区块链的安全问题 区块链的安全问题包括

一、区块链的5大缺点有哪些,区块链的不足之处

区块链在股权融资中的优点和缺点

区块链的缺点

1.无隐私性

区块链是分布式，在公有链上，等于每个人手上都有一份完整账本，并且由于区块链计算余额、验证交易有效性等等都需要追溯每一笔账，因此交易数据都是公开透明的，如果我知道某个人的账户，我就能知道他的所有财富和每一笔交易，没有隐私可言。

2.监管

区块链的去中心、自治化的特点淡化了国家监管的概念。然而所有的创新，都需要符合监管的要求。区块链的监管，在某种程序上是促进区块链的商业应用，更好的提供合规性保护。另一方面监管部门对这项新技术的法律和制度建立上存在滞后，也可能会毁掉区块链，需要把握好尺度。

3.安全性问题

区块链技术一大特点就是不可逆、不可伪造，但前提是私钥是安全的。私钥是用户生成并保管的，没有第三方参与。私钥一旦丢失，便无法对账户的资产做任何操作。随着量子计算机等新计算技术的发展，未来非对称加密算法具有一定的破解可能性，这也是区块链技术面临的潜在安全威胁。

4.数据确认的延迟性

区块链的交易是存在延迟性的，拿比特币举例，当前产生的交易的有效性受网络传输影响，因为要被网络上大多数节点得知这笔交易，还要等到下一个记账周期（比特币控制在10分钟左右），也就是要被大多数节点认可这笔交易。还受一个小概率事件影响，就是当网络上同时有2个或以上节点竞争到记账权力，那么在网络中就会产生2个或以上的区块链分支，这时候到底那个分支记录的数据是有效的，则要再等下一个记账周期，最终由最长的区块链分支来决定。因此区块链的交易数据是有延迟性的。

区块链的优点

1.集体维护

系统是开放的，除了交易各方的私有信息被加密外，系统是由其中所有具有维护功能的节点共同维护的，任何人都可以通过公开的接口查询区块链数据和开发相关应用，因此整个系统信息高度透明。

2.去中心化

区块链存储数据时使用的是对等网络技术，使用分布式核算和存储，不存在中心化的硬件或管理机构。所有节点的权利和义务都相等，因此任一节点停止工作都会不影响系统整体的运作。

3.无须信任系统

由于节点之间的交换遵循固定的算法，参与人不需要对任何人信任，随着参与节点增加，系统的安全性反而增加。因此交易对手无须通过公开身份的方式让对方自己产生信任，对信用的累积非常有帮助。

4.信息不可篡改

一旦信息经过验证并添加至区块链，就会永久的存储起来。生成一套按照时间先后顺序记录的、不可篡改的、可信任的数据库，从而可以限制相关不法行为。因此区块链的数据稳定性和可靠性极高。

区块链的不可篡改和撤销既是优点也是缺点，在区块链里没有后悔药，你对区块链的数据变动几乎无能为力，主要体现在：如果转账地址填错，会直接造成永久损失且无法撤销;如果丢失密钥也一样会造成永久损失无法挽回。而现实中如果你银行卡丢了或者密码忘记了，还能到银行营业点处理，你的钱还在。

区块链目前用到哪些共识机制？它们各自的优缺点和适用范围是什么

目前主要有四大类共识机制：Pow、Pos、DPos、Pool

1、Pow工作量证明，就是大家熟悉的挖矿，通过与或运算，计算出一个满足规则的随机数，即获得本次记账权，发出本轮需要记录的数据，全网其它节点验证后一起存储；

优点：完全去中心化，节点自由进出；

缺点：目前bitcoin已经吸引全球大部分的算力，其它再用Pow共识机制的区块链应用很难获得相同的算力来保障自身的安全；挖矿造成大量的资源浪费；共识达成的周期较长，不适合商业应用

2、Pos权益证明，Pow的一种升级共识机制；根据每个节点所占代币的比例和时间；等比例的降低挖矿难度，从而加快找随机数的速度。

优点：在一定程度上缩短了共识达成的时间

缺点：还是需要挖矿，本质上没有解决商业应用的痛点

3、DPos股份授权证明机制，类似于董事会投票，持币者投出一定数量的节点，代理他们进行验证和记账。

优点：大幅缩小参与验证和记账节点的数量，可以达到秒级的共识验证

缺点：整个共识机制还是依赖于代币，很多商业应用是不需要代币存在的

4、Pool验证池，基于传统的分布式一致性技术，加上数据验证机制；是目前行业链大范围在使用的共识机制

优点：不需要代币也可以工作，在成熟的分布式一致性算法（Pasox、Raft）基础上，实现秒级共识验证；

缺点：去中心化程度不如bictoin；更适合多方参与的多中心商业模式

在使用共识机制，保证数据一致性时的巨大优势（共识机制则是Ripple首先提出的，数据正确性优先的网络交易同步机制，在共识网络中，无论软件代码怎么变动，无法取得共识就无法进入网络，更不要提分叉了）。

——————————————————

PS：稍微自黑下，虽然共识机制绝对能确保任何时候都不会产生硬分叉。但是，这种机制的缺点也比较明显，那就是要取得与其他节点的共识，明显要比当前Bitcoin网络漫长的多。极端情况下，在Ripple共识机制网络中掉线的后果也是很恐怖的。

有可能你家停电一天，第二天整个系统就再也无法与其它Rippled节点取得共识了（共识机制事实上需要超过80%的节点承认了你的数据，你的提交才会被其它节点接受，否则就会被排它的拒绝连接），甚至只能清空自己全部500多GB数据重新同步才能连上其它Ripple节点。

所以目前来说，现有的Rippled端并不适合民用（商用的话影响就比较小，比如RL自己的Rippled节点托管在亚马逊云数据中心，长时间无响应是可以高额索赔的，而且那种地方除了大型灾害几乎不会断），这也是RL一直想改进的方面之一。

浅谈区块链的几大应用，哪些会是坑

区块链能做什么？区块链（BlockChain）这个伴随着比特币诞生的伟大技术，目前在金融领域应用能大幅降低交易成本，提高效率，这足以令华尔街兴奋不已。然而这仅仅是冰山一角，其潜在应用前景非常广泛，未来将颠覆我们生活的方方面面。

互联网是一种信息网络，里面流淌着0和1，区块链是一种价值网络，起到的作用是价值的传递，而不同于互联网做数据传递。

说到价值传递，有一个非常简单的场景，例如支付，我手上有100元钱，我想转到群里，可以通过微信红包或者微信转账的方式，在这个交易过程中，需要第三方的参与，而区块链的传递方式是点对点的传递，并不需要任何一个中间节点，这是区块链和我们现有架构非常大的一个区别。

说到支付的点对点，很多人会想到比特币，因为大多数人是从比特币知道区块链的，区块链和比特币又有什么区别呢？

区块链是比特币背后的技术；区块链是一种基础的技术架构，通过一个特定的数据结构和共识算法，设计实现了一个多方参与的自治系统。

特定的数据结构其实就是区块链这个名字本身，也就是他的数据是放在一块一块的数据区块里面，然后这个数据区块用一个链条进行连接和实现。“共识算法”是区块链里非常重要的概念，没有共时算法，也就没有区块链这个意义的存在。

布比区块链简介

布比区块链自成立以来一直专注于区块链技术与产品的研发与创新，拥有多项核心技术，并在多个方面取得了实质性的创新，形成多项核心技术成果，例如：可数学证明的分布式共识技术、快速的大规模账本存取技术、支持业务形态扩展的多链总账技术、异构区块链间的互联技术等。4月25日，“格格积分”将积分系统引入区块链概念，多方联合开放，积分发行及兑换，促进积分流通。各合作机构可共同参与交易验证、账本存储、实时结算;企业积分发行方的第三方支付平台，使积分进出更灵活。布比开发了自有的区块链基础服务平台，已在股权、供应链、积分、信用等领域开展应用。布比一直致力于以去(多)中心信任为核心，构建开放式价值流通网络，让数字资产自由流动起来。

讲到这里，我们再来分析一下区块链和比特币的区别是什么？

1.本质区别。比特币对于这个世界来说，它是一个基于密码学的数字货币，而区块链我们刚才说过，它是一种价值传递的协议，这两者是有本质区别的，因为一个是数字货币，一个是价值传递的协议。

2.算法。比特币的共识算法是基于一个被称为工作量证明，POW的工作算法，区块链有很多不同的共识算法，既可以用比特币POW算法又可以用POS算法，也可以用DPS算法。

3.交易速度。比特币每秒钟的交易最大只能有七笔每秒。请注意，大家请注意这里说的是最大而不是平均，因为这是一个非常严格的一个定义，对于区块链来说，其实每秒的交易次数可以达到上万次或者更多，所以这也是区块链和比特币的一个主要区别。因为很多人会混淆说，区块链这个交易的速度七笔每秒，这是不对的，这是比特币的一个限制，区块链根据它不同的共识算法以及链接方式，可以达到非常高的交易速度。

4.链接形式。比特币是基于互联网的一个区块链，也就是说我们把它称之为公有链，区块链可以有公有链的形式也可以有私有链或者联盟链的形式。

5.局限性。建议大家不要去碰跟区块链相关的一些数字货币。理由是什么呢？比特币这样一个数字货币，它虽然有挺好的不同的特性，但是它并不符合金融监管，也就是说这2100万枚比特币是在没有国家授权的情况下，没有国家信用作为倍数的情况下被发行出来的。而区块链也有一些局限性，虽然它只是一个协议，是一个技术，但是它还是处于萌芽阶段的一个新技术。

总结一下，区块链是一个比较底层的协议，是一种技术的基础架构，在它之上有各种各样不同的共识算法。如果说区块链是1的话，可能共识算法是10到20，但在它之上的应用可能会有一千或者两千，或者更多，也就是说比特币只是众多区块链应用当中的一种实现。所以，比特币和区块链是不能等同的，比特币只是区块链的一个非常初级的实现。

区块链能做什么？区块链的问题？在票据市场，基于区块链技术实现的数字票据能够成为更安全、更智能、更便捷的票据形态。借助区块链实现的点对点交易能够打破票据中介的现有功能，实现票据价值传递的去中介化；数字票据系统的搭建和数据存储不需要中心服务器，省去了中心应用和接入系统的开发成本，降低了传统模式下系统的维护和优化成本，减少了系统中心化带来的风险；基于区块链的信息不可篡改性，票据一旦完成交易，将不会存在赖账现象，从而避免“一票多卖”、打款背书不同步等行为，有效防范票据市场风险。有价证券交易市场也是区块链技术大有作为的领域。目前传统的证券交易模式，具有交易流程长、交易效率低、综合成本高的缺点，且存在强势中介和监管机构，金融消费者的权利往往得不到保障。应用区块链技术，买卖双方能够通过智能合约直接实现配对，交易执行的效率可大幅度提升，并通过分布式的数字化登记系统，自动实现结算和交割。由于录入区块的数据不可撤销且能在短时间内被拷贝到每个数据块中，录入到区块链上的信息实际上产生了公示的效果，因此交易的发生和所有权的确认不会产生争议。

区块链能做什么？区块链的问题？尽管从目前来看还没有确立成熟的底层区块链技术平台方案，容量的可扩展性、隐私保护、无法以净额结算、事后不可追索等技术难题也有待解决，大规模应用区块链技术还要重设IT架构和再造业务流程，但这些都只是技术层面的问题。而真正考验区块链技术在金融领域植根并成长的是监管机构和金融机构本体，区块链内在的“去监管化”和“去中心化”特质会不会使得市场主体没有动力驱动技术创新。但由于区块链是基于数学算法的技术，交易各方信任关系的建立完全不需要借助中介机构或权威中心，建立信任关系的成本几乎为零（在区块链金融基础设施和附属基础设施建立的前提下），且区块链代码开源开放，无地域限制，网络格局分布式互联，为未来普惠金融和共享金融的建立及发展奠定了技术基础，为全球金融融合统一创造了物质条件。单就从这一点来看，区块链技术必将在未来金融发展中确立核心地位，并和金融相互依托、相辅相成，并共赢未来。

区块链解决了什么问题吗？

区块链最重要的是解决了中介信用问题。在过去，两个互不认识和信任的人要达成协作是难的，必须要依靠第三方。比如支付行为，在过去任何一种转账，必须要有银行或者支付宝这样的机构存在。但是通过区块链技术，比特币是人类第一次实现在没有任何中介机构参与的情况下，完成双方可以互信的转账行为。这是区块链的重大突破。（交易区块链资产上“币汇交易所”）

如果用一句话说明就是：去中心化。

区块链(BlockChain)是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。

所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法。

狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。

广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

优点：

1)算法简单，容易实现；

2)节点间无需交换额外的信息即可达成共识；

3)破坏系统需要投入极大的成本。

缺点：

1)浪费能源；

2)区块的确认时间难以缩短；

3)新的区块链必须找到一种不同的散列算法，否则就会面临比特币的算力攻击；

4)容易产生分叉，需要等待多个确认；

5)永远没有最终性，需要检查点机制来弥补最终性。

区块链几大共识机制及优缺点

首先，没有一种共识机制是完美无缺的，各共识机制都有其优缺点，有些共识机制是为解决一些特定的问题而生。

1.pow(ProofofWork）工作量证明

一句话介绍：干的越多，收的越多。

依赖机器进行数学运算来获取记账权，资源消耗相比其他共识机制高、可监管性弱，同时每次达成共识需要全网共同参与运算，性能效率比较低，容错性方面允许全网50%节点出错。

优点：

1)算法简单，容易实现；

2)节点间无需交换额外的信息即可达成共识；

3)破坏系统需要投入极大的成本；

缺点：

1)浪费能源；

2)区块的确认时间难以缩短；

3)新的区块链必须找到一种不同的散列算法，否则就会面临比特币的算力攻击；

4)容易产生分叉，需要等待多个确认；

5)永远没有最终性，需要检查点机制来弥补最终性；

2.POSProofofStake，权益证明

一句话介绍：持有越多，获得越多。

主要思想是节点记账权的获得难度与节点持有的权益成反比，相对于PoW，一定程度减少了数学运算带来的资源消耗，性能也得到了相应的提升，但依然是基于哈希运算竞争获取记账权的方式，可监管性弱。该共识机制容错性和PoW相同。它是Pow的一种升级共识机制，根据每个节点所占代币的比例和时间，等比例的降低挖矿难度，从而加快找随机数的速度

优点：在一定程度上缩短了共识达成的时间；不再需要大量消耗能源挖矿。

缺点：还是需要挖矿，本质上没有解决商业应用的痛点；所有的确认都只是一个概率上的表达，而不是一个确定性的事情，理论上有可能存在其他攻击影响。例如，以太坊的DAO攻击事件造成以太坊硬分叉，而ETC由此事件出现，事实上证明了此次硬分叉的失败。

DPOS与POS原理相同，只是选了一些“人大代表”。

BitShares社区首先提出了DPoS机制。

与PoS的主要区别在于节点选举若干代理人，由代理人验证和记账。其合规监管、性能、资源消耗和容错性与PoS相似。类似于董事会投票，持币者投出一定数量的节点，代理他们进行验证和记账。

DPoS的工作原理为：

去中心化表示每个股东按其持股比例拥有影响力，51%股东投票的结果将是不可逆且有约束力的。其挑战是通过及时而高效的方法达到51%批准。为达到这个目标，每个股东可以将其投票权授予一名代表。获票数最多的前100位代表按既定时间表轮流产生区块。每名代表分配到一个时间段来生产区块。所有的代表将收到等同于一个平均水平的区块所含交易费的10%作为报酬。如果一个平均水平的区块含有100股作为交易费，一名代表将获得1股作为报酬。

网络延迟有可能使某些代表没能及时广播他们的区块，而这将导致区块链分叉。然而，这不太可能发生，因为制造区块的代表可以与制造前后区块的代表建立直接连接。建立这种与你之后的代表(也许也包括其后的那名代表)的直接连接是为了确保你能得到报酬。

该模式可以每30秒产生一个新区块，并且在正常的网络条件下区块链分叉的可能性极其小，即使发生也可以在几分钟内得到解决。

成为代表：

成为一名代表，你必须在网络上注册你的公钥，然后分配到一个32位的特有标识符。然后该标识符会被每笔交易数据的“头部”引用。

授权选票：

每个钱包有一个参数设置窗口，在该窗口里用户可以选择一个或更多的代表，并将其分级。一经设定，用户所做的每笔交易将把选票从“输入代表”转移至“输出代表”。一般情况下，用户不会创建特别以投票为目的的交易，因为那将耗费他们一笔交易费。但在紧急情况下，某些用户可能觉得通过支付费用这一更积极的方式来改变他们的投票是值得的。

保持代表诚实：

每个钱包将显示一个状态指示器，让用户知道他们的代表表现如何。如果他们错过了太多的区块，那么系统将会推荐用户去换一个新的代表。如果任何代表被发现签发了一个无效的区块，那么所有标准钱包将在每个钱包进行更多交易前要求选出一个新代表。

抵抗攻击：

在抵抗攻击上，因为前100名代表所获得的权力权是相同的，每名代表都有一份相等的投票权。因此，无法通过获得超过1%的选票而将权力集中到一个单一代表上。因为只有100名代表，可以想象一个攻击者对每名轮到生产区块的代表依次进行拒绝服务攻击。幸运的是，由于事实上每名代表的标识是其公钥而非IP地址，这种特定攻击的威胁很容易被减轻。这将使确定DDOS攻击目标更为困难。而代表之间的潜在直接连接，将使妨碍他们生产区块变得更为困难。

优点：大幅缩小参与验证和记账节点的数量，可以达到秒级的共识验证。

缺点：整个共识机制还是依赖于代币，很多商业应用是不需要代币存在的。

3.PBFT：PracticalByzantineFaultTolerance，实用拜占庭容错

介绍：在保证活性和安全性（livenesssafety）的前提下提供了(n-1)/3的容错性。

在分布式计算上，不同的计算机透过讯息交换，尝试达成共识；但有时候，系统上协调计算机（Coordinator/Commander）或成员计算机（Member/Lieutanent）可能因系统错误并交换错的讯息，导致影响最终的系统一致性。

拜占庭将军问题就根据错误计算机的数量，寻找可能的解决办法，这无法找到一个绝对的答案，但只可以用来验证一个机制的有效程度。

而拜占庭问题的可能解决方法为：

在N≥3F+1的情况下一致性是可能解决。其中，N为计算机总数，F为有问题计算机总数。信息在计算机间互相交换后，各计算机列出所有得到的信息，以大多数的结果作为解决办法。

1）系统运转可以脱离币的存在，pbft算法共识各节点由业务的参与方或者监管方组成，安全性与稳定性由业务相关方保证。

2）共识的时延大约在2~5秒钟，基本达到商用实时处理的要求。

3）共识效率高，可满足高频交易量的需求。

缺点：

1)当有1/3或以上记账人停止工作后，系统将无法提供服务；

2)当有1/3或以上记账人联合作恶，且其它所有的记账人被恰好分割为两个网络孤岛时，恶意记账人可以使系统出现分叉，但是会留下密码学证据

下面说两个国产的吧~

4.dBFT：delegatedBFT授权拜占庭容错算法

介绍：小蚁采用的dBFT机制，是由权益来选出记账人，然后记账人之间通过拜占庭容错算法来达成共识。

此算法在PBFT基础上进行了以下改进：

将C/S架构的请求响应模式，改进为适合P2P网络的对等节点模式；

将静态的共识参与节点改进为可动态进入、退出的动态共识参与节点；

为共识参与节点的产生设计了一套基于持有权益比例的投票机制，通过投票决定共识参与节点（记账节点）；

在区块链中引入数字证书，解决了投票中对记账节点真实身份的认证问题。

优点：

1)专业化的记账人；

2)可以容忍任何类型的错误；

3)记账由多人协同完成，每一个区块都有最终性，不会分叉；

4)算法的可靠性有严格的数学证明；

缺点：

1)当有1/3或以上记账人停止工作后，系统将无法提供服务；

2)当有1/3或以上记账人联合作恶，且其它所有的记账人被恰好分割为两个网络孤岛时，恶意记账人可以使系统出现分叉，但是会留下密码学证据；

以上总结来说，dBFT机制最核心的一点，就是最大限度地确保系统的最终性，使区块链能够适用于真正的金融应用场景。

5.POOL验证池

基于传统的分布式一致性技术，加上数据验证机制。

优点：不需要代币也可以工作，在成熟的分布式一致性算法（Pasox、Raft）基础上，实现秒级共识验证。

缺点：去中心化程度不如bictoin；更适合多方参与的多中心商业模式。

区块链所面临的问题？

维护成本非常高：

传统的中心化数据库只需要写入一次，而区块链需要被写入成千上万次；传统的中心化数据库只需要检验一次数据，区块链需要对数据进行成千上万次检验；传统的中心化数据库只需要传输一次数据就可以储存，区块链需要将数据传输成千上万次。

激励结构很难设计：

如何确保奖励与网络目标一致？为什么节点会保留或更新数据？当两段数据冲突时，是什么使它们选择一段数据而不是另一段数据？这些问题都都还有待探索、解答，区块链不仅需要在开始时保持一致，还需要在未来的所有时间节点上保持一致。

所有的升级都是自发的：

区块链最重要的一点在于它不是在单个实体的控制之下，不可能强制升级。所有的升级都必须向后兼容。这显然是相当困难的，尤其是如果你想要添加新特性，以及从测试的角度考虑时会更加困难。软件的每个版本都为测试矩阵添加了很多内容，并延长了发布时间。

扩展很困难

扩展的困难程度至少比传统的中心化系统高出几个量级。同样的数据必须存在于成百上千个地方，而不是在一个单一的地方。传输、验证和存储的成本是巨大的，因为必须用支付数据库中的每一个独立节点的成本，来代替传统的中心化数据库中只支付一次的成本。

以上所有导致区块链至今没有杀手级的应用（比特币除外）

援引自：为什么说区块链没那么简单

二、如何应对区块链发展风险(区块链面临的问题及对策)

区块链安全问题应该怎么解决？

区块链项目（尤其是公有链）的一个特点是开源。通过开放源代码，来提高项目的可信性，也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件，近日就有匿名币Verge（XVG）再次遭到攻击，攻击者锁定了XVG代码中的某个漏洞，该漏洞允许恶意矿工在区块上添加虚假的时间戳，随后快速挖出新块，短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止，然而没人能够保证未来攻击者是否会再次出击。

当然，区块链开发者们也可以采取一些措施

一是使用专业的代码审计服务，

二是了解安全编码规范，防患于未然。

密码算法的安全性

随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易，目前最常用的ECDSA、RSA、DSA等在理论上都不能承受量子攻击，将会存在较大的风险，越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。

当然，除了改变算法，还有一个方法可以提升一定的安全性：

参考比特币对于公钥地址的处理方式，降低公钥泄露所带来的潜在的风险。作为用户，尤其是比特币用户，每次交易后的余额都采用新的地址进行存储，确保有比特币资金存储的地址的公钥不外泄。

共识机制的安全性

当前的共识机制有工作量证明（ProofofWork，PoW）、权益证明（ProofofStake，PoS）、授权权益证明（DelegatedProofofStake，DPoS）、实用拜占庭容错（PracticalByzantineFaultTolerance，PBFT）等。

PoW面临51%攻击问题。由于PoW依赖于算力，当攻击者具备算力优势时，找到新的区块的概率将会大于其他节点，这时其具备了撤销已经发生的交易的能力。需要说明的是，即便在这种情况下，攻击者也只能修改自己的交易而不能修改其他用户的交易（攻击者没有其他用户的私钥）。

在PoS中，攻击者在持有超过51%的Token量时才能够攻击成功，这相对于PoW中的51%算力来说，更加困难。

在PBFT中，恶意节点小于总节点的1/3时系统是安全的。总的来说，任何共识机制都有其成立的条件，作为攻击者，还需要考虑的是，一旦攻击成功，将会造成该系统的价值归零，这时攻击者除了破坏之外，并没有得到其他有价值的回报。

对于区块链项目的设计者而言，应该了解清楚各个共识机制的优劣，从而选择出合适的共识机制或者根据场景需要，设计新的共识机制。

智能合约的安全性

智能合约具备运行成本低、人为干预风险小等优势，但如果智能合约的设计存在问题，将有可能带来较大的损失。2016年6月，以太坊最大众筹项目TheDAO被攻击，黑客获得超过350万个以太币，后来导致以太坊分叉为ETH和ETC。

对此提出的措施有两个方面：

一是对智能合约进行安全审计，

二是遵循智能合约安全开发原则。

智能合约的安全开发原则有：对可能的错误有所准备，确保代码能够正确的处理出现的bug和漏洞；谨慎发布智能合约，做好功能测试与安全测试，充分考虑边界；保持智能合约的简洁；关注区块链威胁情报，并及时检查更新；清楚区块链的特性，如谨慎调用外部合约等。

数字钱包的安全性

数字钱包主要存在三方面的安全隐患：第一，设计缺陷。2014年底，某签报因一个严重的随机数问题（R值重复）造成用户丢失数百枚数字资产。第二，数字钱包中包含恶意代码。第三，电脑、手机丢失或损坏导致的丢失资产。

应对措施主要有四个方面：

一是确保私钥的随机性；

二是在软件安装前进行散列值校验，确保数字钱包软件没有被篡改过；

三是使用冷钱包；

四是对私钥进行备份。

区块链的安全法则

区块链的安全法则，即第一法则：

存储即所有

一个人的财产归属及安全性，从根本上来说取决于财产的存储方式及定义权。在互联网世界里，海量的用户数据存储在平台方的服务器上，所以，这些数据的所有权至今都是个迷，一如你我的社交ID归谁，难有定论，但用户数据资产却推高了平台的市值，而作为用户，并未享受到市值红利。区块链世界使得存储介质和方式的变化，让资产的所有权交付给了个体。

拓展资料

区块链系统面临的风险不仅来自外部实体的攻击，也可能有来自内部参与者的攻击，以及组件的失效，如软件故障。因此在实施之前，需要制定风险模型，认清特殊的安全需求，以确保对风险和应对方案的准确把握。

1.区块链技术特有的安全特性

●(1)写入数据的安全性

在共识机制的作用下，只有当全网大部分节点（或多个关键节点）都同时认为这个记录正确时，记录的真实性才能得到全网认可，记录数据才允许被写入区块中。

●(2)读取数据的安全性

区块链没有固有的信息读取安全限制，但可以在一定程度上控制信息读取，比如把区块链上某些元素加密，之后把密钥交给相关参与者。同时，复杂的共识协议确保系统中的任何人看到的账本都是一样的，这是防止双重支付的重要手段。

●(3)分布式拒绝服务(DDOS)

攻击抵抗区块链的分布式架构赋予其点对点、多冗余特性，不存在单点失效的问题，因此其应对拒绝服务攻击的方式比中心化系统要灵活得多。即使一个节点失效，其他节点不受影响，与失效节点连接的用户无法连入系统，除非有支持他们连入其他节点的机制。

2.区块链技术面临的安全挑战与应对策略

●(1)网络公开不设防

对公有链网络而言，所有数据都在公网上传输，所有加入网络的节点可以无障碍地连接其他节点和接受其他节点的连接，在网络层没有做身份验证以及其他防护。针对该类风险的应对策略是要求更高的私密性并谨慎控制网络连接。对安全性较高的行业，如金融行业，宜采用专线接入区块链网络，对接入的连接进行身份验证，排除未经授权的节点接入以免数据泄漏，并通过协议栈级别的防火墙安全防护，防止网络攻击。

●(2)隐私

公有链上交易数据全网可见，公众可以跟踪这些交易，任何人可以通过观察区块链得出关于某事的结论，不利于个人或机构的合法隐私保护。针对该类风险的应对策略是：

第一，由认证机构代理用户在区块链上进行交易，用户资料和个人行为不进入区块链。

第二，不采用全网广播方式，而是将交易数据的传输限制在正在进行相关交易的节点之间。

第三，对用户数据的访问采用权限控制，持有密钥的访问者才能解密和访问数据。

第四，采用例如“零知识证明”等隐私保护算法，规避隐私暴露。

●(3)算力

使用工作量证明型的区块链解决方案，都面临51%算力攻击问题。随着算力的逐渐集中，客观上确实存在有掌握超过50%算力的组织出现的可能，在不经改进的情况下，不排除逐渐演变成弱肉强食的丛林法则。针对该类风险的应对策略是采用算法和现实约束相结合的方式，例如用资产抵押、法律和监管手段等进行联合管控。

区块链行业正迎来市场新风口，区块链行业的发展，存在哪些瓶颈问题？

区块链技术是一种新的分布式基础架构和计算范式，可实现分布式账本的共享，复制和授权。它具有多点共识的特点，难以篡改。它解决了如何在商业网络中实现跨机构信任交易的问题，将涉及金融服务的所有各方联系在一起，并带来了打破数据孤岛和提高数据质量的挑战。它具有安全性，降低交易成本的潜在优势。增强风险控制能力，在金融领域具有广阔的应用前景。区块链行业正迎来市场新风口，区块链行业的发展，存在着一些瓶颈问题。只有突破这些瓶颈，才能迎来区块链的春天。带来更好的发展。

首先，区块链技术面临着法律问题。区块链技术势必会挑战现有的法律框架。它主要是关于分布式分类帐的法律问题。区块链系统本质上是一个软件系统，在软件系统中不可避免地存在缺陷。当软件缺陷导致分类账数据中的错误或不一致时，需要从法律层面深入研究如何在分布式分类账中收集数据。当前的法律框架尚未涵盖区块链的基本要素，并且智能合约的实施还没有健全的法律基础。另外，在区块链技术的应用中，如何避免由于共享分类账数据的共享而引起的敏感信息的泄露和个人隐私也需要从法律层面进行规范。

此外，区块链带来隐私保护问题。区块链已经实现了去中介化和不信任，但是它仍然需要解决由交易双方之间的信息不对称引起的许多问题。这就需要一套信息公开机制，对身份和信誉相关信息进行多角度三维公开。当前大多数应用程序都需要通信功能。如果区块链应用的通信功能仍然基于集中式服务器，那么不仅不能保护隐私，而且直接建立智能合约关系也很困难。

最后，区块链技术的发展会带来一定的网络的安全问题。要重视和解决信息安全和网络安全问题。区块链技术并不是天生的安全。任何软件系统都不可避免地存在缺陷和漏洞，并且将面临来自网络的攻击。设计不良和管理不善的区块链系统可能很容易受到攻击。在金融行业的应用中，数据是一种资产，因此我们应该对区块链的安全性有一个全面的了解，首先将安全性设计和自我控制放在首位，避免发生比特币被盗的事件。

区块链面临哪些风险需要解决的？

虽然在资本和人才涌入的推动下，区块链行业迎来快速发展，但是作为一个新兴产业，其安全漏洞频繁示警的状况引发了人们对区块链风险的担忧。

国家信息技术安全研究中心主任俞克群指出，对于隐私暴露、数据泄露、信息篡改、网络诈骗等问题，区块链的出现给人们带来了很多期望。但区块链的安全问题依然存在诸多的挑战。

俞克群表示，目前区块链还处在初级阶段，存在着密码算法的安全性、协议安全性、使用安全性、系统安全性等诸多的挑战。

国家互联网应急中心运行部主任严寒冰也指出，区块链如果要在全球经济占有重要地位，必须首先解决其面临的安全问题。

严寒冰指出，区块链安全问题包含多个方面。比如说传统的安全问题，包括私钥的保护，包括应用层软件传统的漏洞等。另外，新的协议层面也有一些新的协议带来的漏洞。

去中心化漏洞平台(DVP)提供的数据也显示区块链安全问题的严峻性。DVP负责人吴家志透露，自7月24日来的一周内，DVP就已经收到白帽子所提供的312个漏洞，涉及175个项目方。其中包括智能合约、知名公链，交易所等一系列项目。高危漏洞达122个，占所有漏洞的39.1%，中危漏洞53个，占所有漏洞的17%。

中国信息安全测评中心主任助理李斌分析说，当前区块链分为公有链、私有链、联盟链三种，无论哪一类在算法、协议、使用、时限和系统等多个方面都面临安全挑战。尤为关键的是，目前区块链还面临的是51%的攻击问题，即节点通过掌握全网超过51%的算例就有能力成功的篡改和伪造区块链数据。

值得注意的是，除了外部恶意攻击风险，区块链也面临其内生风险的威胁。俞克群提醒说，如何围绕着整个区块链的应用系统的设备、数据、应用、加密、认证以及权限等等方面构筑一个完整的安全应用体系，是各方必须要面临的重要问题。

吴家志也分析说，作为新兴产业，区块链产业的从业人员安全意识较为缺乏，导致目前的区块链相关软硬件的安全系数不高，存在大量的安全漏洞，此外，整个区块链生态环节众多，相较之下，相关的安全从业人员力量分散，难以形成合力来解决问题。迎接上述挑战需要系统化的解决方案。

内容来源中新网

区块链投资风险及焦虑

在这个通货膨胀，钱不值钱的时代，如何保护自己的资产？对常人而言，最好的选择大概就是投资了。一般来说，投资可以是买股票、买基金、买不动产。

插一句，个人创业或开个体店，也有点投资的意思，但这种投资风险极大、失败概率90%以上。创业和开店，更多的是投资个人，尝试个人发展方向，就资产投资而言，九死一生。

投资应该“生活+”，生活才是根本。“生活+投资”是为了让未来的更有希望，是把现有的资产投资未来，让未来有一个更好的资产回报预期。然而，因为风险承受、资产投入比例、投资知识等等各方面的认知能力局限，投资常常是一件非常折磨人的事情，情绪跟着市场波动，甚至常常严重地影响到生活……

如何破解投资带来的焦虑感？自从参与区块链投资，在经历过多次巨大的波动行情，心力煎熬后，以下是个人的粗浅的认知。

1、坚守投资的两条铁律

投资，首先应该遵循两条铁律。

铁律一：拿闲钱投资，即便归零也可以承受。

这一条在平常情况下，看起来似乎不难做到，甚至毫无感觉。那是因为：盲目自信，以及刀还没有割到肉！

在刚开始投资的时候，你是相当自信的，你是认为自己能够赚钱的，否则你也不会冒这个风险。但当你对市场预期良好，认为必然会赚大钱的时候，你会很快忘记这条铁律，进而抛弃，投入更多的资产去投资，甚至借钱投资。

市场总是波动的，甚至常常是很大的波动。在有浮盈的时候，一切都不是问题。一旦出现亏损，当刀真正割到肉时才会感觉疼。由于损失厌恶，心态立马会出现波动。即便投资的闲钱，都会有失落的情绪，进而影响生活。如果是借钱或者投资资产比例过重（比如70%以上），则更是没有办法心平气和的对待，更无法做到归零也可以接受。

所以，别高估了自己的承受能力，更别高估了自己的投资能力！否则，一旦亏损，必然会影响到生活。

铁律二：和时间做朋友，做长期价值投资。

投资向来都是一件长期的事情，1-3年算是短期，5-10年算是中期。你看好一个投资项目，一定要给它时间去“生长”，才会开花结果，最后才能有收获。

大部分刚踏入投资领域的人，都是急不可耐地想要马上看到“结果”。这不是投资，是投机，犹如上了赌桌，马上就可以看到胜负，体验到狂喜或失落。

参与投资这段时间内，我大概渐渐明白了一个道理：大部分人，包括我自己，从一开始都是带着投机心态的赌徒。这种赌徒心态，把投资当成了押注，就迫切地想有所收益，天天盯盘，打探各种消息，生怕错过几个亿……

那些在股市中频繁操作短线的人，其实就是把炒股当做赌博，想从每一个小波段中获益，结果被专业机构收割。

投资是否成功，应该是眼光（价值判断）+时间+运气的组合。投资之前的分析判断至关重要，是最终收获的前提；时间是等待价值成长的过程；运气，是无法预知或无法控制的结果。

如果，对自己投资的项目的价值没有清晰的认识，且做不到长期；那么，在接下来的日子里，每一天你的内心都会随着市场波动而波动，偶尔欢喜、偶尔失落，又或大喜又或大悲，你的情绪几乎被市场牵动。

2、见好就收，你的承受能力有限

面对亏损，一开始我们遵守铁律“归零也可以接受”，这是在心态上提前给自己打的预防针。如果没有这个预防针，你很能承受不了损失的痛苦而割肉，也就是从投资中提前出局。当然，如果你看清自己投资的产品有问题，可能存在归零，那么即便是割肉，也要及时地退出，争取最少的损失。

还有另一种常见情况，即便是盈利了，也常常让人焦虑，特别是当市场回落，浮盈减少的时候，更是令人焦虑不安。

浮盈，为什么还会让人焦虑？因为不知道什么时候才是顶点。

在这个过程中，大概会有这四种情况：第一种是过早地卖出，第二种是恰当地时候卖出，第三种是因为犹豫不决错过最佳卖出机会，第四种是不为所动、坚决不卖。

可笑的是，至少90%的人都是第三种！在市场上涨的过程中，在喜悦中焦虑，在焦虑中盲目，人性的贪婪，把市场越托越高，最后泡沫破裂，一地鸡毛……

从结果上来看，第四种人和第三种人是一样的结果，都是没有卖出，错过最佳出货时机。但不同点在于第四种人是带有自愿的成分，在“长期价值投资”的信仰中摇摆、焦虑……

这里有必要把投资铁律二“和时间做朋友，做长期价值投资"拿出来说一说。既然是长期价值投资，那么面对市场行情好，大牛市的时候是不是不要操作，要做到第四种“不为所动，坚决不卖”？

可以说，很多人在上涨的行情中坚持“长期价值投资”的信仰，在市场崩盘后，又彻底陷入迷惘、沮丧。我们以为自己可以承受这种压力，实际上面对市场下跌，大部分人都很难承受这种错过最佳时机的压力，焦虑到影响生活。

这里主要问题是：因为“长期而长期”，不懂得变通，不会根据自身的情况来适当调整。

对于专业投资人而言，不为市场波动所动，坚决长期投资是可以理解。但作为普通人，面对超出预期的收益，可以适当地变通。具体的做法是：达到预期收益，分批出货。在整个上行过程中，出货量控制在20%。

这种策略，一来可以变现收益，回收投入成本；二来保持大部分资产仍然在参与中；其三，一旦市场突变，保住了部分收益，且有资金可以抄底。

所以，在上涨的行情中，不要死板地遵守“长期投资”。要见好就收，把获得的利润部分及时变现，当行情突变时，你的内心也就可以承受这种焦虑且不至于影响生活。

3、场外赚钱能力更重要

投资有很多运气成分，有时即便你做对了很多，可能运气也不一定站在你这一边。如果把财务问题都押注在投资上，则在投资的过程中很难接受“归零”的结果，也很难做到“长期”。

现实中，最常见的往往是很多人把财富的希望寄托于投资，且期望过大，在区块链投资领域尤其如此。过大的期望，自然让人陷入一种“迷信”和疯狂的状态中，从而也忘记了投资的原则。

即便在一个技术变革，充满红利的新市场，也不可能让大部分人赚钱，反过来甚至往往是90%的人被收割。当然，能够遵守投资铁律的人，基本可以避免被收割的命运，在运气好的情况下不赚钱都难。然而，绝大部分的人是做不到，其根本还是在于投机与投资的区别。

投资给我另一个较大的感触是：大部分人不适合投资（包括目前阶段的自己），不具备投资的能力（财力和智力），心力不足以应付投资带来的压力的焦虑感。

一个合格投资者，应该具备较好的场外赚钱能力，其次在心态上能够坦然面对投资带来的盈亏。当你不具备这种能力时，不是不可以投资，则应该投入自己内心真正可以承受归零的资金，至少这样你可以过好当前的生活。

别寄托于投资快速实现财富自由，这样你的心态会失衡。只有具备足够的场外赚钱能力，在面对投资的盈亏时，才会表现的淡然。盈利是对自己的嘉奖，亏损也可以承受。

4、区块链投资的疯狂与理性

历史上出现很多次新兴产业的投资泡沫，房地产投资、股票投资、互联网投资……每一次人们都以为找到了财富自由之路，很多人疯狂地参与其中，最终却一地鸡毛……

这一次区块链投资，更加疯狂，更加不理性，是不是意味着一次新的巨大泡沫正在形成？有意思的一点是，区块链泡沫已经反复破裂了几次，但每次又更加强势的反弹，更大泡沫形成……泡沫并非是没有价值，并非等同于旁氏骗局，而是指有太多不理性的投资人涌入，短期内高估了资产价值。

区块链的价值在于解决了信用问题，极大地降低了资产之间的转移成本，甚至为零。虽然目前区块链技术还没有大量的应用，带来的实际社会价值也不高，但可以预见未来一定具备极大的社会价值。

就投资而言，无论区块链技术有多大的价值，最后获益的仍然是极少数人，而绝大部分人是被收割的韭菜！从人性的角度，绝大部分人永远是追高杀跌，非理性的投资，最终成分被收割者。这区块链价值无关，泡沫的形成，是人性的贪婪。

区块链投资，面临比传统投资大得多的变数，常常波动极大，这种情况极大地考验人的心力。更可怕的是，由于区块链投资目前缺乏监管和规范，大量不合格投资人涌入，更是极大地加重了泡沫的形成。

只有理性的看到其中的巨大风险，坚持做到：遵守投资铁律、见好就收、保持场外赚钱能力，才能够避免在这场泡沫中被收割，甚至获得超高的收益。

认知是一切成功的根本！单军强的数字签名：{"sig":"990a99e1379b6ddc4ce1ed8967609aedf69a4402acd9aded11f25eb1d8008412f28c4f255353e31e5f5f1f3bbf53208d2be76d29e9e32be4afb4daae62bcfe061","msghash":"7d6f455ddb98d5b723dadb8394360b16fc980d18156eac388ebacda5dd405200"}

三、区块链技术安全都需要了解哪些问题

区块链技术相信大家应该都不陌生了，而今天我们就一起来了解一下，在区块链技术安全领域都有哪些问题是需要我们注意的，下面就开始今天的主要内容吧。

目前，企业内部进行的大多数区块链项目都是所谓的“带权限的私有链”。与公有链不同的是，私有链只能由选定的用户组访问，这些用户有权在该账本上进行输入、验证、记录和交换数据。

当然，对于一个从未获准加入的“局外人”而言，这样的网络几乎不可能被攻陷的。但随着私有链的出现，另一个问题就出现了：为了提高隐私性和安全性，我们真的需要舍弃去中心化吗?

来自《麻省理工科技评论》(MITTechnologyReview)的MikeOrcutt写道，私有链系统“可能会让它的所有者感到更安全，但它实际上只是给予了他们更多的控制权，这意味着无论其他网络参与者是否同意，他们都可以进行更改。”这类系统需要提出平衡机制，为不同的用户组授予不同级别的权限，并对验证者进行身份检查，以确保他们是自己所声称的那个人。

这就是为什么许多公司都在寻找两者兼备的方法——公有链的去中心化和私有链的额外安全性。由IBM、Corda、Ripple等主要厂商开发的联盟链，目前看来似乎是好的安全选择。简而言之，它们为企业提供了访问集中式系统的权限，且系统本身又具有一定程度的加密可审计性和安全性。

其他企业也在考虑如何通过调整公有链来满足他们的安全需求。例如，以太坊区块链已经提供了一些机制，可以利用这些机制来确保网络参与者的隐私，包括环签名、隐身地址和存储公有链的私有数据。

总的来说，区块链领域正在朝着为公有链、私有链、联盟链网络定义技术粒度隐私层的新解决方案稳步发展。IT培训发现各家公司正在积极调查和修补已知漏洞，并采用新的机制来确保各方都受到保护，任何恶意的骇客都无法攻破并利用账本中的漏洞。