周鸿祎，区块链喊你来搞安全！

日前，360董事长周鸿祎在“两会”发布会上谈到区块链技术时表示，比特币有账本不可篡改的特点，但也有受网络攻击的隐患。“当有人掌握了51%的算力。或者未来量子计算破解了‘挖矿’的哈希算法，对区块链技术都是一个挑战。”

周鸿祎还指出，如今出现的很多交易所、钱包等，也发生过丢失虚拟资产的安全事件，这也恰恰说明区块链技术需要安全保护。
周鸿祎的发言，再次引发了大家对区块链技术安全的关注。
一、区块链技术安全吗？
我们知道，区块链是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次比特币网络交易的信息，用于验证其信息的有效性（防伪）和生成下一个区块，是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。
在常规的运作中，区块链技术是比较安全的。然而，随着大家对区块链技术的不断研究、应用，区块链技术也面临着众多的挑战。

2、51%攻击 在比特币中，如果一个人控制节点中绝大多数的计算资源，他就能掌控整个比特网络并可以按照自己的意愿修改公有账本。这被称为51%攻击，这也是比特币系统中倍受诟病的设计之一。
3、秘钥安全隐患 私钥是每个用户自己生成并且自己负责保管的，理论上没有第三方的参与，所以私钥一旦丢失，便无法对账户的资产做任何操作。虽然多重签名能解决一些问题，但是比较复杂。所以用户一旦秘钥丢失，想要找回是比较麻烦的事情。
所以，就算是区块链技术，也并非是绝对安全的，它也面临众多的挑战。除开以上挑战，还有周鸿祎提到的量子技术对“算法”的威胁等。
二、加密货币安全， 从The DAO事件说起
说到区块链技术安全，就不得不提加密货币安全，这个当前火热的区块链应用。说加密货币安全，就不得不提著名的The DAO事件。
The DAO是由德国以太坊创业公司Slock.it基于以太坊网络开发的DAPP应用，它不归任何人所有。它的主要主要功能类似于一款风险投资基金，享有The DAO投票权的用户可以授权使用它来投资以太坊网络上的应用项目。自The DAO项目上线以来，它总共筹集了1.62亿美元的以太币。

The DAO之所以被攻击，是由于它编写的智能合约存在着重大缺陷。The DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。
说起来比较绕，实际上就是The DAO的智能合约出了BUG，用户可以不断利用这个BUG从The DAO的资产池中获取DAO资产。
The DAO事件发生后，以太网络也遭受了波及，当时以太币价格从20多美元直接跌破13美元。The DAO事件后，以太坊也被迫进行了硬分叉。
The DAO事件影响是巨大的，时至今日，当人们谈论起加密货币安全时，仍然常被人们提起。
在The DAO事件之后，日本最大比特币交易所之一Coincheck被盗的新闻也倍受用户关注。
1月26日，日本最大比特币交易所之一Coincheck发布声明称，在自己的平台上有价值580亿日元的虚拟货币新经币（NEM）被非法转移至其他交易所。Coincheck表示，没有发现其他虚拟货币存在相似问题，但也不知晓新经币是如何丢失的。
盗窃事件发生后，CoinCheck在当地时间下午4点33分停止了比特币的交易，并暂停了该平台所有的提现申请。
据悉，Coincheck此次被盗的新经币总数达5.23亿个，涉及用户约26万。按照补偿价格计算，补偿金额总计达463亿日元，约合4.26亿美元。
随时加密货币的越加火热，有心人士已经将眼光转移到了加密货币身上。加密货币钱包、交易所、应用平台，用户账户等都已成为有心人士的攻击目标。
三、区块链企业更需要安全保障
从The DAO到CoinCheck，前者是基于区块链智能合约的应用平台，后者是中心化的交易所，因为他们聚集了大量的加密货币，所以都成了“有心人士”眼中的肥肉。
在区块链和加密货币越来越被大众所熟知的当下、将来，保护用户数字资产安全，保障平台系统安全，都是个人用户、区块链企业、政府管理层等十分关心的问题。
从用户角度来说，区块链技术越安全，使用起来才会越放心，加密货币也是一样；从企业角度来说，区块链技术安全是保障自身应用系统安全、用户数据资产安全的最基本要求，也是最高要求；从政府管理层面来说，保护公民合法数字资产安全，监督企业安全运营也是基本职责。

但现实情况是，企业在应用服务或交易所技术上很专业，很厉害，但在保障应用服务和交易所安全上却多有欠缺。The DAO和Coincheck都是例子。前者在应用上线部署之前没有检查出系统漏洞，才会被黑客所攻击，后者则缺乏明确的安全保护措施，未能保护好用户数字资产安全。
那么该如何解决区块链技术安全问题呢？
何玺认为这需要专业的安全服务商来做。比如，安全服务商可以针对区块链创业公司推出安全套餐服务，套餐有针对企业应用上线部署前漏洞检查的，检查发现漏洞后提供加固方案；还可以推出针对DAPP的应用商店，做上线安全检查，以保保障普通用户的使用安全；还可以推出测试，众包服务等。
实际上，安全厂商要做的就是保障区块链创业者的应用安全，从应用开发到部署上线，再到应用运营维护、监测、预警、防御等，从多角度，全方位去保护企业应用/平台运行安全，保障用户使用安全。
这个事情，何玺觉得周鸿祎来干最合适！大家觉得呢？

原文地址：http://blog.51cto.com/hexiaini235/2084055