网信办旗下刊物“区块链组稿”（八）：防范安全漏洞，促进实际应用

编者按： 国家网信办官方近日在官网刊发一组区块链组稿，共八篇文章，邀请8位学者从各个角度阐释了区块链的价值、趋势、风险和对策， 其中多篇文章正面肯定了Token的价值。

经查询，八篇组稿来自《网络传播》杂志11月刊，《网络传播》为国家网信办主管的旗下刊物。

以下为八篇组稿第八篇《防范安全漏洞，促进实际应用》：

传统的网络安全漏洞，往往使区块链技术本身所构建的数学或逻辑意义上的安全性荡然无存。

作为一种全新的互联网技术，区块链的安全现状令人忧虑。目前区块链常面临私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等安全问题。

360公司主要专注于与区块链应用相关的各类网络安全问题，包括：区块链系统本身的安全问题，如智能合约的漏洞问题、区块链平台的安全问题等；区块链服务企业的网络资产的基础安全问题，如开源代码安全漏洞、业务逻辑安全漏洞，以及其他一些开发漏洞；区块链服务企业的办公与开发系统的安全问题等。同时，360公司也关注由区块链技术或虚拟货币衍生的网络犯罪活动，如挖矿木马、交易所攻击、虚拟货币盗窃等。

从区块链技术本身来说，目前发现的安全漏洞主要集中在智能合约上，同时，区块链平台的安全问题也日益受到关注。就目前来说，真正对区块链应用系统威胁最大的主要是应用系统存在的传统安全漏洞，如源代码漏洞、业务逻辑漏洞、网站安全漏洞、App安全漏洞等，但这些问题目前还没有得到足够重视。360公司在给很多区块链企业的业务系统和办公系统做安全测试时，都发现了大量的、传统的网络安全漏洞。这些传统的网络安全漏洞，往往使区块链技术本身所构建的数学或逻辑意义上的安全性荡然无存。

目前，区块链技术的实际应用还非常有限，并不普及，市场前景也尚未全面展开，当下主要的应用还是集中在金融领域，极少数政府机构开始试点应用。针对区块链严峻的安全形势，360公司布局了较为完善的安全防护生态，涵盖钱包、智能合约、交易所、矿池、EOS节点等方面的安全防护，包括方案设计、合规咨询、App评估、冷钱包评估、智能合约代码审计、渗透测试、业务逻辑测试、DDoS攻击防护、平台加固等服务。同时，360公司与交易所的系统提供商合作，为交易所的客户提供安全服务和产品。目前360公司已经为雄安新区和多家区块链企业提供了安全服务和产品。

针对大众认为的区块链技术会导致用户隐私泄露的想法，这可能是对区块链技术的一个误解。区块链技术实际上只是在约定的范围内实现操作的透明性和不可抵赖性，但并不是把用户个人的所有信息都公开在链上。当然，如何在区块链应用中保护用户隐私信息也是一个很重要的研究方向。但泄露隐私并不是区块链技术架构的必然。未来，360公司将持续推进与区块链企业和区块链技术使用方（相关政企机构）的积极合作，结合实际问题，研究区块链技术的安全性，挖掘可能存在的漏洞，360公司即将推出区块链智能合约语言Solidity的源代码检测工具，促进区块链技术在各个领域的安全应用。（裴智勇：360行业安全研究中心主任）