隨著“區(qū)塊鏈+”應(yīng)用場(chǎng)景的落地呈爆發(fā)增長(zhǎng)態(tài)勢(shì)，區(qū)塊鏈未來(lái)高效和持續(xù)發(fā)展，離不開區(qū)塊鏈生態(tài)的安全建設(shè)。面對(duì)當(dāng)前形勢(shì)下頗為嚴(yán)峻的區(qū)塊鏈安全形勢(shì)，如何保障區(qū)塊鏈產(chǎn)業(yè)發(fā)展與區(qū)塊鏈安全的發(fā)展同步進(jìn)行，為“區(qū)塊鏈+”產(chǎn)業(yè)創(chuàng)新做好保駕護(hù)航工作，是當(dāng)下關(guān)注和解決的痛點(diǎn)所在。

2020年6月24日，由可信區(qū)塊鏈推進(jìn)計(jì)劃主辦的“鏈接未來(lái)”可信區(qū)塊鏈沙龍?jiān)谠贫苏匍_。本次沙龍以“區(qū)塊鏈應(yīng)用安全防護(hù)實(shí)踐與技術(shù)分享”為主題，成都鏈安受邀參加了本次云上沙龍的區(qū)塊鏈安全技術(shù)實(shí)踐分享。成都鏈安安全部門經(jīng)理岳亮亮從行業(yè)、技術(shù)、場(chǎng)景、安全生態(tài)等角度全面闡述了智能合約漏洞防護(hù)與安全測(cè)試實(shí)踐，為參會(huì)企業(yè)們提供了新的價(jià)值思考和安全生態(tài)共建路徑。

智能合約安全及漏洞防護(hù)分享： 在會(huì)上，成都鏈安安全部門經(jīng)理岳亮亮首先向企業(yè)們分享了智能合約漏洞防護(hù)經(jīng)驗(yàn)。智能合約與區(qū)塊鏈的結(jié)合被認(rèn)為是區(qū)塊鏈?zhǔn)澜绲囊淮卫锍瘫缴?jí)，但智能合約技術(shù)發(fā)展也面臨諸多挑戰(zhàn)，特別是安全性問題。隨著智能合約數(shù)量的增多，去中心化應(yīng)用的推廣，智能合約涉及的數(shù)字資產(chǎn)數(shù)量也在指數(shù)級(jí)別增長(zhǎng)。相比傳統(tǒng)軟件，智能合約的安全問題更為復(fù)雜且嚴(yán)峻。

針對(duì)智能合約引起的安全問題，岳亮亮提出以下建議： 1. 簡(jiǎn)化智能合約的設(shè)計(jì)，平衡功能與安全。 2. 嚴(yán)格執(zhí)行智能合約代碼安全審計(jì)，包括自評(píng)、項(xiàng)目組review和第三方審計(jì)。 3. 強(qiáng)化智能合約開發(fā)者的安全培訓(xùn)。 4. 在區(qū)塊鏈應(yīng)用落地過程中，逐步推進(jìn)，從簡(jiǎn)單到復(fù)雜，在此過程中不斷梳理合約與平臺(tái)相關(guān)功能和安全屬性。 5. 考慮DevSecOps（Development+Security+Operations）的思想。

總結(jié)來(lái)說，智能合約安全性問題的關(guān)鍵在于智能合約代碼的安全性，同時(shí)也需要考慮運(yùn)行環(huán)境和區(qū)塊鏈平臺(tái)的安全性。因此，企業(yè)們應(yīng)全方面做好智能合約安全審計(jì)并加強(qiáng)風(fēng)控策略。必要時(shí)可聯(lián)系第三方專業(yè)審計(jì)團(tuán)隊(duì)，在上鏈前進(jìn)行完善的代碼安全審計(jì)。另外，盡快將合約代碼開源，吸引更多專業(yè)人士和技術(shù)團(tuán)隊(duì)參與分析，提升合約編寫的安全性和功能準(zhǔn)確性。

鏈平臺(tái)漏洞頻出，構(gòu)筑安全堡壘勢(shì)在必行： 2020年，聯(lián)盟鏈和公鏈快速發(fā)展，行業(yè)蓬勃發(fā)展的同時(shí)也面臨安全風(fēng)險(xiǎn)問題。如何應(yīng)對(duì)復(fù)雜的安全問題，保障聯(lián)盟鏈和公鏈的清朗生態(tài)，對(duì)專業(yè)的安全團(tuán)隊(duì)提出了挑戰(zhàn)。目前鏈平臺(tái)安全主要包括共識(shí)安全、交易安全、合規(guī)、賬戶安全、端點(diǎn)安全、RPC安全等方面。相較于聯(lián)盟鏈，公鏈的安全問題更加突出，因?yàn)楣準(zhǔn)悄涿覠o(wú)準(zhǔn)入控制的，作惡行為很難被發(fā)現(xiàn)。此外，公鏈上應(yīng)用發(fā)布沒有審核，上鏈應(yīng)用質(zhì)量良莠不齊，也是公鏈漏洞較多的主要原因之一。

在當(dāng)前鏈平臺(tái)漏洞頻出的背景下，鏈平臺(tái)的深度安全檢測(cè)勢(shì)在必行。成都鏈安采用攻擊測(cè)試加上專家人工代碼審計(jì)的方式對(duì)區(qū)塊鏈平臺(tái)進(jìn)行深度安全審計(jì)。審計(jì)方式包括黑盒、灰盒和白盒，漏洞涵蓋10大項(xiàng)39小項(xiàng)。目前，成都鏈安已經(jīng)完成24個(gè)鏈平臺(tái)的深度安全檢測(cè)，發(fā)現(xiàn)了30多個(gè)高危漏洞。

成都鏈安安全部門經(jīng)理岳亮亮強(qiáng)調(diào)，區(qū)塊鏈深度安全檢測(cè)非常必要。它是解決安全事件頻發(fā)的區(qū)塊鏈

熱點(diǎn)：區(qū)塊鏈 區(qū)塊鏈技術(shù) 平臺(tái) 數(shù)字貨幣 貨幣平臺(tái)