区块链安全发展

自2008年以来，经过10多年的行业耕耘，区块链产业已经初步形成含区块链生态基础设施、行业应用和综合服务三大板块的产业生态雏形，产业内各自细分领域发展迅猛，产业聚集效应显著，如区块链生态基础设施目前已经涵盖公链、智能合约、交易所、钱包、矿池、矿机、DApp、社区平台、媒体等多个环节，且正在与各行各业进行创新融合，为个产业的新一轮发展赋予新功能。
一直以来，安全问题是信息化社会的主旋律，也是信息产业的重大发展方向，随着区块链技术的广泛应用，区块链生态越来越丰富，随之而来的安全问题也日益严峻，加之技术本身的特性和缺陷，监管的滞后与不足，金融风险如影随形，安全问题不断暴露，安全事件屡现不止，只增不减。

1. 区块链发展中的安全事件

价值溢出事件（2010年8月）

2010年8月，一位名叫Jeff Garzik的开发人员注意到一个创造了920亿枚BTC的区块，远远超过2100万的供应上限。从本质上讲，运行代码时，如果输出结果太大以至于在求和时溢出，那么检查比特币交易的代码就会无效。黑客利用这一点创建了该区块，并添加了两笔920亿枚BTC的交易。事件发生后5小时内，中本聪发布0.3.10版本，更新后的客户端开始用有效区块替代缺陷区块，这是加密货币“硬分叉”的一个早期例子。0.3.10版本一直沿用至今，而旧链上的1840亿枚“比特币”也因此变得一文不值。这是黑客直接攻击区块链技术的少数案例之一。

AllinVain失窃事件（2011年6月）
一名黑客入侵用户名为AllinVain的矿工的硬盘并盗取了25000个BTC。虽然被盗资金是数字货币，但这种行为类似于从个人电脑窃取银行账户资金。这是第一个被报道的加密货币盗窃案件，当时影响极大。

Bitcoinica（2012年3月和5月）
Bitcoinica是一家老牌交易所，它曾在2012年遭遇两次黑客攻击。黑客利用其安全松懈的服务器，获取了客户数据（包括密钥），共计盗走61000个BTC，最终导致Bitcoinica破产。

Bitfloor（2012年9月）
与Bitcoinica的被盗过程相似，黑客入侵了Bitfloor的服务器，盗走了24000个BTC。Bitfloor从此一蹶不振，并于次年4月关闭。

Poloniex（2014年3月）
2014年3月，刚成立两个月的Poloniex交易所的服务器被入侵。一名黑客发现Poloniex的漏洞，即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后，关闭了进入受影响账户的通道。但在此之前，Poloniex加密货币总储备的12.3%被盗。Poloniex暂时将每个每个账户的余额都扣除12.3%，后续再全部恢复。Poloniex最终幸存下来，并于2018年被收购。

MtGox（2014年2月）
MtGox是当时规模最大的老牌交易所，也遭遇了最严重的黑客攻击。
MtGox最初是一个卡牌交易网站，由程序员Jed McCaleb创建。2010年7月，他读到一篇关于比特币的文章，于是修改了网站代码，用于交易比特币，并于2011年将该网站卖给了Mark Karpeles（法胖）。到了2014年，MtGox处理的比特币交易占全球70%。

2014年2月7日，MtGox宣布暂停交易，理由是其安全软件存在漏洞。两周后，网站突然消失，MtGox申请破产。此次损失共计85万BTC，在当时价值4.7亿美元。这个问题导致投资者信心受挫，比特币暴跌36%。

许多人怀疑是法胖监守自盗，他于2015年因欺诈、挪用公款和操纵用户余额等罪名被捕，但这并不能直接证明他与交易所被盗事件有关。2017年，美国当局在希腊逮捕了俄罗斯人Alexander Vinnik，他控制的钱包不仅有MtGox被盗的比特币，还包括Bitcoinica、Bitfloor的。

Bitstamp（2015年1月）
多次黑客攻击让交易所提高了警惕，开始将币存在两种钱包上。一种是冷钱包，这是一个没有连接到互联网的服务器，本质上是通过阻止外部网络访问实现air-gapping（空气间隙）。一种是热钱包，为用户提供足够的加密货币进行日常交易。2015年1月，黑客利用钓鱼手段窃取了Bitstamp的热钱包里的19000个BTC。幸运的是，Bitstamp将90%的加密货币都存在冷钱包里，逃过一劫。

DAO（2016年6月）
基于以太坊的加密货币的运作方式与比特币不同，但也被证明更易受黑客攻击。以太坊的环境不同于其他加密货币。ETH是通过“智能合约”代码进行交易的，该代码在满足预先指定的条件时运行。由于它们运行在一个由6000台计算机组成的区块链网络上，因此不受修改或审查的影响。以太坊的构架支持去中心化自治组织（DAO），把规则和决策通过代码的形式写进区块链之中，从而允许智能合约在不受人为监控的条件下运行。

2016年4月，Genesis DAO创建了一个社区，投资者可以对项目进行投票，获得20%以上支持的项目将获得资助。DAO在以太坊上筹集了2.5亿美元。到了6月，黑客发现一个允许在同一代币多次提现的漏洞，其速度高于智能合约代码更新的速度。几个小时内，DAO中30%的ETH就被转走了。失窃事件公开后，Genesis DAO实施了一个硬分叉，创建了一条新链。但这次分叉遭到以太坊社区部分成员的抵制，他们认为篡改时间戳会损害其他ETH持有者的价值。然后以太坊社区开始投票，89%的人同意接受新块。反对者从社区分离出来，坚持认为最初的链是“以太坊经典”。

这是一次真正的区块链攻击。以目前的价格计算，被盗走的360万个币如果算作ETC，价值超过4000万美元；如果算作ETH，价值将超过10亿美元。

Bitfinex（2016年8月）
这是继MtGox热钱包被盗后的第二大交易所黑客攻击，讽刺的是，本为提高安全性而设计的升级却存在漏洞，从而被黑客利用了。Bitfinex使用BitGo提供的软件建立了一个多重签名系统来授权交易。目前还不清楚黑客是如何轻松绕过多重密钥需求的，但最普遍接受的假设是，Bitfinex服务器上的系统安装不当。黑客窃取了12万个BTC，当时价值7200万美元。

Parity（2017年7月和11月）
以太坊也受过多重签名系统缺陷的影响。2017年7月17日，有人攻击了多重签名钱包提供商Parity，目标是三家最近刚完成ICO的公司。黑客一共窃取了152037个比特币，价值3200万美元。Parity将本次攻击归咎于Parity钱包版本中智能合约代码存在漏洞，并于7月20日发布了补丁。

糟糕的是，该补丁解决了智能合约的问题，却还存在另一个安全隐患。Parity在其智能合约代码上新增了“kill” 功能，该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中，而是选择跟一个中心化library（合约库）进行函数调用。11月6日，用户名为“devops199”的编程新手意外锁死了library，所有与library相连的钱包也被锁死了。受影响的钱包共计587个，包含513,774个ETH，价值约1.5亿美元。

这不是犯罪也不是恶意行为，却给以太坊带来一个大问题：是否再次进行硬分叉以恢复被锁定的587个钱包？4月，Parity向以太坊社区发起投票，最终以55%反对票拒绝了硬分叉。513,774个ETH被永久封印。

NiceHash（2017年12月）
NiceHash是一家位于斯洛文尼亚的矿场。黑客利用钓鱼成功窃取一名员工的证件，盗走4700个BTC，价值8000万美元。

Coincheck（2018年1月）
Coincheck是一家日本交易所，被盗取了5亿个NEM。黑客取出NEM后迅速兑换成其他加密货币，以至于NEM基金会放弃了恢复工作。这次损失高达5.3亿美元，超过了2014年MtGox的损失。由于Coincheck在被黑后随即冻结提现，因此用户稍感安心，交易所得以存活下来。

Coinrail和Bithumb（2018年6月）
2018年6月，韩国两家交易所的热钱包遭遇攻击。其中Coinrail损失了5300个 BTC（价值4000万美元），Bithumb损失了3100万美元。
2019年，基于区块链生态产业各个节点以及数字资产引发的区块链安全问题总体呈上升趋势，各种原因导致的安全事件也显著增加，以数字资产为工具的犯罪洗钱、恐怖融资、金融诈骗、非法集资、资金盘、传销盘、庞氏骗局等涉众型经济犯罪案件，以及利用黑客技术进行钓鱼攻击、算力攻击、智能合约漏洞攻击、网络攻击、恶意挖矿、勒索软件、暗网交易、丢币盗币等黑客攻击事件愈演愈烈。

2. 国内外区块链信息安全态势

《区块链产业安全分析报告》显示，2011年到2018年4月，全球范围内因区块链安全事件造成的损失多达28.64亿美元。损失额度从2017年开始呈现出指数上升的趋势，仅2018年前四个月，损失金额就高达19亿美元。随着数字货币的价值得到市场的认可以及各种数字货币的出现，大的数字货币交易平台随之出现，从数字货币攻击事件来看，数字货币被盗金额从几百万到几千万美元不等，2018年1月日本一家大型数字货币交易平台甚至发生了超过亿万美元的被盗事件，层出不穷的区块链平台攻击事件也从侧面反映出，随着区块链热度的增加，区块链安全问题也日益突出。

各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟，进入2018年后，以电子存证、电子发票等为代表的行业落地项目逐渐增多，区块链将向垂直行业深入融合，并逐步形成各个行业区块链应用的生态圈。在落地项目快速推进的同时，区块链在节点权限控制、私钥管理、智能合约代码漏洞、共识机制的选择等方面仍有诸多安全隐患。

机构统计发现：2011年到2018年9月，智能合约和业务应用的安全事件所占比重一直稳定在90%以上，但进入2018年后，由于智能合约的快速应用，其对应的安全事件所占比重呈现出一定的上涨。当前智能合约的应用还处在初级阶段，合约编写的规范性和严谨性难以保证，智能合约的开发和审计都缺乏行业标准，智能合约在成为区块链安全风险的“重灾区”。

区块链安全风险已引发了政产学研等各界的广泛重视，全球主要国家和地区纷纷聚焦区块链安全，从政策引导、加强监管、技术创新等多方面开展应对，已出现了第三方智能合约安全审计服务公司，以形式化验证为手段的安全审计正在被越来越多的合约开发者所接受。

3. 安全标准缺失，加快标准的制定工作

作为一种跨行业、跨领域、基础性的创新应用模式，区块链已经在金融证券、物联网、医疗等诸多领域掀起一股应用浪潮。而随着区块链技术的发展及相关应用的落地，区块链技术的安全性也在面临巨大挑战。2016年12月，欧洲网络信息安全局ENISA发布的《分布式账本技术和网络安全:提升金融领域的信息安全》从传统网络安全和区块链技术金融领域应用独有安全两方面进行了分析，风险分析方面包括密钥管理、隐私、代码安全、一致性劫持、DDoS、智能合约管理、钱包管理、防欺诈等。ISO、ITU、W3C、GSMA、IRTF/IETF等国际标准化组织已在区块链技术参考架构、智能合约安全等相关方面开展了大量的标准化工作。

国际标准化组织ISO自2016年9月成立区块链和分布式分类账本技术标准化技术委员会TC 307以来，持续开展区块链安全、隐私、身份认证、智能合约等重点方向的标准化工作，目前共有包括区块链和分布式账本技术参考架构(ISO/AWI22739)、区块链和分布式账本技术安全风险和漏洞(ISO/AWI23245)、 区块链和分布式账本技术隐私和个人可识别信息(PII)保护概述(ISO/NP TR 2324)等在内的8项区块链安全标准正在研制中。

我国积极参与国际标准化组织区块链安全标准的制定，已给国际电信联盟通讯标准化组织(ITU-T) SG17 安全工作组会议提交了“分布式账本技术安全框架”、“分布式账本技术安全威胁”、“基于分布式账本技术的移动支付服务的安全威胁和安全需求”、“基于分布式账本技术的在线投票的安全威胁”4项标准贡献文稿，并被写入新的标准文稿中。由国家互联网应急中心(简称：CNCERT)主导的《基于区块链的数字版权管理安全要求》国际标准在国际电信联盟通信标准局安全研究组(ITU-T SG17)成功通过立项，同时CNCERT还参与了《分布式账本技术安全体系架构》《基于分布式账本技术的安全服务》两项ITU-T国际标准的编辑起草工作。

目前，包括中美在内的各个国家都在积极推动区块链安全标准的制定工作，但目前为止尚未有一个统一可信的区块链安全标准问世。制定详细的安全标准，可以对区块链的安全问题进行一定程度的缓解抑制，控制住其安全问题的发生概率，为区块链技术的发展创造一个安全绿色的环境，只有这样，区块链技术才能更加健康、稳健的发展。

4. 区块链监管发展

自从比特币和区块链诞生以来，监管一直是热门话题。各国政府对待数字货币和虚拟资产的态度往往影响数字货币行情和区块链的投融资进展。

全球监管和政策制定者，都面临前所未有的挑战。区块链解决价值传输的背后，涉及互联网、物联网、金融安全、货币安全等多个方面。特别是2008年金融危机后，全球都在加大对金融的监管，特别是中国，提出要防范系统性风险。监管，一方面要清理整顿市场，避免劣币驱逐良币，让空气币项目无处遁形；一方面要形成合理引导，保障新技术的应用和改造。某种程度上，监管的容忍度和社会的创新度息息相关。公开报道显示，中国被认为是对数字货币监管最严的国家；日本则被认为是对数字货币监管最宽松的国家，很多商家甚至直接接受比特币支付；美国的数字货币监管政策严格程度被认为介于中国和日本之间；韩国则政策不稳定，宽严之间变化较为剧烈。下面为全球各国或地区对区块链所作出的的监管和政策。

（1）美国
作为享有全球铸币权好处的美元的发行国，美国不会允许数字货币冲击美元主权地位，这是条“红线”。美国正尝试将数字货币分为资产型代币（Equity Token）、证券型代币（Security Token）、应用型代币（Utility Token）三类。在实际操作中，这三类代币的边界其实较为模糊，具有一定的可转换性，尤其是前二者之间更加难以界定。
从目前美国的监管政策来看，已明确要求资产型代币、证券型代币必须注册登记，接受美国证券法等法律以及美国证交会（SEC）等机构的监管，鼓励相关企业在监管规则之内合法发展。在相关衍生品及投资上，美国监管方也一直持十分谨慎的态度。美国证交会和美国商品期货交易委员会（CFTC）多次公开警示比特币等数字货币投资风险，其中美国证交会多次驳回一些机构设立数字加密货币交易所交易基金（ETF）的申请，并列举了估值、流动性不足、不符合ETF基金托管的相关规定、套利、潜在市场操控和欺诈等五大风险。

（2）中国
2017年9月4日，中国央行等七部委（中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会）发布了《关于防范代币发行融资风险的公告》。

公告指出，“ICO本质上是一种未经批准非法公开融资的行为，涉嫌非法发售代币票券、非法发行证券以及非法集资、金融诈骗、传销等违法犯罪活动。”并要求即日停止各类代币发行融资活动，已完成代币发行融资的组织和个人应当做出清退等安排。

2018年1月下旬，央行营业管理部下发《关于开展为非法虚拟货币交易提供支付服务自查整改工作的通知》，要求辖内各法人支付机构自文件发布之日起在本单位及分支机构开展自查整改工作，严禁为虚拟货币交易提供服务，并采取有效措施防止支付通道用于虚拟货币交易。通知还要求，各单位应加强日常交易监测，对于发现的虚拟货币交易，应及时关闭有关交易主体的支付通道，并妥善处理待结算资金，避免出现群体性事件。

2018年8月21日晚，一批涉及ICO的微信公众号突然被责令屏蔽所有内容并停止使用；22日，北京市朝阳区金融社会风险防控工作领导小组办公室发布通知，要求各商场、酒店、宾馆、写字楼等不得承办任何形式的虚拟货币推介宣讲等活动。中国对ICO的监管再次加强。

（3）日本
2016年5月25日，日本国会通过了《资金结算法》修正案（已于2017年4月1日正式实施），正式承认虚拟货币为合法支付手段并将其纳入法律规制体系之内，从而成为第一个为虚拟货币交易所提供法律保障的国家。

日本现任财务大臣麻生太郎曾公开表示并不主张一定要对ICO予以监管。对于日本发生的Coincheck交易平台遭窃事件，麻生大臣也强调要注重创新与用户保护两者的平衡，而并未否认虚拟货币这一金融创新的积极意义。可见，在今后一段时期内，日本对虚拟货币及其交易乃至ICO仍将采取较为开放的态度。

（4）英国
英国金融监管机构督促银行的首席执行官们采取有效措施，降低滥用加密货币导致的金融犯罪风险。英国金融市场行为监管局（FCA）特别敦促金融机构加强对“从与加密相关的活动中获得重要业务或收入”客户的审查。这些客户包括加密货币交易所、被视为交易加密货币的个人客户，以及启动或参与发行代币的公司。

FCA将加密货币归类为“加密资产”，并表示，由于它们的匿名性可能会导致金融犯罪，因此可能会被“滥用”。

FCA建议的措施包括“对客户业务中的关键人物进行尽职调查”，并与这些客户接触，以“了解他们的秘密业务的性质及其构成的风险”。
该监管机构还呼吁银行通过培训员工，发展自己在加密货币方面的专业知识，以便“识别那些构成金融犯罪高风险的客户或活动”。

（5）法国
2018年3月法国银行建议禁止保险公司、银行和信托公司“参与加密货币业务”。法国银行主张禁止向公众推销“加密资产”等储蓄产品。

法国银行发布的报告中，对区块链技术提出了严格的概述和规定，并表明加密货币不是法定货币，不构成金钱所具备的要素。同时，报告驳斥了“加密货币大幅上涨”的过程，称后者类似于1634年到1637年荷兰“郁金香狂热”时期的“投机泡沫”。

该报告还对投资者保护和“加密风险”表示担忧，并警告说，加密行业的“繁荣活动”可能会破坏金融市场的稳定。

（6）俄罗斯
俄罗斯计划在2019年颁布“实施去中心化登记和合法证书中技术应用管理的监管法案”，以明确对区块链技术的监管。目前，俄罗斯境内的区块链已形成了包括行业监管，媒体论坛、区块链基金、电子钱包、ICO平台、交易所、行情工具、挖矿机构等一系列的区块链业态。

为了更好地促进区块链技术的发展，在市场推动下，俄罗斯多所顶尖高校都增开了有关密码学和区块链技术的新课程。据悉，目前已有莫斯科国立大学、俄罗斯的高等经济学院、圣彼得堡国立经济大学、莫斯科物理和技术学院、国家科技大学（MISIS）等众多搞笑都开设了区块链技术相关的课程，以满足俄罗斯对区块链技术人才的需求。

（7）印度
印度对区块链抱有很大的兴趣。2018年2月19日，印度总理纳伦德拉·莫迪在世界信息技术大会上说，“像区块链和物联网这样的颠覆性技术，将会对我们的生活和工作方式产生深远的影响。它们需要对工作场所的快速适应。”

印度央行的研究机构还指出，区块链技术已经“足够成熟”，成为支持印度法定货币——卢比的数字化的核心驱动力，该研究部门开发了一个新的区块链平台，以及用于印度金融行业的多个应用；印度最大的银行在2017年下半年引入区块链技术；印度证券监管机构SEBI去年成立了自己的委员会；印度的安得拉邦，在土地注册处和公民数据存储区领域，已经在开发区块链应用程序。

公认对区块链友好的国家

（1）新加坡
新加坡被认为是世界上对加密货币最友好的国家之一。新加坡中央银行对区块链技术进行了试验，并宣布开展相关项目“Project Ubin”，这是其与银行和科技公司联盟合作的一个项目，旨在探索区块链在支付、证券清算与结算中的用途。该项目的最终目标是把新加坡元放到区块链上。这一举措有助于强化新加坡作为领先金融中心和创新者探索突破性技术的形象。

（2）爱沙尼亚
爱沙尼亚对加密货币一直保持着积极的态度，有传言爱沙尼亚官方将会发行自己的虚拟货币Estcoin，虽然久久未见行动，但爱沙尼亚对区块链人才的吸引力倒是不容小觑的。
2014年，爱沙尼亚启动了电子居留计划，创业者只要花上100欧就可以在爱沙尼亚居留3年，而且只要在当地注册和登记就能在欧盟地区开展业务。

（3）委内瑞拉
2018年1月5日，委内瑞拉总统马杜罗宣布将要通过委内瑞拉虚拟币交易所发行首批1亿个“石油币”，每个“石油币”用1桶原油作为实物抵押。按相关油价计算，一个“石油币”约合52美元。
“石油币”是目前世界上唯一由政府发行的用自然资源作为实物抵押的加密数字货币。