去中心化时代，资产真的就安全了吗？

读懂区块链，来这里

比特币的出现，给了人们交易和转账的自由，把交易从中介——银行中解放出来，这些特点，使其从一开始的极客小圈子，扩展成如今全球两千万人的共识。

狂热的背后是去中介化带给人的自由，在这个世界中，我们终于不用担心中心化的商业巨头利用我们的信息，我们可以主宰我们的信息。而算法打造的信任机制，让我们也终于能在人心叵测的社会中慢慢脱身。

这意义不亚于十四到十六世纪的西方思想解放运动，法律不复存在，束缚不复存在。

在发现澳大利亚黑天鹅之前，全世界都认为世界上只有白天鹅，这个事实说明，仅通过观察和经验得出的结论具有局限性。尼古拉斯.塔勒布在《黑天鹅》提出“黑天鹅”指罕见的、极端影响的和事后才可预测的事情。

其实在区块链领域，无数次黑客攻击就是“黑天鹅事件”，我们获得“自由”的代价是更多不确定性的风险。

自由与风险是兼具的，我们来认识几种区块链领域常见的风险。

51%攻击屡次应验

我们先来看看矿工挖矿的过程：全网矿工中，谁的算力更强，谁就先计算出区块的哈希值，然后向全网广播，其他矿工便停止计算，转而打包该区块，一般情况下，十分钟会打出一个区块连接上一个区块，不断连接着的区块长度叫做：区块高度。由于矿工的算力一直不断增强，挖矿的难度会随之提高，控制挖矿的速度在10分钟一个。

黑客为了获取更多的代币，会利用强大的算力修改时间戳，也就是延迟新区块的产生，使两个区块之间的时间差超过10分钟。这会使系统自动反应：降低设置的挖矿难度，避免矿工挖不到矿、产生区块减少。

算力很高，挖矿难度反而降低，黑客便能在一定的时间内获取更多的代币，可别小瞧这些代币，若改变的时间戳长达几小时，这些代币可是非常值钱的。

近期隐私货币Verge在一个月内就遭到了4次51%攻击，同时期遭到攻击的还有比特币黄金和monacoin，根据罗列出黑客攻击成本的网站Crypto51.app上的数据，几百美元成本的黑客攻击能获取数亿美元。

当下，预防黑客51%攻击的方法大多是，设置监控系统，当发现区块生成的速度慢于10%时，会提高全网警惕性，核查是否有黑客攻击。

区块链系统自身的安全隐患

每个程序几乎都有大大小小的代码出错，或逻辑不合理，导致容易受到黑客攻击，这是很正常的。哪怕是区块链领域第二伟大创造——ETH也曾因此受到黑客攻击。

最近360查出EOS系统中的漏洞，就是典型的案例。这个漏洞可以让黑客对EOS实施远程攻击，从而控制全网系统的所有节点。

从EOS的数据中可知，EOS长达一年募资了约50亿美元，也就是说，如果这一漏洞没有修正，黑客等到主网上线再伺机攻击，将使近百亿美元付诸东流。

虽然360及时提醒了这个漏洞，但由于区块链是个全新的系统，其技术运算与传统的互联网系统、单机软件都有一定差别，所以使用传统的方法难以发现。

我们只能期待更为精确有效的测评方案及时检测漏洞，避免遭受更大的经济损失。

而这也启示我们——代码开源的重要性，“群众的眼光是雪亮的”，开源软件一旦出现bug，开发者能很快得到反馈；不过。单从代码上讲，开源软件的安全性和质量一定是高于商业软件的。

中心化交易所的安全问题

现在大多数交易所仍是中心化的，比如大多数人熟悉的币安、Okex、火币等，中心化的交易所发展到如今，问题百出。

中心化交易所最大的问题在于中心化信用背书带来的风险。由于用户资产由交易所托管，且存在信息不对称等问题，导致容易被一些心怀鬼胎的不法分子利用，出现资产盗用、平台卷款跑路等不良现象。

中心化交易所也容易受到政策变动的影响，例如去年九月份中央全面叫停中国大陆的比特币交易所，以及其他一些相应的限制、禁止举措等。近年来数字资产的名声越来越响，人们对于监管的呼吁也愈发强烈，随着各种监管政策和规章制度的出台，中心化交易所在政策方面面临着诸多不确定因素。

威胁一方面可能来源于黑客攻击。近年来由于黑客攻击事件导致的平台丢币事件屡见不鲜，为平台和用户造成了巨大的损失，比如臭名昭著的Mt.Gox黑客攻击事件；频频发生的DDoS攻击事件、Bitfinex盗币事件等，这些事件一次次为人们敲响警钟。

智能合约的安全隐患

近日由新加坡和英国的研究员联合发表了一份报告指出，以太坊上将近一百万份智能合约中将近3.4%的合约，也就是34000个被发现有问题，很可能被黑客攻击。

黑客如何攻击交易所呢？我们举两个例子看看。

今年4月，SMT和BEC都出现了溢出攻击。由于智能合约的代码部分出现漏洞，攻击者可以在不需要任何token时，就向另一个地址转入大量的token。黑客通过转账手段生成大量原本智能合约中不存在的代币，并将这些“无中生有”的代币在市场上抛售。大量抛售又造成市场恐慌，收割一波韭菜。

今年5月23-24，EDU和BAI遭受攻击。由于代码中缺少某一步的验证，可以让攻击和从任何一个EDU余额不为0的账号向另一个账号转出EDU token，这样就可以从智能合约里完成偷币，随后将token转手，获取暴利。

以太坊区块链上所谓的“代码即一切”原则导致目前没有有效安全防护手段修复问题，且因为token交易牵扯的利益，很多交易所无法同步。缺少中心化手段的监管，投资者利益无法得到保护，而黑客的多交易所套利也无法得到限制。

新事物的发展是螺旋式前进和上升的过程，机会很多，空气币不少，投资有风险，出手要谨慎噢！！

编辑：行云流水

--END--

读懂区块链，请说人话。

嗨咯，欢迎加入说人话的深圳区块链社群

最通俗的语言，最优质的干货，最深圳的区块链，等你！