近年來基于區塊鏈技術的數字貨幣交易平臺繁榮發展，各區塊鏈平臺都專注于核心業務，但在信息安全方面投入的精力十分有限導致安全事件才頻繁出現。近日最受歡迎的以太坊錢包遭到DNS劫持攻擊，許多安全意識較低的用戶，在登錄時無視“網站不安全”的提示強行訪問，攻擊者因此得到了受害者的在線錢包密碼、私鑰明文等，幾秒鐘之內就把他們錢包里的ETH全部轉走。也有一些人看到安全提醒沒有繼續登錄，從而避免了遭受損失。2014年日本比特幣交易平臺遭到黑客攻擊，用戶丟失約75萬枚比特幣，并最終導致該平臺破產。雖然有前車之鑒，但各家數字貨幣交易平臺在安全建設方面仍然力度不夠，遭受黑客攻擊的事件更是有增無減，給數字貨幣交易平臺及其用戶造成了極大損失。

保護私鑰泄漏導致了資金被盜責任不在技術本身

從近期各家比特幣交易所遭到攻擊可以看出，私鑰的安全性是不容忽視的。雖然目前攻擊細節還不清楚，但可以肯定的是黑客是以某種方式成功獲取了保護用戶賬戶的私鑰之后才盜走了比特幣。私鑰可以保證數字資產的所有權，跟密碼類似。為金融服務企業研發私鏈的技術公司必須重新考量數字貨幣交易所采用的多重簽名和冷存儲方式是否真的有效。雖然這些解決方案的安全性是比較高，但卻要付出低效率和高額管理費用的代價。確實是因為保護私鑰走捷徑才導致了資金被盜，責任并不在技術本身。

回滾代碼至攻擊前版本備受爭議

另一個值得考慮的問題就是遭受攻擊之后應該怎么做？被盜的是數字資產，而這些資產是以計算機代碼的形式存在的。因此我們是否能通過回滾區塊鏈，將其代碼修改為至攻擊前的版本呢？如果這樣做的話，從區塊鏈本身來看，攻擊事件就像沒發生過一樣。但比特幣社區并沒有采取這種方法挽救損失，反而是以太坊區塊鏈在遭受攻擊之后通過這種方式進行了交易回滾（即硬分叉）。硬分叉的順利進行需要全網大量節點的共識，而此次以太坊的硬分叉始終備受爭議。因為不可更改是區塊鏈的重要屬性，也就是說區塊鏈中記錄的每筆交易都不能更改或者取消。而現今的金融服務業是可以取消交易的：無論是證券交易所還是信用卡公司，或是任何涉及交易過程的軟件，他們都留有取消或者修改錯誤交易的權利。鑒于金融服務業終將采用分布式賬簿技術，那就躲不過區塊鏈的這一特性。不可更改性對于他們來說究竟是不是一個bug？又或者該行業是否會創建特定的函數來記錄抵消交易，在不破壞歷史交易記錄的完整性（尊重區塊鏈的不可更改性）的前提下達到和撤銷交易一樣的目的？

DAO攻擊事件的證明了智能合約存在安全漏洞

DAO攻擊事件的成功證明了智能合約存在安全漏洞。智能合約是一種電腦程序，可以自動執行合約條款，并在多方之間實現價值轉移。而DAO就是基于以太坊區塊鏈的智能合約投資項目。然而智能合約代碼的不合理性給了黑客盜取資金的機會。智能合約是分布式賬簿技術解決方案中的重要一環，可以用于抵押品管理、衍生品的場外交易（OTC）等。智能合約的漏洞不止能引致攻擊，還能造成系統故障，發起錯誤交易。類似事件曾多次在金融市場上發生，參與方更是付出了慘痛的經濟代價。因此我們整個行業應該共同努力研發最佳用例，為智能合約提供最好的保護及控制措施來防止上述事件再發。

其它原因導致的攻擊

一是通過釣魚等手段進行身份冒用。例如DNS劫持攻擊，在本質上就是釣魚。另外黑客還經常用郵件釣魚，或者電話、短信等方式的社工等方式。

二是利用區塊鏈交易平臺的網絡漏洞。除了網絡協議中的各種漏洞，也有賬號密碼中的弱口令、密碼復用等導致的漏洞。

三是內部惡意人員。首先是公司管理員有可能利用自身權限監守自盜;其次是靜態密碼、傳統令牌等方式“認令不認人”，存在內部惡意人員盜用相關同事身份的風險，而且事發后也無法追溯;因為缺乏統一的用戶管理平臺，隨著員工角色的變動，有些賬號不能及時增刪，有時離職員工仍然擁有賬號權限，導致信息泄漏。

千里之堤毀于蟻穴。由于區塊鏈生態中虛擬貨幣的屬性，哪怕出現一絲安全問題都有可能造成極大損失。分布式賬簿應用于金融服務領域可以減少結算時間、消除摩擦、降低成本，還能合理化工作流程。在努力獲得這些優勢之前，整個行業都必須關注安全問題。數字資產和分布式賬簿技術帶來了全新的交易方式，但同時我們也需要探索新的方法來保護區塊鏈的安全。保衛區塊鏈生態安全任重道遠，用戶的身份安全更是重中之重。所以相關區塊鏈平臺需要從各個環節、由內而外地加強抵御能力。