高雪峰：360区块链安全生态已成型 可提升行业整体安全水平

5月25日，YOCSEF 20周年庆典暨2018青年精英大会在北京辽宁大厦举行。作为计算机行业一年一度的盛会，大会现场，多位学术界和创投圈的大咖带来干货满满的技术分享。

360信息安全部负责人高雪峰

在25日下午举行的技术论坛环节，360信息安全部负责人、360 Nirvan Team创始人高雪峰带来题为《大安全新威胁----浅谈区块链安全态势》的演讲，演讲围绕区块链安全态势展开讨论，重点介绍了区块链1.0到3.0遇到的安全事件和安全问题，以经典的安全事件以例，从共识协议、算法安全、智能合约安全等研究方向进行分析，并提出应对措施。

区块链安全态势依然严峻

在演讲中，高雪峰首先简要介绍了区块链的基本概念。他指出区块链的核心技术点均为密码学与数字签名、共识算法、存储技术和P2P网络这四种比较成熟的技术。区块链的创新之处在于将他们糅合成一个完整的体系。目前，区块链标准规范的研究制定工作正在稳步推进，国内也提出了典型的区块链技术架构。

但是，作为一种全新的互联网技术，区块链的安全现状令人忧虑。2016年，国家互联网应急中心联合360代码卫士发布的《区块链开源软件安全漏洞分析报告》共检测发现区块链高危漏洞746个，中危漏洞2000多个，漏洞主要体现在输入验证、代码质量和安全特性上。

正是由于这些数字货币安全漏洞的存在，在区块链时代，社会工程学攻击风靡，各种钓鱼事件频发，2014年，当时世界最大的比特币交易所运营商Mt.Gox由于比特币提现环节的签名被黑客篡改，导致85万比特币被盗，该运营商最终被迫宣布破产。

实践证明，在代码层面，数字货币相关开源软件的高危漏洞和安全隐患非常多，这也给当前的数字货币和区块链技术带来了一些挑战。目前流行的数字货币设计的一些关键密码算法尚未得到足够理论分析和检验。由于这些系统承载了虚拟数字资产，底层算法的潜在问题一旦暴露，会对资产安全构造严重威胁，甚至可能影响到国家法币的流通。

360区块链安全生态已具雏形

随后，高雪峰围绕区块链自身的底层漏洞做了重点阐述。

以区块链智能合约为例，开发智能合约是区块链技术最有前途的应用之一，在智能合约中，合约条款由代码规定。这意味着可以用计算机程序编写具有法律效力的合约，而且这个合约可以自动执行。但与此同时，执行用代码书写的合约，并且在一个不可改变的公开的区块链中存储信息可能存在一定的风险。

高雪峰引述了智能合约监控系统和智能合约自动化审计系统的监测结果称：每1000个智能合约中，就有3个存在安全问题。

针对区块链严峻的安全形势，360公司特别布局了一整套区块链安全生态，主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和EOS超级节点解决方案三大系统。其中，数字货币钱包会详细地列一些审计的要点，阐述如何做一款比较安全的数字钱包，从而保障用户的财产安全。区块链安全态势感知系统可以自动对异常区块、异常交易、异常地址和智能合约进行监控，不仅可以将交易风险降到最低，而且还可对非法数字货币进行溯源。EOS超级节点解决方案通过下设超级节点，为整个网络提供计算和带宽支持，每一个超级节点都组织了自身的EOS社区，而超级节点也会像现实中的城市一样去竞争发展。这样做不仅实现了以有限的中心化实现广义的去中心化，而且让EOS获得极快的交易速度与容错能力。

由此不难看出，360公司在区块链安全方面已经有了足够的技术积累，并针对几个关键环节，推出了具体解决方案，可以说，360公司的区块链安全生态已具雏形。

在今年5月，360公司还重磅推出360安全大脑。这是360公司打造的全球最大的分布式智能安全系统。该系统具有感知、学习、推理、预测、决策共五项核心能力。它可以利用数以亿计的智能终端，采集数据和信息，经过智能化的分析，感知到安全风险。

同时，该系统具备自我学习、自我演进的能力，能够依据安全大数据及先验知识或规则进行推理，对未来可能发生的网络安全威胁和攻击进行预测，并综合利用各种技术，实现对网络安全威胁的分析、判断、处置、响应、反制。