前华为首席区块链专家：没有安全，谈什么区块链？

黄连金，中国电子学会区块链专家委员，前华为首席区块链专家、美国分布式商业应用创始人、联合国旗下世界区块链组织(WBO)首席技术专家。曾经为美国联邦政府、金融机构、和公用事业公司提供金融、人工智能、区块链、安全等方面的专家咨询。

采编｜林可

受访者｜黄连金

导语

最近，EOS不断曝出的安全漏洞引起了人们对区块链安全的忧虑。

许多业内人士认为，相比互联网，区块链在理念和架构上更加安全可信，因为分布式记账既能保证数据流的完整一致，又具备数据不可篡改等天然优势，能保障数据安全可靠。正是基于此，很多人激动地认为，区块链技术将带来一场革命，颠覆古典互联网以及传统行业。

但事实上，区块链并不是完全安全。越是功能强大的智能合约，就越是逻辑复杂，也越容易出现逻辑上的漏洞。比如号称区块链3.0、代表公链最高技术水准的EOS，被曝出了十多个安全漏洞。EOS攻击者可以利用这些漏洞，发布包含恶意代码的“智能合约”，控制区块链网络中的所有节点，从而可以任意篡改数据。

不仅是EOS，拥有25万名开发者的以太坊也并不安全。以太坊运行3年来，至少发现了21个安全漏洞。2016年6月17日，由于以太坊的智能合约存在着重大缺陷，拥有1亿美元资产的区块链众筹项目TheDAO遭到攻击，导致300多万以太币资产被分离出TheDAO的资产池。这只是以太坊被攻击事件的其中一例。

每天，全球有不计可数的黑客在密集地攻击各种区块链项目，并以此获利。近两年来，频繁发生的数字货币被盗和交易所安全事件，以及The DAO、BEC、SocialChain、Hexagon被黑客攻击，再到最近EOS曝出史诗级漏洞，不断将区块链安全问题推上了风口浪尖，以至于公众质疑区块链是否真正安全。

中国电子学会区块链专家委员黄连金认为，安全问题是阻碍区块链发展的主要瓶颈。而IDF极安客实验室联合创始人万涛的观点更激进：“如果不顾安全大谈区块链都是‘耍流氓’；如果以安全的名义去鼓吹区块链，却没有实质的行动，则属厚颜无耻。”

前不久，国家工信部等主管部门更发声明确肯定了区块链的意义和前景，让业内人士对区块链的未来充满信心，但由于漏洞频出以及屡屡出现的黑客攻击事件，又让许多人有所顾虑而停滞不前。

区块链为什么会沦为黑客的狩猎森林？区块链的信仰者如何面对安全问题？作为中国区块链的先驱，黄连金曾长期在中美两国研究互联网安全问题，他的冷静思考与专业分析，也许能帮你答疑解惑。

Q&A

Q1

《链研所》：区块链未来的发展趋势是怎样的？

黄连金：第一，区块链+传统技术。区块链本质上是一个虚拟数据网络，一旦数据上链，就可以通过区块链安全技术、密码学原理，实现价值互联网的转变。如果价值互联网要与实体经济相结合，则需要运用物联网、人工智能、大数据等技术。

第二，区块链+落地场景。区块链不是去中心化，而是去中介化。我认为保险是最容易被区块链颠覆的。现在，很多国家的区块链保险项目，本质上是保险辅助。一旦产生理赔，就通过智能合约将钱转给保险受益者。目前，很多大型银行在花大量的资源去研究区块链项目。

区块链必须在主权的国家才能获得发展。在主权国家发展区块链，不能把政府去掉，一定要把政府监管作为重要的节点，接入区块链生态。区块链未来的发展，必定要和实体经济相结合，并将区块链技术落地到各种应用场景中去。

第三，公有链和联盟链的结合。不管是比特币还是以太坊，回归事物本质，其实就是价值互联网。它是一个公开透明的平台，能帮助信任度不够或利益点不一致的个体或组织，重建信任、达成合作。

Q2

《链研所》：您对现有的公链状况有什么看法？

黄连金：现在的公有链，第一代是比特币，它引入了共识算法，带来了思想的创新，但是其功能有限。后来有了第二代公有链，也即是构建智能合约的以太坊，但它引发了不少安全的问题。现在出现了许多号称区块链3.0的公有链，包括EOS，ADA，PENTA等。

看公有链，主要看共识算法。如果既不安全又不公平，那么这条公有链肯定是有问题的，因为它违反了区块链共识算法的公正原则。另外，对公有链而言，隐私保护也非常重要。第一代、第二代公有链，数据都是公开的，有一定的匿名性，但安全方面未来还要提升。

总的来讲，目前区块链有两个重要的问题：一是性能，性能还要提高，现在每秒钟交易速度不是很高，比特币是3-5TPS，以太坊是15-25TPS；二是安全，现在比特币用的加密技术，就是签名和哈希，但它没有把内容进行加密。从A账户到B账户，比特币交易的数量非常清楚。

Q3

《链研所》：刚刚您说到公有链和联盟链的结合，可以详细说一下结合的好处吗？

黄连金：通过联盟链、公有链来重构我们B2B、B2C、C2C、C2B之间的关系。联盟链的节点很少，但公有链有几万个节点，比特币有四万节点，以太坊有三万节点。节点众多，也会造成了一系列安全问题。

未来用的算法会从单PoS模式转换为PoW+PoS混合模式。联盟链不会去挖矿，也不会浪费算力，可以用dBFT和Raft算法建立起一套严谨的共识机制。虽然可能会存在一定的安全问题，但可以锚定一个公有链去保护它，这是联盟链与公有链结合的一个好处。

联盟链可以改变现在B2B的商业模式，让原来因为信任问题不可能完成的生意变成可能。联盟链与公有链的结合会更加优化B2B+B2C的商业模式。

未来，人与人之间的关系、企业与企业之间的关系，企业与政府之间的关系，甚至政府与政府之间的关系都会向多中心化转变，基于新信任基础的商业模式和技术进行重构。当然，这需要一个循序渐进的过程，现在的技术还远远达不到。

与纯粹公有链的项目相比，我更看好联盟链项目，或者联盟链与公有链相结合的项目。

Q4

《链研所》：与数据库交易相比，区块链有什么好处？

黄连金：数据库交易只要在数据里面写个记录即可完成，一旦数据库被黑，数据就有很大的危险性，或者存在被人篡改的可能性。而区块链不一样，比如你把钱从A转到B，你的钱包就是用你的私钥进行签名，一旦产生签名的行为，用户没法抵赖转账的行为。

这样，转账行为就产生了一个共识，所有的节点都接收了这个信息，看到了这笔交易。钱包还有一个功能是广播，线下交易必须在网络环境下完成，交易的信息才能被广播出去，经过所有节点一致同意，产生所谓的共识，交易的信息就会被放在链上。

区块链的特点是完整性，数据不可篡改。每个数据都签名了，别人很难篡改数据。如果想更改这个交易信息，整条链上的信息都要更改。所以越前面的区块越安全，越后面的区块越不安全。

Q5

《链研所》：关于智能合约的安全问题，您有什么看法？

黄连金：现在很多区块链项目都是不安全的。第一次爆发安全事件的是智能合约The DAO。The DAO的程序里面用了递归语句，但是初始化没有设置好就去重复调用那个递归语句。黑客发现这个漏洞，偷走了6000万美金，整个项目完蛋了。

智能合约一旦部署了，它就自动执行，除非你把停止的逻辑写进去。有安全漏洞的话，黑客可以继续偷钱。对于区块链落地来说，智能合约是最重要的一个环节，而安全和隐私性又是智能合约的最重要因素之一。

Q6

《链研所》：如何去分析一个项目是否安全，有没有衡量标准？

黄连金：如果我们要分析一个项目是否安全，可以用传统安全三要素（CIA）去分析，也就是保密性，完整性，可用性。

保密性之于区块链，不管第一代还是第二代的区块链，在保密性方面都是不行的，隐私的保护也不够。所以出现了所谓的第三代区块链，它们在保密性上面进行了加强。

完整性之于区块链，就是数据不可篡改。数据签名之后，没有当事人的私钥，其他人很难进行篡改。黑客再有能耐，也是攻击不进来的。

可用性之于区块链，是说在一定响应时间秒级之内能够使用。重点强调的不是能用，而是快速反应。

目前来说，在区块链拓展技术上，还存在问题。第一代的区块链的处理速度、可交易次数是远远不够的。要达到百万级的TPS，才能变成真正可用的区块链。

Q7

《链研所》：我们都知道区块链上每个用户都是匿名的，大数据库时代，如果掌握足够的信息，是否依然可能捕捉到一些用户痕迹？

黄连金：区块链技术给信息安全提供了很好的保障，这些都是区块链安全的属性，imtoken等区块链钱包都有地址，但从公钥无法推测出私钥，所以具有一定的匿名性。但是从私钥就可以比较容易地推出公钥，但是无法从这个地址推出用户信息。

以这种角度来说，区块链技术有一定的匿名性，但属于一种伪匿名性，因为交易的帐户地址和内容是公开的。运用大数据行为方法可以追溯到个人，这个已经有案例。2014年，日本有一个Mt.Gox交易所倒闭，因为有一个黑客把比特币偷走，日本警方通过大数据分析推断出这个人的信息，今年年初把他抓捕归案。

Q8

《链研所》：企业如何控制区块链项目的安全性？

黄连金：安全的控制有8个要点，共分为5层，每一层都需要一些安全的考虑，如果某一层的安全没有考虑到，你的区块链项目落地就会有问题。1.身份管理。区块链跟实体经济结合肯定要考虑身份管理；2.应用层源代码安全检查。目前有统计，80%的源代码都有安全问题；3.智能合约安全检查；4.节点的安全加固；5.数据加密；6.数据传输的加密；7.DDOS；8.私钥。

以上为区块链8个至关重要的安全点，如果这八个做好，区块链项目90%还是安全的。

Q9

《链研所》：企业区块链应用的未来蓝海在哪？

黄连金：我们常说以太坊是比特币的技术升级，但无论是区块链1.0 的比特币还是区块链2.0的以太坊，从商业模式上都不是企业级而是私人级的一个产品。真正企业级的区块链应用仍在少数。

区块链3.0时代，B2B将是主流

而3.0时代，B2B将是主流，这需要将公有链与联盟链、私有链进行融合升级，公有链可以锚定某些资产。价值互联网会把云计算、人工智能、公有链和私有链结合起来，市场规模将远超目前的比特币或以太坊市场。