行走笔记：区块链网络安全治理圆桌（一）哪些领域是黑客攻击的重点

科技是一把双刃剑，在区块链技术创新发展的同时，也伴随着背后一系列的违法犯罪以及重大的网络安全事件。链上的白帽和安全公司不断的与黑客进行斗智斗勇，而链下的警方也是重拳出击，打击违法犯罪活动，保护公民的合法财产及权益。

本篇笔记来自7月24日杭州世界区块链大会创新融合与区块链安全治理论坛。这场圆桌的主题是“区块链网络安全治理”。为我们带来圆桌论坛的嘉宾有来自刑侦队伍的资深专家，有专业的计算机安全专家和法律专家，他们将围绕安全治理展开深度对话。笔记会分三期输出。

以下，Enjoy：

圆桌主持人：《财经》区块链频道链新主编朱星

圆桌嘉宾：浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱

无极实验室首席研究员史金涛

派盾创始人兼CEO蒋旭宪

北京市中伦律师事务所律师谭天

主持人：我来币圈也好几年了，没有赚到钱的原因还是挺多的。看巴比特对我们这场圆桌的宣传是我们几位嘉宾是正义者联盟。

我想先请各位嘉宾介绍一下自已是从事什么的，为什么大家在炒币或者做投资的时候，需要有这样一群人在背后守候我们的资产？

浙江省公安厅徐昱：我是浙江省公安厅刑侦总队的民警徐玉。今天会和大家交流一些区块链安全相关的问题。我自己是从事了多年的新型涉网犯罪、打击、研判、研究的工作，也接触了很多区块链相关的犯罪案件。

我来到现场时，很多人会关心我会在现场讲些什么。其实我作为一名刑警，不会更多讨论监管相关问题，我会更多关心案件和安全相关的问题。

我们在平时对案件研判的过程中，也和行业内的一些企业有着非常良好的沟通和互动。那希望更多的从业者可以关心、关注区块链犯罪相关的案件。希望和大家有一个非常良好的互动。

无极实验室史金涛：无极实验室是一家聚焦于区块链情报、区块链安全、区块链链上犯罪研究的机构。

我们团队包括我在内，大多数来源于传统的信息安防领域。我们这个行业之前大多数的工作是聚焦在传统信息安全领域的攻防对抗、安全建设。来到区块链行业之后几年的时间里，算是亲历了从区块链安全攻防态势，到犯罪趋势的变化。

派盾蒋旭宪：派盾是一家专注区块链安全的公司，我们是一家创业公司，成立有三年时间了。

北京中伦律师事务所谭天：我们律师事务所是1993年成立的，目前是国内规模最大的律师事务所之一。我们从2015年开始，就针对区块链相关的一些法律监管和法律合规问题进行研究。也为很多企业、项目提供了法律方面的一些咨询，包括合规的法律建议和法律服务。巴比特也是我们提供法律顾问的单位之一。

主持人：想先问蒋总一个问题。你演讲中提到BTC分为受监管的和不受监管的。你是怎么定义它的？

派盾蒋旭宪：我们在交易所之间提币的时候，特别是从国内交易所提到国外交易所的时候，我们的报告里专门分析了这一部分币的流向。而且我们的预估还是相当的保守的。因为国外有的交易所是受到国外监管的，所以我们认为是在跨境的规模上、资金流量上来说是属于未受监管的规模。但BTC是去中心化的，大家可以有自己的钱包，所以钱可能转到自己的个人钱包中。这个时候至少是没有算在监管范围之内的。也因为这样的原因，我们希望对全球各大交易所都做相应的地址递要性的画像，追踪、分析。我们对各大全球各大交易所之间的资产规模、余额情况，是实时的做项目追踪的。

主持人：问徐警官一个问题。公安部公布了一个数据，涉及到灰产的，包括各种诈骗的，进来赌博的虚拟货币的团体，在今年上半年已经端掉了2.4万人，打掉了380个团伙。

我想知道您办的一些案子或者具体了解的案子，在涉及区块链或者加密资产的时候，它有哪些特点？或者我们在行业中从业，无论是投资也好，还是从业也好，应该避开哪些坑？

浙江省公安厅徐昱：对投资者而言，首先要知道，有很多新的区块链相关的案件发生，它的趋势和传统犯罪的趋势是一样的。几年以前更多的犯罪是线下的盗窃、抢夺、抢劫，但是随着电子支付以及互联网的发展，往往抢不到、偷不到现金了。同时，随着路面的监控以及人像识别技术不断的发展，传统的犯罪越来越少。在三、四年前，线上的犯罪已经超过了线下的犯罪。

区块链这个领域也是类似的。几年之前更多的是使用区块链作为一个工具去进行犯罪，比如说洗钱。但现在的区块链犯罪侵害的客体更多是区块链生态本身。

主持人：下面的问题是问做安全方面的公司的。您了解目前关于黑客攻击的或者接触的一些案子，有哪些手段？或者未来可能会有哪些新的手段出来，我们要进行防控的？

无极实验室史金涛：黑客的攻击手段要根据面对的不同的角色，攻击手段是不一样的。我分成三个不同的任务角色来聊：

1、首先是针对中心化机构。比如一些交易所，一些私募基金。最大的威胁或者黑客常用的手段依然还是来自于传统的信息安全；

传统信息安全领域的攻防对抗，在区块链行业依然会存在而且到目前为止我认为是最大的一个挑战。从18年年底到19年年初，截止到2020年有大量的专业化机构，尤其是交易所，包括我知道的可能还有一些私募基金，都在受到各种黑客的攻击。而且这些黑客的攻击开始逐渐变得国际化，甚至于某些组织是有商业化的运作模式的。甚至有一些背后还有国家的势力存在。

这种情况下我们感觉明显攻防势力就不对等了。背后的攻击团队是一个很专业化的团队，但是防守的力量，首先区块链行业比较新；另外这方面的人才也比较少。明显就属于防护方被压制的状态；

2、第二方面是来自于链上的安全。比如双花或者假充值。

中心化的机构可能遇到的双花攻击会比较多。根据无极实验室目前大概追踪了一年多的情况来看，我们现在定位到一个专门做双花攻击的团队。这个团队的成员大多来自于东欧，他们有着非常丰富的经验来干这些事情。同时他们还有很强的资源，包括资产。包括他们自己有矿场来干这样的事情。

除了双花攻击，还有针对传统链上的攻击，包括对token、智能合约、最近比较火的Defi的黑客攻击。攻击的方式大多数是去寻找链底层或者是token、智能合约里本身存在的一些业务逻辑的漏洞。或者合约本身编码不规范的时候可以被利用的一些漏洞。

这方面因为技术比较新，同时防护的时候，大家去写代码的时候的编码规范，包括开发团队对金融领域的认知还不够透彻。这是第二个方面。

3、第三个是对于普通用户的攻击。黑客对普通用户的攻击手法普遍聚焦在钓鱼和诈骗这两个层面上。

大概从18年开始，原来的一些钓鱼的手段纷纷都用到了区块链行业里。原来是在传统行业怎么钓，在区块链行业还是怎么钓。搞一些什么活动，假的空投，甚至于告诉你要去投资一个什么样的东西。有可能你进去之后就再也出不来了。你想要利息，人家要你的本金。

主持人：蒋总刚也盘点了2021年上半年的很多黑客攻击事件。你觉得接下来哪些领域可能会成为黑客攻击的重点领域？我们做投资或者做企业的需要着重关注哪些？

派盾蒋旭宪：在回答这个问题之前，我想接着刚才嘉宾的发言说几句。我们看到的问题可能会跟你的角度稍微有点不一样。我们看到了新的一些工具发展的趋势，更多的是链上、链下的融合，尤其是给勒索软件，提供了很好的一种变现渠道和通道。

包括因为区块链这样的新兴行业，在早期发展的时候，跑路、诈骗算是很有市场的，确实规模也是很大的。

另外一方面我们看到在信息工具里，尤其在新兴的Defi协议，从去年夏天开始开始一年以来它的变化情况来看，DeFI协议的攻击者都是很有准备的，不仅是协议漏洞的利用，还包括跨链资产的转移，混币服务的使用，一连串的操作，一般攻击发生之后，钱在半小时之内已经洗得干干净净了。这是给监管带来很大挑战的地方。

尤其是那些没有自动化的工具来辅助进行分析的时候，防范攻击的难度就变得非常大。

回到问题。我建议如果是真的对这个领域感兴趣的，首先千万不要拿身家性命去投资。要拿你能承受损失的金额基础上，然后多做一些相关的监调。不要相信所谓的专家、内部人士、内部消息、高回报率，这类的消息尽量少去相信。

希望大家能够尊重常识。你注重投资回报率高的时候，人家看到的是你的本金。他们最终针对的还是人一种贪婪的心理来做欺骗或或者攻击的。

如果这样的事情不幸发生了，还是尽量要多跟社区在第一时间进行互动，发现和暴露问题。以社区的力量，找到更好的渠道去报警，以司法的力量来进行追责。这个过程都是必不可少的。

主持人：唐律师想请教一下，我们在做企业、创业的过程中，特别区块链因为涉及到金融，涉及到科技，所以很多时候容易踩红线。您觉得在企业创业的过程中，合规方面，我们应该注意哪些？有什么好的建议？

北京中伦律师事务所谭天：我们给区块链企业服务的过程当中发现，目前对于区块链的企业，尤其是创业企业，需要注意的法律方面的风险主要有三点：

1、网络安全的问题

从我们国家颁布网络安全法之后，到前一阵滴滴的事件，都是涉及到网络安安全相关的问题。这个问题如果处理不好，对企业可能会影响到企业未来的发展，有可能会涉及到行政处罚，甚至是刑事责任。

2、注意数据的保护

互联网企业，尤其是区块链的企业，需要大量的对数据的存储和处理，以及脱敏和清洗数据。可能这些数据也会涉及到一些敏感的数据。如果对这些数据处理不当，会导致数据的泄露。也会产生包括民事上的、行政上的、甚至是刑事上的法律责任。

3、穿透式监管

最近我们在一些法律服务当中，发现有一些企业因为随着政府监管政策的不断加强，它可能之前从事的一些领域，比如挖矿的行业，涉及到数字资产的行业，国家在境内是不允许再继续从事的。那可能有些企业会想，是不是可以换一个名称或者换一个叫法，就可以规避国家的监管？

但是我们认为，目前的监管是一种穿透性的监管。不是说因为你的名称和国家限制的挖矿、数字资产、数字货币没有关系，那国家就不监管你了。国家是要看你企业的实质是做什么的。

因此，针对这三个方面的风险，我们的建议是：

1、对于网络安全，区块链企业通过网络提供服务和产品，企业就是一个网络运营者。根据国家法律的相关规定，你应当承担起网络运营者法律赋予的义务和责任。现在也有区块链信息服务的备案制度，要积极的按照法律的规定进行备案。

2、对于数据保护，我们相关的法律法规也已经很完善。企业在处理数据，包括对于数据的存储的安全方面，要加强数据安全保护。也可以通过使用区块链的匿名化、不可篡改的特性，保护用户的数据。

在使用数据过程当中，要征得用户明示的同意。现在法律规定是很明确的，而且要赋予用户了解数据用途，以及随时删除数据的权利。

4、关于形式和实质的问题，我们认为，区块链企业无论是做的哪一个方面的业务，溯源也好，存证也好，还是应用也好，都是要服务于基础设施建设，服务于我们国家的技术创新，服务于实体经济。而不是用这种技术来赚快钱。然

这是我们对区块链企业的几点建议。说的不到位的地方，大家再交流、再沟通。

以上是本期笔记的全部内容。

—-

编译者/作者：行走

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。