如果您是一位区块链项目的开发者,几位前辈都讲过这个问题,最好是能自己去看看里面的代码逻辑,里面到底是不是真的,不要信某个牛人或者某个泰斗,在数字货币或者区块链的这个领域里面蛮有反叛性精神的,没有所谓的权威在这里面,大家还是自己去看是最保险的方式。用去中心化的思维,没有以前的服务器客户端的架构,没有BS架构,CS架构了,各种攻击都可能在里面出现,你要考虑这个方面,不要去尝试自己设计一种加密算法,这是一个很大的坑。好像自己天不知道地不知道,只有我自己安全。
谨慎对待慈基数或者时间戳这样的变量和数值,这样的在区块链的编程也是非常难的。我也在思考这个问题,让用户参与进来提供周边的环境信号,包括麦克风或者传感器的数据,混合本地的随机数据,这样也许会安全一点。时间戳也是一样的,重视安全用例的编写,一定要重视你写的每一个Library,哪怕是别人写的智能合约里面有BUG,您这个系统仍然是可能会被找到漏洞,会被击溃的。如果您的工作是基于比特币、以太坊的区块链去做的,不用重复发明文字,一定要同步去更新像比特币、以太坊攻击的安全代码,一般能够比较快的及时响应里面的安全问题,如果你的工作是基于他们的工作基础上来做,你又没有去跟进,等于是告诉黑客,比特币和以太坊等于是告诉黑客,告诫自己智能合约很难写,很难写的好写的安全,一定要谨小慎微,补齐密码学的基础知识。您开发的系统有多安全,这个取决于您。
第三个类别,如果您是一位区块链相关产品的创业者,如果你以前不是做这一块的,现在来做这一块,我们的建议是,如果您的项目还没有开始,还是问一问自己,是不是一定要用区块链。第二个,如果项目已经开始了,可以重新从安全的角度审查一下各个方面。应该充分了解,在区块链领域特别是这样的,要投入大量的人力、物力、财力是看不到的,一旦出现事故之后是影响很大的,追悔莫及。针对于自己,针对于关键团队成员,甭管C什么O,这里面一个关键人物出了问题,可能也会造成影响。非区块链服务系统的漏洞,这也是容易忽视的一个问题,服务器上放上您的代码,操作系统的漏洞就不用说了,他的问题也会导致您这个系统的问题。划拨资金池,最好还是有一个单独的资金,这样更多的放在社区里面会更有动机去介入进来,他会觉得这个项目是比较友好的,他也乐意去帮助你,聘任顾问,来审计第三方产品。建议使用两组人员,两种不同的语言来进行开发,把协议约定好。以太坊采用了这种路线,所以避免了好几次大的问题。同样也是针对供应链,开源才是最安全的,但是千万别等到明天上线今天宣布开源,上线的时候是开源产品,这样其实是最危险的,今年有几个数字货币就出现过这个问题,官方的钱包出现,第一天就找到了BUG。最后,做好思想准备,您这个系统一定会有漏洞,有漏洞就一定会有攻破的,至少有一个安全专员,要有一个应急预案。
