他指出，目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。例如，据雷锋网了解，2016年6月17日，黑客攻击了众筹超过1.5亿美元的分布式自治组织 THE DAO，导致项目失败。2016年8月2日因为多重签名漏洞，香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障，个人私钥的安全性也存在较高风险。”

斯雪明教授具体介绍了区块链五大安全性分析方法，分别是综合安全性分析、算法安全性分析、使用安全性分析、实现安全性分析以及协议安全性分析。并针对各安全问题，提出了相应的应对方法。

以下是演讲原文：

区块链的安全挑战

目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。

信心系统安全有三要素，分别是保密性、完整性、可用性，区块链系统也必须有三种属性。

从保密性来说，以公钥的变型作为交易地址，为用户提供了保密性；零知识证明、环签名等为交易提供了保密性，比如Zcash和门罗币；同态加密对数据提供了保密性；属性基家解密，实现对系统的保密性、分权处理。总的来说，区块链系统大量应用了密码学前沿技术。

第二，从可用性来说，每个副本节点保存相同的数据，保证了数据的可用性，多方共识机制保证了交易信息的可用性。

第三，从完整性来说，签名验证算法保证了交易的完整性，链式结构保证了数据的完整性，高度同构冗余结构，保证了系统的完整性。

系统安全性分析

分析区块链安全性，需要从综合安全性、算法安全性、使用安全性、实现安全性以及协议安全性五方面进行分析。

首先是算法安全性。目前密码货币的算法是相对安全的。但是随着数学、密码学和计算基数的发展会变得越来越脆弱，况且区块链中的密码算法在使用过程中也存在问题。另外，量子计算对现有公钥密码带来的影响是颠覆性的，2017年IBM宣布成功搭建和测试了两种新机器。当然，算法方面也曾出现过随机数漏洞事件，比如2014年12月，blockchain.info爆出随机数问题。

第二个是使用安全性分析。目前存在以下问题，比如私钥托管容易造成监守自盗以及黑客盗取；区块链钱包的口令存在被恢复的危险；私钥一旦丢失，便无法对账户的资产做任何操作。最重要的是所有的数字货币系统，比如2017年12月，朝鲜黑客攻击了韩国加密货币交易所，导致价值76亿韩元(约合699万美元)的加密货币被盗。

第三从实现安全性分析。国家互联网应急中心在2016年10月曾选取了25款具有代表性的区块链软件进行检测，在代码层面发现高危安全漏洞和安全隐患共746个，所以区块链的代码安全性是非常令人担忧的。此外，还有去年11月的parity钱包事件，就是由于误操作，库代码被抹掉掉，导致多重签名智能合约无法使用。

最后一个是综合安全性，或称系统安全性。综合运用算法/协议/使用/实现漏洞，与网络攻击解密结合，采用技术和社会工程学对密码货币系统进行攻击，一旦国家或组织采用综合安全攻击，会对密码系统造成极大的危害。美国已经高度重视区块链的安全问题了，在去年9月通过一项7000亿美元的国防法案。

安全性威胁应对方法

那么，我们应该如何面对这些安全问题？

针对算法安全性，可以采用抗量子算法，如基于格的签名算法，或者采用盲签名、环签名、聚合签名、多重签名侧、门限签名策略，总之是要采用新的、本身经得起考验的密码技术。

针对协议安全性，POW中使用防ASIC杂凑函数，使用更有效的共识算法和策略。

针对实现安全性，需要对关键代码进行严格、完整测试，以及采用更加安全的智能合约。

针对使用安全性，主要是对私钥生成、存储、使用进行保护，使用有效的魂币模式，对敏感数据进行加密保护。另外，我们也要选择安全的交易所，因为交易所聚集了大量的数字货币，所以很容易成为黑客或者一些敌对、恐怖组织的针对目标。

原文发布时间为：2018-02-04
本文作者：伊莉
本文来源：雷锋网，如需转载请联系原作者。