打開電視，翻開科技博客，難免被大量比特幣或區塊鏈的消息淹沒。比特幣如此流行的最大原因，在于其去年狂漲2000%的價格。比特幣價值的倍增，也引爆了對其支撐技術區塊鏈的關注，盡管區塊鏈可能才是長期投資的更佳選擇。

區塊鏈技術已為大幅影響我們的世界做好了準備。2017年初，《哈佛商業評論》認為，區塊鏈具備創建經濟及社會系統新基礎的潛力。2017年1月的世界經濟論壇報告預測，到2025年，全球GDP的10%將存儲在區塊鏈或區塊鏈相關技術上。如果你對十年之內將承載 10% GDP 的技術還知之甚少，那你真應該開始學習一下了。

區塊鏈是什么？

區塊鏈是數字日志文件，采用加密技術，保護在線交易數據。區塊鏈技術的思想在1991年成型，比特幣，是將分布式公共區塊鏈付諸實踐的第一個應用。區塊是交易記錄的數字存檔，交易的確立需要區塊鏈參與者的同意。通常，區塊包含有諸如價格、動作（購買、售出、轉移等等）之類的交易數據，還有一個時間戳。每筆交易（或一系列交易）創建一個區塊。每個新加入的區塊包含有之前區塊的密碼散列（如今該散列通常是SHA-256）。如此一來，每個交易區塊都被加密鎖定到之前的區塊上。

如果區塊鏈公開分布，就像比特幣一樣，那么每個參與者都能驗證該區塊鏈中任一交易。你可能無法看到某個參與者持有的錢數或價值，除非該信息被包含在交易記錄中；但你可以看到兩名參與者之間交易的價值，并能驗證其有效性。通過出示難以偽造但易被所有參與者驗證的密碼證明，任意參與者都可以證明自己對特定區塊鏈賬戶的所有權。

區塊鏈的機制可用公鑰/私鑰密碼體制做類比，該密碼體制中每個參與者可用私鑰創建簽名內容，而其他所有參與者可用相關聯的公鑰，很方便地驗證該簽名內容。

正如云計算有公共云、私有云和混合云，區塊鏈也有公共鏈、私有鏈和混合鏈三種模式。你可以創建自己的區塊鏈，使用具共同利益的更大群體提供的其他區塊鏈，甚或參與進全球性的公共鏈，比如比特幣。盡管還是個相對較新的功能，私有區塊鏈和公共區塊鏈還是可以相互加入的。

從比特幣到區塊鏈

大多數人對區塊鏈的認知源于比特幣，該流行加密貨幣是由昵稱為“中本聰”的人/團隊，于2008年創建的。中本聰并沒有發明區塊鏈的概念，但他確實為去中心化賬簿和數字貨幣交易驗證，引入了分布式區塊鏈的概念。這一概念解決了無可信第三方的去中心化數字貨幣固有的“重復付款”問題。

2008年10月，中本聰在metzdowd.com的加密郵件列表中發布了一篇文章，題為《比特幣：點對點電子現金系統》。2009年，他生成了區塊鏈的第一個區塊，創建了可供任何人下載來挖掘比特幣的軟件。文章剛發布那幾天就下載了該軟件的人中，有人很快就產生了3枚比特幣。

盡管從一開始，比特幣的前景和最終價值就體現了出來，但首筆“官方”交易，是用1萬個比特幣買了價值20美元的披薩。今天，比特幣的價值有了大幅增長，12月12日交易價格創下17428.42美元的歷史新高，但波動頻繁而巨大。巨大而快速的價格上漲，引起了投資人和金融公司CEO們的注意，盡管未必持肯定態度。很多投資人將比特幣的價格上漲，類比成17世紀的荷蘭郁金香泡沫——某些投資者一夜暴富，而懷疑者只能旁觀自己的朋友晉升富人階級。

比特幣、挖礦軟件和分布式網絡建立的方式，一系列新生成的比特幣，讓下一個比特幣的產生越來越困難。于是，以往一臺電腦幾個小時就能產生的比特幣，如今需要聚合數千臺專門的特定硬件“礦工”電腦組成網絡，花費數周至幾個月時間才能產生。今天，用于產生比特幣的電力，都可與全球日?？傆秒娏肯嗵岵⒄摿?。

不僅創建比特幣需要大量計算能力，創建并驗證比特幣交易所需的計算工作也不可小覷，盡管不在同一領域。而且，每筆交易都增大了區塊鏈的規模——區塊鏈隨時間持續增長(比特幣的區塊鏈已超過100GB)，且必須產生并分發到所有參與方以維持有效。最終，到2140年，最多挖出2100萬比特幣。該自誘導的加密稀缺性，正是比特幣火箭般躥升的價格背后的推動力之一。

比特幣可能是泡沫，但區塊鏈不是

投資人和金融專家對比特幣的價值爭論不休，但沒人質疑區塊鏈的價值和合法性。世界上最大的幾家公司都成立了團隊，有時候甚至是全新的部門，來專門研究區塊鏈。你可以在云端或私人業務中創建并使用區塊鏈。

推崇區塊鏈的公司，看到了幾乎每一筆金融交易都由區塊鏈支撐的未來。區塊鏈可使非常復雜的金融交易在幾秒內就得到解決?？鐕y行區塊鏈領導者之一稱，融資并購交易平均要1個月才能在財務上交接清楚。使用區塊鏈，幾秒就能搞定。監管審查者們真的應該考慮一下區塊鏈對提升復雜交易效率的巨大推動力，將人員和資本解脫出來，投入更有生產建設性的事務中。

幾乎每個金融交易密集型的行業，都急于找出在各自公司及行業中實現區塊鏈的方法。隨便舉出幾個行業，區塊鏈都是行業熱門話題。計算機行業云巨頭，比如微軟和亞馬遜，如今推出了無數區塊鏈服務。

互聯網上搜索一下區塊鏈，你會被2016年后涌出的千萬條信息鏈接和服務嚇到。比特幣可能是泡沫，但區塊鏈正在興起，并將持續發展。

入侵比特幣和區塊鏈

在早期，很多比特幣和區塊鏈狂熱愛好者想知道，這二者固有的加密本質是否足以抵御綿延不斷的黑客攻擊。答案的浮現并沒有花費太多時間。正如依托計算機的一切有價值的東西，比特幣和其他加密貨幣，還有區塊鏈，一直處在頻繁的攻擊之下。數億美元被盜，不斷有人被騙，區塊鏈被劫掠。下面舉幾個比特幣和區塊鏈被黑的例子。

1. 比特幣挖礦惡意軟件

每個被挖出的比特幣，都讓將來的比特幣更難以被創建。需要大量電力運行及冷卻專業“礦工”計算機。對比特幣礦工而言，電力是頭號運營成本。因此，很多比特幣礦工“借用”資源來挖掘比特幣，要么在其雇主的產業中，要么廣撒比特幣挖礦惡意軟件。如今，很多大型惡意軟件僵尸網絡都是用來挖掘比特幣的。雖然本意不算壞到極致，但依然是對計算機或設備（通常劫持在線攝像設備和路由器）的未授權使用，且耗費了受害者的金錢。這些惡意軟件還拖慢了被劫持計算機。應像對待其他惡意軟件程序一樣停止比特幣挖礦程序。

2. 被盜價值存儲

加密貨幣通常將其價值存儲在名為錢包的文件中。錢包是會被入侵、篡改、偷盜和轉移的，就像計算機上的其他任意價值存儲一樣。更糟的是，人們常會忘記其保護性口令/PIN碼，或者弄丟放有該價值存儲的硬盤，而這往往意味著該價值存儲就再也找不回來了。勒索軟件就可以導致這種問題。如果是普通的銀行賬戶，你還可以用另一臺電腦來訪問網銀，里面的錢分毫不變。但加密貨幣錢包？你想多了。丟了就是丟了，打不開就是打不開，沒人能幫你恢復。

大多數專家建議將加密貨幣保存在離線錢包中，防止被惡意軟件或黑客染指。但這也會讓其中價值難以被利用。離線特性會讓價值的使用和更新多花費數天時間。如果你用的是在線錢包，可能的話用多因子身份驗證來保護它。

3. 轉賬木馬

加密貨幣木馬會監視你的計算機，等待疑似加密貨幣賬號格式的東西出現。只要發現目標，該木馬就會用自己的賬號替換掉你準備傳入價值的賬號。除非你對該切換特別敏感，否則在你按下“發送”按鈕的時候，就一切都完了。

4. 實現缺陷

“理論上，理論與實踐沒有任何區別。實際上，區別就在那里。”沒人知道誰最先說的這句話，但首次刊印在書中，是在1986年沃爾特 J. 薩維奇出版的《Pascal：編程的藝術和科學》里。

正如任何一種加密實現，加密算法總是比實現它的程序要合理明智得多?；旧?，區塊鏈自帶任意加密解決方案都會有的漏洞或缺陷。編程漏洞或缺乏良好私鑰安全(或比特幣錢包)，都能令整個實現崩塌。雖然這一點不是那么顯而易見，但在使用加密貨幣或參與區塊鏈項目之前，請確保軟件開發者應用了安全開發生命周期(SDL)過程來最少化漏洞。

黑客篡改加密貨幣軟件以盜取價值的案例并不鮮見。最近的一起案例中，黑客犯了個編程錯誤，不僅沒能讓他們偷到任何價值，還讓每個人的錢包都慘遭破壞，恢復無能。典型的損人不利己。

5. 已知明文抓取攻擊

良好的加密可使密文看起來像隨機亂碼。理論上，加密攻擊者應不能分析出原始明文。然而，區塊鏈技術上，區塊格式卻是眾人皆知，或者說很容易被分析出來。特定字母、字符或數字總是存在于每個區塊的固定位置上。這就讓加密攻擊者很容易從每個被加密保護的區塊中“抓取”出部分明文表示。另外，每個區塊都關聯著之前的區塊。于是，底層加密密碼的整體防護就受到了削弱。如果密碼不弱，那還不是什么巨大的問題，但這一點確實給了攻擊者一定的優勢。

6. 弱SHA-256？

很多安全專家想知道，SHA-256，也就是與其更短小的前身SHA-1含有相同數學弱點的安全散列算法，是否是比特幣和區塊鏈（二者通常都使用SHA-256）的一個顧慮。答案是：現在還不是。SHA-256在可預見的未來還算夠健壯。更重要的是，鑒于全球大多數金融交易和HTTPS交易都由SHA-256保護，如若有人破壞了這一算法，我們要擔心的遠不只是比特幣和區塊鏈。即便如此，如果你計劃搞加密貨幣或區塊鏈，還是先開始策劃“加密敏捷性”吧——保留支撐程序而只替換密碼的能力。

7. 被黑的網站

圍繞比特幣最常見的黑客活動，同時也是可以應用到任意區塊鏈項目上的黑客活動，就是控制比特幣或區塊鏈的中心網站被黑了。這種活動真的太常見，上周就發生了一起，讓黑客狂賺價值7000萬美元的比特幣。太多管理著上億美元加密貨幣的站點被成功入侵。一旦控制網站被黑，人們創建的比特幣價值，往往就消散在了網路中。將價值在離線位置做個備份是不錯的防范辦法。

幾起最大型的黑客事件，都是寡廉鮮恥的黑客攜上千萬不義之財逃之夭夭。如果你與加密貨幣網站做生意，確保該網站是安全且可信的。聯邦存款保險公司可不會為你的存款消失買單，至少現在不會。

8. 大型公共區塊鏈更安全

理解區塊鏈安全的一個觀念概念，是公共分布式區塊鏈比私有區塊鏈更安全。想要黑掉區塊鏈，攻擊者必須掌控超過50%的參與者或區塊，且這一動作要比新區塊的創建快。

因此，大型公共區塊鏈天生比小型私有區塊鏈更安全。對小型區塊鏈的掌控會更快更簡單，尤其是在所有相關“秘密”都存儲在一個地方或一家公司的情況下。事實上，很多安全專家都在質疑單一公司區塊鏈存在的必要性。他們認為，區塊鏈的優勢，只有在跨單一安全邊界分布的時候才會出現。然而，你仍將看到很多私有小型區塊鏈，因為區塊鏈有在數秒內解決復雜金融交易的潛力，還因為小型區塊鏈有可能成為大型混合/公共區塊鏈的組成部分。

每位安全從業人員都應理解區塊鏈，以及區塊鏈對其當前及未來職業的意義。即便區塊鏈建立在非常安全的密碼基礎上，也是會像其他任何東西一樣被黑的。