區塊鏈:慢霧創始人余弦：2020 后區塊鏈世界及安全的一些思考

在這作為已經是區塊鏈世界的局內人，我有一些思考寫出來和我的關注者們聊聊。

三個魔盒

區塊鏈發展史，我認為有三個魔盒般的里程碑，既然是魔盒，那一定是帶來足夠影響力的，雖然不一定帶來足夠的落地。

第一個就是比特幣，中本聰共識的世界，這個其實不用多說，比特幣/中本聰已經是這個世界的最高信仰。

說個有趣的，在維基百科上“密碼朋克”人物列表里，一個是中本聰，另一個是阿桑奇。阿桑奇是維基解密(WikiLeaks)創始人，2006 年底就開始運作維基解密，維基解密是通過協助知情人讓組織、企業、政府在陽光下運作的、無國界、非盈利的互聯網媒體，由于發布了大量機密文件而其飽受爭議，反正許多強大的國家不喜歡他們，最終這些國家忍無可忍，2019 年，正式把阿桑奇給抓了...

回到 2010 年，當時阿桑奇看到了比特幣的發展，宣布維基解密要接收比特幣贊助，這是個非常天才的想法，除了比特幣，維基解密的法幣贊助渠道都被各國監管嚴密封堵，而比特幣很難被封堵。當時中本聰很著急，覺得阿桑奇你這樣高調宣布，這對才發展 2 年的比特幣來說可不是個好事，畢竟維基解密是什么局面？中本聰又不是傻子，萬一一個不小心，才 2 年的比特幣被超級力量干掉，那如何是好。當時中本聰留下了一段話：

慢霧：Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道，慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，以下將分析結論同步社區：

Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中，未進一步轉移。

Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525，后無進一步轉移。

Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(馬蜂窩), and the swarm is headed towards us.

慢霧：Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息，6 月 7 日，Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約，FlashLoanProvider 合約提供閃電貸服務，用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金，Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除，流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作，FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者，隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中，向 WBNB Vault 提供流動性，由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者，因此流動性余額少于預期，則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸，然后從 WBNB Vault 中移除流動性，此時由于 WBNB Vault 中的流動性已恢復正常，因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約，耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

慢霧安全：黑客通過繞過未被驗證的賬號，非法增發20億個CASH:據慢霧區情報消息，Solana上的穩定幣項目Cashio遭遇黑客攻擊。據慢霧安全團隊初步分析，黑客通過繞過一個未被驗證的賬號，非法增發了20億個CASH代幣，并通過多個應用將CASH代幣轉化為 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP，獲利總價值：52027994.22 USD（5000多萬美金）。目前官方@CashioApp已發出公告讓用戶暫停使用合約，并發布臨時補丁修復了漏洞。[2022/3/23 14:14:07]

2011 年，中本聰消失了...我們不好推測他為什么消失，但確實比特幣已經開始失控地發展。現在回頭來看，比特幣過去的歷史波瀾成就了比特幣的今天，比特幣打開了加密貨幣世界的第一個魔盒。

第二個魔盒是以太坊打開的，引入了圖靈完備的智能合約，讓區塊鏈不僅是跑加密貨幣，還可以跑自定義計算，雖然這種計算并沒想象的那種“智能”，雖然這個魔盒的打開帶來了許多亂象，但我們現在知道：“哦，區塊鏈能做這樣的事。”

第三個魔盒是 Libra 打開的，這個魔盒的開啟，讓非加密貨幣世界的人都關注到：“哇，原來區塊鏈能被這樣的玩...”Libra 這個一攬子全球穩定幣由 Facebook 主導，整個官網充滿了數字貨幣革命的感覺，愿景極其霸氣：

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

建立一套簡單的全球貨幣和金融基礎設施，為數十億人服務。

重新創造貨幣。重塑全球經濟。讓世界各地的人們過上更美好的生活。

Libra 之后，大家也很快看到了我們國家對區塊鏈的大態度：“區塊鏈一定要干！”“加密貨幣不行，要嚴格監管！”無論如何，區塊鏈在我國是真的火了...

一個割裂

三個魔盒打開后，這個世界有一個明顯割裂：公鏈與聯盟鏈。

公鏈上的加密貨幣雖然在一些發達國家及第三世界國家已經得到某種程度的認可，比如承認這是“個人財產”，甚至在小范圍內還可以作為合法支付貨幣，但這些都在嚴格的監管法案下進行，尤其特別強調反洗錢。但加密貨幣對于現有世界秩序來說，普遍還是個被非常警惕對待的新事物。

慢霧余弦：解決數據安全問題最優解是構建零信任安全架構:金色財經現場報道，7月5日，由巴比特×算力智庫聯合主辦的《隱私計算：讓數據安全有序流動起來》主題會議上，慢霧科技創始人余弦做了主題為《區塊鏈安全建設之道》的演講。余弦表示，保障數據安全的目標是要實現資產0損失和隱私0泄露，但是人最終會成為所有安全的最大薄弱點，在數據收集、存儲、加工、使用、提供、交易、公開等環節都需要加強保障。區塊鏈僅是解決信任問題的一種復雜技術方案，面對安全問題，區塊鏈也自身難保。所以解決數據安全問題，最優的解決方案是構建零信任安全架構，明白各條鏈路的安全策略。[2020/7/5]

但聯盟鏈不一樣，聯盟鏈是現有世界秩序喜歡的形態，因為可自主也可控，縱觀現有聯盟鏈場景都可以發現一個共同特點“許可模式”。只有被許可的單位才能參與進聯盟鏈，才可以成為聯盟鏈的一個關鍵節點。聯盟鏈對應的場景一定有某種形式存在的“超級監管方”，這個“超級監管方”負責監控及管理這個場景下各方單位的活動博弈，當然這個“超級監管方”也可能被分權為“超級監控方”及“超級管理方”。你看，聯盟鏈是多好的東西。當然聯盟鏈也存在許多魚龍混雜情況，這些就不談了。

公鏈生態

特別提下公鏈生態，聯盟鏈生態沒什么好提的，讓子彈多飛會再說:-)

既然是公鏈，那就是全世界的公共區塊鏈，野蠻發展是其最大的基因，如何有效監管這是個大話題，這里不談。這里簡單羅列下公鏈世界里我認為有趣的目前是小范圍的一些剛需。

支付需求：具有全球廣泛共識的加密貨幣，如比特幣、門羅幣、以太坊，在某些場景可進行支付與結算，包括運行其上的穩定幣

金融需求：去中心化金融(DeFi) DApp，這個目前在以太坊上已經有不錯的小范圍應用出現，不過主要圍繞抵押借貸，但在向現有世界金融場景努力借鑒并在去中心化場景努力改進

娛樂需求：一些游戲競技類 DApp，比如運行在以太坊、EOS、波場上的，有高質量的，雖然相比現有世界的游戲場景來說，玩家實在太少太少

隱私需求：Web3.0，用戶掌握私鑰即掌握了資產及隱私權力，說白了就是 Web3.0 可以讓人民比較好地“當家作主”，我覺得這是個非常有意義的長遠方向，但推進速度并不會很快

炒幣需求：這個在哪個世界都是這樣“東西不炒，動力就少”，這就是為什么那么多加密貨幣交易所的存在，這也誕生了許多亂象

存儲需求：有不少人和我類似，喜歡的加密貨幣會長期持有著，那就得安全存儲著呀，加密貨幣錢包也就這樣百花齊放了

算力需求：無論是 PoW，還是 PoS/DPoS 等，本質都是擁有“算力”即擁有“出塊權”，也即擁有“鑄幣權”。當然“鑄幣權”不一定要靠“算力”來擁有，比如 USDT/TUSD/USDC/GUSD/PAX 等本質是很中心化的加密貨幣穩定幣，再比如黑客掌握了某類型漏洞也是可以有“鑄幣權”，但是黑客的這種“鑄幣權”不長久，這種漏洞在全球頂級公鏈里也不容易擁有

大概這 7 個點，可能還有一些，先這樣。這些需求的融合與進化讓我對 2020 之后的區塊鏈世界充滿期待。公鏈的進化會誕生真正的隱私、自由與安全的群體；公鏈的進化會解決國家、種族、群體之間的某些信任邊界。嗯，說的有些大，但會是這樣。

說到安全

公鏈世界里的安全是強剛需，可以認為這是一種新型的金融安全方向，所有新秩序都在“摸著石頭過河”，對于安全來說，除了一起跟著“摸著石頭過河”并沒特別清晰的指引。但我覺得這樣才有趣，方向足夠新，空間足夠大，帶著安全隊伍開疆拓土。

安全附屬在生態里，上面提的公鏈生態每個點都有絕對的安全剛需，除了傳統網絡安全攻防，更多的是公鏈本身的安全攻防，我們把這兩部分成為“鏈下安全及鏈上安全”。關于安全在區塊鏈世界的重要性，可以見我之前的一篇文章，這里不做過多講解。

安全是區塊鏈生態里的基礎設施之一，無論公鏈還是聯盟鏈。但從剛需的生意角度來看，安全在公鏈世界里是強剛需，可以誕生足夠強大的區塊鏈安全公司；安全在聯盟鏈世界里是“偽需求”，安全公司在這個世界里和在已有的世界秩序里的存在感差不多，會有，不是沒有市場，但嚴重缺乏想象力。關于聯盟鏈安全再補充一點：聯盟鏈的太多場景，安全是非常滯后的，并未如公鏈的許多場景那樣經歷過足夠的安全對抗考驗。其中一個非常可怕的安全攻防入口是“超級監管方”，這個可以直接決定一條聯盟鏈的生死。

不得不說的一點：在安全這個基礎設施之上構建的安全衍生品才是真正大的市場。這個世界需要安全的支付場景、安全的金融場景、安全的娛樂場景、安全的隱私場景、安全的炒幣場景、安全的存儲場景、安全的算力場景等等。場景里已經不是純粹的安全攻防需求，而是基于安全的衍生品需求。

在這，我們已經將安全分為兩大部分：安全產品及安全衍生品。

安全產品本身就有不少的創造空間，鏈上安全及鏈下安全的一些獨特創造：

鏈上層面可以有自己的漏洞掃描、防火墻、反洗錢等，核心組件一定是在鏈上實現的，比如在智能合約層，在智能合約的用戶層及智能合約的系統層都可以做些工作。

鏈下層面有更大的創造空間，可以有自己的漏洞掃描、威脅分析、事件分析、防火墻、反洗錢等等，核心組件在鏈下實現，通過區塊鏈的幾個入口進行相關安全策略實施，如 RPC、P2P、智能合約虛擬機等。

至于安全衍生品，需求上面有提，這里就不展開談了:-)

談了怎么給區塊鏈世界做安全，那區塊鏈技術的運用能否解決現有世界的某些安全問題呢？

當然可以呀，區塊鏈有個非常核心的能力是解決了信任的問題，前面有提到的 Web3.0，“人民當家作主”，人民掌握了私鑰即掌握了自己的資產與隱私，這個如果應用的好，可以很好解決當前互聯網隱私大爆炸（泄露）的痛點，這些隱私為什么會大爆炸呢，就是因為現有的隱私安全模型在當前的互聯網下比較脆弱。那么可以完美解決嗎？我倒是不這樣認為:-)

私鑰是個神奇的東西，是密碼學光輝的一種體現，基于私鑰是可以有許多有趣的創造，私鑰不僅個人可以使用，也可以多方使用，比如安全多方計算的運用可以解決多方角色需要授權使用資產或隱私的安全問題。雖然這些過程，不需要區塊鏈也行，但結合了區塊鏈也等同于結合了某種信任模型，區塊鏈讓密碼學的光輝應用得到進一大步的發揮。我們的創造著力點一定是在這些可信環節上。

區塊鏈不是萬能藥水或銀彈，但卻是魔法藥水，在多方博弈的場景下可以降低信任成本，降低審計成本。那是不是一定要用區塊鏈技術？這個真不是。那是不是所有公鏈都有價值？必然也不是。看事情看本質，做事情做客觀。敬畏力量，但遠離非黑即白者。

最后

最后我想說：未來虛擬世界是絕對的獨立智慧體（硅基生命），加密世界是絕對的一個大勢，加密貨幣是絕對的一個剛需存在，雖然這個未來還有不少距離，但這個未來是一座燈塔。

區塊鏈安全也追隨這這座燈塔，創造空間無限，市場空間無限。

In Blockchain We Trust;-)

感謝我的關注者與支持者們，感謝我的區塊鏈安全團隊，其中一個是慢霧，另一個是？2020 年，慢慢的，大家就會知道啦。

Tags：區塊鏈ASH聯盟鏈ULT區塊鏈通俗易懂的例子Filcoin Standard Full Hashrate Token超級聯盟鏈幣怎么獲得GLYPH Vault (NFTX)

酷幣下載