區塊鏈安全圈

1. 區塊鏈有哪些生態圈

加密貨幣發展到今天，帶火了「區塊鏈技術」、區塊鏈技術的發展成了眾望所歸。在我國，無論是BATJ(網路、阿里、騰訊、京東)這樣的巨頭公司，還是滴滴、OFO小黃車這樣「新軍突起」的公司，都在積極探索區塊鏈技術。縱觀全世界，沃爾瑪、萬事達卡、
IBM、巨頭汽車製造廠商都在嘗試使用區塊鏈技術解決行業痛點。此外，還有諸如日本柯達公司這種「江河日下」的企業希望通過區塊鏈打一場「翻身仗」。
這些現象說明了什麼呢，說明區塊鏈這個技術，有著非常大的商業價值，誰都希望能在這片未知的土地上開墾出一片新天地。所以，區塊鏈技術發展到今年呢，已經不僅僅是單純的底層技術了，而是形成了一套完整的生態系統，下面我們就從「幣圈」和「鏈圈」 兩個方面跟大家聊一聊：區塊鏈的生態圈是怎麼樣的，帶大家了解區塊鏈行業的一個全貌。
第一節 幣圈
在幣圈，始終要不開這幾個名詞：項目方、交易所、媒體、礦機廠商，接下來呢，咱們就來詳細盤點一下是怎麼回事。
一、項目方
幣圈的項目方可以這么理解：凡是發token的都是項目方。注意，是幣圈。也有一些項目方不發幣的，比如說阿里、騰訊、網易這些也在做區塊鏈項目的項目方，他們是不發幣的，只專注於技術，那這些不發幣的項目方呢，主要側重區塊鏈在數據安全、供應鏈方面的作用，這些我們後面會提到。
再回到幣圈項目方這個話題，比如說最近爭議比較大的亦來雲、之前的波場，這些都是幣圈的項目方，還有最近比較熱的區塊鏈游戲，在游戲裡面賺token這種，他們也屬於幣圈項目方。
幣圈項目一個顛覆的地方是，把項目和代幣結合在一起，直接用代幣代替了股權，而且代幣可以直接流通。這一點是一個非常具有革命性的，讓很多初始項目，可以更加方便的融資，融資之後，反饋的代幣能上數字貨幣交易平台流通，投資方也可以很好的退出。
這種「融資-投資」的方式似乎是以另外一種方式，變相實現了股權上市交易流通。
所以呢，正是這樣一種模式， 讓幣圈項目方成為一個離錢最近的地方，他們很容易圈錢，當然也很容易禁不住誘惑，或者蓄謀已久，圈了錢就跑路。項目方發token的詳細流程一般是這樣的：
第一步是做好一套token系統，這就類似於做一個app應用，這點不是很復雜，因為以太坊都是開源的，類似於安卓蘋果系統，開發者可以在上面開發具體的應用；
第二步就是寫一份白皮書，這就類似於商業計劃書，白皮書類似於商業計劃書，主要包括項目的團隊情況、技術情況等信息；
第三步要找人做背書，找一些有影響力的業界大咖來宣傳宣傳；
第四步開始推廣營銷，找一些區塊鏈媒體推軟文，拉合作，這個我們下面會提到；
第五步是找融資；
第六步上交易所，token開始大范圍流傳。
二、交易所
說完項目方，我們來說交易所。如果說項目方是生產者，那麼，他們生產出來的東西得去銷售、去做交易，對不對？交易所就是項目方token的一個交易場所。如果說項目方的token類似於股票，那麼幣圈的交易所就類似於股市的二級市場吧。只不過幣圈的交易所權力更多一些，有上幣審核權，可以決定上幣或者下幣。
當然，項目方想上幣，要支付給交易所巨額的上幣費用，投資者在交易所裡面交易呢，也需要付手續費或提現費，每家交易所手續費提現費規則都不太一樣。那其實，上幣費、手續費、提現費就構成了幣圈交易所的盈利模式，當然，除了這三種盈利模式，交易所的盈利模式還有：「做市商」業務賺取差價，也就是交易所通過不斷買賣，創造流動性，充當做市商，同時賺取業務差價。
目前，由於行業競爭越來越激烈，上幣費和手續費將越來越少，甚至不需要，所以常規盈利所佔的比重會越來越少，這就出現了其他的盈利模式，比如說：平台幣、杠桿手續費。先來說說平台幣。平台幣就是交易所發的幣：OKB、幣安幣都屬於平台幣，交易所發放的這些平台幣可以換取BTC、ETH，同時呢，平台幣自身價值的增值，可以為交易所的發展奠定堅實的物質基礎，對用戶而言，持有平台幣可以享受到手續費折扣、平台分紅、交易所的專項活動等好處，這是平台幣。杠桿手續費呢，就是平台上的融幣功能，支持杠桿交易，並向融幣用戶收取一定比例的手續費。
上面說的這些其實都是通過交易所自身資源輸出而構建的生態系統。現在，交易所還在積極布局全行業來獲得收入，比如：成立資本、礦池、錢包、孵化器、工程院、基金等方式。我們認為，如果交易所想長久發展下去，就必須全產業鏈布局，找到行業的新爆發點，構建完整生態系統，所以，把戰略盈利的比重變大。
三、區塊鏈媒體
在區塊鏈火爆的這兩年，不止項目方非常多，媒體也如同雨後春筍一般出現了，目前比較知名的區塊鏈媒體大概有200來家吧。區塊鏈媒體平台上的內容大概就是圍繞這么幾點：政策、黑客、交易所、大佬、項目方。文字之外，區塊鏈媒體的運營方式還包括社群活動，比如說：邀請「大佬」進群做分享，以這種方式達到優質內容的一個沉澱，同時賺取一些流量。
為什麼一定要提區塊鏈媒體呢，是因為，區塊鏈媒體和我們印象裡面的媒體其實是有些區別的。區別在哪裡呢？區別就在於：區塊鏈媒體和上面提到的項目方、交易所，這三者之間存在著一些利益關系。我們剛剛說，項目方好比「生產者」，交易所好比「銷售市場」，那麼，媒體扮演的角色呢，就好比「廣告平台"。項目想要賣得好，需要宣傳，需要打廣告，那麼區塊鏈媒體就扮演了這么一個角色，所以，現在一些區塊鏈媒體的投資方正是項目方、交易所。
最近這段時間是熊市，多家區塊鏈媒體大規模裁員，究其原因無非是項目短缺，資金不足。所以呢，如果說區塊鏈媒體單純依靠項目方、交易所的投資、以及廣告收入，其實是遠遠不夠的，當熊市來臨，項目方、交易所受到波及了，那麼媒體勢必也將面臨非常殘酷的寒冬。因此，現在很多區塊鏈媒體也在做項目方發token（最典型的的就是幣乎、幣車這種內容社區，他們既屬於一種媒體平台，又在發token做項目方）、或者有些區塊鏈媒體在做錢包、賣礦機租算力這些業務。
但是，我們認為，區塊鏈媒體，作為媒體，畢竟還是發揮輿論引導作用的，所以呢，還是要回歸本質，做行業價值信息的一個傳遞場所，而不是一個堆砌廣告的地方。因此呢，區塊鏈媒體還是應該跟上技術的發展，來實現自身的生存和發展，憑借區塊鏈技術的優勢，基於通證系統中的共識機制，去實現媒體行業利益的合理分配，在這個方面呢，或將具有一定的想像空間。
四、礦機廠商
比特幣挖礦說到底是算力的競爭，誰的算力強大，誰挖到比特幣的幾率就越大。所以，在整個幣圈的商業系統裡面，礦機廠商是一個非常不可忽視的存在。我們看一個數據就知道了：2018年胡潤百富榜區塊鏈行業裡面， 排在首富的就是來自礦機廠商——比特大陸的合夥人，詹克團先生。另外，根據招股書，比特大陸上半年凈利潤7.43億美元，同比增漲了近8倍，它一度占據全球比特幣礦機70%以上的市場份額，成為礦機行業龍頭。不止礦機，比特大陸在礦池（也就是一種合作挖礦的模式）方面依舊占據了近乎壟斷的地位：就目前來看，全球前六大礦池算力佔79.2%的份額。
而另一家研究礦機晶元的公司——「嘉楠耘智」，在發明中國第一台比特幣礦機之後，開始從事區塊鏈、人工智慧領域晶元的研究，短短幾年，也成為國際知名的晶元企業。
其實，早在2012年，美國就宣布要發售一台蝴蝶礦機，但是這個事情後來被很多人認為是一場騙局，因為這個蝴蝶礦機拖了好幾年才發售，這幾年還讓其他國家的礦機研發變得非常惶恐，都在拚命搶時間，某種意義上來說，蝴蝶礦機也算是帶動了礦機行業的繁榮。所以呢，到了2013年，礦機就已經進入一個百花爭鳴的季節，大量ASIC礦機就被提出來了：或宣布研發，或宣布預售，或以現貨形式，出現了：烤貓礦機，鴿子礦機，TMR 礦機，比特兒礦機，蘭德礦局，小蜜蜂礦機，阿瓦隆原廠和各種代工，花園礦機，Smart 礦機等等......可能大家沒聽過這些礦機 ，因為這些基本上都死了，留下來的比特大陸、嘉楠耘智、億邦股份,成為了礦機巨頭。
不過，礦機，作為加密貨幣市場繁榮下的衍生產業，它的價格和加密貨幣市場行情是息息相關的：在牛市，礦機常常供不應求，礦工們花數倍高價從「黃牛」手中購買礦機屢見不鮮，這個時候，礦機廠商進入紅利期。但是在熊市呢，礦機廠商也將受到一些不利影響，礦工挖礦熱情減退，一些廠商不得不降低礦機價格來收回成本。譬如，在今年三月比特幣暴跌時，華強北售賣的某型號礦機降價5000元甩賣，價格由每台19000元左右降至
14000元。
【總結】
講到這里，我們可以發現，無論是項目方、交易所、媒體，還是礦機，可以說是一種 「一榮俱榮一損俱損」的關系。牛市裡，項目方拿融資有錢發token，上到交易所，交易所賺到了上幣費和交易費，token 身家增加還能讓項目方再賺一筆，然後找媒體投放廣告，媒體賺到廣告費，那麼幣價高了，礦工熱情高漲，礦機也賣得好了。但是到熊市呢，完全
是一個相反的跡象，大家都在面臨寒冬，所以說，這是一個「一榮俱榮一損俱損」的關系。
幣圈先介紹到這里，下面我們來介紹一下鏈圈。
第二節 鏈圈
鏈圈，指的是關注區塊鏈技術的圈子。和幣圈相比，鏈圈就顯得相當低調。但是呢，沒有鏈圈的技術支撐，幣圈也不可能存在。所以，鏈圈常常被忽視，但是其實它非常重要，未來區塊鏈場景的落地，還要依靠鏈圈的技術作為支撐。
目前，鏈圈項目主要圍繞的是供應鏈中的數據安全這個方面來開展的。我們在開頭提到得沃爾瑪、萬事達卡、IBM、還有那些巨頭汽車製造廠商，他們在嘗試使用區塊鏈技術解決一些涉及到數據安全的行業痛點，譬如說：生鮮食品的流通安全、疫苗安全、交易數據安全、版權保護等等。
在供應鏈方面，最典型的當屬快遞行業，順豐目前正試圖用區塊鏈技術解決葯品物流安全。此外，阿里正在雄安新區積極部署區塊鏈；騰訊、網路、網易、京東已經開發了多款基於區塊鏈的網路游戲，盡管這些項目目前還並不是很成熟，但是卻豐富了區塊鏈的商業模式，提供了一些比較廣闊的想像空間。
提到想像空間，對於鏈圈來講，其實主要圍繞的就是「區塊鏈+」這個話題：區塊鏈+ 金融、區塊鏈+保險、區塊鏈+農業、區塊鏈+娛樂、區塊鏈+人工智慧，區塊鏈+等等任何的行業......說白了就是區塊鏈場景的落地，把這些想像變成現實，就好比把互聯網普及到千家萬戶一樣。
【總結】
區塊鏈這個底層技術，最早其實就是一個貨幣系統，為了比特幣服務的嘛，但是發展到今天呢，這種技術已經演變成一種變革和創新的思路或者方法了，這些思路和方法也確實是目前互聯網時代一些痛點的解決之法。

2. 區塊鏈安全嗎

區塊鏈發展多年，仍是市場新興趨勢，在虛擬貨幣的世界中，利益往往伴隨著風險，新聞上也時常可見幣值暴跌、貨幣遭竊等負面新聞，讓人不禁擔憂資產安全，據悉，近期有一個名為Fintoch的新興金融平台，其研發的慧壁（HyBriid）加密技術融合了「多重簽名」與「零知識證明」，能讓資產遭到非法轉移的機率無限趨近於零，用戶的理財相對有保障。更多詳情可網路參考一下

3. 區塊鏈如何保證使用安全

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。

當然，區塊鏈開發者們也可以採取一些措施

一是使用專業的代碼審計服務，

二是了解安全編碼規范，防患於未然。

密碼演算法的安全性

隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。

當然，除了改變演算法，還有一個方法可以提升一定的安全性：

參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。

共識機制的安全性

當前的共識機制有工作量證明（Proof of Work，PoW）、權益證明（Proof of Stake，PoS）、授權權益證明（Delegated Proof of Stake，DPoS）、實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）等。

PoW 面臨51%攻擊問題。由於PoW 依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。

在PoS 中，攻擊者在持有超過51%的Token 量時才能夠攻擊成功，這相對於PoW 中的51%算力來說，更加困難。

在PBFT 中，惡意節點小於總節點的1/3 時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。

對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。

智能合約的安全性

智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016 年6 月，以太坊最大眾籌項目The DAO 被攻擊，黑客獲得超過350 萬個以太幣，後來導致以太坊分叉為ETH 和ETC。

對此提出的措施有兩個方面：

一是對智能合約進行安全審計，

二是遵循智能合約安全開發原則。

智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug 和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。

數字錢包的安全性

數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014 年底，某簽報因一個嚴重的隨機數問題（R 值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。

應對措施主要有四個方面：

一是確保私鑰的隨機性；

二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；

三是使用冷錢包；

四是對私鑰進行備份。

4. 區塊鏈它是如何安全的

區塊鏈中的安全性來自一些屬性。
1.挖掘塊需要使用資源。
2.每個塊包含之前塊的哈希值。
想像一下，如果攻擊者想要通過改變5個街區之前的交易來改變鏈條。如果他們篡改了塊，則塊的哈希值會發生變化。然後攻擊者必須將指針從下一個塊更改為更改的塊，然後更改下一個塊的哈希值...這將一直持續到鏈的末尾。這意味著塊體在鏈條的後面越遠，其變化的阻力就越大。 實際上，攻擊者必須模擬整個網路的哈希能力，直到鏈的前端。然而，當攻擊者試圖攻擊時，鏈繼續向前移動。如果攻擊者的哈希值低於鏈的其餘部分（<50％），那麼他們將始終追趕並且永遠不會產生最長的鏈。因此，這種類型的區塊鏈可以抵禦攻擊，其中攻擊者的哈希值低於50％。
當攻擊者擁有51％的哈希值時，他們可以使用有效事務列表重寫網路歷史記錄。這是因為他們可以比網路的其他部分更快地重新計算任何塊排序的哈希值，因此它們最終可以保證更長的鏈。51％攻擊的主要危險是雙重花費的可能性。這簡單的意思是攻擊者可以購買一件物品並表明他們已經在區塊鏈上用任意數量的確認付款。一旦他們收到了該物品，他們就可以對區塊鏈進行重新排序，使其不包括發送交易，從而獲得退款。
即使攻擊者擁有>50％的哈希值，攻擊者也只能造成這么大的傷害。他們不能做諸如將錢從受害者的賬戶轉移到他們的賬戶或列印更多硬幣之類的事情。這是因為所有交易都由帳??戶所有者簽署，因此即使他們控制整個網路，也無法偽造帳戶簽名。

5. 首屆中國區塊鏈安全高峰論壇都聚焦了哪些問題

6月21日，首屆中國區塊鏈安全高峰論壇在北京國家會議中心成功召開，大會由中國技術市場協會主辦，北京知道創宇信息技術有限公司承辦，會議吸引了眾多國家權威機構領導、區塊鏈行業大咖、安全行業大佬以及眾多行業頂尖媒體及海外權威人士共同參與。

（圓桌討論區塊鏈安全）

大會共邀請到國內外區塊鏈生態領域相關專家共十餘位到場發表主旨演講，分享如何利用技術打造更好更安全的區塊鏈生態，以及區塊鏈技術的創新應用，高質量的議題分享也受到了參會嘉賓的稱贊與熱議。在大會的圓桌論壇環節，相關專家還共同就如何推動區塊鏈產業的安全健康發展展開了集中討論，並且不乏勁爆觀點被拋出。

首屆中國區塊鏈安全高峰論壇得到了相關行業及媒體的廣泛關注，會議報名通道開通僅一天即已爆滿，會議當天現場座無虛席，上百家專業媒體當天列席會議並對會議進行了報道。

6. 區塊鏈使用安全如何來保證呢

區塊鏈本身解決的就是陌生人之間大規模協作問題，即陌生人在不需要彼此信任的情況下就可以相互協作。那麼如何保證陌生人之間的信任來實現彼此的共識機制呢？中心化的系統利用的是可信的第三方背書，比如銀行，銀行在老百姓看來是可靠的值得信任的機構，老百姓可以信賴銀行，由銀行解決現實中的糾紛問題。但是，去中心化的區塊鏈是如何保證信任的呢？
實際上，區塊鏈是利用現代密碼學的基礎原理來確保其安全機制的。密碼學和安全領域所涉及的知識體系十分繁雜，我這里只介紹與區塊鏈相關的密碼學基礎知識，包括Hash演算法、加密演算法、信息摘要和數字簽名、零知識證明、量子密碼學等。您可以通過這節課來了解運用密碼學技術下的區塊鏈如何保證其機密性、完整性、認證性和不可抵賴性。
基礎課程第七課 區塊鏈安全基礎知識
一、哈希演算法（Hash演算法）
哈希函數（Hash），又稱為散列函數。哈希函數：Hash(原始信息) = 摘要信息，哈希函數能將任意長度的二進制明文串映射為較短的（一般是固定長度的）二進制串（Hash值）。
一個好的哈希演算法具備以下4個特點:
1、 一一對應：同樣的明文輸入和哈希演算法，總能得到相同的摘要信息輸出。
2、 輸入敏感：明文輸入哪怕發生任何最微小的變化，新產生的摘要信息都會發生較大變化，與原來的輸出差異巨大。
3、 易於驗證：明文輸入和哈希演算法都是公開的，任何人都可以自行計算，輸出的哈希值是否正確。
4、 不可逆：如果只有輸出的哈希值，由哈希演算法是絕對無法反推出明文的。
5、 沖突避免：很難找到兩段內容不同的明文，而它們的Hash值一致（發生碰撞）。
舉例說明：
Hash(張三借給李四10萬，借期6個月) = 123456789012
賬本上記錄了123456789012這樣一條記錄。
可以看出哈希函數有4個作用：
簡化信息
很好理解，哈希後的信息變短了。
標識信息
可以使用123456789012來標識原始信息，摘要信息也稱為原始信息的id。
隱匿信息
賬本是123456789012這樣一條記錄，原始信息被隱匿。
驗證信息
假如李四在還款時欺騙說，張三隻借給李四5萬，雙方可以用哈希取值後與之前記錄的哈希值123456789012來驗證原始信息
Hash（張三借給李四5萬，借期6個月）=987654321098
987654321098與123456789012完全不同，則證明李四說謊了，則成功的保證了信息的不可篡改性。
常見的Hash演算法包括MD4、MD5、SHA系列演算法，現在主流領域使用的基本都是SHA系列演算法。SHA（Secure Hash Algorithm）並非一個演算法，而是一組hash演算法。最初是SHA-1系列，現在主流應用的是SHA-224、SHA-256、SHA-384、SHA-512演算法（通稱SHA-2），最近也提出了SHA-3相關演算法，如以太坊所使用的KECCAK-256就是屬於這種演算法。
MD5是一個非常經典的Hash演算法，不過可惜的是它和SHA-1演算法都已經被破解，被業內認為其安全性不足以應用於商業場景，一般推薦至少是SHA2-256或者更安全的演算法。
哈希演算法在區塊鏈中得到廣泛使用，例如區塊中，後一個區塊均會包含前一個區塊的哈希值，並且以後一個區塊的內容+前一個區塊的哈希值共同計算後一個區塊的哈希值，保證了鏈的連續性和不可篡改性。
二、加解密演算法
加解密演算法是密碼學的核心技術，從設計理念上可以分為兩大基礎類型：對稱加密演算法與非對稱加密演算法。根據加解密過程中所使用的密鑰是否相同來加以區分，兩種模式適用於不同的需求，恰好形成互補關系，有時也可以組合使用，形成混合加密機制。
對稱加密演算法（symmetric cryptography,又稱公共密鑰加密，common-key cryptography），加解密的密鑰都是相同的，其優勢是計算效率高，加密強度高；其缺點是需要提前共享密鑰，容易泄露丟失密鑰。常見的演算法有DES、3DES、AES等。
非對稱加密演算法（asymmetric cryptography，又稱公鑰加密，public-key cryptography），與加解密的密鑰是不同的，其優勢是無需提前共享密鑰；其缺點在於計算效率低，只能加密篇幅較短的內容。常見的演算法有RSA、SM2、ElGamal和橢圓曲線系列演算法等。 對稱加密演算法，適用於大量數據的加解密過程；不能用於簽名場景：並且往往需要提前分發好密鑰。非對稱加密演算法一般適用於簽名場景或密鑰協商，但是不適於大量數據的加解密。
三、信息摘要和數字簽名
顧名思義，信息摘要是對信息內容進行Hash運算，獲取唯一的摘要值來替代原始完整的信息內容。信息摘要是Hash演算法最重要的一個用途。利用Hash函數的抗碰撞性特點，信息摘要可以解決內容未被篡改過的問題。
數字簽名與在紙質合同上簽名確認合同內容和證明身份類似，數字簽名基於非對稱加密，既可以用於證明某數字內容的完整性，同時又可以確認來源（或不可抵賴）。
我們對數字簽名有兩個特性要求，使其與我們對手寫簽名的預期一致。第一，只有你自己可以製作本人的簽名，但是任何看到它的人都可以驗證其有效性；第二，我們希望簽名只與某一特定文件有關，而不支持其他文件。這些都可以通過我們上面的非對稱加密演算法來實現數字簽名。
在實踐中，我們一般都是對信息的哈希值進行簽名，而不是對信息本身進行簽名，這是由非對稱加密演算法的效率所決定的。相對應於區塊鏈中，則是對哈希指針進行簽名，如果用這種方式，前面的是整個結構，而非僅僅哈希指針本身。
四 、零知識證明（Zero Knowledge proof）
零知識證明是指證明者在不向驗證者提供任何額外信息的前提下，使驗證者相信某個論斷是正確的。
零知識證明一般滿足三個條件：
1、 完整性（Complteness）：真實的證明可以讓驗證者成功驗證；
2、 可靠性（Soundness）：虛假的證明無法讓驗證者通過驗證；
3、 零知識（Zero-Knowledge）：如果得到證明，無法從證明過程中獲知證明信息之外的任何信息。
五、量子密碼學（Quantum cryptography）
隨著量子計算和量子通信的研究受到越來越多的關注，未來量子密碼學將對密碼學信息安全產生巨大沖擊。
量子計算的核心原理就是利用量子比特可以同時處於多個相干疊加態，理論上可以通過少量量子比特來表達大量信息，同時進行處理，大大提高計算速度。
這樣的話，目前的大量加密演算法，從理論上來說都是不可靠的，是可被破解的，那麼使得加密演算法不得不升級換代，否則就會被量子計算所攻破。
眾所周知，量子計算現在還僅停留在理論階段，距離大規模商用還有較遠的距離。不過新一代的加密演算法，都要考慮到這種情況存在的可能性。

7. 區塊鏈的安全法則

區塊鏈的安全法則，即第一法則：
存儲即所有
一個人的財產歸屬及安全性，從根本上來說取決於財產的存儲方式及定義權。在互聯網世界裡，海量的用戶數據存儲在平台方的伺服器上，所以，這些數據的所有權至今都是個迷，一如你我的社交ID歸誰，難有定論，但用戶數據資產卻推高了平台的市值，而作為用戶，並未享受到市值紅利。區塊鏈世界使得存儲介質和方式的變化，讓資產的所有權交付給了個體。
拓展資料
區塊鏈系統面臨的風險不僅來自外部實體的攻擊，也可能有來自內 部參與者的攻擊，以及組件的失效，如軟體故障。因此在實施之前，需 要制定風險模型，認清特殊的安全需求，以確保對風險和應對方案的准 確把握。
1. 區塊鏈技術特有的安全特性
● (1) 寫入數據的安全性
在共識機制的作用下，只有當全網大部分節點（或多個關鍵節點）都 同時認為這個記錄正確時，記錄的真實性才能得到全網認可，記錄數據才 允許被寫入區塊中。
● (2) 讀取數據的安全性
區塊鏈沒有固有的信息讀取安全限制，但可以在一定程度上控制信 息讀取，比如把區塊鏈上某些元素加密，之後把密鑰交給相關參與者。同時，復雜的共識協議確保系統中的任何人看到的賬本都是一樣的，這是防 止雙重支付的重要手段。
● (3) 分布式拒絕服務(DDOS)
攻擊抵抗 區塊鏈的分布式架構賦予其點對點、多冗餘特性，不存在單點失效的問題，因此其應對拒絕服務攻擊的方式比中心化系統要靈活得多。即使一個節點失效，其他節點不受影響，與失效節點連接的用戶無法連入系統， 除非有支持他們連入其他節點的機制。
2. 區塊鏈技術面臨的安全挑戰與應對策略
● (1) 網路公開不設防
對公有鏈網路而言，所有數據都在公網上傳輸，所有加入網路的節點 可以無障礙地連接其他節點和接受其他節點的連接，在網路層沒有做身份驗證以及其他防護。針對該類風險的應對策略是要求更高的私密性並謹慎控制網路連接。對安全性較高的行業，如金融行業，宜採用專線接入區塊鏈網路，對接入的連接進行身份驗證，排除未經授權的節點接入以免數據泄漏，並通過協議棧級別的防火牆安全防護，防止網路攻擊。
● (2) 隱私
公有鏈上交易數據全網可見，公眾可以跟蹤這些交易，任何人可以通過觀察區塊鏈得出關於某事的結論，不利於個人或機構的合法隱私保護。 針對該類風險的應對策略是：
第一，由認證機構代理用戶在區塊鏈上進行 交易，用戶資料和個人行為不進入區塊鏈。
第二，不採用全網廣播方式， 而是將交易數據的傳輸限制在正在進行相關交易的節點之間。
第三，對用 戶數據的訪問採用許可權控制，持有密鑰的訪問者才能解密和訪問數據。
第四，採用例如「零知識證明」等隱私保護演算法，規避隱私暴露。
● (3) 算力
使用工作量證明型的區塊鏈解決方案，都面臨51%算力攻擊問題。隨 著算力的逐漸集中，客觀上確實存在有掌握超過50%算力的組織出現的可 能，在不經改進的情況下，不排除逐漸演變成弱肉強食的叢林法則。針對 該類風險的應對策略是採用演算法和現實約束相結合的方式，例如用資產抵 押、法律和監管手段等進行聯合管控。

8. 為什麼說區塊鏈很安全

因為每個塊包含它自己的哈希值和前一個塊的哈希值，更改一個哈希值將使其餘的區塊鏈無效。
如果有區塊鏈方面的問題，歡迎私聊咨詢~~~~~

9. 對於普通用戶來說，區塊鏈真的安全嗎

區塊鏈只是一種技術，談不上安全或者不安全。這個還是需要看平台的技術的，現在的區塊鏈也只是一個幌子而已，實際上利用到區塊鏈的地方並不多。
純粹利用區塊鏈技術的也就比特幣、以太坊、DECENT等項目。

10. 區塊鏈有哪些安全軟肋

區塊鏈有哪些安全軟肋

區塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯網上，區塊鏈技術依靠密碼學和巧妙的分布式演算法，無需藉助任何第三方中心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

區塊鏈技術常被人們提及的特性是去中心化、共識機制等，由區塊鏈引申出來的虛擬數字貨幣是目前全球最火爆的項目之一，正在成就出新的一批億萬級富豪。像幣安交易平台，成立短短幾個月，就被國際知名機構評級市值達400億美金，成為了最富有的一批數字貨幣創業先驅者。但是自從有數字貨幣交易所至今，交易所被攻擊、資金被盜事件層出不窮，且部分數字貨幣交易所被黑客攻擊損失慘重，甚至倒閉。

一、 令人震驚的數字貨幣交易所被攻擊事件

從最早的比特幣，到後來的萊特幣、以太幣，目前已有幾百種數字貨幣。隨著價格的攀升，各種數字貨幣系統被攻擊、數字貨幣被盜事件不斷增加，被盜金額也是一路飆升。讓我們來回顧一下令人震驚的數字貨幣被攻擊、被盜事件。

2014年2月24日，當時世界最大的比特幣交易所運營商Mt.Gox宣布其交易平台的85萬個比特幣已經被盜一空，承擔著超過80%的比特幣交易所的Mt.Gox由於無法彌補客戶損失而申請破產保護。

經分析，原因大致為Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用於發起DDoS攻擊：

比特幣提現環節的簽名被黑客篡改並先於正常的請求進入比特幣網路，結果偽造的請求可以提現成功，而正常的提現請求在交易平台中出現異常並顯示為失敗，此時黑客實際上已經拿到提現的比特幣了，但是他繼續在Mt.Gox平台請求重復提現，Mt.Gox在沒有進行事務一致性校驗（對賬）的情況下，重復支付了等額的比特幣，導致交易平台的比特幣被竊取。

2016年8月4日，最大的美元比特幣交易平台Bitfinex發布公告稱，網站發現安全漏洞，導致近12萬枚比特幣被盜，總價值約為7500萬美元。

2018年1月26日，日本的一家大型數字貨幣交易平台Coincheck系統遭遇黑客攻擊，導致時價580億日元、約合5.3億美元的數字貨幣「新經幣」被盜，這是史上最大的數字貨幣盜竊案。

2018年3月7日，世界第二大數字貨幣交易所幣安（Binance）被黑客攻擊的消息讓幣圈徹夜難眠，黑客竟然玩起了經濟學，買空賣空「炒幣」割韭菜。根據幣安公告，黑客的攻擊過程包括：

1) 在長時間里，利用第三方釣魚網站偷盜用戶的賬號登錄信息。黑客通過使用Unicode字元冒充正規Binance網址域名里的部分字母對用戶實施網頁釣魚攻擊。

2) 黑客獲得賬號後，自動創建交易API，之後便靜默潛伏。

3) 3月7日黑客通過盜取的API Key，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣計算，比特幣一夜丟了170億美元。

二、黑客攻擊為什麼能屢屢得手

基於區塊鏈的數字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生也引發了人們對數字貨幣安全的擔憂，人們不禁要問：區塊鏈技術安全嗎？

隨著人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大規模DDoS攻擊外，還將由於其特性而面臨獨有的安全挑戰。

1. 演算法實現安全

由於區塊鏈大量應用了各種密碼學技術，屬於演算法高度密集工程，在實現上比較容易出現問題。歷史上有過此類先例，比如NSA對RSA演算法實現埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發這種級別的漏洞，可以說構成區塊鏈整個大廈的地基將不再安全，後果極其可怕。之前就發生過由於比特幣隨機數產生器出現問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數，就能推導出私鑰。

2. 共識機制安全

當前的區塊鏈技術中已經出現了多種共識演算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現並保障真正的安全，需要更嚴格的證明和時間的考驗。

3. 區塊鏈使用安全

區塊鏈技術一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成並保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產做任何操作。一旦被黑客拿到，就能轉移數字貨幣。

4. 系統設計安全

像Mt.Gox平台由於在業務設計上存在單點故障，所以其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區塊鏈面臨著演算法實現、共識機制、使用及設計上挑戰，同時黑客通過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性造成越來越大的影響。

三、如何保證區塊鏈的安全

為了保證區塊鏈系統安全，建議參照NIST的網路安全框架，從戰略層面、一個企業或者組織的網路安全風險管理的整個生命周期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區塊鏈風險和威脅。

除此之外，根據區塊鏈技術自身特點重點關注演算法、共識機制、使用及設計上的安全。

針對演算法實現安全性：一方面選擇採用新的、本身經得起考驗的密碼技術，如國密公鑰演算法SM2等。另一方面對核心演算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。

針對共識演算法安全性：PoW中使用防ASIC雜湊函數，使用更有效的共識演算法和策略。

針對使用安全性：對私鑰的生成、存儲進行保護，敏感數據加密存儲。

針對設計安全性：一方面要保證設計的功能盡量完善，如採用私鑰白盒簽名技術，防止病毒、木馬在系統運行過程中提取私鑰；設計私鑰泄露追蹤功能，盡可能減少私鑰泄露後的損失。另一方面，應對某些關鍵業務設計去中心化，防止單點故障攻擊。