傳統的網絡安全漏洞，往往使區塊鏈技術本身所構建的數學或邏輯意義上的安全性蕩然無存。

作為一種全新的互聯網技術，區塊鏈的安全現狀令人憂慮。目前區塊鏈常面臨私鑰的生成與保護、共識過程的中心化、智能合約代碼漏洞、簽名過程算法漏洞、系統實現代碼漏洞等安全問題。

360公司主要專注於與區塊鏈應用相關的各類網絡安全問題，包括：區塊鏈系統本身的安全問題，如智能合約的漏洞問題、區塊鏈平台的安全問題等﹔區塊鏈服務企業的網絡資產的基礎安全問題，如開源代碼安全漏洞、業務邏輯安全漏洞，以及其他一些開發漏洞﹔區塊鏈服務企業的辦公與開發系統的安全問題等。同時，360公司也關注由區塊鏈技術或虛擬貨幣衍生的網絡犯罪活動，如挖礦木馬、交易所攻擊、虛擬貨幣盜竊等。

從區塊鏈技術本身來說，目前發現的安全漏洞主要集中在智能合約上，同時，區塊鏈平台的安全問題也日益受到關注。就目前來說，真正對區塊鏈應用系統威脅最大的主要是應用系統存在的傳統安全漏洞，如源代碼漏洞、業務邏輯漏洞、網站安全漏洞、App安全漏洞等，但這些問題目前還沒有得到足夠重視。360公司在給很多區塊鏈企業的業務系統和辦公系統做安全測試時，都發現了大量的、傳統的網絡安全漏洞。這些傳統的網絡安全漏洞，往往使區塊鏈技術本身所構建的數學或邏輯意義上的安全性蕩然無存。

目前，區塊鏈技術的實際應用還非常有限，並不普及，市場前景也尚未全面展開，當下主要的應用還是集中在金融領域，極少數政府機構開始試點應用。針對區塊鏈嚴峻的安全形勢，360公司布局了較為完善的安全防護生態，涵蓋錢包、智能合約、交易所、礦池、EOS節點等方面的安全防護，包括方案設計、合規咨詢、App評估、冷錢包評估、智能合約代碼審計、滲透測試、業務邏輯測試、DDoS攻擊防護、平台加固等服務。同時，360公司與交易所的系統提供商合作，為交易所的客戶提供安全服務和產品。目前360公司已經為雄安新區和多家區塊鏈企業提供了安全服務和產品。

針對大眾認為的區塊鏈技術會導致用戶隱私泄露的想法，這可能是對區塊鏈技術的一個誤解。區塊鏈技術實際上只是在約定的范圍內實現操作的透明性和不可抵賴性，但並不是把用戶個人的所有信息都公開在鏈上。當然，如何在區塊鏈應用中保護用戶隱私信息也是一個很重要的研究方向。但泄露隱私並不是區塊鏈技術架構的必然。未來，360公司將持續推進與區塊鏈企業和區塊鏈技術使用方（相關政企機構）的積極合作，結合實際問題，研究區塊鏈技術的安全性，挖掘可能存在的漏洞，360公司即將推出區塊鏈智能合約語言Solidity的源代碼檢測工具，促進區塊鏈技術在各個領域的安全應用。（裴智勇：360行業安全研究中心主任）

分享讓更多人看到