9 月5 日，由Odaily 主辦、36Kr 集團戰略協辦的POD 大會在北京舉行。在大會安全分論壇上，資深分析師郝方舟正式發布了《2018年區塊鏈技術安全服務行業報告》，並做了專題演講。

《2018年區塊鏈技術安全服務行業報告》按照“事件回顧-攻擊方式-防禦策略”的邏輯順序，分析交易所、智能合約、錢包、礦池這些業務場景對應的安全問題，並探討區塊鏈安全服務行業的概況與企業案例。

在分享中，郝方舟介紹了研究院的一些發現，比如黑客攻擊去中心化的平台所用的方式，和傳統的中心化平台很不一樣，有的時候還要靠一些創新的思維，他舉了黑客今年攻擊幣安和Fomo3D 的例子，黑客甚至用到了金融知識，以及抓住底層設計機制的漏洞。

根據他的研究，區塊鏈安全事件的高發地集中在業務層和合約層，從業務線來說則是交易平台還有智能合約。

郝方舟還提出，“中心化交易平台可能的演變路徑是擁抱監管，同時也要向銀行等傳統金融機構靠近，包括做好實名、託管、建立自己的物理防禦機制”。

以下是演講全文，enjoy：

各位嘉賓下午好，歡迎大家來到安全分會場。我們Odaily 研究院一直希望用更直觀方式向大家呈現更真實的區塊鏈世界。我們製作的一個系列叫《Odaily 圖說》，就是用圖譜展示了行業結構、大公司佈局、代碼抄襲等等問題，有些人在朋友圈見過這些圖。今天我在這裡代表研究院發布2018 年區塊鏈技術安全服務行業報告。

安全是一個相對的概念，在他對立面是風險，但是這兩個詞比較抽象，於是我們在腦海中希望化成一個更具像概念，所以安全和風險長什麼模樣？攻防雙方角色切換是足球運動中的一個核心，這個核心也就是對球的控制權。

我們現在把這套邏輯平移到區塊鏈安全裡來，會發現核心是對信息和資產的控制權，在中間一圈保衛安全的是礦和鏈，更外層一圈就是各類風險，這其中包括技術風險，政策風險，道德風險，投機風險，操作風險等等。風險具有一定的特點，往往是多點複合，意想不到又層出不窮的，這就需要安全要是全方位多流程多環節的。

可是很重要的安全問題，往往卻沒有得到重視。我們會發現，權責往往是發生不清的，標準很難量化，所以我們在寫文章的時候經常問到一個問題，說安全問題有點像是薛定諤的安全，這什麼意思？就是只有在出事的時候我們才會意識到這個問題有多麼嚴重，但是在出事之前，我們不知道一個公司一個產品，或者一項服務他們安全其實是很難判定的中間態。

說到這裡，我們還要先明確一下，當我們談到網絡安全的時候，攻防角色誰來扮演，攻比較好理解，一般就是黑客，防守有政府，有企業，有第三方安全公司，也有用戶自己。

在這裡我想問一下在座各位，有人曾經遭遇過數字資產被盜的事情嗎。忘記私鑰的不算，沒有是吧，那有人的法幣資產在網上被盜過嗎，不管是網銀、P2P 或者是支付寶？

大家從來沒有遭遇過這件事情。其實我們從數據面上來看，現在數字資產總市值已經超過了2300 億美金。根據騰訊安全還有知道創宇上半年的報告，在7 月份之前，數字資產被盜的金額差不多是在11 億美金，這就是說上半年丟幣的差不多是在千分之五所以，

所以，

所以，想進攻區塊鏈，有時要靠一些創新手段。

這裡我舉兩個例子，第一個是今年3 月份的“幣安事件”，應該是3 月7 日凌晨，當時黑客是從API 攻入，提前在其他交易所埋好空單，根本不需要從幣安這塊提現，這種是屬於技術結合一些金融工具的創新手段。第二個例子大家剛才講的Fomo3D。當這個結束之後，很多人懷疑黑客把其他玩家擠出去，最終獲得大筆的獎金，這種是結合底層設計機制的玩法。因為鏈上不僅有信息還有價值，再加上代碼不太完善，現在很多機構並沒有宣傳的那麼全面，相關政策還是暫時缺席狀態，就造成一旦失守，造成巨額經濟損失。

區塊鏈的不安全有一部分來自主觀原因，就是大家的重視程度還不夠，基本上入局的投資者都是稍微有一點點閒錢的人，真正賣房進場的人還是少數。

那麼具體怎麼做防護呢？進攻的突破口一般都是防守建立要塞的位置。現在我們看到一張圖，分別是2011 年到今年，以及今年7 月份之前，區塊鏈受攻擊的面和點的分析。

按技術架構分，業務層&合約層是重災區。按業務場景，交易平台&智能合約是事故高發地。

為方便讀者理解，我們在分類時，參考了安全服務公司的視角，也按行業需求和業務場景討論。

所以，報告以“從事件回顧，到攻擊方式，再到防禦策略”的邏輯順序，分析了交易所、智能合約、錢包、礦池這些業務場景對應的區塊鏈技術安全問題。

先聊交易所。

先聊交易所。去中心化交易所入場，就是瞄準了中心化交易所存在的安全痛點。他們下一步的重心應該是把體驗做好，獲取更大的流量。中心化交易所的演變方向，應該是靠近銀行等傳統金融機構，做好實名、KYC、託管、冷熱隔離解決方案和其他物理防禦。

再說智能合約。智能合約一旦運行就無法修改，所以代碼審計、形式化驗證越來越重要。公鏈們，還要考慮到底層設計、token經濟上可能出現的安全問題，最好提前諮詢安全團隊。安全服務，更早介入到區塊鏈項目中，也將成為一個趨勢。

報告中還有更多結論，這裡就不展開了。

在報告的最後一part ，我們梳理了區塊鏈技術安全服務行業的概況和典型企業。

發現大家各有切入角度和擅長領域，有的側重形式化驗證，發布了自動檢測引擎；有的注重生態的安全性和隱私性；很多做冷錢包起家的公司則專於私鑰安全存儲方案；也有項目用去中心化的思路，吸引極客，建立社群，一起檢查和修復漏洞。

我們在收錄的10 家區塊鏈安全服務代表企業中，選取了五個典型案例，做了採訪和分析，這個部分也包含了大佬們輸出的經驗和觀點。

最後，要感謝接受我們採訪，給予智慧支持，並對報告提出指導意見的庫神、慢霧、知道創宇、PeckShield、360、CertiK、曲速未來、安全鏈、Bepel。也感謝我同事，這篇報告的主筆，分析師李雪婷。

我也做個小預告，更多的研報、圖說、新聞報導、項目介紹和深度文章已經在路上。謝謝大家！