本文共字，预计阅读时间。

本期嘉宾

李鸣：工信部中国电子技术标准化研究院区块链研究室主任

吴震：国家互联网金融安全技术专家委员会秘书长

罗玫：清华大学教授

蒋长浩：Cobo联合创始人兼CTO

1.    区块链安全现状令人担忧？

伴随着区块链技术的不断发展，区块链领域本身的安全问题逐渐凸显，与区块链相关的诈骗、传销等社会化安全问题日益突出。

尤其是区块链的经济价值不断升高，促使不法分子利用各种攻击手段获取更多敏感数据，“盗窃”、“勒索”、“挖矿”等，借着区块链概念和技术，使区块链安全形势变得更加复杂。根据网络安全公司Carbon Black的调查数据显示，2011年到2018年4月，全球范围内因区块链安全事件造成的损失高达28.64亿美元，且在全球范围内因区块链安全事件损失金额还在不断攀升。

主持人：区块链大规模应用是否足够成熟？

吴震：目前区块链应用还处于早期，第一，就场景来说，虽然找到了一些应用场景，但距离理想中的大规模甚至是颠覆性的应用还存在差距。

第二，因为区块链技术本身方面原因，包括对用户数的支持等，现阶段还存在不足。目前来看，大部分应用还在探索阶段，还受到政策等方面的制约。

主持人：目前区块链安全现状如何？

李鸣：可以从四个方面来进行解释，分别是监管、安全、底层技术和标准化。

在监管方面，因为区块链天然带有金融属性，在科技属性基础上叠加了金融属性，跟云计算、大数据等不同，吸引了一些本不属于技术发展生命周期过程中的相关者到圈子里来，从而造成了很大的泡沫。所谓的创新性，推出了很多新的商业形态，会对原有的监管框架提出新挑战，从监管视角来说需要想出更多的办法去管理，或引导整个产业发展。

第二个是安全问题，比如智能合约漏洞、50%算力攻击，尤其智能合约漏洞相对较多，因为智能合约一旦执行没法停止，代码是人写的，一定会有漏洞。所以在这个问题上，其实是道高一尺，魔高一丈的问题。怎么去构建一个真正的安全体系，不仅是代码，或者纯技术问题，可能是体系化的问题。

第三个问题是底层技术平台问题。底层技术平台，像手机的操作系统，早期有一定应用和用户，像塞班系统失败之后，所有应用或用户都失去了技术平台，对技术选择的方向造成了非常大的损失。在区块链领域也一样，不确定现有哪个技术平台会在未来停止开发或失败。基于此的相关的应用，都面临着一个选择的风险。

第四个，标准化。因为标准化是一个非常窄的门类，需要一定的时间周期，在2016年到2018年，区块链技术发展非常快，但是两年对于标准来说，可能一个标准还没有发布。标准的延时性和区块链快速的发展，形成了非常大的矛盾，这个矛盾只能说尽量加快标准化的步伐，去解决一定的局部问题。

蒋长浩：目前整个区块链的从业人员相对来说其实门槛也不是太高，基本上只要有想法，会有很多可参考借鉴的白皮书、技术文章、代码开源等等资源，很容易被模仿。在目前阶段，整个区块链领域从业人员水平参差不齐，导致了行业现状的安全问题。区块链各方面的规范，相对来说水平较低。

相对来说这个行业发展非常迅猛，在快速的野蛮生长过程中，出现了很多风险事件。所以，区块链行业的安全现状还是比较令人堪忧。但这也是一个早期行业在快速成长阶段不可避免问题。

吴震：除了技术安全以外，还有经济安全、社会安全等方面。近两年，部分不法分子打着区块链的旗号搞空气币、传销币，甚至进行蹭链的行为。另外在虚拟数字货币这个市场，出现了很多操纵市场的伪商，都对我国的经济安全和老百姓的财富安全产生影响。

另外一方面就是区块链本身的技术安全问题，包含范围比较广。区块链作为信息系统，本身就有传统的安全威胁。同时又包含着新的特点。因此，我们通常把区块链安全分成三个层面来看，既包含着它的基础层的安全，也包含着它的核心层的安全，也包含着应用层的安全。

2.    区块链安全项目缺口较大？

只有大规模应用的时候遇到安全问题，才会引起别人的重视，同时才会促进安全领域的发展。

——李鸣

根据中国信通院数据显示，目前我国活跃区块链项目数量高居全球首位，55.4%的项目聚焦行业应用，31.6%的项目关注底层技术，而安全服务类项目仅占4.5%，多数区块链技术开发者、平台运维者、用户等安全意识普遍不高，区块链安全产品和服务需求驱动尚不明显。

主持人：与国外相比，国内从事区块链安全的项目相对较少，原因为何？

蒋长浩：很大一部分原因在于从事底层安全技术相对来说离商业变现较远，在一个行业发展早期的时候，一个没有很好商业模式的领域很难催生一些专业化的成熟公司来提供专业化的服务。当区块链行业，包括公众、政府等各方面越来越重视安全，将安全作为行业从业的标准，提高行业门槛，安全的价值就会得以体现，相应的在整个生态中一共安全服务的公司才能有更好的生存环境。

罗玫：区块链安全非常重要，如果普通用户对区块链的安全都感到忧患，它的用户就不会太多，目前很多区块链项目都在争取用户，因为没有用户其项目就无法落到实处，而国家政策也希望区块链能否与实体相结合，对企业有所帮助，但如果最基础的安全都解决不了，那无论是监管层面还是用户层面，都会对技术有一种防卫之心。

李鸣：技术的应用有两个方向，第一个是“置底向上”，就是现有技术研发，建立底层的平台，再利用这个平台来找寻相关的市场、用户，然后解决相关的实际问题。

第二个是“置顶向下”，就是先找到一个落地的场景，比如说溯源，然后再去找一个相关的平台来支撑溯源的场景，最后反过来倒逼底层平台逐渐成熟。

国内从事区块链安全的项目较少，其实在AI和大数据领域也是这样的，国内有大量的应用场景，所以更多出发点是“置顶向下”，而安全这个领域一般都是遇到问题解决问题，只有大规模应用的时候遇到安全问题，才会引起市场的重视，同时促进安全领域的发展。

互联网早期的时候，大家都知道有安全问题，但没有相关服务提供商，但当互联网得到大面积应用，在价值的诱惑过程中出现了很多安全相关的问题，有利益驱使，所以产生了像360、卡巴斯基等大型安全服务提供商。

3.   区块链技术统一标准如何设计？

区块链去中心化、自治化的特点给现有网络和数据安全监管手段带来了新的挑战（如GDPR中关于数据主题、数据删除权的要求等）。各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟。同时，有观点指出，区块链技术需要在具体应用场景中产生价值。但是需要注意的是，区块链行业中存在大量的泡沫，到现在依然没有缺乏相关的标准，无法将区块链所带来的价值进行量化。今年6月，工信部官网公示《全国区块链和分布式记账技术标准化技术委员会筹建方案》，并指出将在区块链技术和应用研究编制发布白皮书，编写重点标准以及标准体系，推进区块链标准测试评价工作等方面展开工作。

主持人：目前来说，区块链领域尚未出现同一的技术标准，您认为区块链标准应该从哪些纬度来设计？

李鸣：目前我们正在跟进两个标准化组织，一个是IOS307，已经有11个在研的标准项目，其中有术语、参考架构、治理、安全隐私等相关标准。其实现在没有专门偏重于安全的标准，更多解决的是共识问题，每个人活着不同领域的专家对区块链本身定义的理解都不一样，这个问题很可怕，如果定义问题都解决不掉，安全问题肯定解决不了，因为对于安全时间的定义都不一样，或者剖析后期中的组件定义名称都鱼一样，就没办法进行产业化的应用。

另一个组织有七项标准，但比较面向工程化，比如基于互联网的应用、数据格式等，这是中国今年新立项成功的标准。目前有一个国家标准正在制定，也是参考这个标准。从整体来看，标准化更多偏重于社会对于区块链的认识，解决完认识问题，下一步再逐渐解决比如跨链、智能合约、安全等重点性问题。

我们希望能够通过安全和隐私的标准，给行业一个规范性的引导，首先知道有哪些问题，其次如何避免，不过我们不会给出技术细节，但会有一定的框架性引导的思路。

4.  区块链安全前景如何？

主持人：如何看待区块链领域安全未来发展前景？

李鸣：区块链技术来自于安全，类似秘钥等相关安全技术，但它是一个软件系统，就一定会存在安全问题，从价值角度来看，区块链的价值是互联网基础设施，对于安全性的要求会更高。

所以从技术视角来看，复杂度非常高，不同技术间的耦合性高，产生安全问题的点可能会更多，这样就会造成未来像大面积应用时的更多攻击等问题，需要更多的防护。所以未来安全一定在区块链技术发展到一定程度时爆发，但不等于现在不需要。

吴震：目前来说，区块链安全领域像过去炫耀式的攻击都比较少了，大部分目的都是为了谋取经济效益，因为如果未来区块链技术能够发展起来，它的安全服务一定是一个比较大的市场。

罗玫：最开始所有的区块链项目都是以去中心化为亮点，用于去中心化的网络，这个网络氛围达到一种原来从来没有尝试过的机制设计，但是现在你会发现去中心化实际上并没有达到人们所期望得到的效果，反而总体感觉一个去中心化和中心化相结合的产品，才是更有前途的。

比如说，如果只在区块链项目里进行去中心化的操作无可厚非，但一旦跟实际生活相连接，把现实社会中的一些数据上传，这些数据实际就产生于中心化的机构，由中心化的机构来核实。所以纯粹的去中心化我觉得是达不到的，现有的一些区块链项目即使说去中心化，但相对于不那么去中心化的项目，实际上效率要更低，发生分歧的几率更大，分杈的机会也更多。所以去中心化可能并不是一个最优的解。

安全一定是首要的，不光是区块链，还有云计算、大数据等，这些技术一旦运用到金融领域，安全就是最重要的，所以监管希望看到底层技术做好，促进其与金融产品的融合、创新。我相信监管方面和国家方面都是很支持的。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！