俄乌局势带崩股市比特币，区块链究竟是不是“罗生门”？

北京时间2月24日，俄罗斯总统普京正式宣布于乌克兰顿巴斯地区开展“军事行动”，乌克兰总统随即宣布全国进入战时状态。

对，不是吃鸡，不是坦克世界，而是真正的战争。

2022年的炮火打响导致了前所未有的市场恐慌，现货黄金则大涨3%创2020年9月1日以来新高至1974.27美元/盎司，但全球多国股市跳水，加密货币更是没能逃过大跌。

从比特币与美股指数的关联性上看，我们不得不否认其在抵御通货膨胀上完全可以算是相对稳定的资产，但曾经被誉为“数字黄金”的比特币在其该显露避险属性的时候却拉了个垮，同时也让大众意识到比特币的高风险让它难以替代黄金。

这一现况其实早有预兆：自加密世界进入大众视野之后，未曾被大众所普遍接受的原因就在于其高风险性——安全性已成为加密货币大规模采用的最大障碍之一。

随着一桩桩一件件攻击事件的爆发和天价损失的出现，区块链安全已经变得越来越重要。每当一个新的应用、新的链出现，首要问题本不应该但也应该是“它安全吗？”。

有意思的是区块链出现并大肆发展的其中一个原因恰恰是它旨在为数字信息提供无与伦比的安全性。

面对“罗生门”的指摘，区块链自己本身的安全性如此被人诟病是我们从业者必须思考与解决的，但它安全性的本质究竟是什么？

在探讨这一点前，我们首先必须真正地了解区块链。

区块链与传统数据库之间有什么差别？

这一点相信大部分读者可以说得头头是道。我们在此简述一下：区块链是一种公开透明且不可篡改的分类账本。

记录交易的典型数据库和区块链之间的一个关键区别是数据的结构方式。

区块链以块的形式收集信息，它具有一定的存储容量，填充完毕后将关闭，随后和之前那些“满”块一起链接起来——形成被称为区块链的数据链。

在区块链中数据是在多个节点之间复制、存储和验证的，而非由一个中央机构持有。

这样一来如果你想请求一笔交易，其信息将会被广播到所有节点中，最大程度上避免任何人的干涉。

区块链的优势如下：

无需中央机构控制及避免了相应的额外成本

链上数据可受信任

资产所有者可使用公钥/私钥对来为交易进行数字签名

一旦记录后，块中的数据无法被篡改

公开透明的去中心化分类帐可验证并永久有效地记录交易

交易可以数据以外的形式呈现——代码或智能合约

区块链的主要安全风险

借助区块链技术，我们在交换两种数字资产时不再需要第三方参与，而是采用被称为智能合约的代码组合来实现去中心化。

这简单的就像自动喂食机。

虽然区块链技术可以生成安全的交易账本，但区块链网络本身不可例外的会受到网络攻击和欺诈的影响。

恶意攻击者不仅可以操纵区块链中的已知漏洞，借此多年来成功的实现了多起攻击事件，并且还在“孜孜不倦”的挖掘更多的新型漏洞和攻击载体。

我们来看看黑客攻击区块链技术的四种常见方式：

路由攻击：区块链依赖于实时进行的巨大的数据传输。黑客可以在通往ISP（互联网服务提供商）的路上拦截数据。这往往很难被区块链用户察觉到。

51%攻击：大规模的公链会使用大量的计算能力来进行挖掘。如果一个恶意团体可以掌控区块链网络50%以上的算力那么他们就可以夺取对账本的控制权。在这一点上私有区块链反而不易受到51%攻击。

女巫攻击：它是p2p网络中的一种攻击形式，攻击者利用单个节点来伪造多个身份，是攻击数据冗余机制的一种有效手段。

网络钓鱼攻击：这种经典的黑客策略也适用于区块链。网络钓鱼是一种骗局，其中网络犯罪分子向钱包所有者发送虚假但看起来令人信服的电子邮件，要求他们提供凭据。

如何应对区块链的安全挑战？

区块链的主要意义来自于让人们——尤其是互不信任的人们——以一种安全、防篡改的方式共享有价值的数据。

这是因为区块链使用复杂的数学和创新的应用规则存储数据，攻击者极难操纵这些规则。但即使是拥有最优设计的区块链系统，在复杂的数学及规则之下也会被恶意利用者破坏其安全性。而这种事一旦发生，就是大批人的倾家荡产。

由于区块链仍然是一种相对较新的技术，堪称日新月异，其所面临的安全挑战也越发严峻。

但幸运的是，面对这些风险专业的安全人员可以通过各类手段来降低其威胁。

区块链安全的基本定义为了解区块链网络风险并进行管理。

保障区块链安全可分为以下几种方式：

① 智能合约审计

CertiK业内领先的审计方法及相关安全工具可对代码逻辑进行审查，并采用数学方法确保合约的逻辑符合设计规范和设计目的。经过与项目方的沟通后提出相应修改建议。这将有效帮助项目方了解合约所产生的问题及其解决方式。

②区块链渗透测试

渗透测试是由白帽黑客或安全专家对项目进行的安全评估过程，用于测试基于区块链的解决方案或应用程序的安全强度。

区块链渗透测试的主要目的是发现漏洞及安全风险，并识别解决方案中的错误配置。

通过执行区块链渗透测试，项目方可以深入了解该项目整体安全状况，并可为其修复基于区块链的解决方案或应用程序潜在的缺陷。

CertiK的渗透测试服务提供安全和深入的攻击模拟，以暴露加密货币交易所、钱包和Dapps中最复杂的漏洞。测试过程遵循6个关键步骤，包括发现、测试、报告发现以及修复后的重新测试。

③Skynet天网扫描系统

该服务本质上相当于智能合约的防病毒软件。它是一种可扩展的安全解决方案，可利用自动化技术检查部署的智能合约是否存在漏洞并挖掘实时数据提供可操作的安全见解。

分析诸如与协议互动的交易数量、用户数量及协议发出的事件数量等指标，根据这些信息描绘出一个平台在一段时间内运作的具体表现。

而对于个人投资者及相关用户来说，SKynet也可以轻易地助其监控心仪项目的安全动态。