mfi數字貨幣眾籌交易平台

⑴ 許昌區塊鏈家帶來哪些風險

區塊鏈有哪些安全軟肋

區塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯網上，區塊鏈技術依靠密碼學和巧妙的分布式演算法，無需藉助任何第三方中心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

區塊鏈技術常被人們提及的特性是去中心化、共識機制等，由區塊鏈引申出來的虛擬數字貨幣是目前全球最火爆的項目之一，正在成就出新的一批億萬級富豪。像幣安交易平台，成立短短幾個月，就被國際知名機構評級市值達400億美金，成為了最富有的一批數字貨幣創業先驅者。但是自從有數字貨幣交易所至今，交易所被攻擊、資金被盜事件層出不窮，且部分數字貨幣交易所被黑客攻擊損失慘重，甚至倒閉。

一、令人震驚的數字貨幣交易所被攻擊事件

從最早的比特幣，到後來的萊特幣、以太幣，目前已有幾百種數字貨幣。隨著價格的攀升，各種數字貨幣系統被攻擊、數字貨幣被盜事件不斷增加，被盜金額也是一路飆升。讓我們來回顧一下令人震驚的數字貨幣被攻擊、被盜事件。

2014年2月24日，當時世界最大的比特幣交易所運營商Mt.Gox宣布其交易平台的85萬個比特幣已經被盜一空，承擔著超過80%的比特幣交易所的Mt.Gox由於無法彌補客戶損失而申請破產保護。

經分析，原因大致為Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用於發起DDoS攻擊：

比特幣提現環節的簽名被黑客篡改並先於正常的請求進入比特幣網路，結果偽造的請求可以提現成功，而正常的提現請求在交易平台中出現異常並顯示為失敗，此時黑客實際上已經拿到提現的比特幣了，但是他繼續在Mt.Gox平台請求重復提現，Mt.Gox在沒有進行事務一致性校驗（對賬）的情況下，重復支付了等額的比特幣，導致交易平台的比特幣被竊取。

2016年8月4日，最大的美元比特幣交易平台Bitfinex發布公告稱，網站發現安全漏洞，導致近12萬枚比特幣被盜，總價值約為7500萬美元。

2018年1月26日，日本的一家大型數字貨幣交易平台Coincheck系統遭遇黑客攻擊，導致時價580億日元、約合5.3億美元的數字貨幣「新經幣」被盜，這是史上最大的數字貨幣盜竊案。

2018年3月7日，世界第二大數字貨幣交易所幣安（Binance）被黑客攻擊的消息讓幣圈徹夜難眠，黑客竟然玩起了經濟學，買空賣空「炒幣」割韭菜。根據幣安公告，黑客的攻擊過程包括：

1)在長時間里，利用第三方釣魚網站偷盜用戶的賬號登錄信息。黑客通過使用Unicode字元冒充正規Binance網址域名里的部分字母對用戶實施網頁釣魚攻擊。

2)黑客獲得賬號後，自動創建交易API，之後便靜默潛伏。

3)3月7日黑客通過盜取的APIKey，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣計算，比特幣一夜丟了170億美元。

二、黑客攻擊為什麼能屢屢得手

基於區塊鏈的數字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生也引發了人們對數字貨幣安全的擔憂，人們不禁要問：區塊鏈技術安全嗎？

隨著人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大規模DDoS攻擊外，還將由於其特性而面臨獨有的安全挑戰。

1.演算法實現安全

由於區塊鏈大量應用了各種密碼學技術，屬於演算法高度密集工程，在實現上比較容易出現問題。歷史上有過此類先例，比如NSA對RSA演算法實現埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發這種級別的漏洞，可以說構成區塊鏈整個大廈的地基將不再安全，後果極其可怕。之前就發生過由於比特幣隨機數產生器出現問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數，就能推導出私鑰。

2.共識機制安全

當前的區塊鏈技術中已經出現了多種共識演算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現並保障真正的安全，需要更嚴格的證明和時間的考驗。

3.區塊鏈使用安全

區塊鏈技術一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成並保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產做任何操作。一旦被黑客拿到，就能轉移數字貨幣。

4.系統設計安全

像Mt.Gox平台由於在業務設計上存在單點故障，所以其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區塊鏈面臨著演算法實現、共識機制、使用及設計上挑戰，同時黑客通過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性造成越來越大的影響。

三、如何保證區塊鏈的安全

為了保證區塊鏈系統安全，建議參照NIST的網路安全框架，從戰略層面、一個企業或者組織的網路安全風險管理的整個生命周期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區塊鏈風險和威脅。

除此之外，根據區塊鏈技術自身特點重點關注演算法、共識機制、使用及設計上的安全。

針對演算法實現安全性：一方面選擇採用新的、本身經得起考驗的密碼技術，如國密公鑰演算法SM2等。另一方面對核心演算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。

針對共識演算法安全性：PoW中使用防ASIC雜湊函數，使用更有效的共識演算法和策略。

針對使用安全性：對私鑰的生成、存儲進行保護，敏感數據加密存儲。

針對設計安全性：一方面要保證設計的功能盡量完善，如採用私鑰白盒簽名技術，防止病毒、木馬在系統運行過程中提取私鑰；設計私鑰泄露追蹤功能，盡可能減少私鑰泄露後的損失。另一方面，應對某些關鍵業務設計去中心化，防止單點故障攻擊。

第一、攜款潛逃風險，籌集的資產缺乏審計和託管。現在一個標準的ICO是這樣的，發出一篇白皮書，大家看看，然後一落地就結束了。其中還是有很多潛在規則的，比如說前幾年有非常多的情況，有個ICO的項目出來，大家投資了一把，打完之後就消失了，到目前為止還是這個狀態。所以說還存在項目提出者攜款潛逃的風險。

第二、過度承諾的風險。傳統的IPO是這個公司要做得有模樣，我再去售發，大家也都看得清。而ICO是我寫幾頁紙，說一說我打算做什麼，想實現什麼功能，然後大家就把錢給我。到底能不能很好實現其實要打問號的。

第三、存在估值過高風險。目前還沒有形成一個很細致或者是能讓人信服的定價機制。更多是由項目發起者，基於項目發展的需要或者是自己的理解產生一個定價，有可能有所謂階段性的投資虛高的問題。

第四、投資者過於樂觀。投資者可能更多看到的是未來ICO項目的空間，但實際上從稍微長遠里看，都不可能有持續的暴利。

第五、項目的管控股票風險，投資者難以掌控項目。這個項目完成了之後，往往後續還有一定的開發周期，這個項目到底如何開發，會怎麼推進。很少有ICO的項目能夠列出很清晰的未來發展規劃。這就意味著投資者把錢投過去之後，能做成什麼樣，實際上是不能控制的。

在這個通貨膨脹，錢不值錢的時代，如何保護自己的資產？對常人而言，最好的選擇大概就是投資了。一般來說，投資可以是買股票、買基金、買不動產。

插一句，個人創業或開個體店，也有點投資的意思，但這種投資風險極大、失敗概率90%以上。創業和開店，更多的是投資個人，嘗試個人發展方向，就資產投資而言，九死一生。

投資應該「生活+」，生活才是根本。「生活+投資」是為了讓未來的更有希望，是把現有的資產投資未來，讓未來有一個更好的資產回報預期。然而，因為風險承受、資產投入比例、投資知識等等各方面的認知能力局限，投資常常是一件非常折磨人的事情，情緒跟著市場波動，甚至常常嚴重地影響到生活……

如何破解投資帶來的焦慮感？自從參與區塊鏈投資，在經歷過多次巨大的波動行情，心力煎熬後，以下是個人的粗淺的認知。

1、堅守投資的兩條鐵律

投資，首先應該遵循兩條鐵律。

鐵律一：拿閑錢投資，即便歸零也可以承受。

這一條在平常情況下，看起來似乎不難做到，甚至毫無感覺。那是因為：盲目自信，以及刀還沒有割到肉！

在剛開始投資的時候，你是相當自信的，你是認為自己能夠賺錢的，否則你也不會冒這個風險。但當你對市場預期良好，認為必然會賺大錢的時候，你會很快忘記這條鐵律，進而拋棄，投入更多的資產去投資，甚至借錢投資。

市場總是波動的，甚至常常是很大的波動。在有浮盈的時候，一切都不是問題。一旦出現虧損，當刀真正割到肉時才會感覺疼。由於損失厭惡，心態立馬會出現波動。即便投資的閑錢，都會有失落的情緒，進而影響生活。如果是借錢或者投資資產比例過重（比如70%以上），則更是沒有辦法心平氣和的對待，更無法做到歸零也可以接受。

所以，別高估了自己的承受能力，更別高估了自己的投資能力！否則，一旦虧損，必然會影響到生活。

鐵律二：和時間做朋友，做長期價值投資。

投資向來都是一件長期的事情，1-3年算是短期，5-10年算是中期。你看好一個投資項目，一定要給它時間去「生長」，才會開花結果，最後才能有收獲。

大部分剛踏入投資領域的人，都是急不可耐地想要馬上看到「結果」。這不是投資，是投機，猶如上了賭桌，馬上就可以看到勝負，體驗到狂喜或失落。

參與投資這段時間內，我大概漸漸明白了一個道理：大部分人，包括我自己，從一開始都是帶著投機心態的賭徒。這種賭徒心態，把投資當成了押注，就迫切地想有所收益，天天盯盤，打探各種消息，生怕錯過幾個億……

那些在股市中頻繁操作短線的人，其實就是把炒股當做賭博，想從每一個小波段中獲益，結果被專業機構收割。

投資是否成功，應該是眼光（價值判斷）+時間+運氣的組合。投資之前的分析判斷至關重要，是最終收獲的前提；時間是等待價值成長的過程；運氣，是無法預知或無法控制的結果。

如果，對自己投資的項目的價值沒有清晰的認識，且做不到長期；那麼，在接下來的日子裡，每一天你的內心都會隨著市場波動而波動，偶爾歡喜、偶爾失落，又或大喜又或大悲，你的情緒幾乎被市場牽動。

2、見好就收，你的承受能力有限

面對虧損，一開始我們遵守鐵律「歸零也可以接受」，這是在心態上提前給自己打的預防針。如果沒有這個預防針，你很能承受不了損失的痛苦而割肉，也就是從投資中提前出局。當然，如果你看清自己投資的產品有問題，可能存在歸零，那麼即便是割肉，也要及時地退出，爭取最少的損失。

還有另一種常見情況，即便是盈利了，也常常讓人焦慮，特別是當市場回落，浮盈減少的時候，更是令人焦慮不安。

浮盈，為什麼還會讓人焦慮？因為不知道什麼時候才是頂點。

在這個過程中，大概會有這四種情況：第一種是過早地賣出，第二種是恰當地時候賣出，第三種是因為猶豫不決錯過最佳賣出機會，第四種是不為所動、堅決不賣。

可笑的是，至少90%的人都是第三種！在市場上漲的過程中，在喜悅中焦慮，在焦慮中盲目，人性的貪婪，把市場越托越高，最後泡沫破裂，一地雞毛……

從結果上來看，第四種人和第三種人是一樣的結果，都是沒有賣出，錯過最佳出貨時機。但不同點在於第四種人是帶有自願的成分，在「長期價值投資」的信仰中搖擺、焦慮……

這里有必要把投資鐵律二「和時間做朋友，做長期價值投資"拿出來說一說。既然是長期價值投資，那麼面對市場行情好，大牛市的時候是不是不要操作，要做到第四種「不為所動，堅決不賣」？

可以說，很多人在上漲的行情中堅持「長期價值投資」的信仰，在市場崩盤後，又徹底陷入迷惘、沮喪。我們以為自己可以承受這種壓力，實際上面對市場下跌，大部分人都很難承受這種錯過最佳時機的壓力，焦慮到影響生活。

這里主要問題是：因為「長期而長期」，不懂得變通，不會根據自身的情況來適當調整。

對於專業投資人而言，不為市場波動所動，堅決長期投資是可以理解。但作為普通人，面對超出預期的收益，可以適當地變通。具體的做法是：達到預期收益，分批出貨。在整個上行過程中，出貨量控制在20%。

這種策略，一來可以變現收益，回收投入成本；二來保持大部分資產仍然在參與中；其三，一旦市場突變，保住了部分收益，且有資金可以抄底。

所以，在上漲的行情中，不要死板地遵守「長期投資」。要見好就收，把獲得的利潤部分及時變現，當行情突變時，你的內心也就可以承受這種焦慮且不至於影響生活。

3、場外賺錢能力更重要

投資有很多運氣成分，有時即便你做對了很多，可能運氣也不一定站在你這一邊。如果把財務問題都押注在投資上，則在投資的過程中很難接受「歸零」的結果，也很難做到「長期」。

現實中，最常見的往往是很多人把財富的希望寄託於投資，且期望過大，在區塊鏈投資領域尤其如此。過大的期望，自然讓人陷入一種「迷信」和瘋狂的狀態中，從而也忘記了投資的原則。

即便在一個技術變革，充滿紅利的新市場，也不可能讓大部分人賺錢，反過來甚至往往是90%的人被收割。當然，能夠遵守投資鐵律的人，基本可以避免被收割的命運，在運氣好的情況下不賺錢都難。然而，絕大部分的人是做不到，其根本還是在於投機與投資的區別。

投資給我另一個較大的感觸是：大部分人不適合投資（包括目前階段的自己），不具備投資的能力（財力和智力），心力不足以應付投資帶來的壓力的焦慮感。

一個合格投資者，應該具備較好的場外賺錢能力，其次在心態上能夠坦然面對投資帶來的盈虧。當你不具備這種能力時，不是不可以投資，則應該投入自己內心真正可以承受歸零的資金，至少這樣你可以過好當前的生活。

別寄託於投資快速實現財富自由，這樣你的心態會失衡。只有具備足夠的場外賺錢能力，在面對投資的盈虧時，才會表現的淡然。盈利是對自己的嘉獎，虧損也可以承受。

4、區塊鏈投資的瘋狂與理性

歷史上出現很多次新興產業的投資泡沫，房地產投資、股票投資、互聯網投資……每一次人們都以為找到了財富自由之路，很多人瘋狂地參與其中，最終卻一地雞毛……

這一次區塊鏈投資，更加瘋狂，更加不理性，是不是意味著一次新的巨大泡沫正在形成？有意思的一點是，區塊鏈泡沫已經反復破裂了幾次，但每次又更加強勢的反彈，更大泡沫形成……泡沫並非是沒有價值，並非等同於旁氏騙局，而是指有太多不理性的投資人湧入，短期內高估了資產價值。

區塊鏈的價值在於解決了信用問題，極大地降低了資產之間的轉移成本，甚至為零。雖然目前區塊鏈技術還沒有大量的應用，帶來的實際社會價值也不高，但可以預見未來一定具備極大的社會價值。

就投資而言，無論區塊鏈技術有多大的價值，最後獲益的仍然是極少數人，而絕大部分人是被收割的韭菜！從人性的角度，絕大部分人永遠是追高殺跌，非理性的投資，最終成分被收割者。這區塊鏈價值無關，泡沫的形成，是人性的貪婪。

區塊鏈投資，面臨比傳統投資大得多的變數，常常波動極大，這種情況極大地考驗人的心力。更可怕的是，由於區塊鏈投資目前缺乏監管和規范，大量不合格投資人湧入，更是極大地加重了泡沫的形成。

只有理性的看到其中的巨大風險，堅持做到：遵守投資鐵律、見好就收、保持場外賺錢能力，才能夠避免在這場泡沫中被收割，甚至獲得超高的收益。

認知是一切成功的根本！單軍強的數字簽名：{"sig":"","msghash":""}

雖然在資本和人才湧入的推動下，區塊鏈行業迎來快速發展，但是作為一個新興產業，其安全漏洞頻繁示警的狀況引發了人們對區塊鏈風險的擔憂。

國家信息技術安全研究中心主任俞克群指出，對於隱私暴露、數據泄露、信息篡改、網路詐騙等問題，區塊鏈的出現給人們帶來了很多期望。但區塊鏈的安全問題依然存在諸多的挑戰。

俞克群表示，目前區塊鏈還處在初級階段，存在著密碼演算法的安全性、協議安全性、使用安全性、系統安全性等諸多的挑戰。

國家互聯網應急中心運行部主任嚴寒冰也指出，區塊鏈如果要在全球經濟佔有重要地位，必須首先解決其面臨的安全問題。

嚴寒冰指出，區塊鏈安全問題包含多個方面。比如說傳統的安全問題，包括私鑰的保護，包括應用層軟體傳統的漏洞等。另外，新的協議層面也有一些新的協議帶來的漏洞。

去中心化漏洞平台(DVP)提供的數據也顯示區塊鏈安全問題的嚴峻性。DVP負責人吳家志透露，自7月24日來的一周內，DVP就已經收到白帽子所提供的312個漏洞，涉及175個項目方。其中包括智能合約、知名公鏈，交易所等一系列項目。高危漏洞達122個，占所有漏洞的39.1%，中危漏洞53個，占所有漏洞的17%。

中國信息安全測評中心主任助理李斌分析說，當前區塊鏈分為公有鏈、私有鏈、聯盟鏈三種，無論哪一類在演算法、協議、使用、時限和系統等多個方面都面臨安全挑戰。尤為關鍵的是，目前區塊鏈還面臨的是51%的攻擊問題，即節點通過掌握全網超過51%的算例就有能力成功的篡改和偽造區塊鏈數據。

值得注意的是，除了外部惡意攻擊風險，區塊鏈也面臨其內生風險的威脅。俞克群提醒說，如何圍繞著整個區塊鏈的應用系統的設備、數據、應用、加密、認證以及許可權等等方面構築一個完整的安全應用體系，是各方必須要面臨的重要問題。

吳家志也分析說，作為新興產業，區塊鏈產業的從業人員安全意識較為缺乏，導致目前的區塊鏈相關軟硬體的安全系數不高，存在大量的安全漏洞，此外，整個區塊鏈生態環節眾多，相較之下，相關的安全從業人員力量分散，難以形成合力來解決問題。迎接上述挑戰需要系統化的解決方案。

內容來源中新網