據市場上不完全統計，2011 - 2018 年期間，區塊鏈因安全事件導致的金額損失高達 31 億美元。值得注意的是，從 2017 年開始區塊鏈安全事件損失金額呈現一個指數級上升趨勢，僅 2018 年發展以來它的損失已達到 19 億美元，安全問題已經成為區塊鏈發展的核心關鍵。除了安全問題，區塊鏈密碼算法、簽名標準、底層技術框架、行業應用、測評認證等方面行業尚未達成統一共識，可交互和可操作性缺失，碎片化發展嚴重。

11 月 28 日，由 Odaily星球日報與 36Kr 集團共同主辦的 2018 P.O.D New BlockTrend 新區勢峰會在北京舉行。會上，Odaily星球日報高級分析師李雪婷、工信部互聯網金融安全技術重點實驗室主任吳震、中國民生投資集團新業態研究中心副主任劉燕、中國電子信息產業發展研究院賽迪全球公有鏈技術評估負責人蒲松濤、Cobo 高級副總裁李堯展開了一場關于《區塊鏈技術標準建設》的圓桌討論。

圓桌主要討論了：

1.區塊鏈安全的主要風險點，產生風險的原因;

2.區塊鏈技術標準的維度、可量化的指標;

3.目前我國區塊鏈測評方面取得的進展;

4.區塊鏈存儲方案，如何確定安全指標，建立安全指標體系;

5.第三方驗證機構的發展概況;

6.區塊鏈標準建設中仍需改善的問題。

(主持人)李雪婷：大家好我是 Odaily星球日報分析師李雪婷，是這場圓桌討論的主持人，我首先介紹一下我們圓桌討論的背景，我們知道區塊鏈在供應鏈管理、跨境支付、版權管理等分布式信任管理中有不錯的應用前景，但在安全存儲等數字資產管理方面仍然存在很多問題。

今天非常榮幸地邀請到幾位嘉賓，跟我們一起來探討區塊鏈技術標準建設這個話題，再次感謝幾位嘉賓，接下來我們以問答的形式來進行。

首先第一個問題是關于區塊鏈一些安全事件，我們有統計到 2017 年區塊鏈安全數據是 15 起，2018 年是 75 起，增長率大概是 373% 這樣的一個比例，從這個數據上來看是非常驚人的。

我先請教一下吳主任，目前區塊鏈安全的一些風險點主要在哪些方面，產生這些風險點的原因是什么?

吳震：區塊鏈作為一種特定信息系統，既包含信息系統所擁有的風險點，例如說 P2P 網絡攻擊等等，同時區塊鏈安全又有自己的特點。

我感覺主要是表現在三個方面：第一個是密碼算法、第二個是共識機制、第三個是智能合約。密碼算法既有算法的選擇，也有密鑰全生命周期的管理，安全也是比較大的隱患。共識機制是區跨鏈技術的核心，但很多共識機制無論邏輯上還是實現上都存在較多的隱含。智能合約方面，有大量開源的 APP 應用，一直是黑客攻擊的重災區。

從總體看，區塊鏈既有邏輯上的風險，也有實現上的風險，很多代碼實現質量不高，目前已發生的攻擊多出現在實現層面。

(主持人)李雪婷：吳主任從密碼算法、共識機制、智能合約等技術層面來講了這個問題。我想請問一下蒲總，您從公有鏈的角度、從業務層面分析一下目前的風險點主要包括哪些方面?

蒲松濤：剛才你也提到 2018 年的安全事件比 2017 年多很多，不僅是因為本身具有的安全風險，有可能是因為市場更活躍、關注度更高以及黑客帶來的安全問題。

從用戶、項目方面來講，不同的層面有不同的層級，大概的安全問題可以分為三大類，鏈穩定性的問題、數字貨幣的丟失的問題以及智能合約存在的漏洞問題。后兩個問題更重要，今年也有發生過有公有鏈遭受到攻擊的，包括近期有一條公有鏈出現了長時間沒有出塊的問題。像錢包丟失的問題，是區別于傳統互聯網領域問題的。關于智能合約的問題，今年上半年我有跟 360 相關的朋友交流過，發現問題特別多。

(主持人)李雪婷：那蒲總提到錢包丟失的問題，我想請教一下李總，您能從錢包這個角度大概分享一下錢包安全方面有哪些風險點?

李堯：我非常同意前兩位的觀點，我們觀察市場發現，最主要的損失還是來自數字資產的損失，我們先將數字資產進行定義，從 20 世紀 90 年代開始，人類科技向虛擬化和數字化兩個方向發展，變得更加地數字形態化，不僅包括數字貨幣，我們提到的數字 IP、虛擬產品(像QQ 幣)，還有商業化的信息流都歸為數字資產。

從錢包行業來看，在區塊鏈的世界中，密鑰即資產，密鑰的生成、分發、存儲、更新甚至到銷毀都會出現重大問題。比如說銷毀，用戶只是普通的刪除，但是在 BIP32 協議下，黑客通過你的子私鑰和主公鑰，就可以直接拿到你的主私鑰，進而轉移你的全部資產。所以對密鑰的管理非常重要，這也是我們做錢包公司重要原因，幫助用戶守護資產。

同時我們也發現除了安全問題以外，由于不像標準建設比較完善的傳統互聯網公司，區塊鏈行業很多標準都沒有形成，很多創業公司造成了大量的資源浪費，沒能得到有效的統一，導致事故經常發生。所以第一是要對密鑰進行管理，第二是要大家一起去探討這個事情。

(主持人)李雪婷：剛剛三位從技術和業務層面來分析了安全風險點，比如說 51% 的攻擊、智能合約這些，大概跟互聯網的一些安全風險特別像。我想請問一下劉主任，有沒有一些風險點是區塊鏈獨有的?

劉燕：區塊鏈本身是技術，剛才提到了很多技術漏洞造成的投資者和參與方的損失，這些問題的解決所需要的工作不僅僅在技術層面。不能忽略的是公司治理的問題，比如說相應的信息披露問題。

在傳統金融行業中，當投資者參與一個項目的時候，兩者之間是有契約關系的，對雙方所履行的責任、資金的用途都有非常清晰的標準，也有相應的金融中介機構來負責相關事項。反觀區塊鏈發展到今天，2018 年是白皮書發表的第十年，區塊鏈正與我們的生活發生融合，過程中必然會與我們傳統的規則、法律、制度相融合，也應該有更合理、更健全的治理機制相融合，以保證對參與方和投資者切身利益的保護。盡管區塊鏈產生的初期是完全出于去中心化的機制設計，實際業務融合過程中，在業務場景方面，傳統存在的機制還是有很大的意義。我個人認為安全問題也不是單純技術層面的問題。

(主持人)李雪婷：劉主任提到傳統機制、標準問題，很多人(包括行業內很多人)都不太了解區塊鏈技術標準，這個技術標準有沒有一些維度或者可量化的指標，請吳主任給我們普及一下。

吳震：談到技術標準，首先是可行性，另外是必要性。

從可行性來說， 目前區塊鏈技術發展處于早期，很多東西處于探索的階段，所以現在定的一些標準如果過于嚴格會對這個行業產生一定的限制作用。

從必要性來說，為什么會有標準，以通信行業為例，它的標準比較完善、健全，包括 ITU 等等。因為沒有一個企業業務可以囊括整個通信行業，各家企業間需要相互協作、互相理解，于是標準制定就成了整個行業的呼吁。除非假定一個企業能力很強，比如說蘋果，可以做到自成一體，所有東西都可以在企業內部做隨意調整，那它可以不用標準。

對應區塊鏈來說，第一整個區塊鏈需要一些定義和參考架構的標準，大家因此可以達成共識;第二應該有監管的標準，因為監管是行業和外部的接口，但至于監管怎么用是監管的事;第三是安全方面的標準，包括整體的安全要求和測評標準。大家知道安全不可能做到 100% ，但參考標準對行業安全有推動意義。

(主持人)李雪婷：如果一些定義和標準可以達成共識的話，對行業的良性發展可以起到一個指引性的作用。剛才吳主任提到測評，從區塊鏈測評方面來講，目前我國取得哪些進展?

蒲松濤：在回答您的問題之前，我接著吳主任的話簡單講一講。我認為行業里大家關注的并不是組織或者國家制定的標準，更關注的是事實的標準。前幾年我們在研究云計算的時候大家在討論一個新的技術，討論 Docker 是什么?華為認為 Docker 就是標準，現在的事實也是這樣。回到區塊鏈行業，代幣的標準是什么?代幣的標準就是 ERC-20 。如果發展到一定程度、有影響力，就會成為事實標準。我們看到很多底層架構就是以比特幣為標準做的。

關于測評，現在的區塊鏈領域，大概有四類標準：密碼相關的、技術架構方面的、面向應用的、測評的。測評這塊主要是各個組織去設定相關標準去做評級，國內有很多機構做測評，每個機構都有自己的一套標準，但行業內沒有一個統一的標準體系，大概是這樣一個情況。

(主持人)李雪婷：各家都有一個標準體系的話，會不會產生碎片化，從而阻礙行業的共同發展?

蒲松濤：我認為不會。一件產品出來以后，各家測評機構通過各自的標準體系對產品進行測評，并頒發相應證書，對行業不會帶來多大的影響。

(主持人)李雪婷：對于測評劉主任有沒有補充的內容?

劉燕：測評推進整個行業往前發展需要跨越比較大的門檻。目前存在的挑戰有很多，比如說技術本身是不是成熟的問題。判定一個行業的技術是否成熟，需要產生被這個行業大多數應用方接受的技術標準，以及需要標準在產業端落地、實施方面的龍頭型企業來進行標準的實施。目前而言，還沒有達到成熟階段。

一項成熟的技術能夠和產業、場景相融合，并推進在各個場景中落地的實現。技術和標準的發展是相輔相成非常動態的過程，一方面需要找到適合區塊鏈的應用場景，為產業端生產找到突破點，另一方面也需要在實施過程中形成一定的技術標準。需要一定的技術標準來評判一個項目是不是區塊鏈項目，同時保證我們在鏈上的數字資產的安全，保證鏈運行過程中的效率提升。

(主持人)李雪婷：劉主任剛才說到鏈上數字資產安全，我想問一下李總，關于數字資產存儲方案，這個方案是怎么去確定一些安全指標來建立安全指標體系的?

李堯：剛才三位說的標準我比較同意。我們觀察到行業的技術鑒定非常初步，初創企業需要一個行業標準，這樣對行業監管和企業自身行為規范有極大的幫助。

另外我想談一談在行業內目前不規范的標準，比如說助記詞的格式，在不同平臺上出現的標準存在多種形式，有的用英文字母，有的用漢字表示，應該要進行統一規范化。再比如行業數據為什么會被盜，我分享一個案例，去中心化漏洞平臺 DVP 此前檢測到，有超過 600 家交易所使用存在漏洞的已被廢棄的開源程序，該漏洞可使攻擊者繞過交易所原本的限制，違規修改信息，或在未授權的情況下刪除交易所的數據。就是沒有一個好的基礎協議選擇標準，這對用戶來講是非常可怕的。

那什么是好的標準的維度?在我們看來這個標準能達到在共識機制安全的標準、算法安全的標準、網絡安全的標準、應用層面的安全標準以及合約安全標準這六個層面的統一，對行業有促進意義，就也是我們 Cobo 錢包希望推動的標準。

(主持人)李雪婷：好的，大家都是從行業的角度來講標準建設，我想再問一下吳主任標準建設有什么進展?

吳震：首先已經在制定區塊鏈參考架構的國家標準，現在正在立項和起草過程中，會對區塊鏈的術語、參考架構、角色、功能模塊進行定義。我們國家互聯網應急中心也牽頭成立了一個區塊鏈平臺安全技術要求的標準，現在也完成了草案，正在征求意見。我們中心在 ITU 也牽頭了一個區塊鏈版權國際標準的制定工作。

總的來說，框架性標準是有的，但是區塊鏈應用的標準目前還處于早期，也不成熟，暫時也不是特別迫切。

(主持人)李雪婷：好的，剛才提到測評，據我了解到這個標準制定除了評價指標體系，還需要第三方驗證機構，蒲總對第三方驗證機構的發展有何看法?

蒲松濤：其實任何行業的發展除了行業自身提供技術產品之外都需要第三方的負責，包括投融資的服務等，這些都需要。對于區塊鏈來講，第三方機構的介入是非常有必要的。至少我了解到的，工信部下屬的科研單位，實際上都在技術測評等方面提供一些服務。

(主持人)李雪婷：各位嘉賓都介紹了目前區塊鏈行業標準建設的進展，我想請教一下各位，在區塊鏈標準建設當中有沒有存在一些問題目前是沒有辦法攻克，或者是仍需改善的?

吳震：處于市場上形成的符合實際情況的標準比較有生命力。比如說大家都知道的 TCP/IP 協議，出現地比較早，雖然存在不足但迅速占領了市場。非市場形成的標準因為缺乏支持容易被束之高閣。實際上標準制定上來說不存在什么問題，問題是制定的標準能否達成共識、能否落地使用。

劉燕：我個人覺得技術標準制定和技術本身發展之間需要達到一個動態的平衡。區塊鏈技術尚處于早期階段，它的發展還需要從各個維度不停地去提升其基礎功能。區塊鏈不是一個單一的技術，加密、算法、共識機制設計，激勵機制設計等所有底層技術的成熟，和各個領域的科學家對于某個方面的突破，都會推進技術的發展。

如果標準制定得覆蓋面過廣，可能會限制技術的發展。我們希望技術標準可以防范一些比如說數據上的重大風險，對應用場景或者一些敏感性數據上，采取一些類似于沙盒監管的措施，既在中間把控嚴重的漏洞風險，也符合現階段技術發展的特征，給技術發展留有比較健康的推動力。

蒲松濤：我非常同意這兩位的發言，我覺得有兩個問題是值得去探討的。第一個問題是，技術標準制定的必要性，當前整個區塊鏈行業十分活躍，過早制定標準是有影響的;第二個問題是，標準制定后是否有效，如何讓大家接受你的標準?特別像我負責的公有鏈的研究，每一條鏈都有自己的模式，協議做出來了，各個公有鏈團隊會不會認可就是問題。

技術標準制定的必要性、制定的標準是否能推廣出來。我覺得有四個方向值得研究：

1.哪些是我們現在緊缺的、必須制定的標準。我覺得最重要的是術語，這是最基本、最底層的。參考架構也很必要，更多是對于新初創團隊，這是必需的。

2.發展空間。各個測評機構、團隊、組織都有自己的測評體系，這方面的標準可以有自由發展的空間，基于測評的沙盒也是有可能的。

3.遷移。區塊鏈里很多都是傳統行業中有的技術，在傳統行業里都是有國標的。據我所知，應該是在國秘算法有 19 項，電子簽名大概有 20 項，這些標準能不能遷移到區塊鏈中來。圍繞著密碼應用的體系相對比較健全，密碼的安全大概有 10 項左右的國家標準，包括密碼應用的接口大概有 20 項國家標準，這些怎么遷移到區塊鏈行業。

4.值得探索的。剛才也提到像區塊鏈的行業應用相關的標準，包括各家行業組織也沒有提出標準，將來真有可能形成事實的行業標準，變成行標、國標。

李堯：簡單說下我的感受。鏈分為聯盟鏈、私有鏈、公有鏈，聯盟鏈和私有鏈一般不涉及到分布式節點，是公司治理而非社區治理，因此標準容易制定。公有鏈的標準多元復雜，鏈本身也在不斷演變，不斷突破，例如比特幣的閃電協議，未來可能實現毫秒級到賬，以及以太坊的雷電協議等都會極大地提高支付效率。同時對于區塊鏈的共識機制也在不斷演進，從 POW 到 POS 、DPOS 等，當這些公鏈技術和標準非常完善統一后，再反推到聯盟鏈和私有鏈，會是比較好的嘗試，從企業端來看，也會更效率化一點。

(主持人)李雪婷：四位嘉賓從不同角度對區塊鏈技術標準建設進行了一些展望，確實區塊鏈標準化建設能打通應用通道、防范應用風險，對區塊鏈應用落地有積極作用。但現在由于區塊鏈處于發展的早期，過早嚴格地制定一些標準可能會限制技術的發展。技術標準的建設不是一蹴而就的，是慢慢推進的。我們期待區塊鏈技術標準建設在團體層面和行業層面的共同努力下來推進，從而促進行業的良性發展。