行走笔记：区块链网络安全治理圆桌（二）完全的匿名和不可控，会反噬行业本

科技是一把双刃剑，在区块链技术创新发展的同时，也伴随着背后一系列的违法犯罪以及重大的网络安全事件。链上的白帽和安全公司不断的与黑客进行斗智斗勇，而链下的警方也是重拳出击，打击违法犯罪活动，保护公民的合法财产及权益。

本篇笔记来自7月24日杭州世界区块链大会创新融合与区块链安全治理论坛。这场圆桌的主题是“区块链网络安全治理”。为我们带来圆桌论坛的嘉宾有来自刑侦队伍的资深专家，有专业的计算机安全专家和法律专家，他们将围绕安全治理展开深度对话。笔记会分三期输出。上篇在这里

以下，Enjoy：

圆桌主持人：《财经》区块链频道链新主编朱星

圆桌嘉宾：浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱

无极实验室首席研究员史金涛

派盾创始人兼CEO蒋旭宪

北京市中伦律师事务所律师谭天

主持人：做律师的都是有底线思维，风险意识会特别强。但很多时候我们做事时自己会不自觉。

想问一下徐警官，对普通人来说，我们办这个事儿的出发点和初心没有问题，没有想犯罪。但是事后的行为其实是触犯了一些法律的红线。您在接触的案子中有这方面的情况吗？我们应该怎么注意？

浙江省公安厅徐昱：主持人刚才说的，在不自觉的过程中触动到法律的情况，在实际案件中并不多。我们接触到的更多是，他说他不知道，其实我们通过客观的事实证明了他其实应该是明知的。比如去年行业内赵东的案件也是一样的。

我对行业从业者说的更多的一句话是，一定要记住一句老话：君子不立危墙之下。区块链这个行业能够赚钱的项目非常多，但是哪些事情是可以做的，一定要经过自己脑子好好考虑一下。

主持人：对，如果自己不能确定的再问问律师，最好不要问到您这来。

我和很多从业者聊过，这个行业在飞快的发展，但是我们有时候觉得，监管层很多监管都是在很大的层面上，并没有落实在细节方面。各位嘉宾能否从警方的角度，从业者的角度，律师的角度，对行业的监管提出些好的建议和想法？

浙江省公安厅徐昱：在行业监管方面，从警方的角度出发，更多的看到的是一个趋势。区块链本身的匿名性、不可控性导致了传统的犯罪生态，不断的往区块链行业涌进。而且随着我们警方近几年对传统金融的不断的打击和严管，比如我们公安部打击两卡的行动。传统的银行卡、手机卡管住以后，犯罪领域的洗钱犯罪往哪里流？可能更多的就来到了去中心化的金融领域。

我自己的一个观点，我们很多从业者是希望区块链这个行业往健康的方向发展的。但是区块链完全的匿名性和不可控性，最终可能会导致或者反噬我们这个生态本身。所以对于监管问题我的观点是，完全的匿名和完全的不可控，会导致行业的负面。

其中最关键的两个底线我认为是：一是链上资金的可追踪、可追溯。大家都知道目前最大的两条公链BTC和以太坊，相对来说链上资金还是可以进行追查的。但是有部分也不是说是新的货币，它在设计之初，就想做一个完全的匿名、不可追溯的公链，这是非常危险的。具体是哪个可能大家都知道；

二是法币交易的可控，这也是底线。

我们可以看到无论Defi这个生态怎么发展，毕竟主要做的还是币币的去中心化的交易。但法币的交易还是得到中心化的交易所进行交易。中心化的交易所好歹有KYC认证等相关的认制度，在这个层面上总有一部分是可控的。如果今后有一天法币的交易也不可控了，我想可能那个时候监管层或者国家层面就会采取一些新的行动。

无极实验室史金涛：首先声明一个事情，大家可能都能看得到。任何一个新兴科技的发展，首先进入这个行业的其实是犯罪。我们可以看到互联网的出现，把犯罪从线下搬到了线上；移动互联网的出现，让犯罪或者某些诈骗等犯罪形式，从PC端搬到了手机上。

同样，区块链的出现，我们也看到从18年以来，包括盗窃、资金盘或者一些诈骗开始逐步往这个方向去发展。

但是作为一个从业者，这几年我们也一直关注这个行业。我们也看得到这个东西（犯罪的）一定不是目前整个区块链行业的主流。而且我们应该要做到的，也不能让它变成主流。

回到主持人的问题，我谈两点。核心一个思路是清除障碍。我们要把所有可能导致整个链上不可控的因素给排除掉。

第一个角度，要建立区块链安全行业的基建。做一些新基建的东西，无论是链上的一些情报的能力，包括刚刚徐局长有提到，我们需要让链上的资产去匿名化，我们需要知道这些资产到底去了哪里，不能完全是匿名的状态。这一定不是一个良好的发展状态；第二，追踪和溯源能力的建设。这一部分其实也需要大家一起去努力。这是从技术基建的角度上。

第二个角度，在合作模式上、形式上要做好和司法机关的配合。所有的机构都需要和司法机关打好配合，形成一股合力。因为司法机关这边站在一线，最多的经验，见到最多的可能都是一些直接的犯罪案件。而我们这些做机构或者说做企业的，可能对于新的一些犯罪方式的研究，包括技术可能是我们的长项。

我觉得这两方应该做比较良好合作，大家一起形成合力去解决问题。去保障区块链行业健康有序、良好的往前发展。

派盾蒋旭宪：我没有这么乐观。在我从事区块链安全领域者以来，区块链犯罪绝对是高智商、高科技的犯罪。括我们在从事各种资产的追踪上，和不少警方以及受损的项目方都有过合作。整体受到区块链犯罪损失的资金规模是相当大的。

所以有的时候我是相当悲观。刚才徐警官说，目前在比特币、以太坊上，你们认为大体上还是可以追溯的。这可能是在18年、19年上半年的情况。因为当时还比较粗浅，钱转过去，有人就会傻乎乎的转到交易所的透明地址去了。这种确实通过KYC马上就能查出来。

但目前根据我们跟踪的几个案件来看，KYC一般真正的有组织犯罪的全部是假的，买的假的身份信息。一般洗钱的时间半小时不到，就有超过几千万美元的资产就洗掉了。

洗钱的流程中，BTC确实提供了一些混币服务，但更主要的是在区块链里有真的是比较完备的，不可追溯的混币服务。我们觉得是很真的很难解。

包括DeFI协议的复杂度，它映射的攻击者的内部交易数，不仅是简单从a转到b，内部的交易数要超过上千条的交易，通过普通常规的追踪是无法确认攻击者身份的。

当然这也是追踪犯罪的攻防过程。区块链犯罪确实是高科技犯罪，也是不停的与时俱进的过程，是一个持久的攻防战。

作为研究人员，我们也需要不停的了解这个行业，需要每天不停的学习，从攻击者身上学习，从他们留下的蛛丝马迹学习，和社区一块配合，和司法机关配合。

北京中伦律师事务所谭天：我提几点建议：

第一，加强投资者教育

从投资者的角度，不管是区块链行业，还是数字资产的发展来说，区块链不是面向于全体大众的，它是面向于特定群体的。我的想法是，我们要加强投资者的教育。要提高投资者的风险防范意识和对项目的甄别手段以及防风险意识。让我们的投资者能够比较明确的辨认出来，哪些项目是好的项目，哪些项目是值得我们投资的项目。自然而然，对于哪些诈骗的、集资的项目，投资者都不去投它了，这种现象可能就会少一点；

第二，成立行业协会

对于区块链行业的从业者来说，我们要成立自己的行业协会。因为立法或者司法是有滞后性的。法律都是在行业发展到一定阶段，总结出一些经验以后，才能出台一些相关的法律政策。在法律政策出台之前，区块链的企业、负责区块链安全的企业，能不能通过成立行业协会的方式，或者发布我们自己的行业标准，或者我们自己的企业标准的方式，来规范区块链产品或服务。通过这种方式来引导大家，朝向更积极、有利的方向来发展。

主持人：刚才我们聊了在资产损失发生之前怎么去避免它的发生。那一旦我们的资产损失已经发生了，有哪些措施加以挽回呢？

北京中伦律师事务所谭天：如果说损失已经发生了。第一点我们要积极的收集一些相关的证据。现在我们也有安全的机构，可以给我们提供账户转移的相关证据，我们要积极的收集证据；

第二是要积极的报警，取得公安机关的协助，积极报案；

第三，要尽量的联合多的受害者。通过社群的方式，把受害者联合起来。人多力量大，集合在一起，对于挽回自己的损失也好，追究侵权者的责任也好。

最后一点是要通过合法的途径来维权。

派盾蒋旭宪：我认同谭律师讲的，第一，确实收集证据很重要。虽然区块链里会把各种证据都完全的保证在里面，但是现在区块链浏览器收集的证据并不一定会被司法机关采纳。

第二，要第一时间去联系相关的司法部门。目前从我们和受害方接触的经验来看，能够报上案的，还算是现实生活中的难题。包括司法管辖权、资产的配置方面。这也算是一个新兴行业必须解决或者必须经历的过程吧。

第四，我们会发现社区确实能很积极的追踪链上资产的流向，确实一定要和社区保持良好的互动。有些资产的转移不仅发生在一条链里。他们的做法是从一个资产跨到另一个资产，从一条链跨到另一个链，从国内交易所跨到国外交易所，国与国之间来回跳转。我们经历过几个案例，可能跨过好几个国家，好几条链，好几个链上资产。

这就是需要在每个阶段都需要保留相应的证据。当然也需要各个交易所、司法机关、社区、安全公司等整个生态合作伙伴的一块配合。

在早期，我认为追回的可能性还是相当大的。当然会有一部分是攻防比较严重的，也需要技术上的突破。

无极实验室史金涛：我的看法类似。如果自己的加密资产出现了丢失，尽快要干两件事情。

第一，如果有条件报警先报警；

第二，找一些专业的机构，如果自己本身不太懂，那就找一些专业的机构。对于个人来说丢币可能一辈子只发生过一次，甚至都发生不了。但是对于比较专业的机构或者司法机关来说，可能每天都在处理这样的事情。第一时间去联系这些机构进行相对应的处置，一定是有效的。

根据我们的经验，即便追踪可能是有难度的，但不代表完全追不了。因为除了本身资产的链上之外，我们还有很多传统的方式，比如说IP、设备、其他的辅助性的信息，比如手机、邮箱，即便KYC是假的，但这些不一定是假的。

主持人：问题回到徐警官这里。如果加密资产发生了丢失，我们普通人应该怎么做才能提高报案的成功率呢？

浙江省公安厅徐昱：也不是提高报案的成功率。其实对于警方来说，如果老百姓自己确实发生了财产的受损，他是受骗或者被盗的，其实警方也是会如实的进行受理或者立案的。

这一类的案件应该说防范要大于事后的追查。大家也知道区块链它本身的特点。我们在事后进行追查确实很难。现在我们对电信网络诈骗相关的工作，也是从打击转移到了以防范为主。

对于确实发生了财产受损的情况，第一时间要报警。你要向警方提供更详尽的一些信息。比如上个月有一个浙江省省内的投资者，他其实对区块链不是很懂，但他在交易所买了256个比特币，提到了去中心化的钱包里面。他是在网上随便搜索了一下“去中心化钱包”，之后就随便下载了一个，就把交易所里256个比特币给提出来了。

我们警方第一时间对他进行了详尽的调查。首先他安装钱包应用的过程是受人指导的，另外他在事后还把私钥和助记词通过微信发出去了。这个案件就变得扑朔迷离。但是因为他报案时间比较早，我们也有足够的时间去做分析。最后是定位到他下载的这个钱包应用是被黑客植入了后门的。也就是这个钱包产生新的钱包地址之后，私钥会马上被上传到后台。最后我们是定位到了犯罪嫌疑人，但是嫌疑人在境外。也就意味着我们目前能做的工作非常少。

所以事前的防范，无论是从业者还是投资者，多学、多做、多了解，时刻要保持一颗警惕的心，可能比事后去做更加多的工作都有效。

主持人：最终大家还是要保管好自己的私钥和助记词。在投资之前还是要多搜搜，或者让从业者看看，不要被第三方钓鱼了。

最后一个问题，大家怎么看未来区块链安全市场？空间能有多大？

浙江省公安厅徐昱：我对区块链安全市场和发展前景的看法，可以类比目前互联网领域或者信息技术领域的安全，它要依赖于整个生态的发展。互联网的市场发展有多大，互联网安全的市场相应的也会成正比发展。区块链安全市场的发展也离不开区块链整个生态的发展。

如果未来区块链整个生态发展是健康有序的，区块链相关的安全领域肯定是有非常大的市场的。比如我刚才提到的那位有256个比特币被盗的投资者，他有这样的经济实力去做投资，那他是会有意愿把一部分的资金拿出来，请专业的机构去做更加的安全防范。

不用说对区块链领域不是很熟悉的投资者，我昨天也和一个行业内的专业投资机构在沟通，他们在做专业投资的时候，有100个比特币也是被盗了。而且是从交易所里直接被盗走的。我想专业机构肯定比一般的投资者有更强的安全防范意识，但是也发生了被盗。所以在这个领域应该会有更多的空间，让做安全防范的公司有很大的市场。

无极实验室史金涛：我的看法类似。首先区块链行业的安全和传统的互联网安全会比较相像。我就是从信息安全领域出来的。我们看到随着数字经济的发展，或者传统的数字行业的发展，信息安全领域、传统安全领域的重视程度会越来越高。无论从2017年的勒索病毒永恒之蓝出来以后，到2020年行业内的安全厂商被攻击，再到今年5月份的时候，美国最大的石油供油公司被黑，导致整个美国的石油供应全部都断掉了。

从这些方面来看，其实安全的威胁在不断的上升。但同样的各个国家对安全的投入也在不断的加大。这是传统安全的现状。

对于互联网或者区块链安全的现状，因为区块链一诞生以来，就被打上了“解决信任问题”或者“资产”等一些标签。我们都知道，钱越多的地方对抗一定是越激烈的。在对抗这么激烈的基础之上，目前行业的基础建设，包括追踪溯源的东西其实是不完善的。所以对于区块链安全行业来说，还是有很大的发展空间的，虽然挑战巨大，但是空间也非常非常大。

派盾蒋旭宪：我说两组数据。去年底网信办显示的数据，中国网络产业的市场规模是7700亿。当然我们可能会把区块链的安全和网络安全去做比较，但我的观点完全不一样。

国外一家安全公司也做区块链安全，它现在的估值是42亿美元。

北京中伦律师事务所谭天：对区块链行业的安全来说，它有一个得天独厚的优势。区块链技术从一开始诞生，就是一个可追溯的、具有公信力的网络形式。这对于安全是非常重要的。

不只是区块链的网络安全，包括对于互联网的安全、数据的安全，甚至公共安全以及金融安全，还有在国家安全领域，区块链的这种作用会越来越得到体现。我认为区块链安全的前景是非常好的。

主持人：希望大家以后无论是创业的时候还是投资的时候，事先可以问问律师。如果对行业不了解，想了解安全的事情，多看看蒋总和史老师的报告。希望大家都不会找到徐警官，不管是来主动找他报案，还是他主动找你，我觉得都是件挺惨的事情。再一次感谢几位嘉宾的精彩分享。

以上是圆桌部分的全部内容。下篇是派盾创始人蒋旭宪的报告“2021年上半年数字货币反洗钱暨Defi行业安全”。

—-

编译者/作者：行走

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。