區塊鏈:探討：聯盟鏈智能合約與鏈平臺安全-ODAILY_CBD

2020年8月20日晚7點30分，四川省區塊鏈行業協會《BSI大應用?小故事》欄目準時開播。成都鏈安·安全負責人Frank做客欄目，深度探討了聯盟鏈智能合約與鏈平臺安全的相關問題。

本期欄目『聯盟鏈智能合約與鏈平臺安全』為主題，成都鏈安·安全負責人Frank從『智能合約安全淺析』、『聯盟鏈平臺安全淺析』、『智能合約與鏈平臺安全檢測項』三個切入點展開探討，進行了高質量與高水準的主題分享。

以下內容為本期欄目實況：

01

主持人：Frank老師，您作為成都鏈安·安全負責人，多年從事安全研究，擅長區塊鏈安全平臺的問題分析，擔任多家金融機構、互聯網公司安全顧問，并參與編寫了區塊鏈安全相關書籍，您的從業經驗非常豐富。那么您是怎么樣進入這個行業的呢？

SWIFT和埃森哲論文探討央行數字貨幣，SWIFT計劃成為CBDC實際價值載體:SWIFT和埃森哲發表關于跨境支付中的中央銀行數字貨幣的論文，作為數字資產創新的一部分，為以新貨幣形式進行國際支付的可能性做準備。全球半數以上的央行都在積極探索使用CBDC，這一發展可能導致全球支付生態系統發生深刻變化。論文本文探討了這種轉變的現實性，從CBDC跨轄區轉移到將CBDC整合到現有貨幣組合中的方式，并詳細介紹了CBDC成為可行的國際支付解決方案所需的條件。互操作性將是其成功的關鍵，盡管CBDC提出了新的挑戰和機遇，但輪文的結論是，繼續探索CBDC可能會利用現有的支付方式，新的解決方案將成為當前基礎架構的擴展，并且SWIFT在包括CBDCs在內的支付生態系統中扮演著獨特的角色。

為此，SWIFT將通過思想領導力和未來幾個月的試驗，對CBDC進行更深入的研究。這包括進行試驗，以查看SWIFT不斷發展的平臺以及在其新戰略下如何重新關注交易管理服務，以實現全球40億個賬戶的即時無摩擦支付（與標準，技術和貨幣無關）如何與CBDC的跨境使用進行交互。SWIFT打算進一步探索其作用，既作為CBDC交易的認證信息載體，也作為CBDC實際價值的載體。（Trade Arabia）[2021/5/17 22:10:23]

Frank：大家好，我是成都鏈安的Frank，我最初聽說區塊鏈是在大學時期，當時只有一個模糊的概念，在2017年比特幣病攻擊安全事件發生之后，對于區塊鏈有了進一步的認識，之后便開始深入了解區塊鏈，直到與成都鏈安結緣，就開始了對區塊鏈安全的研究。

聲音 | 日本財務大臣：將在G20會議上探討數字貨幣:日本財務大臣麻生太郎表示，將在G20會議上探討全球經濟和數字貨幣。[2020/2/21]

02

主持人：謝謝Frank老師，我們知道您在行業中的經驗是非常豐富的，大家對于區塊鏈安全問題非常關心，現在有請您為我們帶來今晚的演講。

Frank：好的，今晚我為大家分享的主題是『聯盟鏈智能合約與鏈平臺安全』。

首先帶大家明確幾個概念：

·公有鏈是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。

·私有鏈是指其寫入權限由某個組織和機構控制的區塊鏈，參與節點的資格會被嚴格限制。

·聯盟鏈是指有若干個機構共同參與管理的區塊鏈，每個機構都運行著一個或多個節點，其中的數據只允許系統內不同的機構進行讀寫和發送交易，并且共同來記錄交易數據。

動態 | 納斯達克首席執行官：正與合作伙伴探討推出比特幣期貨:據theblockcrypto報道，納斯達克首席執行官Adena Friedman在接受彭博新聞社采訪時表示，目前正在與一位不愿透露姓名的合作伙伴探討推出比特幣期貨。有兩個因素可能影響比特幣期貨產品的推出。首先，公司想要確保能將一種不同于競爭對手的產品推向市場。其次，希望確保自己擁有適當的風險管理基礎，以便將來與加密貨幣掛鉤。[2020/1/26]

·智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易，這些交易可追蹤且不可逆轉。

隨著區塊鏈技術的不斷發展，越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言，聯盟鏈具有更好的落地性，受到了許多企業與政府的支持。為了提升效率，支持更加友好的設計，各聯盟鏈在智能合約上也出現了不同的發展方向。

動態 | 馬耳他研討會探討如何改進涉及區塊鏈的反洗錢法:據Times of Malta消息，馬耳他區塊鏈協會主席Patrick Young和管理者Max Ganado發文稱，近日在由馬耳他區塊鏈協會和馬耳他財政部共同組織的Blockfinance研討會中，包括馬耳他金融服務管理局（MFSA）、馬耳他金融情報分析部門（FIAU）和在內的利益相關者參與了活動。發言者初步進行了差距分析，使行業參與者可以就涉及區塊鏈的反洗錢法（AML）的進一步發展提出具體建議。 文章指出，這個新興產業需要表現出高標準的誠信以及合規性。此外，區塊鏈行業參與者需要為AML-CFT戰略做出貢獻。[2019/4/7]

目前智能合約與區塊鏈的結合，普遍被認為是區塊鏈一次里程碑式的升級，但智能合約技術發展也面臨諸多挑戰，如安全性問題。隨著智能合約數量的增多，去中心化應用的推廣，智能合約涉及的數字資產呈指數級別增長。相比傳統軟件，智能合約的安全問題更加棘手，現實情況也更加嚴峻。

總體來說，目前智能合約的主流架構是系統合約(預編譯合約)+業務合約，而代碼語言安全特性、合約執行所帶來的安全性問題、系統機制導致的合約安全問題、業務安全問題都會威脅智能合約安全。

對于智能合約的安全建議是：

1.簡化智能合約的設計，做到功能與安全的平衡

2.嚴格執行智能合約代碼安全審計(自評/項目組review/三方審計)

3.強化對智能合約開發者的安全培訓

4.在區塊鏈應用落地上，需要逐步推進，從簡單到復雜，在此過程中不斷梳理合約與平臺相關功能/安全屬性

5.考慮DevSecOps的思想

目前鏈平臺安全主要包括了共識安全、交易安全、合規、賬戶安全、端點安全、RPC安全等，相較于聯盟鏈而言，公鏈安全問題更凸顯，公鏈是匿名且無準入控制，作惡難以被發現，此外，公鏈應用發布沒有審核，上鏈應用質量參差不齊，這也是公鏈漏洞較多的主要原因之一。

在當前鏈平臺漏洞頻出的嚴峻背景下，鏈平臺深度安全檢測勢在必行，成都鏈安采用攻擊測試+專家人工代碼審計的方式對區塊鏈平臺進行深度的安全審計，審計方式為黑盒/灰盒/白盒，漏洞全面覆蓋10大項39小項，目前成都鏈安已經完成24個鏈平臺的深度安全檢測，檢測出30余個高危漏洞。以此不斷努力讓區塊鏈生態更安全。

03

主持人：感謝Frank老師為我們帶來的精彩分享。下面進入問答環節，以下都是大家最關心的問題，請Frank老師為我們作答。

Q：聯盟鏈對于公有鏈有哪些明顯優勢呢？

A：相對于公有鏈來說，聯盟鏈有一個準入機制，通過該機制能夠篩選參與方，從而了解參與方具體情況，把控其行為，杜絕攻擊者。并且聯盟鏈是由多個機構共同控制的，能采用利于性能提升的共識，從而不斷改進其功能。除此之外，聯盟鏈是針對某些業務場景開發的，在落地層面會更適應于國內業務場景應用。

Q：區塊鏈能有效保證信息安全嗎？

A：區塊鏈能夠利用密碼技術等對信息、數據進行加密，然而區塊鏈是無法完全保證信息安全的，只能作為加強信息安全的輔助手段。

Q：智能合約的未來發展方向是什么樣的呢？

A：對公鏈上來說主要還是以虛擬資產為主，但這只是發揮了區塊鏈在密碼學方面的一些功能。而聯盟鏈未來發展的主要方向應該是應用落地，在存證、共識等方向有著非常大的探索空間，能解決很多傳統應用難以解決的痛點。雖然聯盟鏈會產生信息割裂等問題，但利用跨鏈技術也能夠迎刃而解。

Tags：區塊鏈聯盟鏈BDCCBD區塊鏈幣是什么幣超級聯盟鏈BDCC幣CBD幣

Pol幣