聚焦区块链安全 迅雷链“硬核技术”为企业护航

越来越多的传统企业开始接触区块链，其中一些已经在着手进行区块链应用的开发和使用了。与传统互联网一样，区块链开发依然面临严峻的安全考验，安全永远是应用开发的关键。不过，在具体的安全问题上，区块链又与传统互联网有所不同，开发者该如何分辨二者的区别，并正确应对新的挑战？

智能合约安全漏洞频发

北京时间5月3日凌晨4点12分，以太坊上一款应用中的所有波场币被盗，总价值427万多人民币。其原因就是黑客发现了该应用智能合约中的一个漏洞，通过该漏洞悄无声息地转走了应用中的所有资产。

而这只是众多区块链安全事件的冰山一角。据迅雷链开放平台产品负责人马双阳介绍，在以太坊上38000多个智能合约中，通过漏洞扫描工具发现存在815个漏洞。也就是说，超过2.1%的合约存在漏洞，这是非常惊人的一个比率。

同时针对智能合约漏洞的攻击也越来越频繁，马双阳透露，自有智能合约以来，漏洞相关的攻击事件，59%发生在2018年年份，可见黑客已经意识到智能合约漏洞的“有利可图”。

据迅雷链技术团队的专业分析，区块链安全问题基本分为存储、协议、扩展、业务层这四个方面，其中，存储、协议和扩展三个层级的安全机制，都由主链平台提供，基本上经得起检验，出问题的可能性不大。唯独业务层是由企业自己提供的，其中技术水平良莠不齐，且目前还缺乏真正经验丰富的区块链开发者，因此往往安全问题就出在业务层的智能合约上面。

而智能合约又是开源的，其代码全都公开，黑客很容易就发现漏洞并加以利用。同时智能合约一旦公布，就很难撤回修改，因此漏洞一旦被发现，弥补起来都非常困难，这是区块链安全与传统互联网安全问题最大的不同之处。

选择安全机制完善的开发平台

因此传统企业在使用区块链的过程中，需要特别注重自身应用中的智能合约安全性。而其中最主要的手段就是利用工具自检排查，所以选择一个提供完备的安全排查机制的开发平台，就显得非常重要。

目前，一些领先的区块链平台已给出更加专业和安全的解决方案，如迅雷链就推出了专门针对智能合约的安全机制。据介绍，迅雷链针对智能合约的安全审核分为三个层级，分别是防护，验证和审计。

其中防护就是在编码过程当中不断规范和代码发布的规则，并不断加以完善和维护，从源头上对安全进行防护。验证就是在开发工具中进行动态的安全检测，当开发者使用开发工具进行应用开发时，该工具会自动对其中代码进行安全性的检测，一旦发现有问题，就会直接反馈给开发者。

最后迅雷链还会对所有智能合约进行完善的审计，马双阳说，其中绝大多数是人工审核，以此规避自动审查中的不精准性，最大程度保证合约的安全性。

今年四月，迅雷链获得国内对非银行机构的最高级别安全认证——国家信息安全等级保护三级认证。同时，网心科技还作为行业领军企业，受邀参与了《可信区块链：区块链安全评价指标》的制定。这些都是迅雷链持续发力区块链安全防护获得的肯定。

安全与效率并重

不过业内专家也提醒说，企业在开发区块链应用时，固然要强调安全性，但也要注重使用效率，二者不可偏废，否则安全性倒是有保障，但应用本身的易用性却遭到损害，也不利于业务的开展。

区块链头部平台也意识到了这方面的重要性，开始加强此方面的融和。据迅雷链底层研发工程师张骁透露，目前迅雷链主要是通过对加密算法等核心层的创新改进，在保证安全的同时努力提升应用的开发和运营效率。

比如区块链当中最广泛应用的数字签名算法，包括密钥匙生成以及签名还有验签三部分，需要同时保存签名和公钥。但迅雷链通过对这种加密算法的改进，实现用签名倒推公钥，这样只需要保存签名即可，由此减少了至少1/3的存储空间需求，极大地降低了应用的存储成本。

同时在很多业务场景中，需要对某些数据进行求证，而求证过程又往往意味着数据的公开，由此又与数据安全和隐私保护形成冲突。鉴于此种情况，迅雷链推出承诺系统，利用同态加密和零知识证明两种技术，实现了在不公开数据的情况下，完成对数据的求证。就好比写字楼门禁，当你拿工牌刷卡开门时，门禁只会反馈出“开”与“不开”这两个结果，并不会告诉你工牌上的姓名、公司、电话等信息。