IT时报见习记者刘慧莹
　　7月27日，区块链众筹平台KICKICO遭到黑客攻击，损失770万美元。对于“屡遭劫难”的区块链项目来说，这一次黑客手段依旧十分新颖——销毁现有的币，创造同等量的新币到黑客控制的地址。这种方法因没有改变已发行的KICKICO令牌数量，使得黑客轻易逃脱了KICKICO的监视。
　　对于“链粉”来说，区块链安全问题似乎并不足虑，“破破烂烂地发布，修修补补地发展”已成为常态。就像上个世纪90年代的互联网，访问者随便打开一个非法链接，就可能遭遇蠕虫或CIH病毒等侵袭。
　　底层链路是区块链技术得以实现的基础，早在这项技术尚未出世的2004年，美国著名学者劳伦斯·莱斯格就在其著作《代码》中提出了“代码即法律”（code is law）的观念，这句话如今被以BM（EOS创始人）为代表的区块链深耕者们奉为圭臬。如今代码漏洞的频频爆雷，撼动了普通人的“信仰”，也敦促着渴望在区块链世界分得一杯羹的创业者，抓紧将维护区块链安全提上日程。
层出不穷的漏洞，花样百出的攻击
　　据区块链信息安全平台Bcsec的统计，仅2018年上半年，全世界范围内就因区块链安全造成了20亿美元的经济损失，其中超过11亿美元损失来自交易所被攻击。之所以攻击发生得频繁，是因为交易所在信息传输过程中以代码为载体，而区块链可溯源的特质仅限于每笔交易可被查询，但交易背后账户的对应人员却很难被查出。
　　安比智能合约实验室创始人郭宇告诉《IT时报》记者，区块链安全业务模式正在快速转型过程中，由于区块链系统的复杂性，系统的每个部分都可能成为黑客攻击的重点。前一阵子比特币黄金（BTG）遭遇来自一名矿工的51%算力攻击，尽管攻击以失败告终，但基于POW（Proof Of Work）模式的缺陷立刻被区块链安全从业者们提上日程。
　　层出不穷的漏洞推进了持续转移的安全热点，事实上区块链系统就像是一个还未打疫苗免疫、生命力旺盛而又正在裸奔的婴儿。郭宇及其团队所持续跟进的智能合约层安全，其实是基于整个以太坊的智能合约生态，而以太坊则是2016年才刚刚诞生。对于郭宇们来说，当前要做的就是不断根据新的“疾病”研发新“疫苗”。
　　除了集结了大量数字资产的交易所，个人钱包也是黑客攻击盗取资产的重灾区。2017年7月，Parity钱包在其1.5版本中由于系统漏洞，导致至少15万ETH被盗，该公司CTO Gavin Wood宣布在此次事件中至少有三个地址被攻破。同年11月，Pari⁃ty钱包再出新漏洞，一位用户无意间在Parity钱包中发现了一个软件代码错误，导致冻结超过2.75亿美元的ETH，这次事件成为该钱包在2017年发生的第二次重大事故。
　　btczen硬件钱包的创始人王晶告诉《IT时报》记者，尽管软件钱包获客无数，但经常有软件钱包团队找到王晶，希望其帮忙完善钱包App的底层私钥保护方案，也就是说，这些软件钱包在拓展用户的同时，在安全性能方面并不自信。相比之下，硬件钱包是一种基于底层加密技术的私钥保存工具，通过减少数字资产私钥的曝光频率，或可大幅降低钱包被攻击的可能。
区块链安全蓝海浮现
　　魔高一尺，道高一丈，在区块链的风口之下，系统安全漏洞也为区块链安全从业者带来非常多的机遇。
　　在安全从业者眼中，安全是区块链数字资产的根基，没有安全就没有一切。但这种根基实际上基于商业，区块链安全团队需要项目公司为其买单。对于安全的定价，区块链行业中尚无一个统一的标准。“安全公司有很多盈利空间，因为即使一个很小的区块链项目都有为安全买单的可能性。”郭宇告诉《IT时报》记者，安比实验室的很多用户都是主动找上门的，尽管当前区块链项目团队鱼龙混杂，但是依然存在很多对其产品安全高度负责的团队，一些团队甚至从创业之初，就将安全置于重要位置并为其投资。
　　区块链创业团队愿意为安全付费的另一个原因是，相比于“一穷二白”的互联网创业者，区块链创业公司一般在初始阶段就能募到很多钱。正是基于此，区块链安全团队的实力发展得并不弱，事实上，有非常多相关传统领域的专家和学者都跳出舒适区，去做区块链创业。
　　在郭宇眼中，区块链安全本身也是一个迅速更迭换代的行业，新的市场不断出现，老的市场快速萎缩。在这个世界里，没有类似360安全这样的传统互联网安全巨头，正如BEC一行代码蒸发64亿人民币的漏洞是由安比实验室、块盾科技同时发现和公布，而EOS上线前的“史诗级漏洞”则是由360安全卫士的区块链团队爆出。区块链安全领域中，不同安全团队有各自擅长的领域，在这片未曾开垦的原始森林里，“狂暴巨兽”们正在野蛮生长。
“碎片化”特征明显
　　事实上，这些被载入区块链大事记的区块链安全公司，很多还不到一岁。以安比实验室为例，创始人郭宇来自中科大计算机专业，是耶鲁大学访问学者，而他的合作伙伴则分别是具有密码学、编译器、形式化验证、博弈论以及传统金融学领域的专业垂直人才。一个具有可持续发展能力的区块链安全公司往往兼具学术科研能力和工程能力，而这样一个涉及领域相对宽泛的团队，也只是在区块链的智能合约安全，即一个细小的分支领域里精耕细作。
　　很多区块链项目创业者在不同场合无一例外地表示，区块链当前面临最大的问题，是人才问题，区块链安全亦然。正是因为专业人才稀缺，不同类型人才的分散，才使得协同成为创业者们不谋而合的选择。与传统2B服务商不同的是，区块链安全公司之间少有激烈的比拼报价，王晶认为：“区块链项目团队太多了，整个安全行业的人才还处在严重不饱和的状态。”郭宇则告诉记者：“区块链中的安全问题错综复杂，一般的团队没有安全人才，所以这块很容易外包出来。区块链团队都是小团队互相合作，安全顺理成章就成为产业链里的一环。”
　　尽管安全事件时有发生，但不少创业者还是看好区块链安全环境。“真正黑客层面的安全问题将会是极少数的。”区块链Oath协议创始人徐寅认为，随着区块链安全公司的不断涌入，面向底层代码、智能合约的技术黑客将会越来越艰难，反而在区块链链上治理和仲裁的标准协议制定上，尚缺乏足够的关注度，“就好像社区建立之后，还会有像居委会、警察、法院这样的机构来保护技术层面无法触及的地方。”
　　徐寅和他的Oatha协议团队目前正着力于制定一套基于匿名陪审团制度的区块链治理协议，并且已经与若干大型公链机构达成深度合作。徐寅告诉《IT时报》记者，他和他的硅谷团队都十分看好国内代码工程师在区块链安全方面的技术水准。
　　来自不同起点的创业者集中在同一个领域深耕，但没有人能看到终点。或许郭宇的观点可以代表这其中的大多数：“我们只需要做好自己擅长的事。”