区块链开发者观点：来自 PeckShield（派盾科技）的吴家志

dfuse

于 2019-03-12 00:31:42 发布

阅读量294

点赞数

分类专栏：采访文章标签：区块链安全派盾科技 PeckShield 吴家志 EOS

本文链接：https://blog.csdn.net/weixin_43891115/article/details/88412870

版权

采访专栏收录该内容

22 篇文章 1 订阅

订阅专栏

区块链安全服务商PeckShield的联合创始人吴家志分享了区块链开发的挑战，包括安全风险和黑客攻击。PeckShield提供DAppShield安全盾服务，帮助dapp开发者防范安全事件，提升生态系统安全性。吴家志建议开发者重视安全防护，与安全公司合作，并谨慎选择公链平台。

摘要由CSDN通过智能技术生成

对于正在探究去中心化网络的强大功能的开发人员来说，在区块链上构建应用程序是一项很大的挑战。考虑到这一点，dfuse 邀请了一些经验丰富的开发人员来分享他们构建这些下一代dapp 的历程。本周，我们很高兴请到了吴家志，PeckShield（派盾科技）的联合创始人兼研发副总裁和 dfuse API 和 eosq 的早期用户之一。

向大家介绍下自己吧

我是吴家志（@chiachih_wu），PeckShield 的联合创始人兼研发副总裁，从事信息安全相关工作超过十年，早年研究虚拟机安全，移动安全，2017年底开始转型区块链安全，遂联合原360首席科学家蒋旭宪博士以及诸位安全行业从业多年的同仁共同创办了 PeckShield，all in 区块链产业，在这个 code is law 的新兴行业，安全问题会是影响区块链生态成长快慢的关键。

PeckShield 对未来的愿景是什么呢？

我们的定位是区块链数据与安全服务商。我们会对各大公链数据进行梳理和分析，并结合我们积累多年的安全能力，第一时间感知公链上潜在的安全风险，然后输出给各个生态合作伙伴，帮助生态规避一些安全风险并尽可能减少数字资产损失。

比如，在 dapp 生态蓬勃发展起来之后，我们发现困扰阻挠开发者成长的最大因素是黑客攻击事件，针对此我们推出了 DAppShield 安全盾风控平台。DAppShield 安全盾可帮助 dapp 开发者做产品上线前安全测试，排除已知风险，同时整合风控能力，及时预警可能的安全攻击,及时攻击发生后也能够使用一键暂停，尽可能减少资产损失，最后还能联合交易所进行资金追踪。这是一整套用于 dapp 开发运营过程中安全防护的解决方案。

这项服务为 dapp 开发者提供了必要的安全保障和应急响应，让开发者在前期 dapp 开发过程中少一些被攻击的烦恼，同时又保障了数字资产的安全，助力 dapp 产品业态更健康良性发展。整体而言，我们也在不断适应市场的变化，摸索更适合的的方向，随着行业一同成长。

开发区块链时面临的主要挑战是什么？

对开发者而言最大的挑战在于，区块链行业追求去中心化、透明化等一系列特性，故而潜在的安全风险和障碍较大，尤其是黑客攻击可能会伴随产品发展始终。原因在于：

区块链本身的发展还处于早期，技术和运营上都存在了不少的安全问题。区块链开发者的安全意识和基础技能在早期也是相对薄弱，不少底层合约代码存在较大的同质性，一旦出现问题就会有连带威胁；
2017年下半年和2018年初的区块链火热和币价的涨幅极大吸引了黑客注意力，攻击成功后的回报率通常会比传统互联网高很多；
是目前区块链上攻击的犯罪成本极低，而且通常很难被溯源追回，这也间接放纵造成了安全事件的频发。

攻击者强于建设者，怕是目前每个开发者都会面临的行业大环境。若要克服，当务之急要做的就是做风控布局，从 dapp 开发之始就加强安全防护，在投入上把安全放在第一位，在此基础上再强化运营和推广。很显然，目前整个 dapp 业态过于重视运营推广却忽略了最基础的安全防御工作，这才导致了一连串的安全事件，不仅给涉及到的 dapp 开发者带来了当头一击，也猛挫了市场的信心。

dapp 与 PeckShield 合作能利用您的哪些优势？

从我们实际观察的 dapp 攻击案例来看，相当一部分攻击是可以有效避免的。就以我们的 DAppShield 安全盾风控平台而言，开发者可以以去中心化的方式登入 DAppShield 后台，后台收录了大量的黑名单账户，开发者可以一键阻断所有黑名单；还可以进行已知攻击特征的检测，帮助开发者了解其 dapp 合约的安全情况；在出现异常攻击事件后，实施合约化一键熔断举措，最大限度减少资产损失。

应该说，DAppShield 产品考虑到开发一个 dapp 成长过程中可能遇到的各种问题，再讲 PeckShield 一年以来积累的安全能力，黑名单数据库，风控应急响应服务都开放给开发者。包括合约上线之前的审计、上线后的实时异常检测，以及攻击发生后的应急响应等等。

对于想要在区块链上构建项目的开发人员，您会给出什么建议？

答：针对 dapp 开发者，我们专门在 GitHub 上整理了一个关于 EOS 的开发者文档，地址为：《EOS智能合约安全编码规范——快速参考指南》：

对于开发者的建议：

公链之间有一定互通性，比如 TRON 是基于 ETH 开发出来的，TRON 上的 dapp 开发者就可以参考借鉴ETH上存在安全事件，就已知攻击特征进行分析，提前了解可能存在的被攻击可能，然后再借助类似于 DAppShield 安全盾相关的产品进行检验测试，排除一些已知的攻击风险。
开发者应密切和安全公司建立一定的关系，毕竟术业有专攻，安全公司从安全角度可以给开发者很多有价值的经验和服务能力，帮助开发者少走一些弯路。
开发者应慎重选择公链平台，未来一年各个公链之间会有较强的竞争性，尤其是在 dapp 生态上，都会做布局，开发者可以综合对比各大公链的开发环境选择一个相对成熟稳定有安全保障的公链平台。
尽可能早的找到合适的商业模式，之所以现在博彩类游戏会是主流，发展最好的也是博彩类 dapp，在于其有一定稳定的商业模式和相对稳定的流量来源。阻挡其他类型 dapp 成长的关键还是缺乏相对可行的商业模式，毕竟 dapp 生态创业，道阻且艰，生存下来才是第一位的。

如果你是一个开发人员并希望分享你的区块链开发经验，请随时与我们联系。我们很乐意将你的访谈整合到我们的系列文章《区块链开发者观点》中。