在开发商完成漏洞修补升级版本前,普通用户应立即换用其他安全数字货币钱包,并创建全新的钱包地址,保护并离线备份自己的私钥,作废旧地址。
使用冷钱包时做到“三个不要”:不要将冷钱包上的二维码拍照发给别人;不要向任何人交出私钥或助记词;不要轻信“***”、“升级”,或任何“代操作”。
比特币等数字货币的获得一般是通过购买,或加入区块链节点挖矿。
不过,以现有比特币全网的挖矿难度,个人矿工很难承受高昂的电力和时间成本,或抵御波动风险。为此,矿池应运而生。普通个人使用矿池提供的专用挖矿软件,连接矿池服务器,按照算力贡献获利分成。
因此,矿池作为数字货币的上游环节,为广大个人矿工提供稳定的挖矿收益,其安全的重要性不言而喻。
(一)矿池安全事件回顾
(二)矿池存在的安全隐患
分析上述安全事件,矿池的风险主要在于 **oS 攻击和扣块攻击。
**oS 攻击(前文曾介绍)下,黑客可通过大量合法的请求占用大量网络资源,达到瘫痪网络的目的,使得旷工无法正常运行挖矿软件。
扣块攻击,也称藏块攻击。通俗的解释是,矿池的矿工解题成功,但未将“解”回传给矿池,而是选择私吞,因此,其他的矿工无法共享此次解题带来的收入奖励。
当然,矿池也存在其他风险:一是矿池服务器域名被 BGP 劫持,客户端加入了假的矿池进行挖矿;二是挖矿服务器中病毒或被黑,挖矿过程中钱包地址被替换;三是挖矿软件本身异常导致的数字货币钱包地址被替换。
(三)矿池安全漏洞如何应对
首先,采用高性能的网络硬件产品,保证网络设备不会成为限制防御的瓶颈;其次,尽可能地保证网络带宽富余;再次,定时优化升级硬件配置,提高服务器的负载能力;此外,选择专业的 **oS 高防服务,将大流量攻击交给运营商及云端清洗。
要从官方可靠渠道下载挖矿软件,使用专门的挖矿电脑;不要将钱包等重要信息保留在挖矿电脑上。
小结一下,上述安全事件造成的影响:
1.投资者资产流失,维权困难
数字货币交易所、智能合约、钱包等安全事件会直接导致投资者资产被窃或减值,且一旦黑客事件,很难追回,在匿名机制下维权困难。
2.评级受损,声誉降低
数字货币交易所、钱包等遭遇黑客事件后,其在用户财产保障和应急处理措施的缺陷暴露出来,将影响自身声誉,甚至一蹶不振。
3.市场信心受挫,相关企业存续难
大型安全事件通常会造成较大范围的市场行情波动,引发市场恐慌。受市值暴跌影响,发币项目的资产减值,承受更大的生存压力。
数字货币交易所、智能合约、钱包以及矿池是事故多发地,但区块链安全问题并不仅限于此。底层设计(如公链的共识机制等)也决定安全性,不过,底层设计不在安全服务公司的业务范围内。
只有区块链项目、用户自身、交易平台、存储工具、安全服务公司多方共同保证安全,数字货币和区块链生态才能持续健康发展。
II 区块链技术安全服务企业概括与案例
在区块链安全领域,安全服务企业各有切入点。比如,CertiK 擅长形式化验证;派盾PeckShield 、慢雾科技注重区块链生态安全性和隐私性;库神、碧盾、Bepal币派等则专于私钥安全存储方案;安全链SECC的重心在于建立全球社群,吸引更多极客加入社区。
2016 年底,库神从冷钱包切入市场,是国内较早进场的数字资产硬件钱包开发商。2017 年 6 月,库神第一代产品上线,之后持续增添支持币种,并迭代热钱包 APP。目前,硬件已更新至第二代,支持 20 多条公链,囊括大部分主流币种,累计销量超过 4 万台。
团队现有 90 余人,以研发人员为主,产品、运营、销售、***等部门配合支撑。创始人兼 CEO 袁大伟,北京大学金融科技创新实验室学术委员。联创兼 CTO 叶飞,中国科学院智能控制博士,清华大学区块链公开课讲师。联创兼 COO 张玉,北京大学硕士,中国人工智能学会会员。联创兼 CMO Wendy,前火币海外负责人。联创孙泽宇,北京大学金融科技创新实验室区块链顾问委员。首席硬件架构师刘建兵,曾主导研发 SHA-256 挖矿设备、xPAD3-TD-LTE 移动通话终端、基于 Zigbee 协议的智能系统等。
库神曾于 2017 年 6 月完成数百万人民币天使轮融资,资方包括节点资本、比特大陆、火币网;又于 2017 年 12 月获来自首都金融服务商会的千万美元 A 轮投资,截至今年 5 月,公司估值约 5 亿人民币。
在区块链生态中,钱包的作用是管理私钥,以及记录部分链上数据;集中解决数字资产安全存储和流通的问题;从不同的角度,可分为中心化/去中心化钱包,冷/热钱包,软件/硬件钱包等。
库神主要瞄向安全性最强的冷钱包(可想象成是保险柜),通过物理隔离、永不触网,保证无法被网络黑客发现或攻击。因此,相比通过更新增添新币种的热钱包,也牺牲了一定灵活性。
从地域来看,欧美已有较为成熟的钱包品牌,库神的用户目前集中在亚洲市场。此外,美国、日本用户的定制化需要较为明确。
库神的目标用户既有交易所、矿场、项目方等持币大户,也有注重资产安全的个人用户。针对前者,库神根据客户个性化需求提供定制化的安全解决方案,比如支持多重签名等。面向后者,库神注重并承担安全教育工作,旨在降低操作风险,拓展增量市场。
用户教育包括如何备份和保管私钥等内容,以操作指南、指导视频等形式通过社群及售后服务传递。普通个人用户感知明显的是密码强弱、私钥位置和操作流程,同时需了解,一旦丢失私钥,无法找回资产。
回到安全的主题,叶飞认为,安全无止境,任何环节都可能出问题。库神现阶段的核心研发方向是不断优化冷钱包解决方案,防御网络和物理攻击,并继续探索商业化路线。
防护既要靠技术(如底层架构和代码优化等),也离不开制度。“设计-制造-销售-运输-交易”全流程都要考虑防伪和反黑客细节。
为此,像大多硬件产品一样,库神每个新版本钱包在发售前,会交予白帽子、专业团队等从各维度做多轮测试;另一方面,收集专业用户的意见反馈,对新出现的攻击方式、安全漏洞保持动态关注、研究学习,预防未知的攻击方式和潜在风险。
钱包、交易所、DAPP Store、行情资讯等都称得上币圈流量入口。但叶飞认为,钱包的门槛较低,要想稳固先发优势,需向专业化发展。考虑到钱包细分赛道尚未出现巨头垄断,且安全理念相似,行业高速发展中窗口期不大,技术团队的执行力就成了竞争的关键。
不同于互联网世界用中心化的服务器存储私钥,区块链世界中 “如何处理私钥” 衍生出更多的可能。库神选择计算私钥,而非存储完整私钥的方式,并采用非电磁波(无法被***)的二维码作为信道,被安全领域人士评价为“降维打击型防御”。
简述下库神钱包使用流程:
首次使用,生成种子密码(助记词),设置交易密码(与种子密码配合防护,可用于恢复清除的账户)。
需要发起交易时,输入交易密码,签名在冷钱包内完成,用库神 APP 扫码硬件显示屏上的二维码,将交易信息广播到区块链网络中。
库神 APP 可用于查询余额,以及向硬件提供二维码,同步地址余额信息。
据其官网,库神冷钱包专业版 P2+(Coldlar Pro 2+)定价 4288 元,并将于近期推出新产品 ColdLar P3。整体发展路线为:软硬件并行优化,在安全性基础上,兼顾专业化、扩展性和便捷性,从交互、信道、外观等方面进一步优化用户体验。
区块链因其去中心化、匿名性和金融基因,一旦发生安全问题,后果或比传统互联网更严重。同时,区块链面临的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,又具有一定的独特性。慢雾正是看好这一服务机会,为机构客户提供区块链生态相关的安全服务解决方案,包含安全审计、安全顾问、防御部署、威胁情报、漏洞赏金五大模块。
慢雾科技成立于 2018 年 3 月,总部位于厦门,团队现有 30 余人,由一线网络安全攻防实战成员组建,具有十几年的攻防实战经验,曾服务过 Google、微软、W3C、**部、腾讯、阿里、百度等公司和机构。据介绍,截至 2018 年 8 月末,慢雾科技尚未接受任何形式的融资。
对区块链安全风险进行划分时,业内有两套常见标准:技术层级和业务形态。前者主要面向技术专家,后者更适合无专业知识积累的普通用户。
慢雾根据业务形态,将目标用户分为五大类型:交易所、钱包,公链、智能合约和矿池;并根据不同客户的需求,提供定制化解决方案;依据合作方体量和案例复杂程度收取服务费。
交易所风险,主要存在于 APP 安全设计、服务端安全配置、节点安全、输入安全、业务逻辑、热钱包架构、私钥管理系统等;
智能合约风险,主要存在于对溢出漏洞、权限控制、条件竞争、安全设计、拒绝服务、设计逻辑、“假充值”等漏洞进行攻击;
热钱包风险,主要存在于数据传输(如流量劫持)、私钥存储(如钓鱼)等方面;
冷钱包被攻击的前提是接触到物理硬件,黑客虽然无法直接获取私钥,但可读取相关信息进行破解;
公链风险,主要存在于节点配置、节点通信、节点共识、合约虚拟机、钱包等。
慢雾安全团队对上述风险点逐一审计。
今年,慢雾陆续推出多项成果:3 月,慢雾安全团队上线“以太坊黑***人节”专题页面,对以太坊自动化盗币隐患进行持续追踪和披露;8 月慢雾安全团队推出 EOS 合约验证平台,功能包括:对已验证 EOS 合约账户源代码的查询,项目方自行上传源代码进行一致性校验等。
团队已累计审计 300 多份智能合约,涵盖以太坊、EOS、AChain、唯链(VeChain)、本体( ONT )、星云链( Nebulas )等公链,发现数十个高危、中危漏洞。
目前,慢雾获客主要依靠口碑传播。下一步,慢雾希望通过品牌效应,巩固与客户之间的信任与合作。团队表示,区块链处于早期发展阶段,加之国家**、各大机构对技术创新愈加重视、积极布局,安全服务市场尚不存在天花板。未来,慢雾科技将继续聚焦行业生态建设与布局。
由于智能合约一旦上传,即公开且不可更改,因此“区块链 2.0 ”时代的大多项目都产生了安全性验证的需求。CertiK 看好这一服务机会,致力于应用形式化验证技术,为智能合约和区块链生态提供安全保护。
在传统测试方法中,开发者会预想哪些情况下系统会遭攻击,再针对这些情景测试。这套方法的缺陷在于,黑客往往是从程序员想象之外的路径“下手”。而 CertiK 采用的形式化验证 ( Formal Verification ),将智能合约转化为数学模型,通过逻辑上的推理演算来验证模型,从而证明智能合约的安全性。因为整个演算过程符合严谨缜密的数学逻辑,所以其检验的结果很难被黑客攻克。
CertiK 的核心产品是 CertiKOS 防黑客操作系统。此系统花费千万美元的科研经费,两位创始人邵中和顾荣辉用 6 年多的时间来研究安全系统。目前 CertiKOS 不仅在商业市场中通过验证,也被应用到军事防御系统上,并引起耶鲁大学等美国学术界的关注。
由于军方需求相对复杂,创始团队于 2015 年中提出了分层结构理论,即将复杂的合约模块化,先逐个验证,再复合证明。
CertiK 的商业模式分两步走:
1. 依靠 CertiK 自身算力的中心化验证服务。如果客户本身有强大的硬件设备和系统,可向 CertiK 提交智能合约和需求,CertiK 将合约转化为数学模型,进行形式化验证,并生成报告,指明合约中哪一行可能出现漏洞,系统在什么状态或条件下可能被侵入。CertiK 根据合约的复杂程度收取不同的服务费。
2. 去中心化的安全验证生态系统,借助社区参与者的算力,共同生成报告。前文提到的分层结构理论可将复杂任务拆分成小的模块,CertiK 接到客户需求后,将“任务”和技术工具分发给社区,奖励提供算力、帮助检验小型模块的贡献者。交叉验证机制可以确保社区内无人投机取巧、没完成任务还“骗取奖励”。CertiK 认为,这种任务分发要比算 hash 值挖矿更有意义、更低能耗。
CertiK 现已与 NEO 、量子链等机构达成战略合作,同时对市面上的智能合约进行安全性验证,发现安全漏洞后主动联系团队,说明问题,提供解决方案,获取信任和口碑,逐步积累成功案例,再进行市场宣传。
据介绍,CertiK 已获耶鲁大学,丹华资本,光速中国等机构种子轮融资(金额暂未透露)。
CertiK 的核心优势在于团队。位于硅谷的技术团队从学术圈出身,去年开始商业化,工程师全部来自 Google、Facebook、Freewheel。联合创始人邵中,普林斯顿大学博士、耶鲁大学计算机系系主任/终身教授、中科大名誉院长、清华大学大师讲习团成员,20 余年安全领域经验。联合创始人顾荣辉,清华大学本科、耶鲁大学博士、哥伦比亚大学助理教授。
派盾科技是面向全球的区块链安全公司,由前 360 首席科学家、美国北卡州立大学终身教授蒋旭宪于 2018 年创办。派盾科技曾发现并命名了 BEC、SMT、EDU 等智能合约的安全漏洞。今年 5 月,派盾科技完成来自高榕资本的数千万元天使轮融资。
派盾的优势主要体现在三个方面:
数据驱动。通过整理分析链上数据,发现安全隐患。派盾已将上百万个智能合约整理汇总,主动分析查找安全问题。“可以无限生成代币的漏洞”就是通过这种方式被发现的。
关注区块链生态各环节(包括交易所、钱包、矿池等)的安全问题。
学术背景和工业界经验。团队核心成员拥有美国计算机博士学位,来自国内一线互联网公司,拥有前瞻性国际视野。
蒋旭宪认为区块链最大的问题,是在 POW 机制下的 51% 算力攻击。他认为,公链的安全风险涉及到的不仅是某个项目方,而是会波及整个生态。另外,公链底层的节点安全问题也很重要。比如 360 曝出的 EOS “史诗级”安全漏洞;还有 PeckShield 报过的以太坊“致命报文”漏洞,可使三分之二以上的 geth 节点瞬间停摆,这些节点背后对应着交易所、矿池、和钱包等。
派盾选择曝出漏洞的时间秉持两大原则:
只要漏洞没被利用,派盾会先与项目方进行沟通,等待他们修复漏洞。比如以太坊“致命报文”漏洞,派盾发现漏洞后,先与以太坊基金会沟通协商,待漏洞修复完成才予以公开,整个过程超过了一个月。
如果漏洞被利用,那么派盾会选择将漏洞公开。
安全链是一个区块链化、开源的安全社区。互联网公司研发人员、区块链项目方等作为需求方,付出 SECC(安全链的 token)在社区内发布“任务”,自由极客、安全专家(甚至可以是安全服务公司的内部员工)可作为供方“接单”,帮助查漏洞、提出安全建议来赚取 SECC。这样,供方可接触到更多的“客户”,并在链上查看更透明的劳务关系和收入分配,享受更高效公平的结算;需方可公开部分安全组件的数据,“分包”给有不同思维角度的极客。
安全链涉及到的安全问题不只围绕区块链安全(to 交易所、钱包和项目),也包括“传统”的网络安全、系统安全、结构性安全等方面。
因此,安全链的要务将是做好社区内“安全任务”的标准化和数据化,建立合理的 token 定价体系。
安全链于 2018 年 1 月启动,近几个月的重心在于建立全球社群,吸引更多极客加入社区。目前安全链正沿两个方向纵深:一是团队在做关于区块链底层安全的前沿研究,预计年底前发布技术黄皮书,包含区块链经济的技术实现路径、更严格的权限管理等部分,进一步竖立在“安全圈内”的权威;二是与 66 硬件钱包合作,提供包括软件、服务器、硬件各层面的综合安全方案。安全链更长远的规划是,与社区共建规则后,向 DAPP 开发者们提供 API。
团队现有 10 余人,具有一定跨界资源整合和行业理解力,以及丰富的安全领域经验,认同“社群即共识”。钱科铭,星安资本合伙人,连续创业者,曾创办非营利性安全组织和区块链安全公司,有亿级用户线上社群建设经验。
区块链是什么:从技术架构到哲学核心
区块链技术可能用于哪些方面?
区块链与新经济:数字货币 2.0 时代
区块链是什么,如何简单易懂地介绍区块链?
Parity 官方针对第二次攻击事件的回顾
阿尔法公社,链圈必读:一文看懂区块链安全 6 大分类 3 大问题
腾讯安全,2018 上半年区块链安全报告
长亭科技、ConsenSys、比特大陆,区块链安全生存指南
白帽汇安全研究院,区块链产业安全分析报告
安全链、Bepal币派、Certik、库神、 慢雾、派盾PeckShield、 360、知道创宇等(排名不分先后)对本报告提供智慧支持,在此表示感谢!
本报告版权归北京星球节点传媒文化有限公司(简称:Odaily星球日报),未经书面许可任何机构和个人不得以任何形式使用、复制或传播。任何有关本报告的摘要或节选都不代表本报告正式完整的观点,一切须以本报告完整版本为准。本报告基于已公开和采访的资料或信息撰写,但不保证该资料及信息的完整性、准确性。本报告所载的信息、资料、建议及推测仅反映Odaily星球日报于本报告公开发布当日的判断,在不同时期,Odaily星球日报可能撰写并发布与本报告所载资料、建议及推测不一致的报告。Odaily星球日报不保证本报告所含信息及资料处于最新状态;Odaily星球日报将随时补充、更新和修订有关信息及资料,但不保证及时公开发布。
本报告仅供参考之用。在任何情况下,本报告中的信息和意见均不构成对任何个人的投资建议。投资者应结合自己的投资目标和财务状况自行判断是否采用本报告所载内容和信息并自行承担风险,Odaily星球日报对投资者使用本报告及其内容而造成的一切后果不承担任何法律责任。
关注Odaily星球日报(ID:o-daily),后台回复“安全”,即可下载PDF版报告。
转载请注明出处,禁止商用,有问题请联系微信:odaily001 加好友请注明(姓名+公司+来意)
互金“爆雷”后的第38天:人都去哪儿了?
我国区块链企业融资规模及频次分布
2018年,伴随各类行业资源的加速集聚和社会认知的不断提升,区块链行业迎来了创新发展的重要窗口期。技术创新方面,2018年被认为是公有链竞争元年;产品应用方面,2018年是多行业应用落地的探索期;产业布局方面,2018年是行业竞争格局的重构期。从2018年上半年全国区块链行业发展态势来看,行业的创新发展与预期基本一致,亮点频出。在各方的共同努力下,行业发展环境得以进一步优化;技术和产品创新持续推进,大型企业加快布局;重点领域应用实现突破,技术落地前景广阔;积极融入全球治理体系,国际话语权持续提升。
行业发展环境进一步优化
一方面,各地**高度重视区块链产业发展,持续加大支持力度。据不完全统计,当前我国已经有20多个地方****了有关区块链的政策文件,特别是在《河北雄安新区规划纲要》中明确提出,要超前布局区块链等技术研发及试验。今年上半年,杭州在区块链产业支持方面力度相对较大,将区块链写入了**工作报告,并成立了百亿元人民币规模的区块链创新基金,支持建设了杭州区块链产业园。湖南娄底也正在建设国家级区块链研究和应用示范区暨娄底市区块链产业园。据统计,截至2018年6月,我国已经成立或者即将成立区块链产业园区约10余家。
另一方面,社会资本对于区块链的发展前景更加看好,资金支持力度也在不断加大,为行业创新发展带来持续动力。根据投中研究院发布的《2018年区块链投融资报告》,截至2018年4月末,我国区块链企业已完成106次融资,融资总额达到63亿元,远远超过往年。此外,社会各界对于区块链的关注度持续提升,大量的报导和行业会议加速推动了区块链概念的普及,促进了各界对区块链认知度的提升。人民日报围绕“什么是区块链”“区块链有什么用”“区块链会成为新风口吗”三个问题进行了专题讨论,引发广泛热议。同时“三点钟无眠区块链”等社群不断涌现,为各界参与区块链技术研讨提供了新的平台。
技术和产品创新持续推进
上半年,全球区块链技术与产品创新进入到一个新的活跃期,分片、跨链、侧链、原子互换等新技术均取得了快速发展。公有链方面,以量子链、星云链、公信链等为代表的国产公有链实现了快速发展,4月,本体网络ONT开源了新一代共识算法VBFT的实现。联盟链及私有链方面,百度推出“超级链”,能兼容比特币和以太坊的开发者生态,这项技术不仅可以取得共识机制,解决现在的能源消耗问题,还可以单链支持10万并发。迅雷也向社会发布了“迅雷链”,它基于PBFT共识算法,实现超低延迟的实时区块写入和查询,单链的出块速度可达秒级,拥有百万级并发处理能力。
综合分析来看,我国在区块链技术和产品创新方面已经走在了全球前列。百度、迅雷等公司发布区块链相关产品,表明区块链行业的主体结构正在发生变化。从以往的咨询企业、金融企业、创业型企业,到今年的大型科技企业,整个区块链行业的主体力量正在不断加强。特别是,在技术、人才、资金等方面拥有显著优势的科技企业的加入,将会深刻影响到整个区块链行业的竞争格局。继腾讯发布区块链白皮书之后,今年上半年,京东、华为、美图、苏宁、华大基因等行业领军企业均发布了区块链白皮书,提出要结合自身业务领域加快区块链技术的研发与应用。而网易、百度、阿里、迅雷、360等企业则已经推出了区块链的相关产品及服务。截至2018年6月底,我国专门从事提供区块链产业底层技术平台服务、应用产品、行业技术解决方案服务等业务的企业数量已经接近600家,这些企业主要聚集在北京、广东、上海、浙江、贵州、江苏等地。
区块链行业应用加快落地
非金融应用取得积极进展
由于金融行业信息化发展水平高,业务场景与区块链应用匹配度高,因此金融一直以来都是区块链技术应用最为活跃的领域。上半年,区块链在金融领域的应用不断推进,一些典型应用项目陆续上线。例如,支付宝上线了基于区块链的电子钱包跨境汇款服务,通过分布式处理,提供给所有参与方统一的账本,从而使各方能够异地同步地进行审批,加快跨境汇款流程。中国平安旗下科技公司金融壹账通正式推出了基于区块链的解决方案“壹账链”,覆盖交易额已超12万亿元。华夏银行“链通雄安”已经落地,它以银企直联方式接入雄安集团区块链项目管理平台系统,利用区块链平台数据溯源、行为规范、资金管理等功能,为雄安建设的分包商解决工人工资发放、原材料采购等资金问题。
除金融领域之外,区块链在其他行业中的应用仍处在探索阶段,溯源成为被普遍看好的应用场景。蚂蚁金服与茅台合作,力图帮助后者建立白酒防伪溯源的区块链应用系统。天猫奢侈平台Luxury Pavilion推出对于奢侈品物流信息的防伪溯源功能。腾讯公司与中国物流签署了战略合作协议,联合发布了区块供应链联盟链及云单平台。步***区块链防伪溯源系统获得了第二届中国区块链开发大赛的特等奖。在政务、能源等其他领域,区块链应用探索也在积极开展。中化集团成功完成了区块链应用的出口交易试点,雄安区块链租房平台也正式上线。广东省佛山市禅城区推出的“智信城市”计划进展良好,已在北京、青岛、广州、海南、迪拜建立了侧链,节点数达到20个。
积极参与区块链全球治理
我国在区块链标准建立方面起步较早,首个区块链标准《区块链参考架构》与2016年既已颁布。今年1月,《信息技术区块链和分布式账本技术参考架构》作为区块链领域的首个国家标准也获批立项。在此基础上,我国正积极推动相关标准的国际化,积极参与全球区块链标准的制定。当前,我国承担了ISO国际标准分类和本体(Taxonomy and Ontology)的编辑以及参考架构(Reference architecture)的联合编辑职务,主导了区块链和分布式记账技术中的数据流动和数据分类的项目研究。在评估评测方面,中国电子信息产业发展研究院于5月发布了赛迪全球公有链技术评估指数,从基础技术、应用性和创新力三方面对全球公有链进行评估,该指数是当前全球唯一一个聚焦技术的公有链指数,一经发布便引发全球的广泛关注和热议。该指数按月发布,是全球公有链技术创新的重要风向标。
此外,我国企业在全球区块链领域的影响力也在不断提升,360在全球知名公有链项目EOS上线发现其一系列高危安全漏洞,有效避免了项目上线可能带来的巨大安全隐患,在全球区块链安全服务领域占得了先机。
综合来看,2018年上半年,我国区块链行业正在全面快速发展,成果众多,成绩显著。但也应清晰地认识到,当前我国区块链行业发展仍然面临认识不清晰、监管措施不完善、人才供给不足、应用拓展缓慢等突出问题。特别是,区块链对于实体经济发展的应用模式仍不清晰、方案尚不完善,要想更大发挥区块链技术对经济社会发展的应用价值,仍需社会各界的共同努力和积极探索。
2018年,伴随各类行业资源的加速集聚和社会认知的不断提升,区块链行业迎来了创新发展的重要窗口期。技术创新方面,2018年被认为是公有链竞争元年;产品应用方面,2018年是多行业应用落地的探索期;产业布局方面,2018年是行业竞争格局的重构期。从2018年上半年全国区块链行业发展态势来看,行业的创新发展与预期基本一致,亮点频出。在各方的共同努力下,行业发展环境得以进一步优化;技术和产品创新持续推进,大型企业加快布局;重点领域应用实现突破,技术落地前景广阔;积极融入全球治理体系,国际话语权持续提升。
行业发展环境进一步优化
一方面,各地**高度重视区块链产业发展,持续加大支持力度。据不完全统计,当前我国已经有20多个地方****了有关区块链的政策文件,特别是在《河北雄安新区规划纲要》中明确提出,要超前布局区块链等技术研发及试验。今年上半年,杭州在区块链产业支持方面力度相对较大,将区块链写入了**工作报告,并成立了百亿元人民币规模的区块链创新基金,支持建设了杭州区块链产业园。湖南娄底也正在建设国家级区块链研究和应用示范区暨娄底市区块链产业园。据统计,截至2018年6月,我国已经成立或者即将成立区块链产业园区约10余家。
另一方面,社会资本对于区块链的发展前景更加看好,资金支持力度也在不断加大,为行业创新发展带来持续动力。根据投中研究院发布的《2018年区块链投融资报告》,截至2018年4月末,我国区块链企业已完成106次融资,融资总额达到63亿元,远远超过往年。此外,社会各界对于区块链的关注度持续提升,大量的报导和行业会议加速推动了区块链概念的普及,促进了各界对区块链认知度的提升。人民日报围绕“什么是区块链”“区块链有什么用”“区块链会成为新风口吗”三个问题进行了专题讨论,引发广泛热议。同时“三点钟无眠区块链”等社群不断涌现,为各界参与区块链技术研讨提供了新的平台。
技术和产品创新持续推进
上半年,全球区块链技术与产品创新进入到一个新的活跃期,分片、跨链、侧链、原子互换等新技术均取得了快速发展。公有链方面,以量子链、星云链、公信链等为代表的国产公有链实现了快速发展,4月,本体网络ONT开源了新一代共识算法VBFT的实现。联盟链及私有链方面,百度推出“超级链”,能兼容比特币和以太坊的开发者生态,这项技术不仅可以取得共识机制,解决现在的能源消耗问题,还可以单链支持10万并发。迅雷也向社会发布了“迅雷链”,它基于PBFT共识算法,实现超低延迟的实时区块写入和查询,单链的出块速度可达秒级,拥有百万级并发处理能力。
综合分析来看,我国在区块链技术和产品创新方面已经走在了全球前列。百度、迅雷等公司发布区块链相关产品,表明区块链行业的主体结构正在发生变化。从以往的咨询企业、金融企业、创业型企业,到今年的大型科技企业,整个区块链行业的主体力量正在不断加强。特别是,在技术、人才、资金等方面拥有显著优势的科技企业的加入,将会深刻影响到整个区块链行业的竞争格局。继腾讯发布区块链白皮书之后,今年上半年,京东、华为、美图、苏宁、华大基因等行业领军企业均发布了区块链白皮书,提出要结合自身业务领域加快区块链技术的研发与应用。而网易、百度、阿里、迅雷、360等企业则已经推出了区块链的相关产品及服务。截至2018年6月底,我国专门从事提供区块链产业底层技术平台服务、应用产品、行业技术解决方案服务等业务的企业数量已经接近600家,这些企业主要聚集在北京、广东、上海、浙江、贵州、江苏等地。
区块链行业应用加快落地
非金融应用取得积极进展
由于金融行业信息化发展水平高,业务场景与区块链应用匹配度高,因此金融一直以来都是区块链技术应用最为活跃的领域。上半年,区块链在金融领域的应用不断推进,一些典型应用项目陆续上线。例如,支付宝上线了基于区块链的电子钱包跨境汇款服务,通过分布式处理,提供给所有参与方统一的账本,从而使各方能够异地同步地进行审批,加快跨境汇款流程。中国平安旗下科技公司金融壹账通正式推出了基于区块链的解决方案“壹账链”,覆盖交易额已超12万亿元。华夏银行“链通雄安”已经落地,它以银企直联方式接入雄安集团区块链项目管理平台系统,利用区块链平台数据溯源、行为规范、资金管理等功能,为雄安建设的分包商解决工人工资发放、原材料采购等资金问题。
除金融领域之外,区块链在其他行业中的应用仍处在探索阶段,溯源成为被普遍看好的应用场景。蚂蚁金服与茅台合作,力图帮助后者建立白酒防伪溯源的区块链应用系统。天猫奢侈平台Luxury Pavilion推出对于奢侈品物流信息的防伪溯源功能。腾讯公司与中国物流签署了战略合作协议,联合发布了区块供应链联盟链及云单平台。步***区块链防伪溯源系统获得了第二届中国区块链开发大赛的特等奖。在政务、能源等其他领域,区块链应用探索也在积极开展。中化集团成功完成了区块链应用的出口交易试点,雄安区块链租房平台也正式上线。广东省佛山市禅城区推出的“智信城市”计划进展良好,已在北京、青岛、广州、海南、迪拜建立了侧链,节点数达到20个。
积极参与区块链全球治理
我国在区块链标准建立方面起步较早,首个区块链标准《区块链参考架构》与2016年既已颁布。今年1月,《信息技术区块链和分布式账本技术参考架构》作为区块链领域的首个国家标准也获批立项。在此基础上,我国正积极推动相关标准的国际化,积极参与全球区块链标准的制定。当前,我国承担了ISO国际标准分类和本体(Taxonomy and Ontology)的编辑以及参考架构(Reference architecture)的联合编辑职务,主导了区块链和分布式记账技术中的数据流动和数据分类的项目研究。在评估评测方面,中国电子信息产业发展研究院于5月发布了赛迪全球公有链技术评估指数,从基础技术、应用性和创新力三方面对全球公有链进行评估,该指数是当前全球唯一一个聚焦技术的公有链指数,一经发布便引发全球的广泛关注和热议。该指数按月发布,是全球公有链技术创新的重要风向标。
此外,我国企业在全球区块链领域的影响力也在不断提升,360在全球知名公有链项目EOS上线发现其一系列高危安全漏洞,有效避免了项目上线可能带来的巨大安全隐患,在全球区块链安全服务领域占得了先机。
综合来看,2018年上半年,我国区块链行业正在全面快速发展,成果众多,成绩显著。但也应清晰地认识到,当前我国区块链行业发展仍然面临认识不清晰、监管措施不完善、人才供给不足、应用拓展缓慢等突出问题。特别是,区块链对于实体经济发展的应用模式仍不清晰、方案尚不完善,要想更大发挥区块链技术对经济社会发展的应用价值,仍需社会各界的共同努力和积极探索。
【手机中国新闻】随着区块链技术的不断研发,区块链与分布式账本技术(DLT)的兴趣和投资正在迅速的增长。日前,根据市场研究公司IDC最新报告显示,全球区块链解决方案的支出预计将在2018年达到21亿美元,是去年的两倍多。
Projects)等联盟合作,开发创新的解决方案,改进后贸易处理、供应链里的跟踪和发货跟踪以及交易记录的审计与合规。而且,多个监管机构和央行对区块链和分布式账本作出了积极的评价,这将有助于加快金融服务和医疗等受监管行业对区块链和分布式账本的需求。”
报告显示,金融业将在2018年主导区块链支出,该行业今年的区块链支出将达到7.54亿美元。这主要是由于银行业迅速采用了区块链技术。由于零售和专业服务行业的强劲投资,分销和服务部门2018年的区块链支出将达到5.10亿美元;在离散制造业和流程制造业的推动下,制造业和资源行业2018年的区块链支出将达到4.48亿美元。
当资本开始不断融入区块链技术的研发过程,相信这项传说中可媲美互联网技术的全新技术距离为人类造福的日子也不远了!
2018上半年,伴随着区块链技术的不断发展,经济价值的不断升高,与之相关的安全问题也日益突出。腾讯安全联合深耕区块链安全领域的知道创宇发布《2018上半年区块链安全报告》(以下简称《报告》),对近期区块链安全事件做了统计分析,深度揭秘区块链行业安全事件发展趋势。
《报告》指出,区块链安全事件发生频率持续走高,涉案案值增大已发展成一大趋势。“双花攻击”与漏洞成行业重大隐患,木马病毒劫持加密货币钱包,数字货币交易所频频被“黑”,区块链数字加密货币正面临多层次的安全风险。
漏洞与双花攻击事件频发 涉案案值过亿屡见不鲜
基于区块链的去中心化机制,数字加密货币区块链存在一种较为独特的“双花”攻击,即当黑客控制某数字加密货币网络51%算力之后,对数字加密货币区块链进行攻击,可实现对已经交易完成的数据进行销毁并重新支付,这样就可获得双倍服务。
2018年5月,BTG(比特黄金)交易链被黑客攻击,黑客向交易所充值后迅速提币,并销毁提币记录,共转走了38.8万枚BTG,获利1.2亿人民币。这次攻击事件证明了区块链理论上存在的51%攻击已成事实。
《报告》还指出,智能合约安全事件、交易延展性攻击、**交易攻击等安全威胁也愈加严重。针对不同数字货币漏洞攻击导致的盗窃案例时有发生,4月BEC智能合约中被爆出数据溢出漏洞,攻击者共盗取579亿枚BEC币,随后SMT币也被爆出类似漏洞。相关安全专家表示,通过以太坊智能合约“发币”容易,若不做好严格的代码审计和安全防护,亿级资金的损失只在一瞬间。
加密货币钱包成盗号木马新目标 数字货币交易可被劫持
与此同时,个人数字加密货币账户安全也遭遇了来自木马病毒的威胁。2018年2月,腾讯电脑管家发现大量利用Office公式编辑器组件漏洞(CVE-)的攻击样本,通过下载并运行波尼木马,窃取用户比特币钱包文件等敏感信息。
无独有偶,3月一款基于剪切板劫持的盗币木马在国内出现,该木马使用易语言编写,通过激活工具、下载站到达用户机器。该木马会监视用户剪切板,一旦发现有比特币等钱包地址,则替换为木马的钱包地址。该木马内置多达30余钱包地址,且目前部分钱包已经有盗取记录。
腾讯御见威胁情报中心分析发现,越来越多的病毒尝试劫持数字加密币交易钱包地址,当受害者在中毒电脑上操作数字加密货币转帐交易时,病毒会迅速将收款钱包地址替换为病毒指定的地址,其行为正如同现实中的劫匪。
数字货币交易所遭攻击 2018上半年损失7亿美金
对于网络黑客而言,加密货币交易平台也是十分诱人的攻击目标。自1月日本最大的数字加密货币交易所Coincheck被爆出价值5.34亿美元新经币被盗事件,几乎每月都有交易平台遭到不法黑客攻击的消息传出。《报告》显示,仅2018年上半年,因数字加密货币交易所被攻击造成的损失就高达7亿美元。
日本、印度、韩国等地区的数字加密货币交易所频频中招,因黑客入侵或疑似内部员工坚守自盗造成的安全事件层出不穷。今年6月20,韩国排名第一的数字加密货币交易所Bithumb被攻击,价值的数字加密货币被盗。在此之前,Bithumb已两次遭遇黑客攻击。
安全生产重在“事前防范” 腾讯智慧安全御点防御升级
回顾区块链安全事件可知,损失过亿案件屡见不鲜,对于大型企业与机构而言,对抗网络安全风险的关键在于做好事前防范。腾讯安全专家建议企业网站、服务器资源的管理者,尽快部署企业级网络安全防护系统,及时修补服务器操作系统、应用系统的安全漏洞,防止服务器遭遇木马病毒的侵害。
腾讯智慧安全御点终端安全管理系统,将百亿量级云查杀病毒库、引擎库以及腾讯T**杀毒引擎、系统修复引擎应用到企业安全系统内部,能有效防御企业内网终端的病毒木马攻击,保护企业数据库文档不受勒索病毒的侵害。同时通过终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,高效保障网络系统安全。
《报告》同时也为个人防御区块链安全风险提供了实用建议。对于普通网民而言,应充分了解可能存在的风险,避免掉进网络钓鱼陷阱,避免数字虚拟币钱包被盗事件发生。谨慎使用游戏外挂、破解软件、视频网站客户端破解工具,建议***安全软件加强防护,避免个人电脑被非法控制,造成不必要的财产损失。
6月23日,由人民网人民创投、31区主办的2018全球链界科技发展大会在北京国家会议中心召开。大会主论坛以“行业监管、自律与发展”为主题,探索区块链行业的发展方向,推动行业发展。大会组委会从众多参选项目中选出一批优秀项目,从8大维度,70项指标,量化评估参选项目价值,评选出年度区块链行业的优秀创业公司、
以及对行业有突出贡献的从业者。 上市公司晨鑫科技旗下竞斗云区块链平台业务凭借完善的
生态获得2018年度区块链服务平台奖。 据了解,竞斗云是国内首个较为完善的区块链竞技娱乐服务平台,目前已拥有包括硬件,平台以及相关的
竞技服务应用。竞斗云自上线以来,一直着力于将
落地于竞技娱乐市场,打造衔接普通用户于优秀
的平台。 晨鑫科技董事长冯文杰作为特邀嘉宾,以“做人民能用的区块链”为主题,在大会上做了演讲。冯文杰表示,“竞斗云”是用区块链技术整合的一个电竞路由加速器,不但可以实现游戏加速,还可以
的游戏积分用于游戏的消费。世界杯期间,晨鑫科技竞斗云平台就上线了
保利马赛马。用户可以像收集主题可乐瓶一样收集32支球队主题马,获得赛马后玩家即可成为马主进行参赛。该游戏的发布也让壕鑫竞斗云平台有了质变,实现了传统游戏的动态画面,实时用户参与性方面的重大突破,改变了区块链游戏业娱乐性不足的局面。 冯文杰透露,目前,晨鑫科技将开放竞斗云实验室,未来,任何第三方开发者都将有机会在竞斗云实验室发布自己的
,并获得竞斗云平台的用户共享支持。 利用区块链技术,壕鑫竞斗云允许用户通过终端贡献闲置的网络带宽及算力,去建立一个基于电子竞技泛娱乐服务平台。随着竞斗云生态上集合的用户数量不断增加,正逐渐形成一个以竞斗云
为入口的基于区块链的智能泛娱乐家庭网络。晨鑫科技基于“开启区块链电竞生态入口”的目标已经初见雏形。 从晨鑫科技披露的2018年一季报来看,竞斗云已经成为公司新的利润增长点,报告期内,公司营业收入比上年同期增加1.01亿元,同比增长192%,净利润7214万元,同比增长了560%。而受益于EBS销售和竞斗云销售,加上公司新发行了不少游戏,预计2018年1-6月,公司将实现净利润1.11亿至1.29亿,同比变动200.00%至250.00%。 6月24日晚间,晨鑫科技发布公告拟以发行股份及支付现金的方式收购北京罗曼空间科技有限公司100%股权、成都超级梦网络技术股份有限公司100%股权。
自6月25日开市起复牌。 公司表示,本次重组是公司进一步强化移动游戏领域的布局,将拓宽公司在移动游戏领域的业务范围,为客户提供更多类型和层次的产品和服务,有合优势资源,提高公司的整体盈利能力和竞争优势。 晨鑫科技董秘王红云此前在参加投资者
活动时曾表示,2018年,公司将以电竞品牌建设为主要目标,以竞技类游戏+出海为主要运营方针,持续在海内外发行数款覆盖轻度及重度的竞技类游戏,与此同时,公司将加大在区块链技术上的研发投入,持续研究区块链技术在电竞大文化行业的实际应用场景,深入开展区块链应用相关布局,扩大晨鑫电竞品牌的影响力。
9月5日,网易旗下首款区块链产品网易星球正式对外宣布进行公测,此次公测在网易星球内测基础上进一步完善了网易星球生态内核。同时,网易区块链服务NBaaS正式上线,将为更多企业和平台在区块链商业场景应用方面提供技术服务。
据悉,网易星球团队经过近一年的区块链技术研发,在共识算法、智能合约架构以及安全领域投入大量资源,于2018年初确保网易星球稳定上线,并在上线后针对应用层和技术层进行了一系列创新尝试。经过半年的内测,网易星球正式宣布进行公测。
此次公测发布的网易星球2.0生态体系,是一个以区块链技术为驱动器,数据产生价值为核心,五系统为基础场景,区块链创新开拓为导向的生态体系。其中2.0生态体系的核心是此次在公测中发布的数据护照,数据护照也是网易星球2.0生态体系闭环中的重要布局之一。
数据护照是平台用户的专属数字身份,作为连接五大数据系统与个人数据价值的纽带,数据护照会记录个人在五大系统上产生的行为数据,数据维度越丰富,获得的数字权益也就越丰富。同时,个人还可以自主选择将数据授权给数据场景方从而获得价值,真正实现让数据产生者成为数据拥有者,掌握自身数据支配权和收益权。
网易星球负责人顾费勇表示:“,个人的时间与注意力将不再被忽视,它们都会成为可量化的资源。网易星球希望利用区块链技术进行探索,将个人产生的数据价值还给个人。”
此外,网易星球在黑钻价值体系的基础上,将原有原力任务进行升级,划分为五大数据系统,包括电商、金融、游戏、娱乐和健康,渗透个人生活的主要场景。值得一提的是,网易星球还与国产武侠游戏《逆水寒》展开合作,其中所有相关的区块链技术由网易星球区块链研发团队与《逆水寒》开发团队协作开发。此次是网易星球首次针对大型游戏提供区块链技术服务,主要解决了在应对游戏多维度服务器中并行交易与交叉交易的庞大计算体量的同时提升交易速度的难题。
网易星球区块链底层是的联盟链,具有运维成本较低、交易速度更快等优势。网易星球已于近期公布其主链,截止2018年8月底的数据,网易星球已完成超过1.6亿的交易总量。