經濟。讓世界各地的人們過上更美好的生活。

Libra 之后，大家也很快看到了我們國家對區塊鏈的大態度：“區塊鏈一定要干！”“加密貨幣不行，要嚴格監管！”無論如何，區塊鏈在我國是真的火了...

一個割裂

三個魔盒打開后，這個世界有一個明顯割裂：公鏈與聯盟鏈。

公鏈上的加密貨幣雖然在一些發達國家及第三世界國家已經得到某種程度的認可，比如承認這是“個人財產”，甚至在小范圍內還可以作為合法支付貨幣，但這些都在嚴格的監管法案下進行，尤其特別強調反洗錢。但加密貨幣對于現有世界秩序來說，普遍還是個被非常警惕對待的新事物。

但聯盟鏈不一樣，聯盟鏈是現有世界秩序喜歡的形態，因為可自主也可控，縱觀現有聯盟鏈場景都可以發現一個共同特點“許可模式”。只有被許可的單位才能參與進聯盟鏈，才可以成為聯盟鏈的一個關鍵節點。聯盟鏈對應的場景一定有某種形式存在的“超級監管方”，這個“超級監管方”負責監控及管理這個場景下各方單位的活動博弈，當然這個“超級監管方”也可能被分權為“超級監控方”及“超級管理方”。你看，聯盟鏈是多好的東西。當然聯盟鏈也存在許多魚龍混雜情況，這些就不談了。

聲音 | 慢霧區：目前已知5個LocalBitcoins賬戶被盜 損失約8個BTC:對于比特幣OTC平臺LocalBitcoins被黑事件，慢霧安全團隊的分析：目前已知5個用戶被盜（損失7.95205862 BTC），盜幣攻擊行為持續37分鐘，被攻擊的是LocalBitcoins的論壇(forums)，目前已下線，但主頁還在持續提供服務。安全團隊分析，初步懷疑是論壇出現XSS攻擊，被盜幣用戶的頁面觸發了惡意JavaScript代碼，由于論壇與主頁在同一個域下，只要這類攻擊觸發，是可以比較容易盜走BTC的。LocalBitcoins的安全架構上犯了至少兩個錯誤：第一個是：論壇這種高交互性的頁面不應該和主頁在同一個域下，應該分離出子域名形式；另一個是：主頁相關重要功能模塊加載了幾個第三方JavaScript模塊，只要任意一個第三方被黑或作惡，LocalBitcoins也能輕易被黑。[2019/1/27]

公鏈生態

特別提下公鏈生態，聯盟鏈生態沒什么好提的，讓子彈多飛會再說:-)

既然是公鏈，那就是全世界的公共區塊鏈，野蠻發展是其最大的基因，如何有效監管這是個大話題，這里不談。這里簡單羅列下公鏈世界里我認為有趣的目前是小范圍的一些剛需。

支付需求：具有全球廣泛共識的加密貨幣，如比特幣、門羅幣、以太坊，在某些場景可進行支付與結算，包括運行其上的穩定幣

動態 | 慢霧預警：高清視頻會議系統Zoom存在高危漏洞:據慢霧區消息，知名高清視頻會議系統 Zoom 被披露出現高危漏洞。該漏洞利用過程及漏洞概念驗證代碼(PoC)，攻擊者可以在同網段或遠程，通過構造惡意 UDP 數據包，針對使用 Zoom 桌面版本（包括 MacOS、Linux、Windows）的用戶進行遠程控制等攻擊。慢霧安全團隊注意到數字貨幣相關項目方流行使用 Zoom 來進行遠程視頻會議，Zoom 官方已經發布新版本修復了這個漏洞，請注意及時更新。[2018/12/3]

金融需求：去中心化金融(DeFi) DApp，這個目前在以太坊上已經有不錯的小范圍應用出現，不過主要圍繞抵押借貸，但在向現有世界金融場景努力借鑒并在去中心化場景努力改進

娛樂需求：一些游戲競技類 DApp，比如運行在以太坊、EOS、波場上的，有高質量的，雖然相比現有世界的游戲場景來說，玩家實在太少太少

隱私需求：Web3.0，用戶掌握私鑰即掌握了資產及隱私權力，說白了就是 Web3.0 可以讓人民比較好地“當家作主”，我覺得這是個非常有意義的長遠方向，但推進速度并不會很快

炒幣需求：這個在哪個世界都是這樣“東西不炒，動力就少”，這就是為什么那么多加密貨幣交易所的存在，這也誕生了許多亂象

存儲需求：有不少人和我類似，喜歡的加密貨幣會長期持有著，那就得安全存儲著呀，加密貨幣錢包也就這樣百花齊放了

算力需求：無論是 PoW，還是 PoS/DPoS 等，本質都是擁有“算力”即擁有“出塊權”，也即擁有“鑄幣權”。當然“鑄幣權”不一定要靠“算力”來擁有，比如 USDT/TUSD/USDC/GUSD/PAX 等本質是很中心化的加密貨幣穩定幣，再比如黑客掌握了某類型漏洞也是可以有“鑄幣權”，但是黑客的這種“鑄幣權”不長久，這種漏洞在全球頂級公鏈里也不容易擁有

大概這 7 個點，可能還有一些，先這樣。這些需求的融合與進化讓我對 2020 之后的區塊鏈世界充滿期待。公鏈的進化會誕生真正的隱私、自由與安全的群體；公鏈的進化會解決國家、種族、群體之間的某些信任邊界。嗯，說的有些大，但會是這樣。

說到安全

公鏈世界里的安全是強剛需，可以認為這是一種新型的金融安全方向，所有新秩序都在“摸著石頭過河”，對于安全來說，除了一起跟著“摸著石頭過河”并沒特別清晰的指引。但我覺得這樣才有趣，方向足夠新，空間足夠大，帶著安全隊伍開疆拓土。

安全附屬在生態里，上面提的公鏈生態每個點都有絕對的安全剛需，除了傳統網絡安全攻防，更多的是公鏈本身的安全攻防，我們把這兩部分成為“鏈下安全及鏈上安全”。關于安全在區塊鏈世界的重要性，可以見我之前的一篇文章，這里不做過多講解。

安全是區塊鏈生態里的基礎設施之一，無論公鏈還是聯盟鏈。但從剛需的生意角度來看，安全在公鏈世界里是強剛需，可以誕生足夠強大的區塊鏈安全公司；安全在聯盟鏈世界里是“偽需求”，安全公司在這個世界里和在已有的世界秩序里的存在感差不多，會有，不是沒有市場，但嚴重缺乏想象力。關于聯盟鏈安全再補充一點：聯盟鏈的太多場景，安全是非常滯后的，并未如公鏈的許多場景那樣經歷過足夠的安全對抗考驗。其中一個非常可怕的安全攻防入口是“超級監管方”，這個可以直接決定一條聯盟鏈的生死。

不得不說的一點：在安全這個基礎設施之上構建的安全衍生品才是真正大的市場。這個世界需要安全的支付場景、安全的金融場景、安全的娛樂場景、安全的隱私場景、安全的炒幣場景、安全的存儲場景、安全的算力場景等等。場景里已經不是純粹的安全攻防需求，而是基于安全的衍生品需求。

在這，我們已經將安全分為兩大部分：安全產品及安全衍生品。

安全產品本身就有不少的創造空間，鏈上安全及鏈下安全的一些獨特創造：

鏈上層面可以有自己的漏洞掃描、防火墻、反洗錢等，核心組件一定是在鏈上實現的，比如在智能合約層，在智能合約的用戶層及智能合約的系統層都可以做些工作。

鏈下層面有更大的創造空間，可以有自己的漏洞掃描、威脅分析、事件分析、防火墻、反洗錢等等，核心組件在鏈下實現，通過區塊鏈的幾個入口進行相關安全策略實施，如 RPC、P2P、智能合約虛擬機等。

至于安全衍生品，需求上面有提，這里就不展開談了:-)

談了怎么給區塊鏈世界做安全，那區塊鏈技術的運用能否解決現有世界的某些安全問題呢？

當然可以呀，區塊鏈有個非常核心的能力是解決了信任的問題，前面有提到的 Web3.0，“人民當家作主”，人民掌握了私鑰即掌握了自己的資產與隱私，這個如果應用的好，可以很好解決當前互聯網隱私大爆炸（泄露）的痛點，這些隱私為什么會大爆炸呢，就是因為現有的隱私安全模型在當前的互聯網下比較脆弱。那么可以完美解決嗎？我倒是不這樣認為:-)

私鑰是個神奇的東西，是密碼學光輝的一種體現，基于私鑰是可以有許多有趣的創造，私鑰不僅個人可以使用，也可以多方使用，比如安全多方計算的運用可以解決多方角色需要授權使用資產或隱私的安全問題。雖然這些過程，不需要區塊鏈也行，但結合了區塊鏈也等同于結合了某種信任模型，區塊鏈讓密碼學的光輝應用得到進一大步的發揮。我們的創造著力點一定是在這些可信環節上。

區塊鏈不是萬能藥水或銀彈，但卻是魔法藥水，在多方博弈的場景下可以降低信任成本，降低審計成本。那是不是一定要用區塊鏈技術？這個真不是。那是不是所有公鏈都有價值？必然也不是。看事情看本質，做事情做客觀。敬畏力量，但遠離非黑即白者。

最后

最后我想說：未來虛擬世界是絕對的獨立智慧體（硅基生命），加密世界是絕對的一個大勢，加密貨幣是絕對的一個剛需存在，雖然這個未來還有不少距離，但這個未來是一座燈塔。

區塊鏈安全也追隨這這座燈塔，創造空間無限，市場空間無限。

In Blockchain We Trust;-)

感謝我的關注者與支持者們，感謝我的區塊鏈安全團隊，其中一個是慢霧，另一個是？2020 年，慢慢的，大家就會知道啦。

Tags：區塊鏈聯盟鏈比特幣加密貨幣有人靠區塊鏈4天就掙了30萬嗎超級聯盟鏈比特幣市值跌破5000億美元關口加密貨幣行情走勢

ETH