财链社专访 | 吴家志：去中心化意味着用户要承担更高的风险

吴家志 | PeckShield研发副总；DVP去中心化漏洞平台 CEO；美国北卡州立大学计算机博士；原360C0RE Team创始成员并担任团队负责人；原360超级ROOT产品负责人；内核安全专家；曾发现多个有重大影响的安全漏洞，并多次荣获谷歌、高通、华为等厂商的致谢；目前专注于区块链智能合约安全以及数据分析。

记者 | 李澍

编辑 | 熊吉

安全，是决定一个行业能否长期发展的关键，在区块链行业也是如此。

成立于2018年的Peckshield（派盾），因连续发现并命名BEC、SMT、EDU等智能合约漏洞而广受业内关注。

相较于其它区块链安全公司推出的各种产品和验证工具，派盾科技却另辟蹊径，在2018年7月24日，与BCSEC合作共同研发推出了全球第一家去中心化匿名众测平台DVP（Decentralized Vulnerability Platform），号召全网白帽黑客一起寻找开源底层代码中的漏洞。上线第一周就收到了白帽子所提供的312个漏洞，涉及175个项目方。

有人说，DVP标志着区块链安全众测时代的到来。

实际上，DVP是一个由白帽子组成的共同工作的社区。安全众测，是“众包”（crowd—sourcing）模式在安全领域的实践，也就是需要安全服务的企业将自己的产品给到安全众测平台，有平台的安全人员（在DVP上是来自互联网的白帽黑客）来共同发现漏洞，进行安全测试，这样可以减少企业与白帽子之间由信息不对称所造成的沟通成本过高，有效地平衡企业和白帽之间的利益。

吴家志是派盾科技的研发副总也是DVP平台的CEO，在此之前，他是360无线安全研究院360超级ROOT的负责人，曾发现了多个 Linux 内核以及厂商驱动零日漏洞。

这位毕业于美国北卡州立大学的计算机博士，在美国读书期间，他一直从事虚拟化安全以及安卓系统安全的研究。他对于区块链精神有着强烈的信仰，是一位有情怀的极客。

01 去中心化意味着用户要承担更高的风险

“区块链和互联网的最大差别在于去中心化，在传统互联网领域中，以交易为例，都是通过相对“权威”的第三方进行的，如果“钱”丢了，还可以通过支付宝或者银行卡的官方查询到转账记录，在一定程度上是可以将钱追回来的。”

吴家志表示，“可是在区块链领域，几乎没有这回事，除非你在中心化的交易所进行交易，但是中心化交易所又和区块链没什么关系了。”

从吴家志的观点来看，区块链的“去中心化”并没有提高日常交易的安全性，反而由于“去中心化”，用户自身需要承担更高的风险。但虽然现实如此，吴家志并不认为这是区块链技术的劣势。

“但我们不能说这是区块链的优势或者是弊端，去中心化是区块链的精神所在。去中心化和权威机构之间本来就是一个互相矛盾的地方，肯定是不能共存的。”

吴家志解释道，“权威机构导致了信息的不对称，但是却形成了一个类似于“担保”的效果，这样有好的地方也有不好的地方。同样，在去中心化的网络中，虽然没有了“担保效应”，但每个用户都可连接和影响其他节点，这是一种信息的对称，每个人都是中心，这种连接方式是扁平化的、开源化和平等化的。”

02 开源是两面性问题

目前，大多数区块链项目的底层代码都是开源的，但是开源就意味着项目内部的人与公众掌握的代码一样多。公众中，也有一些心怀不轨想要攻击系统的黑客。

吴家志认为：开源是一个两面性问题。

“底层代码的开源与不开源问题其实自“代码”诞生之日起就存在了。源代码是作者的命脉。”吴家志说，“开源将代码披露给公众，一方面确实意味着黑客能够研究代码然后进行有依据的攻击，在一定程度上可以提高攻击效率。但另一方面，开源也意味着能让公众参与到寻找漏洞中来，白帽黑客也可以帮助去修补漏洞，在我看来，这是利大于弊的。”

“为了避免攻击，就去选择隐藏底层代码，是违背区块链“开源化”的去中心精神的。”吴家志介绍，“就像安卓系统一样，每个系统都要有一个完善的过程，找到漏洞修补漏洞，也是一个自身的完善和发展的过程。安卓用了十年去解决安全问题，区块链项目还有一段很长的路要走。”

03  所有区块链项目的关键都是社区

毫无疑问，诚实是建立社区的基础，DVP去中心化漏洞平台也是如此。

谈到建立DVP漏洞平台的愿景，吴家志表示，建设DVP平台的最终目标是希望DVP可以成为漏洞平台的标杆，希望可以让DVP和比特币的链一样，你说不出究竟是谁在运行这个链，所有社区成员都按照中本聪的精神去工作，形成一种社区的自治。

吴家志介绍道，“目前DVP平台上有三种角色，白帽黑客、悬赏漏洞的厂商和安全公司，我们希望有一天无论是派盾还是白帽会都不再主导平台的工作，而是这三种角色可以互相平衡，形成自己的社区，可以将DVP自动演化成一个最佳的状态。”

建立自己社区的区块链安全公司并不多，况且派盾是基于自身的用户群体建立的社区，可见，吴家志对于区块链的“社区”建设是有着信仰的。

“区块链的项目是需要开源的，所有区块链项目的关键都是社区，只有在源码公开、大家可以参与的情况下，这个社区的运营才能越来越好。”吴家志解释道，“如果不公开源码，可能会造成信任危机，也就是，社区中的人可能会不信任你。”

“举个例子，如果你不公开挖矿的原理以及挖矿的难度是怎样调整的，在不开源的情况下，大家可能会不相信你，他们会觉得这个机制是不公平的，一定在偏袒谁。要解决这个问题，只有将你的代码摊开来看，让大家知道这个机制是公平的。即是不那么完美，公众也有机会参与优化它。”吴家志表示，“假设DVP的公链建成后，我们一定也会选择向公众开源的，让公众一起参与，一起帮助DVP变得更好。”

04 数据之间的隔阂是区块链最大的问题

“区块链项目要考量很多有关链上安全的问题，与传统互联网很不一样。比如在去中心化交易所中，有一个用户去注册一个账号去买币、挂单，他的账号对应的是一个邮箱地址，同时也有一个钱包地址来把钱冲进来，但是钱包地址背后代表着什么东西，我们永远都不知道。”吴家志认为，这是目前区块链最难也最亟待清除的安全隐患。

“这种情况就面临一个问题”吴家志向财链社介绍，“如果这个人是一个黑客。通过某种方式获取其他人的代币，然后进入交易所来销赃。每一个钱包地址在链上的操作代表的意义我们是无法识别的，比如说进行操作的人到底是谁，他的资金来源是什么，我们都无法知晓，这是目前一个很难解决的问题，也是背离区块链精神的。”

“目前，数字资产最初往往被应用于洗钱的灰色领域，是非常难追查的。”

吴家志表示，目前区块链行业，一方面面临着匿名化造成的安全隐患。“因为我们非常难识别这个地址是谁，资金是如何来的。即使一些数据是可追溯的，但是由于是匿名的，也无济于事。”

另一方面，是由于各种链之间的信息壁垒造成的洗钱风险。“黑客将“偷”来的钱放在交易所中，交易所内部的记账是和链上的数据没有绑定的，就目前来看，这些内部的交易数据只有交易所可以知道，所以，一些人把“黑钱”放在交易所，再洗出去，他的钱就干净了，然后又把这些钱拿到其他交易所去交易，目前来看，没有任何问题。”

据吴家志介绍，区块链应用目前最大的问题在于数据之间的隔阂。“目前的跨链技术还解决不了这个问题。链和链之间的数据没有打通，任何可追溯都是枉然。现在的区块链，还无法将所有的数据纳入其中，这也是区块链发展的最大阻碍，也是区块链安全问题发生的根源。”