360区块链安全高级专家彭峙酿：区块链安全十分迫切 | P.O.D新区势峰会

11月28日，由Odaily星球日报联合36kr主办的“2018 P.O.D New BlockTrend新区势区块链峰会”在北京举行。

会上，360区块链安全高级专家彭峙酿博士发表了《谈谈区块链安全》的演讲。演讲中，他举出了一组数据：2013年到2018年上半年，一共发生了54起严重的区块链安全事件，其中2018年上半年安全事件引起的已经达到了27亿美元。也举出了4个例子：2014年交易所Mx Gox被盗案、暗网丝绸之路、Wannacry勒索病毒、EOS编译器asset模板漏洞。

基于以上数据与案例，彭峙酿指出，由于去中心化的特点，数字货币世界已成为洗钱的法外之地；匿名币与犯罪智能合约的出现更是进一步助长了黑市交易；同时区块链项目本身也有一些安全问题，总结以上三点，彭峙酿表示，当前区块链安全现在还处于一个非常初级的阶段，它仍然有非常多的机会和挑战。

以下为彭峙酿演讲原文：

大家下午好，我叫彭峙酿我来自360核心安全事业部。

作为一个安全从业者，其实我们平时主要的工作就是去研究各种各样的网络软件是否存在一些安全漏洞，然后在黑客去利用这一些漏洞之前，来保护我们的用户。过去半年时间我主要的时间都花在区块链安全上，非常高兴今天有机会来这里和大家分享一下关于区块链安全，我的一些看法。

首先抛出一个问题，区块链安全是跟风吗？因为我身边的朋友说，彭峙酿你做区块链，是不是跟风？是不是骗人的东西？是不是搞区块链的都是传销之类的。我经常会被问到这个问题，也是非常的尴尬。同时我本身又是做安全，我也有一些朋友会问你们做安全的是不是就是喜欢跟热点，人工智能一火你们就做人工智能安全，IOT一火就做IOT安全，现在区块链一火你们现在就做区块链的安全。对于这问题，我自己的看法不是这样，我觉得区块链安全是真真正正有非常大的业务需求。

下面我来讲一讲我的看法一些论点。

其实区块链我们可以看到它本身是技术，其实光从技术的角度，我不能确定区块链到底能不能解决各种高大上的问题。但是我们回看过去的十年，实际上数字货币的出现已经改变了我们的生活。从2008年比特币刚出现的时候无人问津，到现在有数千亿美元的资产沉淀在网络中，矿池、交易所、钱包，非常多的用户选择投资数字货币或者是使用数字货币直接进行交易，所以实际上数字货币已经改变了我们的生活，数字货币的安全其实是一个非常迫切的需求而不是一个跟风的东西。

这里有一串数据：2013年到2018年上半年这一段时间一共发生了54起严重的区块链安全事件，其中就只有2018年上半年安全事件引起的损失金额就已经达到了27亿美元。来到了最喜欢的一个案例，这个案例是2014年的时候当时世界上最大的数字货币交易所MT.gox，发生了一件黑客入侵案件，一共被盗走85万美比特币，当时这事件就导致Mt.gox这个交易所直接申请破产，他们的CEO入狱，非常多的用户血本无归。为什么这是我最喜欢的案例，因为我就是其中一个用户之一。2014年的时候我当时还在读博士，我基本上是把全部身家都拿来买比特币。一切都很好，除了一件事之外，我把币都存在这平台上。

按当时的最高价格来算，85万比特币已经接近10亿美金了，如果按现在的价值就是更加无法估量了。像这样的案例其实它并不是说2014年一起，而是从2014年到2018年，每年都发生类似的案例。今年我们从360威胁情报信息中看到非常多的数字交易所其实已经受到了黑客的攻击，只不过有的案例可能还没有到达黑客能够把数字货币转走的这一步。我们的内部有一个玩笑式的说法：这个世界上只有两种数字交易货币所，一种知道自己被入侵，另外一种是不知道自己被入侵。

接下来是第二个，数字货币世界已成为法外之地。因为它不受监管，作为一个去中心化的支付系统，没有第三方来提供服务，同时也没有第三方来对所有的交易进行审计，这就会导致黑市或者各种类似洗钱的交易发生。

这个图片是一个前几年暗网上非常有名的网站，这网站叫丝绸之路。

我们可以看到，在这个网站上可以买到毒品、军火、假的证件甚至是假的信用卡等。当然这网站中一般用户不会去选择法币进行交易，我们可以看到它标价都是用比特币进行交易的。这个网站在2013年的时候已经被美国的FBI给关掉了，当时网站管理员被抓的时候，他的电脑里面发现了14万比特币，在开通两年的时间内这个网站为全球的毒品交易提供了超过12亿美金的支付渠道，所以说它是非常恐怖的一件事情。

丝绸之路这个网站现在已经被封了，但是如果大家平时去上暗网，还会看到有非常多类似这样的一些网站。它只是冰山一角，最近这几年包括门罗币、Zcash这样的匿名币出现，都在进一步助长黑市交易。比如门罗币，钱从哪里来有多少钱打给谁，你完全不知道，但是这整套系统还是可以完全地运行下去，你在上面做一笔违法交易，没有人能够查得到你，这样给政府和监管部门带来很大的困难。

同样，以太坊的智能合约出现提供了可编程的经济模型，技术都是两面性的，我也听说有很多人使用智能合约犯罪。比如有一个雇主想要获得雇佣黑客攻破一个公司的网站，黑客跟雇主之间不需要见面也不需要建立一种信任，只需要把所有的操作写在合约里面就可以完成，可以看到技术是一把双刃剑。

再接下来讲一个案例，这个图片大家都看过，就是WannaCry，它是一个蠕虫病毒，去年5月份在世界范围内爆发，它用windows操作系统的一个漏洞进行传播。用户电脑被感染之后，这病毒会加密用户电脑中的重要文件，且弹出这弹窗，说你现在的所有文件都被加密了，你需要支付300美金的比特币到我的地址，你支付了我就给你解密。

当时这个病毒传播的非常疯狂，包括医院、学校、银行或者一些政府部门，因为这个病毒无法工作，本质上黑客是通过这病毒向全世界进行勒索。想象一下如果没有数字货币后面让它做勒索的事情，他肯定是不敢的。

这个病毒背后还有另外一个故事，这可能是网络安全从业者的人才知道。就是这个病毒其实是网上一个匿名的黑客组织公开的一个windows的漏洞来进行传播的。这个漏洞，实际上是美国国家安全局的网络武器库中的一个工具。黑客组织在公布这个漏洞之前，先是在网上公布了部分这个武器库的信息。然后告诉大家来给他们支付匿名数字货币，他们会定期把这一些美国国家网络武器库发送给支付者。可以看到因为数字货币的存在，黑客或者说其他犯罪分子甚至连美国安全局都不怕，所以说数字货币在监管上面是存在非常大的问题。

数字货币项目本身它也是存在非常多的漏洞，今年我们公司内部启动了数字货币安全研究。我们几个人花了大概半年的时间，对当红的一些数字货币项目进行了一些安全研究，半年时间内，我们发现了包括以太坊、EOS、门罗币、NEO、ONT等排名前20的数字货币项目的安全漏洞。其中甚至有一些直接能够很随意的完成双花攻击的严重漏洞，一个数字货币我能够花两次，就是当两个币花。在小于半年的时间内，我们拿数字货币项目方的奖金已经超过了30万美金。可想而知，如果黑客提前利用这一些漏洞去做一些破坏，其实会对整个生态造成非常严重的影响。

这是一个具体的案例，但因为今天已经比较晚了，所以我就不讲技术的细节，大概的意思就是EOS有一个非常关键的模块，它五行代码里面有三个漏洞，当时我们把漏洞提交给EOS官方，一个星期之后EOS官方修复了漏洞，但是这一个星期之内这个漏洞被黑客利用窃取了很多EOS的代币。那更多的关于我们区块链安全相关的研究，大家可以去关注一下我们的技术博客。http://blogs.360.cn/

下面就是结论，从上面我们可以看到三点，目前区块链安全事件是频发的，因为区块链技术的诞生，给整个社会也带来了一些安全隐患；同时区块链项目本身也有一些安全问题。我认为区块链安全现在还处于一个非常初级的阶段，它有非常多的机会和挑战，谢谢。