区块链领域，安全并不是一个新鲜的问题，据粗略统计，2013年以来，比特币已经被盗100万枚。黑客攻击的标志性事件，是2014年2月，世界上最早的、当时市场份额最大的比特币交易所，日本的Mt.Gox，84万个比特币被盗，交易所因此破产清算。

也许是行业过于非主流，安全问题频出，并没有得到足够的重视。

直到5月29日，360公布EOS“史诗级漏洞”，把区块链的安全问题带到台前，也把360区块链安全团队带到了台前。

360要做区块链，还是从安全口切。

早在5月25日，360发布了“区块链安全态势感知系统”，同时针对智能合约、钱包、交易所和矿池四大块推出安全解决方案。这四大块也是目前区块链领域最主流的应用，用户面最广的应用。此外，EOS超级节点也是360重点关注的领域。

360区块链安全态势感知系统功能示意图

据火星财经了解，包括币安、欧链科技等在内的区块链企业，已与360达成安全方面的深度合作。从5月底到现在，360的区块链客户数量，暴涨了10倍。

火星财经独家采访了360信息安全部负责人高雪峰。听高雪峰讲360做区块链安全的各方面想法。对话实录如下：

360信息安全部负责人高雪峰

区块链安全领域，基本没有新问题

火星财经：你们什么时候开始关注区块链的？外界看来还是比较突然的。

高雪峰：在2018年元旦前后就还是关注区块链了。所有热点的东西我们都会关注的，这是一定的。比如去年行业内热捧的AI，平时关注新的攻防理念等等。

火星财经：你们对新东西、对区块链，都关注什么啊？

高雪峰：除了关注新东西怎么改变互联网行业，我们也关注怎么把新技术应用到安全上。

拿AI来举例，一方面是考虑AI自身会不会有安全问题，AI是一个自动学习过程，你给它学习的样本如果是带有欺骗性的或者恶意的，它就学坏了，就会导致判断出错，AI就会出现安全问题；另一方面，考虑AI技术能不能引进，帮我们解决安全问题。

区块链也是同样的道理。区块链确实能解决一部分安全问题，比如分布式DDoS攻击，搞定服务器，后边的网络就瘫痪了，可以尝试用区块链技术解决DDoS攻击的问题，我们看到目前产业界学术界都有人在研究。同时，区块链不可篡改的特性可用作对账，很多操作就可以做日志记录，发布到区块链，不可篡改，不可撤销，恶意行为就不那么好做。

火星财经：区块链安全问题和互联网安全问题一样吗？

高雪峰：区块链并不是一个新技术，而是把若干传统技术融合到了一起。区块链领域出现的新应用，会呈现出一些不同的安全风险。

问题处理起来的思想和逻辑是一样的，攻击的想法、思路、手法都是类似的，但是具体的漏洞类型，还是要根据具体的业务模式去匹配。

在传统安全里会遇到的问题，在区块链中也同样会遇到。比如，智能合约，表现出来的问题是可以恶意转币、增发币，但本身逻辑都是代码问题。

比如数字钱包，移动App开发过程中遇到安全问题在数字钱包中都会出现，当然作为存储数字资产的App，出现较严重的安全问题直接会导致财产损失。

交易所也是一样得道理，抛开数字货币交易以外，它就是一套在线系统，在安全问题上，同样面临接口、服务端安全问题，也需要有完善的整体安全解决方案来防护。

火星财经：区块链领域的安全问题多吗？

高雪峰：区块链行业确实安全问题比较大。360安全团队对全球20多个钱包进行了安全审计，发现80%的都存在大大小小的安全问题。比如助记词，很容易被拿到，而拿到助记词，就相当于拿到了密钥。

全球目前有1万多家大大小小的交易所，基本没有整体的安全防护策略，交易系统没有经过安全审计、缺少安全加固是常见问题。

还有，EOS每天更新的代码量特别多，根据这个量基本可以判断，没有做代码安全测试。我们之前提交漏洞，然后跟BM沟通发现，BM这个人基本不懂安全。

火星财经：区块链行业之前的安全状况是怎么样的？

高雪峰：区块链从2017年7月开始走红，但是行业很早期，只有几个大的交易所，有自己的人做安全，但也只能算“有一点”防护能力。行业太早期，并没有第三方安全公司介入。

搭建团队，很迅速

火星财经：360的区块链安全团队怎么搭建起来的？

高雪峰： 搭建过程很迅速，因为都是安全工程师，前几年都关注过比特币，甚至参与了炒币，对区块链非常了解。

火星财经：团队日常主要做什么事情？

高雪峰：我们主要开发一个监测平台。像比如说大笔、大额交易、异常交易，或者是一些黑地址、灰地址，我们会做一些监控。这个给交易所或者国家监管部门都能用得上。

另一方面，会划出一部分精力，针对平台，挖一些漏洞或者安全问题，会报给他们官方去修。

火星财经：漏洞发现以后，什么情况会公布？

高雪峰：发现以后，会首先跟官方沟通，修护。小问题一般就不会往外说，比较严重的问题会往外公布，一方面让大家知道，这里边是有层层问题的，另一方面，希望其他家，如果也做这一块儿的，有相似的问题的，可以关注一下，解决一下。

火星财经：会选择什么时间公布？

高雪峰：比如EOS那个漏洞，是因为当时他们说6月2号要主网上线，那就得赶紧把这个事情公布了，修复了，不能说上线以后再被不法分子利用了。当然我们也借着这个热度，把我们原来做的区块链的事情，拿出来说了一下。

火星财经：你们团队用什么方法来分析区块链行业的安全问题？

高雪峰：场景是一个重点考虑问题。一个系统它可能会存在一些安全问题，还需要说能不能利用。所谓利用就是说你造成的危害到底有多大。这个利用过程就相当于他通过写一些利用程序，然后最后能达到执行的效果，比如说真实的模拟出来。你这种情况下，如果一个黑客他真的来攻击你，他到底能干哪些事？就是这样的一个过程。

区块链安全问题，请大家重视起来

火星财经：区块链安全领域的生意模式是什么样的？

高雪峰：我们现在并不太在意商业模式或赚钱能力。而是希望大家关注这个领域，而360也确实有这个能力帮创业公司解决这个问题。

我们想成立一个联盟，一个安全生态联盟，把有能力、愿意做安全的个人、团队、创业公司们，拉到一起，一起做。用一个安全生态来做到区块链行业的安全。

火星财经：如果我是一个区块链创业者，现在向你们咨询区块链安全问题，你会给我什么样的具体点的建议？

高雪峰：我们发布了一个白皮书，上边是常见的区块链安全问题，相当于一个安全审计列表，大家可以对照着规避，可以对照这个列表，查找问题，然后自己组建安全团队也可以，找第三方也可以，总之把这些问题解决掉。

火星财经：项目如果跟你们合作，相当于是把安全业务外包给你们吗？

高雪峰：不能这么讲，有一些是这么操作的，帮他们做一些安全的审计，提高他们的门槛。还有一些是公益性的，我们发现问题，然后告诉他让他去修。现阶段，公益的性质更大一些。

火星财经：现在区块链领域的项目重视安全吗？

高雪峰：客观来讲，目前区块链落地的项目都是跟币相关的，跟钱相关的，很多公司也确实愿意花钱来解决安全问题。

这跟传统的互联网领域安全不一样。传统的互联网领域，一方面大家更关注的是业务量、用户量之类的问题，另一方面，安全问题很难证伪，比如一家企业，一年花了300万解决安全问题，一年过去了，什么都没有发生。这个时候会想，如果我没花这300万，是不是也不会出问题？

币圈就不一样，币圈黑客新闻迭出不穷。发生安全事件，利益受损，才会重视问题。

火星财经：如果我是一个数字资产持有者，现在向你们咨询区块链安全问题，你会给我什么样的具体点的建议？

高雪峰：一是学会保护自己的私钥，二是学会保存数字资产，冷热钱包以及交易所按照一定比例合理分配，三是提高自己安全意识，防止被钓鱼网站攻击。

重仓区块链？还得看行业发展

火星财经：360对区块链的介入会有多深？

高雪峰：区块链对互联网的影响有多深，我们对区块链的介入就会有多深。

这个是随着行业而发展的。其实现在，所有做互联网的人，都在关注区块链，都会考虑怎么跟自己业务相结合或者做一些区块链尝试。

如果区块链接下来对行业影响特别大，那我们肯定会加大人手、精力来做这件事情。行业技术下一步怎么发展，我们下一步也会研究这个技术。

火星财经：未来有多看好区块链？

高雪峰：我个人对区块链是比较看好的，虽然它现在还主要是数字货币的应用，但是未来，我觉得它能在很多领域应用起来，包括金融领域，包括互联网C2C的领域，比如滴滴、AirBnb这种领域。