《一尺高一尺的随机数攻击-EOS伪随机数漏洞》相关文章推荐3：死区块链

针对区块链安全问题，Beosin（成都联安科技）团队每周都会对智能合约安全漏洞进行分析和连载，希望能帮助程序员编写更安全、更牢固的合约，防患于未然。简介：“道是一高一尺，魔高一尺，越进越受阻，永无止境。 ——清檀斯通《任雪》43

据相关统计，在区块链行业造成财产损失的安全事件中，有30%是智能合约漏洞造成的。 因此，根据以太坊开发语言的使用规范，正确编写每一行合约代码是保证合约安全的基本要求。 我们真诚地建议开发者和项目方提倡上链前进行合约审计，以确保项目安全上线。

EOS游戏多次中毒，随机数漏洞屡禁不止

除了以太坊，EOS 也是一个流行的区块链平台。 EOS也是基于智能合约和区块链构建的。 在游戏和DApps领域，由于无交易手续费、处理能力强的特点，EOS在技术和设计理念上具有先天优势。 然而巧合的是，EOS智能合约的安全问题也层出不穷。 本期我们将通过近期针对EOS游戏的攻击事件来分析EOS智能合约的漏洞。

EOSDice 第二次被攻击：

11月10日上午11点19分开始，账户coinbasewa11再次攻击EOSDice游戏，盗取4900个EOS转入bitfinex交易所。 该账号攻击游戏合约95次，攻击过程可找回。

我们在第六期游戏合约漏洞中提到过，到目前为止，无论是以太坊还是EOS，官方都没有提供随机数接口，这对游戏开发确实是一个负面影响，比如抽奖模块的开发。 为了实现类似的功能，游戏开发者需要自己编写随机数生成函数。 这些函数往往以区块信息为参数，然后进行一系列运算，得到一个“随机数”。 但是，由于使用区块信息作为参数，这会导致使用相同算法的同一个随机数函数在同一个区块上会得到相同的值。 攻击者可以利用这一点，部署中间合约，然后不断尝试生成随机数，当生成了满意的随机数后，再使用中间合约参与游戏，影响游戏的公平性。 我们把这类随机数问题统称为“伪随机数漏洞”。

EOSDice伪随机数漏洞分析

由于EOSDice在第一次受到攻击后提高了警惕，并对随机数生成算法进行了修改，我们分两部分进行分析。

由于EOSDice合约是开源的，我们主要看合约的随机函数，它复制了另一个EOS合约的随机函数的实现。

这个随机函数用到的随机因子主要有：

它的随机性主要取决于引用块（refer block）的信息以及当前时间和合约余额信息。

本游戏可以根据延迟时间计算开奖时间，也可以在只有一个用户访问的情况下计算余额信息；

那么唯一不确定的因素就是refer block信息。

因此，实际上，彩票中使用的tapos_block_prefix()在下注之前就已经生成了。 然后结合时间和余额的预测，可以提前预测开奖结果； 根据对交易情况的分析，eosdice第一次被攻击很可能是使用了这种攻击方式。

下面是关于EOS的小知识：

EOS转账时，EOSIO.Token会同时通知from和to账户，但是先通知from账户，如下图：

在第一次攻击之后，EOS 修改了随机数生成算法。 让我们看看修改后的随机数是否真的随机。 随机数计算公式如图所示：

利用上面提到的转账通知知识，当游戏合约收到给自己的转账通知后，开始执行下注逻辑，触发延迟动作：reveal1，reveal1触发延迟动作：reveal用于抽奖和奖励； 则取refer区块信息为转注动作所在区块信息，不可预测；

这样操作后，攻击者的 defered 和游戏合约的 reveal 在同一个区块运行。 然后你可以通过修改defered中随机因子中的余额量来计算random(amount+x)的值，使其满足你的投注条件。 需要注意的是，计算这个值需要进行碰撞测试才能猜对。

另外，通过分析之前的攻击交易，可以确定攻击者使用的攻击手段是在随机因素中控制余额；

使用类似于tapos_block_num的参数可能会导致伪随机数漏洞，包括EOS balance和head_block_id。 这些参数具有一定的可控性。

EOS和以太坊采用了不同的技术和设计理念，例如：

1. 以太坊被设计成一个中立的平台，所有的应用程序都可以建立在它上面，而EOS提供了一些功能，比如加密的实现和区块链工具的应用，对应用程序开发者更友好。

2.两者的共识机制不同。 与以太坊采用的PoW相比，EOS的DPoS机制类似于董事会机制。

3、以太坊受限于CPU单线程性能，其网络交易速度只有每秒10次左右，每笔交易都需要提供手续费。 EOS的并行技术解决了交易速度的问题，去掉了手续费。

EOS的特性，尤其是第三个特性，决定了基于它的游戏能够满足低延迟和流畅交互的要求，同时能够处理业务级的应用需求。 这就是EOS在游戏中被广泛使用的原因。 但是和以太坊一样，EOS官方也没有提供相应的随机数生成功能。 以太坊官方已经推荐用户使用链下Oraclize库生成随机数。

EOS的随机数问题仍然是开发者头疼的问题。 在 11 月结束之前，EOS DApp 已经发生了 3 次针对随机数的漏洞攻击。 迫切需要一种可靠的方案来解决随机数问题。 . 希望广大DApp开发者在目前没有可靠解决方案的情况下，依靠现有经验和安全审计，将合约中的“假”随机恢复为“真”随机，让EOS DApp变得有趣、公平可靠。

[2]：在EOS上玩骰子游戏：

（作者：成都联安科技，链得得内容开放平台“DD”内容；本文仅代表作者观点，不代表链得得官方立场）

《魔法一尺高一尺一尺的随机数攻击-EOS伪随机数漏洞》相关文章推荐一：一尺一尺随机数攻击一尺高神奇身高的脚-EOS伪随机数漏洞

针对区块链安全问题，Beosin（成都联安科技）团队每周都会对智能合约安全漏洞进行分析和连载，希望能帮助程序员编写更安全、更牢固的合约，防患于未然。简介：“道是一高一尺，魔高一尺，越进越受阻，永无止境。 ——清檀斯通《任雪》43

据相关统计，在区块链行业造成财产损失的安全事件中，有30%是智能合约漏洞造成的。 因此，根据以太坊开发语言的使用规范，正确编写每一行合约代码是保证合约安全的基本要求。 我们真诚地建议开发者和项目方提倡上链前进行合约审计，以确保项目安全上线。

EOS游戏多次中毒，随机数漏洞屡禁不止

除了以太坊，EOS 也是一个流行的区块链平台。 EOS也是基于智能合约和区块链构建的。 在游戏和DApps领域，由于无交易手续费、处理能力强的特点，EOS在技术和设计理念上具有先天优势。 然而巧合的是，EOS智能合约的安全问题也层出不穷。 本期我们将通过近期针对EOS游戏的攻击事件来分析EOS智能合约的漏洞。

EOSDice 第二次被攻击：

11月10日上午11点19分开始，账户coinbasewa11再次攻击EOSDice游戏，盗取4900个EOS转入bitfinex交易所。 该账号攻击游戏合约95次，攻击过程可找回。

我们在第六期游戏合约漏洞中提到过，到目前为止，无论是以太坊还是EOS，官方都没有提供随机数接口，这对游戏开发确实是一个负面影响，比如抽奖模块的开发。 为了实现类似的功能，游戏开发者需要自己编写随机数生成函数。 这些函数往往以区块信息为参数，然后进行一系列运算，得到一个“随机数”。 但是，由于使用区块信息作为参数，这会导致使用相同算法的同一个随机数函数在同一个区块上会得到相同的值。 攻击者可以利用这一点，部署中间合约，然后不断尝试生成随机数，当生成了满意的随机数后，再使用中间合约参与游戏，影响游戏的公平性。 我们把这类随机数问题统称为“伪随机数漏洞”。

EOSDice伪随机数漏洞分析

由于EOSDice在第一次受到攻击后提高了警惕，并对随机数生成算法进行了修改，我们分两部分进行分析。

由于EOSDice合约是开源的，我们主要看合约的随机函数，它复制了另一个EOS合约的随机函数的实现。

这个随机函数用到的随机因子主要有：

它的随机性主要取决于引用块（refer block）的信息以及当前时间和合约余额信息。

本游戏可以根据延迟时间计算开奖时间，也可以在只有一个用户访问的情况下计算余额信息；

那么唯一不确定的因素就是refer block信息。

因此，实际上，彩票中使用的tapos_block_prefix()在下注之前就已经生成了。 然后结合时间和余额的预测，可以提前预测开奖结果； 根据对交易情况的分析，eosdice第一次被攻击很可能是使用了这种攻击方式。

下面是关于EOS的小知识：

EOS转账时，EOSIO.Token会同时通知from和to账户，但是先通知from账户，如下图：

在第一次攻击之后，EOS 修改了随机数生成算法。 让我们看看修改后的随机数是否真的随机。 随机数计算公式如图所示：

利用上面提到的转账通知知识，当游戏合约收到给自己的转账通知后，开始执行下注逻辑，触发延迟动作：reveal1，reveal1触发延迟动作：reveal用于抽奖和奖励； 则取refer区块信息为转注动作所在区块信息，不可预测；

这样操作后，攻击者的 defered 和游戏合约的 reveal 在同一个区块运行。 然后你可以通过修改defered中随机因子中的余额量来计算random(amount+x)的值，使其满足你的投注条件。 需要注意的是，计算这个值需要进行碰撞测试才能猜对。

另外，通过分析之前的攻击交易，可以确定攻击者使用的攻击手段是在随机因素中控制余额；

使用类似于tapos_block_num的参数可能会导致伪随机数漏洞，包括EOS balance和head_block_id。 这些参数具有一定的可控性。

EOS和以太坊采用了不同的技术和设计理念，例如：

1. 以太坊被设计成一个中立的平台，所有的应用程序都可以建立在它上面，而EOS提供了一些功能，比如加密的实现和区块链工具的应用，对应用程序开发者更友好。

2.两者的共识机制不同。 与以太坊采用的PoW相比，EOS的DPoS机制类似于董事会机制。

3、以太坊受限于CPU单线程性能，其网络交易速度只有每秒10次左右，每笔交易都需要提供手续费。 EOS的并行技术解决了交易速度的问题，去掉了手续费。

EOS的特性，尤其是第三个特性，决定了基于它的游戏能够满足低延迟和流畅交互的要求，同时能够处理业务级的应用需求。 这就是EOS在游戏中被广泛使用的原因。 但是和以太坊一样，EOS官方也没有提供相应的随机数生成功能。 以太坊官方已经推荐用户使用链下Oraclize库生成随机数。

EOS的随机数问题仍然是开发者头疼的问题。 在 11 月结束之前，EOS DApp 已经发生了 3 次针对随机数的漏洞攻击。 迫切需要一种可靠的方案来解决随机数问题。 . 希望广大DApp开发者在目前没有可靠解决方案的情况下，依靠现有经验和安全审计，将合约中的“假”随机恢复为“真”随机，让EOS DApp变得有趣、公平可靠。

[2]：在EOS上玩骰子游戏：

（作者：成都联安科技，链得得内容开放平台“DD”内容；本文仅代表作者观点，不代表链得得官方立场）

《一尺高一尺一尺的随机数攻击-EOS伪随机数漏洞》相关文章推荐2：工信部李明：区块链是一种技术组件，其核心功能是最大化数据的价值

“什么是区块链？区块链有什么用？区块链应该怎么用？” 在当前大规模追求区块链应用的过程中，往往会忽略对区块链本质的思考。 昨天，在Cobo主办的“2018数字资产安全高峰论坛”上，工信部中国电子技术标准化研究院区块链研究室主任李明提出了这三个问题。

我国区块链标准化工作始于2016年，2016年底，在工信部的指导下，中国区块链技术与产业发展论坛成立。 2017年5月，中国电子标准化研究院发布了国内首个区块链标准《区块链参考框架》。 2017年12月，《区块链数据格式规范》标准发布，为区块链系统的数据结构设计提供参考，为区块链行业应用提供统一的数据标准。

经过两年的标准化工作，李明逆向思考，我们为什么需要区块链？ 通过对“什么是区块链、区块链有什么用、如何使用区块链”等本质问题的思考，李明认为，从技术角度来看，区块链只是一个技术组成部分，它与AI无关。 、大数据等新一代信息技术共同完成其特定功能——实现数据价值最大化。 最终，存证、确权、交易/兑换、金融衍生品、溯源这五个方面可以涵盖大部分区块链应用。

以下为李明现场演讲，由巴比特整理，有删改：

标准化是一个相对狭窄的范畴。 去年我们发布了两个团体标准，“区块链参考架构”和“区块链数据格式规范”。 第三个标准将于 12 月 18 日发布。

经过两年的标准化工作，我们反过来想，为什么我们需要区块链？ 我在国外住了一段时间。 当时，我怀着极大的兴趣得到了一部比较先进的手机。 带有非常粗线的爱立信模型。 那时候觉得手机牛逼，但是去北欧的时候都拿3310。对于普通人的生活来说，苹果10这样非常尖端的产品，对生活的改变只是很小的一部分，所以为什么我们需要区块链技术？ 它如何改变我们的生活？ 我们经历过改变吗？ 我们在追逐梦想，但我们不得不退一步思考区块链的本质是什么。

经过我个人这段时间的思考，从微观上看，区块链是一个分布式网络，点对点通信，共识计算，智能合约，但是从大的角度来看，我们会制定标准，关注发展这项技术的。 某个点的突破能给行业带来什么样的整体突破。

从宏观上看，区块链到底是什么？ 可以简单地得出结论，区块链是一个技术组件。 区块链提供了一种信任机制，但它能单独改变世界吗？ 不是的，如果要把一个实物资产上链，至少要涉及到IOT技术、云计算技术、AI技术。 如果把它称为由共识机制、加密算法等一系列技术组成的区块链，再放大一点，区块链技术、人工智能、大数据等新一代技术组成的新一代信息技术，共同完成下一步整个行业的重构。 新一代信息技术能否与生物工程、量子计算进一步迭代，形成新技术？

因此，从技术角度来看，区块链只是一个技术组成部分，它与其他新一代信息技术共同完成其特定功能。 什么功能？ 最大化数据的价值。 数据是数字经济非常核心的要素。

二、区块链有什么用？ 我们经常讨论，我懂一点区块链技术，别人就给我讲应用，我懂一点溯源，别人就讲经济学，懂一点经济学，别人就讲哲学。 .在区块链领域每个专家都能说出它的优势和价值，为什么？ 区块链有什么样的价值？

我正在尝试建立关联。 在相关组件方面，例如，区块链技术提供了一种安全机制，从而为应用程序提供了一种信任，应用程序的信任将促进经济交换，从而加强社会协作。 比如原本一年签两份合约，通过区块链算法背书可以签五份合约，区块链增加交换改变社会关系。 这个逻辑是对的，所以我理解不同领域的专家在不同领域解释区块链的作用。

但希望大家注意，从技术到应用再到经济，有了安全的技术，再到可信的应用，再到高效的经济和协作，正向是正确的，逆向是不可逆转的。 比如你想建立一个新的生产关系，然后发明一个新的区块链，这是不可能的。 这让我明白，在区块链的早期，还是要回归到技术的本质，脱离技术的研究和应用，让经济和社会空虚。

区块链的核心作用是什么？ 它是由技术封装的数据，增加了经济、社会甚至哲学价值。 我们知道数据是核心，数据是有价值的。 但这有什么好处呢？

下一个问题，如何使用区块链？ 有人说跨境支付，有人说艺术溯源，通常的做法是用在金融、教育、医疗等方面，但我们做标准化研究的人，试图建立一个模型，涵盖不同的视角和使用方法。

比如我们能不能尝试用这个视角，有一个资产，我手里的麦克风是艺术品，我有这个资产，证明它是我的，我可以交易或者交换这个麦克风； 如果我不愿意交易，但是我又缺钱，你可以抵押话筒产生新的价值，或者打包成ABS，构建全流程，形成全流程可追溯。 是不是可以用这种思路去思考区块链的使用方式，比如存证、确权、交易/兑换、金融衍生品、溯源，通过这五个方面，我觉得可以涵盖大部分所谓的区块链在不同领域的应用。

但这种分析的逻辑前提是什么？ 其逻辑前提是我们将封装在区块链中的有价值数据进行封装，形成一定的数据资产。 数字资产是另一类。 这种有价值的数据资产或数字资产，可以是原生的数字环境，如电子音乐、电子文章，也可以是实体资产，但实体资产必须通过其他新一代信息的组合转化为数字资产。技术。 然后存证、确权、交易或兑换、金融衍生品等。

通过问这些问题，什么是区块链，区块链有什么用，区块链是怎么用的，我们试图分析其中的关键部件或关键部件有哪些？ 是宝贵的数据资产。 有价值的数据资产最关键的问题是首先如何使用它们，其次如何解决安全问题。 如果说区块链是未来的价值互联网基础设施，道高一尺，魔高一尺。 我们有使能技术，同时也必须有安全技术，这样才能真正推动一个新技术改变我们的生活方式、商业形态和产业形态。

263财富网为您提供：工信部李明：区块链是一个技术组件，其核心功能是实现数据价值最大化。

内容来源于网络原创转载，所有内容仅代表个人观点，与本网无关。

转载请保留出处和本站地址：/caijing/xinwen/1752813.html

《魔高一尺高一尺的随机数攻击-EOS伪随机数漏洞》相关文章推荐3：区块链之死不是黎曼猜想，是这个产物……

原公众号：节点财经

最近，一位90后老人让玩区块链的人捏了把汗。

菲尔兹奖和阿贝尔奖双料获得者、英国皇家学会前主席迈克尔·阿蒂亚爵士声称证明了黎曼猜想。

本来，黎曼猜想是一个数学问题，与区块链无关，但网上却传言其证明会影响区块链，甚至毁灭加密货币？ ！

“黎曼猜想被证明，所有基于RSA的区块链项目都将被歼灭！”

“区块链的加密算法即将被破解！”

“区块链正在消亡！”

...

熊市时间长，大家日子都不好过，这也好，一下子就灰飞烟灭了！ 口口声声喊着“allin blockchain”、“顺我者昌，逆我者亡”的徐小平不是想被抓瞎吗？

小刘听到这个消息，浑身一震，一时间还真是张(xing)黄(fen)。

好在之后，事情朝着闹剧的方向发展。

据介绍，阿蒂亚先生的演讲持续了45分钟，其中25分钟在回顾历史，只有3分钟讲述了他是如何用一种简单的证明方法来证明至今无人能攻克的黎曼猜想的。 159 年。 .

至于证明本身的内容，只有一页PPT……

觉醒了神的瓦工们驳斥了“破坏论”的谣言：

市场上几乎所有的加密货币都是由哈希函数和数字加密证书组成的。

哈希算法与素数无关。

加密算法，如果是椭圆曲线数字签名，与素数分解无关； 如果是基于RSA算法的非对称加密，其实就是在做素数分解，和黎曼猜想中找素数关系不大。

总之一句话：黎曼猜想能否证明，与区块链无关。

就这样，区块链和加密货币躲过了一劫。

不过话虽如此，即便阿蒂亚先生这次没有毁掉区块链，区块链本身也长期生活在阴影之中，头上始终悬着一把达摩斯之剑。

这把剑是一台量子计算机。

量子计算机，颠覆，革命，科幻比特币破解挑战，作为利剑，简直就是堡垒。

理想情况下，量子计算机将颠覆传统密码学以及基于密码学的一系列领域，区块链和加密货币将面临同样的浩劫。

新加坡大学的研究人员指出，量子计算机可以很容易地逆转使用公钥推导出私钥的过程，每个人的私钥都会被轻松推导出来。

在量子计算机面前，即使是货币之王比特币，其安全机制依然如纸。

那么量子计算机与区块链的关系如何呢？

让我们从加密货币的加密技术说起。

世界上所有加密货币的加密方式无外乎两大类：“对称加密”和“非对称加密”。

对称加密是一种使用单密钥密码体制的加密方式，而非对称加密是指为满足安全要求和所有权验证要求而集成到区块链中的加密技术。

目前应用最广泛的区块链是非对称加密算法，其代表有RSA、ECC等。

非对称加密算法在加密和解密过程中使用了两个非对称密码，分别称为公钥和私钥。

当使用其中一个密钥（公钥或私钥）加密消息时，只有另一个相应的密钥才能解密它。 公钥可以对外公开，​​私钥是保密的，别人无法通过公钥计算出对应的私钥。

以RSA算法为例，明文和秘钥都是数字。

加密公式为：密文=明文a%b，即密文是明文中a的幂取b的余数的结果。 a and b together constitute the public key of the RSA encryption algorithm.

The decryption formula is: plaintext = ciphertext c % b , that is, the plaintext is the remainder of b to the c power of the ciphertext. c and b together constitute the private key of RSA.

Among them, the abcd that makes up the secret key is not taken randomly, but generated by a specific algorithm.

In the RSA algorithm, the way to generate the secret key is: randomly generate two super large prime numbers (usually hundreds of digits), and multiply them together to get a composite number. To crack the password, you need to decompose the composite number to find the two prime numbers.

It is very difficult to crack RSA algorithm encryption by multiplying prime numbers. Because the larger the prime number, the difficulty of cracking is almost geometrically multiplied.

Because of this, the current encryption technology of digital currency is safe.

Let's look at quantum computers.

Unlike classical computers that process information through binary bits, quantum computers develop quantum bits (qubits) that have the ability to exist in multiple states at the same time. When processing data, qubits can be in two states of 0 and 1 at the same time. It is determined by the superposition characteristics.

Transistors in traditional computers can only be in the state of 0 or 1 at a time, and can only process data in chronological order, while quantum computers can perform super-parallel operations.

Simply put, N quantum operations are equivalent to completing the parallel processing of 2 to the Nth power of data.

Three qubits can represent 8 (=23) states at the same time; 5 qubits can represent 32 (=25) states at the same time. If it is 48, you will get 281,474,976,710,656 (=248) possibilities.

And when the entanglement of 500 qubits is realized, 2,500 operations and calculations can be generated at the same time, which is more than the number of known atoms on the earth...

In the face of such terrifying computing power, the decomposition of composite numbers in the RSA algorithm will become easy, and even the most secure password in the world can only be weak.

There is an interesting analogy.

It is said that if the decryption process of the blockchain is compared to walking in a maze, the classical computer approach is to go one way at a time until trying to find a correct way.

The quantum computer opens up the perspective of God, and directly gives you a plan of the maze, so that you can overlook the entire maze and find the right way before you go.

Professor Pan Jianwei of the University of Science and Technology of China said: "When the number of qubit manipulation reaches 5 bits, it can surpass the early classical computers. When it is about 25, it can be equivalent to the computing power of today's ordinary computers."

With the current level of blockchain technology, there is a view that only a 4,000-qubit quantum computer can be easily disintegrated.

Wu Zhenhua, Institute of Microelectronics, Chinese Academy of Sciences, said:

"This is well-founded. It is a judgment made after comparing the computing power required to crack the blockchain with the enumeration method and the computing power of 4,000 qubits. Of course, the requirements are also very high, requiring 4,000 quantum entangled bits. , while ensuring an extremely low error rate.”

Given the terrifying capabilities of quantum computing, the great powers have also launched an unprecedented battle for "quantum supremacy".

The United States, China, the European Union and Japan are gearing up one after another, which has led to the growth of investment in this field.

The European Union announced in 2016 that it would invest 1 billion euros to support quantum computing research, and the United States alone invested $350 million a year. China is also investing heavily, and is currently preparing to build a national laboratory for quantum information, with a total investment of about 7 billion yuan in the first phase.

On Sept. 13, the US House of Representatives passed legislation on quantum information science to "develop a unified national quantum strategy," authorizing $1.3 billion in funding through 2023.

And in June, the White House also announced the creation of a new subcommittee at the National Science and Technology Council to coordinate quantum information science research.

At the same time, IBM, Google, Intel, including domestic BAT, and large companies are also increasing their R&D and commercial exploration efforts in this field.

In May 2017, the Chinese R&D team developed the first 10-qubit computer prototype.

In November 2017, IBM in the United States announced a 20-qubit prototype.

At the 2018 CES exhibition, IBM unveiled its self-developed 50-qubit computer prototype to the world.

The picture shows the 50 qubit prototype machine developed by IBM, shaped like a chandelier

In March 2018, Google announced the launch of Bristlecone, a general-purpose quantum computer with 72 qubits, which achieved a low error rate of 1%, on par with a quantum computer with 9 qubits.

However, although IBM, Google, etc. have announced the realization of quantum computer prototypes, these qubits have not formed an entangled state, and there is not much practical significance in application.

In July, Professor Pan Jianwei and his team realized the entanglement of 18 optical qubits for the first time in the world, breaking the world record for the largest quantum entanglement state preparation in all physical systems at that time.

Fortune predicts that quantum computers capable of threatening blockchains will be built within 10 years.

Quantum computers make passwords useless, and the blockchain is just waiting to die? 还没有。

At present, quantum computing is still in the embryonic stage of development, and a large number of cutting-edge technologies are still at the level of theoretical research.

The quantum computers that have come out, whether it is the Chinese Academy of Sciences, or Microsoft, Google, and IBM, are basically "pediatrics", and it is still a little premature to destroy the blockchain.

Even by Fortune's forecast, it's still 10 years away.

In 10 years, blockchain and encryption technology can do many things. And now, some people have already started to take action.

Cryptography research to deal with the "quantum crisis" mainly focuses on lattice-based cryptography, code-based cryptography, multivariate cryptography, and hash algorithm-based signatures.

Hashing is the most common encryption technique used in blockchains.

After years of development, the XMSS and SPHINCS hash signature systems have received more attention due to their advantages in signature length and operating speed. The Internet Engineering Task Force is currently trying to promote and complete the standardization of XMSS signatures.

Lattice-based cryptosystems are also highly anticipated and have received the most attention in the past decade.

In a lattice cipher system, all possible key choices can be sufficiently difficult. At present, the NTRU cipher and the learning problem with errors are the two methods with the best practical prospects for the development of lattice-based cipher systems.

Unlike large number factorization and discrete logarithm problems, there is currently no quantum algorithm that can break lattice-based cryptosystems with the help of quantum computers.

In order to deal with quantum computers, the blockchain has another trick: quantization.

In a new study, scientists have come up with a conceptual design for a "quantum blockchain."

In April of this year, at the Russian National Quantum Research Center in Moscow, researchers built, tested a quantum blockchain system, and successfully demonstrated it at Russia's largest bank, Gazprom Bank.

It is said that the system introduces quantum encryption technology into the blockchain, which can monitor any interference and eavesdropping, ensure the safe and stable transmission of information, make up for the loopholes in the current blockchain system that may be deciphered by quantum computers, and become theoretically unbreakable. Network security system.

The latest news is that in September, the world's first quantum blockchain laboratory was launched in Dubai.

Quantum blockchain sounds more mysterious than quantum computers, but it still relies on quantum entanglement in theory.

Quantum entanglement is the most famous prediction about the theory of quantum mechanics: the behavior of one particle can affect the state of another, even if they are far apart.

量子计算机通常依赖于空间上的纠缠，量子区块链则依赖时间上的纠缠，区块中的记录被编码为一系列按照时间顺序彼此纠缠的光子，这些光子即使是没有同时存在过的。

由于构成量子区块链的区块会在由量子计算机构成的网络之中相互传输，编码每个区块的光子得以被创建、再被组成网络的节点吸收。

因为在当前时间下不复存在，黑客无法对以往的任何光子编码记录进行篡改，只能对最新编码的光子进行篡改。

但这会使最新区块无效化，同时通知其它节点网络遭遇黑客入侵。

量子计算机代表着无限可能的未来，区块链是当下比新零售更火的名词，两者的博弈有点像道高一尺魔高一丈。

So，在杀死区块链这件事情上，黎曼猜想干不了，因为没几毛钱关系，寄予厚望的量子计算机也够呛，因为太遥远。

究竟谁能干死区块链呢？或许就只有贪婪的人心吧。

责任编辑：王超

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐四：比特币十周年| 细数比特币的十大对手

中国有句俗话叫做“打江山容易守江山难”，许许多多盛极一时的巨头都应验了这句话。但在加密货币世界里，开山鼻祖“比特币”却在诞生的十年，不仅头顶创世之勋，而且直至今天依然稳居加密世界王座。

当然，在过去的十年里比特币也有众多强大的对手，甚至一度让比特币陷入生死边缘。在十周年之际，小编也来盘点十年来比特币的十大对手：

1、莱特币

比特币之后，市场上应声出现了众多与之竞争的加密货币，因为其中不乏抄袭、模仿比特币的存在，因此它们常被称之为“山寨币”。现实中山寨逆袭的案例总是有的，众多山寨币中也有一些“成功者”，其中比较知名的一个是莱特币。

莱特币诞生于2011年，由李启威提出与开发。莱特币从理念到诸多代码，都与比特币十分相近，同样采用PoW共识，同样需要挖矿产生，同样瞄准支付应用。2013年，莱特币一度成为仅次于比特币的第二大加密货币，但其总市值在巅峰时期，也只有比特币的6.8%，超越者未满。于是后来莱特币也改变了方向，有了“比特金莱特银”的口号，作为一种主流加密货币活跃至今。

2、门罗币（Monero）

最初，比特币拥有不错的匿名特性，不容易被追踪。但这也容易让比特币成为恐怖组织融资、非法洗钱的工具。因此该特性开始被限制，比特币的钱包地址与转账信息是公开的，可以让一些非法应用有迹可循。

但匿名有它固有的市场需求，在比特币的竞争者中，出现了主打匿名性的门罗币，它采用Ring Signature加密技术，地址、交易金额、交易时间、发送方和接收方等信息完全隐匿，无法查询与追踪。因此备受黑客与一些不法分子的欢迎。而在日本等加密货币法律健全的国家，不被监管的门罗币开始被交易所封杀。

门罗币的市值很多时候名列前十，是一种主流加密货币，但总市值相比比特币要低很多，截稿时市值仅为116亿，大约是比特币总市值的1.5%，逐渐失去了往日的辉煌。

3、Ripple瑞波币

Ripple是一个基于区块链技术的是一个开源、分布式的支付协议，目前已经与诸多国家银行、机构开展合作，其技术已有应用模型。从这点看，Ripple是众多区块链项目中十分成功的一个。

Ripple发行加密货币叫做瑞波币，在几年间拥有巨大的价值增幅空间，其市值一度超越以太坊，成为仅次于比特币的第二大加密货币，市值最高层达到比特币总市值的45%。因此作为对手，瑞波币实力巨大。

瑞波币与Ripple支付应用，相对独立，彼此并没有太多的联系。所以作为币种缺乏应用场景，瑞波币稍显后劲不足。

4、以太坊

截至目前，比特币最大，也是真正意义上的对手，当属以太坊忘了。首先从技术角度看，以太坊不仅是比特币的模仿者，而是超越者。以太坊在比特币的基础上加入了智能合约与虚拟机一样，使区块链不仅停留在炒币的层面上，而是一套操作系统，开发者可以在以太坊上面构建各种应用，特别是以太坊提供了近乎“一键发币”的工具，开创了币圈项目融资新途径一度促成了2017年短暂的牛市。因此，如果说比特币是区块链1.0应用，那么以太坊就开创了以太坊2.0 应用的大门。所以但从技术应用上，可以说以太坊已经超越了比特币。

从市值看，以太坊字2014年诞生以来，市值不断攀升，在2017年6月甚至达到了比特币总市值的80%，距离超越比特币只差一步。但以太坊开创的发币与融资方式却不可持续发展，这一问题在2018年开始凸显，导致以太坊的市值迅速缩水。截至比特币十周年之际，以太坊的市值已经跌落至比特币总市值的18.7%。

5、比特币现金

因为比特币升级方案始终无法达成共识，2017年8月1日比特币出现首次分裂，分叉出更大区块链容量、更快交易速度的比特币现金（BCH）。从此同根而生的比特币与比特币现金展开了谁才是正宗的争夺战。

从认同度看，比特币现金虽然总市值一直稳居加密货币前五，并得到多为币圈大佬的力挺。但始终无法与比特币相提并论，特别是在2018年熊市之际，比特币现金虽然保住了前五的市值，但价格缩水速度远明显高于比特币，比特币依然是最北信任的加密货币。

比特币现金获得众多实力派的力挺，例如全球最大矿机厂商比特大陆。但比特币现金未来是否还有机会超越比特币？机会不大，主要还是正宗之争，像比特币这样的“空气币”一个就够，比特币的认可度明显更高。

6、喊打喊杀的“分叉币”兄弟

在比特币现金硬分叉之后，不安分的币圈投资者看到了新的商机，通过对比特币进行硬分叉发币，不仅**降低了发行难度，而且打上“比特币同宗兄弟”之名，通过分叉糖果的方式可直接获取与比特币相同数量的用户，自带流量。一时间比特币分叉比开始泛滥。

2017年10月至2018年1月期间，通过硬分叉诞生出的比特币分叉比数量不下50种，其中比较知名的有BTG、**TC、BCD等等，它们都对原有的比特币区块链进行扩容，加入Segwit闪电网络、零知识证明等技术，甚至有些分叉币称要加入智能合约功能。但从技术特性上看分叉比普遍好于比特币。

总之，这些分叉比大都打着解决“比特币”痛点，自己才是比特币未来的宣传口号。至于结果，从去年年末熊市的2个月里的确风光过，但熊市一来最先失去信任的也是这些没有应用支撑的分叉币。

7、EOS

EOS柚子，被称为区块链3.0的典型代表。但从技术与应用上看，它相对于以太坊更多的是性能的提升，相对于从比特币到以太坊的革新性要小的多。但即便如此，EOS相对于比特币而言，技术与特性优势还是比较明显的。

作为对手，EOS柚子目前为止尚不能胜过以太坊，所以显然也远无法动摇比特币的地位。差距有多少？从市值看，目前EOS仅为比特币总市值的4.4%。但区块链应用落地角度看，EOS柚子依然是目前认同度最高的公链之一，EOS后来居上的机会也还是有的。

8、央行数字货币（CBDC）

据新闻报道，包括中国在内的多个国家、地区央行正在研究发行数字货币的可行性。有声音认为，一旦央行发行国家层面的数字货币，其公信力与大众接受度与比特币这种仅依靠技术手段保证的加密货币不可同日而语，比特币将受到极大的挑战。

小编对以上观点不置可否，因为目前为止还没有任何一个主流国家央行发行过数字货币。但就当前掌握的信息看，央行数字货币与比特币将是两种完全不同的存在。央行数字货币是法币的数字形式，发挥着法币的作用，并且技术上很可能与区块链完全无关。而比特币是一种无国界、无中心的虚拟“货币”，几乎不可能被主流国家**认定为货币。基于此，比特币与央行数字火币很可能就不存在竞争关系。

9、手握生杀大权的监管政策

虽然不能称之为对手，但从比特币诞生至今，几次重大监管政策的***，都让比特币面临生死考验。这也体现在比特币的价格上，距离现在最近的一次是2017年9月4日我国***ICO与加密货币交易禁令，比特币价格应声下跌，一度让很多投资者担忧比特币可能就此终结。

不过从现在的全球形式看，美国、日本等经济发达国家已经在法律上承认比特币，并将其纳入合法监管。因此未来全球范围内比特币政策虽然会收紧，但目的是合理规范，而不是绞杀比特币。

10、永恒的对手—技术

比特币源于极客世界，它是通过技术手段创造的一种无国界、无中介、自由可信的虚拟货币，践行了“代码即法律”的理念。比特币网络采用了简单而有效的PoW（工作量证明）共识机制，用算力保证了网络的透明与公正，最大程度的减少人为的干预。

但既然比特币的信任源于技术与算力的保障，那么要打败比特币最直接的途径，就是通过技术活算力去攻破。

首先，比特币是程序代码，而一段程序代码几乎不可能做到毫无破绽。在比特币诞生的十年间虽然总体相安无事，但多次被发现过漏洞，比如2010年的一个溢出漏洞，可导致920亿个比特币诶伪造（比特币总数才2100万个），一旦爆发将让比特币彻底丧失信任。类似的漏洞还很多，但所幸的是都得到了及时修复，并未造成太大的影响。但谁又能保证下一次漏洞不会被不法者最先发现并加以利用？

其次，比特币融合了密码学、网络等技术，采用了独特的加密技术保证上链交易数据的安全。但如果计算机性能足够强大，那么短时间内就有可能攻破比特币的加密算法，使其失去意义。虽然目前计算机的性能还远远做不到，但量子计算机一旦出现，比特币网络或将不堪一击。当然，我们也可以乐观的认为道高一尺魔高一丈，到那时比特币的算法也会随之进化。

最后是51%算力攻击问题。我们知道如果掌握了比特币网络51%以上的算力，那么就等于拥有了比特币的记账权限，比特币将被大算力拥有者垄断控制，去中心化也将成为无稽之谈。

总而言之，比特币源于技术极客，也最有可能毁于技术，是比特币永远的对手。

来源：金色财经

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐五：区块链先锋榜| 幸运币安“简单”何一

猎云网注：币安也有令人担忧的地方，在采访了7个国内的处于不同段位的投资人之后，大部分都乐于使用火币，对于币安不是很了解，中国拥有巨大的市场，一旦有国内的交易平台做国际化以后，币安该如何应对。文章来源：猎云财经（ID：lieyuncj），作者：柳辉。

2012年的何一还在旅游卫视当主持人，虽然外表光鲜亮丽却不知其中的辛苦，从海南三亚到中俄边境，从大山里体验民俗风习，到和***、异蛇斗智斗勇，有的时候还要亲自蹦极。即使再喜欢旅游的人也禁不住这番折腾吧。

“80后从小就被教育，吃苦耐劳。而且做主持那段经历，我不觉得辛苦，做自己喜欢的事情，不会觉得苦。”何一对猎云财经说。

如今的何一却已经是世界上最大的加密货币交易平台之一的联合创始人，根据coinmarketcap数据显示，币安24小时交易量达12亿美元，排名第一，比第二名多出30%。

从旅游主持到区块链，几年时间，何一是如何搭上区块链这艘诺亚方舟，一路乘风破浪的呢？

01、“简单”何一，不当花瓶

何一在内部管理上比较结果导向，用她的话讲是“简单粗暴”。

“自尊心强的人可能不太喜欢我这种风格，但是留下的人会更有执行力。”

学过心理咨询的何一在管理上也更能了解别人。

在问及是否会感到孤独时，何一讲到，“每个人都是一座孤岛，同事们可能不是100%的了解我，但是信任我，带着一群小伙伴攻城略池，去改变一些事情，是非常让人兴奋的。”

2014年因为朋友的介绍，何一加入了当时并不是很出名的国内某交易所，不到一年就帮助其做到国内Top1，占领大部分市场份额。但是好景不长，比特币进入熊市。

“记得有一次，比特币跌到了100美元，感觉整个世界都要崩塌了，要game over。”

后来在加入一下科技担任副总裁的时候，何一负责了很多项目，当时正处于直播行业的红利期，一下科技旗下的直播平台一直播虽然进入的比较晚，但是仍然凭着独特的定位和媒体资源在“千播大战”中，独树一帜，站稳了脚跟。

“很感谢在国内交易所的历练，让我获得很多正反馈，也很感谢一下科技给我这么多在市场上厮杀的经验。”

所有这些经验在币安得到了大的爆发，币安在去年年末、今年年初那段时间，深谙直播和运营的何一，开启了一系列直播和送豪车活动，让币安的用户量上了一个台阶。

“我真的觉得直播和营销只是锦上添花，币安的发展和直播营销没有太大的关系。”何一对猎云财经说。

02、有所为，有所不为

在3点钟火星财经创始学习群里，何一曾说：“币安运气比较好，我和CZ一开始在愿景和价值观上就非常的统一。”

在接受猎云财经的专访中，何一一直强调币安的价值观就是保护用户的利益，不想让“韭菜”受到伤害。

其实，何一在这方面是个很“简单”的人，她一直都知道自己想要什么。

有一次一个剧组邀请她去演女一号，她犹豫的时候问自己到底想要什么，她放弃了那次机会。

币安能走的如此顺利，和“简单”也很有关系。

币安是2017年7月上线的，值得注意的是，当时它并没有做场外交易业务，这也是很多国内用户使用币安的原因之一，这部分需求还是很大的。

场外交易业务看似很有利润，但是要承担很大的政策风险，而且场外交易面对的大部分用户都是小白，维护和沟通成本很高。

这样从侧面体现了币安决策人简单的作风。

03、去中心化与中心化交易平台不冲突

币安作为世界上最大的中心化加密货币交易平台之一，具有很大的优势，一旦成为既得利益者很难去认清打败自己的东西是什么。

就像巴菲特老爷子说比特币是老鼠药一样，企业在一个领域做到最大以后，往往会变的傲慢，会沉浸在“舒适区”中无法自拔，比如之前的IBM、诺基亚和微软。

币安会变的傲慢吗？会不会考虑革自己的命，去做去中心化平台呢？

“我们已经在做去中心化平台，而且去中心化平台和中心化平台并不冲突，两者是相互补充的，长期来看，去中心化平台是未来。”我不相信这是何一说的，但是她的确是这样说的。

在问到去中心化平台是否存在安全问题时，何一打了一个比方，就像把很多有钱人集中在一个宾馆里，这个宾馆有很多保安保护这些有钱人，如果这个宾馆被打劫了，这些有钱人的钱包可能会被全部抢走。

而去中心化平台就像大家在大街上，每个人自己保护自己的钱包，只是说每个人一次性被盗走的损失较少，但你还是有被盗的可能性。

“中心化平台到去中心化平台是权利和责任的'包产到户'，普通用户需要更多的为自己的决策负责。”

道高一尺，魔高一丈，平台、钱包、个人隐私，无论做的多么安全，都有可能被盗。但是中心化平台存在一个问题是不透明，而且现在这个阶段缺少监管，对于按捺不住诱惑的团队来说，真的有可能犯错误。

对此何一表示，监守自盗等于自己偷自己保管的资产，对交易平台来讲一方面损坏平台的信誉，另外一方面需要去赔偿用户，这件事怎么看逻辑都不成立；只有那些难以维生或者一开始就打算诈骗的才会“监守自盗”。

04、让价值自由流动

“以前穷人都读不起书的，核心信息的传输都是一层一层过滤掉的，互联网让信息的传播更自由，而区块链的到来让价值的流动更自由。”

在提到监管问题时，何一说，“新的技术带来的变革会对传统行业带来一定的冲击，但会形成新的产业，就像互联网崛起对纸媒电视有冲击，但传媒行业还在，而对社会发展的促进是可见的。”

币安核心团队很国际化，除了何一是中国人之外，其他都是外籍。而且币安团队分布在各地，用户分布在全球各地，并不是很集中在某个国家。

这是SimilarWeb插件根据币安的网址查询出来的数据，其中访问币安官网最多的5个国家分别是美国、俄罗斯、土耳其、越南、巴西。

而国内的交易平台，30%多是国内的IP。

“币安破发的币比火币低，项目评审严格，用户有多大我不知道，但是交易深度是很好的，国外很多用户也都习惯用币安。”一位币圈“老韭菜”对猎云财经说。

币安越来越国际，而何一作为一个四川妹子，很怀念家乡的火锅和“辣”，仍然希望祖国可以赶上区块链这次浪潮。

后记

“我们的愿景是做区块链底层基础设施，就像谷歌之前也是仅仅做搜索，后来东西越来越多，成为了互联网的底层基础设施。”何一对猎云财经说。

但是币安也有令人担忧的地方，在采访了7个国内的处于不同段位的投资人之后，大部分都乐于使用火币，对于币安不是很了解，中国拥有巨大的市场，一旦有国内的交易平台做国际化以后，币安该如何应对。

币安如何继续保持行业地位，为区块链行业再做出突破性贡献，值得继续关注。

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐六：网络游戏将实施总量调控腾讯股价大跌超5%

澎湃首席评论员沈彬

“华住数据疑似泄露”事件引发广泛关注。8月28日，有科技机构在网上爆料，并传出一张黑客出售疑为华住酒店集团****的截图，其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息。

有媒体记者对已流传出的信息做了随机测试，在16人中，有1人电话为空号，3人表示数据与本人不符，5人表示信息基本一致，7人电话未打通。这份天量级别的个人信息包是从哪里泄露的？目前，上海长宁警方已介入调查，希望能够全面查清此案。

其实，发生类似的事件并非偶见，相反，近年各大网站、应用乃至医疗等机构的信息泄露不断，用户的信息一再“被裸奔”：

——2014年12月，12306上的超13万条用户数据，在网上被传播售卖，包括账号密码、身份证、邮箱等。

——2015年，线上票务营销平台大麦网被发现存在安全漏洞，600余万用户账户密码遭到泄露。

——2015年，网易163/126邮箱数亿账号信息泄漏。

——今年6月，著名二次元网站AcFun承认，受黑客攻击致用户数据外泄。

这并不是中国所独有的问题，而是大数据时代全球的尴尬：

——2016年，3200多万个Twitter用户登录信息被放到“暗网”上叫卖。

——2017年3月至7月期间，美国凯悦集团旗下11个国家的41家凯悦酒店支付系统被黑客入侵，大量****泄露。

——今年7月，新加坡**公开承认，黑客入侵了新加坡保健服务集团（SingHealth）的系统，盗取了150万名患者的个人信息，其中甚至包括**李显龙的个人信息。

“撞库”挖开了“信息堰塞湖”

泄露信息数量从万级到千万级，再到亿级，受害者从平民百姓到一国**，谁都不能免疫于无妄之灾。为什么泄露频率越来越高，数量越来越大，犯罪越来越猖狂呢？

大数据时代，信息即资产，商业巨头们用户群体广泛，汇集大量用户信息，进行客户特征画像、精准营销。互联网寡头高度集中，他们手中掌握着亿级的用户信息，形成了一个个“信息堰塞湖”，也成为不法分子的首选。

另一方面，当下以“撞库”为主要手段的盗号方式，使信息泄露像原子链式反应，瞬间呈指数型增长。

在早些年，盗取他人账号主要靠植入木马，密码字典则靠软件生成，能够盗取的个人信息数量相当有限，针对木马的防范也相对比较简单。但是，近几年频繁出现网站数据库泄漏事件，使“撞库攻击”成为主流。

何谓“撞库”？黑客入侵A网站后拿到的用户名、密码等数据，再去B网站尝试登录，这是因为很多人在不同网站、信箱会使用相同用户名、密码。而且黑客还会把盗取的数据进行“拖库”，把数据存到自己的所谓“社工库”里，在暗网上出售、交流，这样黑客们掌握的公民个人信息越来越多，“撞库”也就越来越方便。

事实上，每天都有数以万计被盗号流入黑灰产业链，这些号关联着海量应用账号；2011年，专业IT网站CSDN600万用户数据泄漏，成为网站数据库泄漏的第一声“芝麻开门”；2015年，网易邮箱数亿账号泄漏……这些都给黑客提供了充分的“子弹”去“撞库”。

因为“撞库”用的是真实的用户名和密码，厂家应对难度被迫提升：真假唐僧都会念紧箍咒，怎么来识别？厂家往往通过手机验证、验证码（字母扭曲、汉字识别、移动滑块），识别是网络攻击，还是用户“自然人”在使用，其实是一个简单的图灵试验。

结果道高一尺，魔高一丈，网络黑灰产业链又繁衍出一个亚行当——“码工”专门人工通过验证码来“撞库”。今年6月，全国首例“撞库打码案”在杭州宣判，此案中犯罪分子盗取大量用户名和密码之后，又雇佣了上百名“码工”对图片验证码进行打码，从而盗入他人的淘宝账号。

“撞库”的黑灰产业庞大到什么程度呢？有报告称，2016年机器人流量占全网流量的51.8%，而恶意机器人流量占据了全网流量的28.9%！甚至全球有近百万人充当“码工”，以人肉“撞库”为生。而且从全球攻击流量去向来看，截至2017年3月，中国占了67.62%，美国占据了27.12%，可以说，中国是“撞库攻击”的重灾区。

一次海量的“撞库”成功，可能引爆另一次天量的撞库；大规模的个人信息泄露，预示着下一次的规模更大。信息泄露，像生物繁殖的逻辑斯蒂曲线一样，一路飙升。反复迭代衍生的“撞库”，像是打开了潘多拉魔盒，对责任的溯源却越来越模糊。

信息安全常识应成为“生存技巧”

空泛地喊一两声网络安全意义不大，针对天量的网络灰产，需有足够强力手段和精准的保护。

首先，应该认识到“撞库”问题的严重性，公民要关注自己的信息安全。就像进入汽车时代要关注交通安全一样，大数据时代里，信息安全常识应成为必要的“生存技巧”，网民首先要学会“自救”。

占到全网流量的28.9%的恶意机器人，很多干的就是“撞库”勾当。但是，破解“撞库”说简单也很简单，只需用户在不同网站、App、电子邮箱，特别是电子银行之间使用不同的密码。那种一套密码走天下的小白思维，会成为撞库的“神助攻”。

在近年各家网站、应用屡屡发生千万级信息泄露的情况下，你的个人信息已被出卖，其实是一个大概率事件，所以说网民要学会止损，在网络应用上打“密码隔水舱”。

其次，保护个人信息安全，不仅是企业的社会责任，更是法律义务。网络安全，不仅关乎财产权，还直接关乎公民的生命安全，“徐玉玉案”就直接缘于当地的高招信息被泄露。《网络安全法》规定，“网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施”；《消费者权益保护法》也规定：经营者要“确保信息安全，防止消费者个人信息泄露、丢失”。今后强制性的信息保护规范，必须成为企业的硬性标配，全面构建信息安全社会。

第三，对于网络盗取公民信息、“撞库”的社会危害性，法律应有充分认识。当个人信息数据达到亿级时，它就不是商业安全问题，而是社会安全问题。但是，目前《刑法》规定的“非法获取计算机信息系统数据罪”等罪名都量刑较轻，甚至有时比醉驾还要轻。

结果，不少技术宅只为了逞强好奇，就强行攻破数据库，结果打开了潘多拉魔盒，自己还不知道。比如，前述的全国首例“撞库打码案”中，三名被告人最终都只被判处了缓刑。

大数据时代，赛博空间已然降临，它不是存在于科幻小说当中，而是深深地嵌入了我们的生活。原子链式反应式的“撞库攻击”，短时间内会愈演愈烈，治本之道是在全球范围内彻底铲除网络黑灰产业，强化对盗取网络信息犯罪的严惩，强化企业的网络安全责任；但对公民个人来说，还得赶快“自救”改密码！

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐七：【专栏】 ICO风险常抓不懈，你看到了什么？

昨天下午，人民银行上海总部、上海市金融服务办公室联合发布《常抓不懈持续防范ICO和虚拟货币交易风险》一文，继续表达了打击ICO违法事件的决心，结合，近期有币圈朋友询问：ICO如何绕开监管？我们的答案是：绕不开。

1、果断出手

应该说2017年9月4日的《关于防范代币发行融资风险的公告》下发时，业内哗然，没想到监管机关如此果断。根据今天的文献，我们可以看出：为了维护金融稳定，去年开始，国家互联网金融风险整治工作领导小组果断决策，出手清理整顿ICO和虚拟货币交易所，及时发布公告，将相关风险控制在萌芽阶段。

印象最深刻的是公告一出，很多本来要辞职从事发币工作的互金人士，纷纷止步观察，没有继续投身币圈。某些人士想要借“三农”之名，发售“土鸡蛋币”、“大闸蟹币”（当时也是临近中秋节）的痴心妄想也就此幻灭。

一些虚拟货币交易机构也识相，出走东瀛和新加坡等地。境内虚拟币的全球份额已从最初90%以上下降至不足5%。交易所新生创业者，也选择在香港地区、澳门地区和国外进行相关尝试，不将经营团队放在我国境内了。

2、道高一尺

时代在变化，道高一尺魔高一丈，如今又出现了新情况：一是虚拟货币交易平台“出海”，原本设置在境内的交易所出走海外，在境外注册并继续向境内用户提供虚拟货币的交易服务（俗称假洋鬼子）；二是出现了以ICO、IFO、IEO等花样翻新的名目发行代币，或打着共享经济的旗号以IMO方式进行虚拟币炒作。

根据我们常年与中国金融监管机关的沟通经验，对于涉及中国金融消费者的虚拟币炒作，我们还是秉承“穿透式监管”的思路，看行为实质，无论改什么名字，只要本质上是非法公开融资的行为，都是我国监管和法律反对的做法。

也就是说，只要伤害中国老百姓的钱袋子，无论是真洋鬼子还是假洋鬼子都要一律打击，并不是迁移到海外就可以躲避法律制裁。那种以为自己换个太平洋岛国国籍，把总部迁往新加坡就能逃避中国法律追究的做法是“法盲行为”。在司法管辖权问题上，几乎世界上任何一个国家都是强势的，我国概莫能外。

3、针对性措施

文件指出，对于124家服务器设在境外，但实质面向境内居民提供交易服务的虚拟货币交易平台进行监测，实施封堵，根据我们的预计，下一步各地网安部门可能会采取定点处置措施，将相关虚拟币交易服务掐断；而且，对于责任人可能也会约谈或者实行“边控”。

从支付结算端继续“扼住咽喉”，停止可疑交易，预计未来持币的朋友在买卖比特币等虚拟币时，可能会出现银行账户冻结等情形，在一些涉嫌刑事的案件中，交易所或相关人士的账户被冻结，可能反应为向外付款时显示：余额不足。如果你发现余额不足提示，可以反观是否近期有虚拟币变现的情况。

币圈自媒体、网站、公号如有诱使群众买币等行为，将被严肃处置，甚至将永久封停。飒姐在一些视听网站发现某地区几个币圈黑嘴，现在已经彻底闭嘴，不再继续诱使群众买币，这就是去年9.4至今监管部门行动的效果。

4、写在最后

币尽链归，这是当下现状。

知道很多币圈、链圈的朋友有不同看法，但我们作为守法公民，必须以合法为基本行为准则。出口转内销的ICO项目，如果再有路演等，就是往枪口上撞了。地方监管部门接受类似举报；同时，涉币的非法集资类案件、诈骗案件、组织领导传销案件，如果发现，应当及时向本地**机关报案。

回归链圈的人们，我们不反对大家满脑子社区建设，但请务必找到应用场景，把技术优势落在实处。

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐八：ICO风险常抓不懈，意味着什么？

ICO虚拟货币

本文共1430字，预计阅读时间28秒

昨天下午，人民银行上海总部、上海市金融服务办公室联合发布《常抓不懈持续防范ICO和虚拟货币交易风险》一文，继续表达了打击ICO违法事件的决心，结合，近期有币圈朋友询问：ICO如何绕开监管？我们的答案是：绕不开。

1. 果断出手

应该说2017年9月4日的《关于防范代币发行融资风险的公告》下发时，业内哗然，没想到监管机关如此果断。根据今天的文献，我们可以看出：为了维护金融稳定，去年开始，国家互联网金融风险整治工作领导小组果断决策，出手清理整顿ICO和虚拟货币交易所，及时发布公告，将相关风险控制在萌芽阶段。

印象最深刻的是公告一出，很多本来要辞职从事发币工作的互金人士，纷纷止步观察，没有继续投身币圈。某些人士想要借“三农”之名，发售“土鸡蛋币”、“大闸蟹币”（当时也是临近中秋节）的痴心妄想也就此幻灭。

一些虚拟货币交易机构也识相，出走东瀛和新加坡等地。境内虚拟币的全球份额已从最初90%以上下降至不足5%。交易所新生创业者，也选择在香港地区、澳门地区和国外进行相关尝试，不将经营团队放在我国境内了。

2. 道高一尺

时代在变化，道高一尺魔高一丈，如今又出现了新情况：一是虚拟货币交易平台“出海”，原本设置在境内的交易所出走海外，在境外注册并继续向境内用户提供虚拟货币的交易服务（俗称假洋鬼子）；二是出现了以ICO、IFO、IEO等花样翻新的名目发行代币，或打着共享经济的旗号以IMO方式进行虚拟币炒作。

根据我们常年与中国金融监管机关的沟通经验，对于涉及中国金融消费者的虚拟币炒作，我们还是秉承“穿透式监管”的思路，看行为实质，无论改什么名字，只要本质上是非法公开融资的行为，都是我国监管和法律反对的做法。

也就是说，只要伤害中国老百姓的钱袋子，无论是真洋鬼子还是假洋鬼子都要一律打击，并不是迁移到海外就可以躲避法律制裁。那种以为自己换个太平洋岛国国籍，把总部迁往新加坡就能逃避中国法律追究的做法是“法盲行为”。在司法管辖权问题上，几乎世界上任何一个国家都是强势的，我国概莫能外。

3. 针对性措施

文件指出，对于124家服务器设在境外，但实质面向境内居民提供交易服务的虚拟货币交易平台进行监测，实施封堵，根据我们的预计，下一步各地网安部门可能会采取定点处置措施，将相关虚拟币交易服务掐断；而且，对于责任人可能也会约谈或者实行“边控”。

从支付结算端继续“扼住咽喉”，停止可疑交易，预计未来持币的朋友在买卖比特币等虚拟币时，可能会出现银行账户冻结等情形，在一些涉嫌刑事的案件中，交易所或相关人士的账户被冻结，可能反应为向外付款时显示：余额不足。如果你发现余额不足提示，可以反观是否近期有虚拟币变现的情况。

币圈自媒体、网站、公号如有诱使群众买币等行为，将被严肃处置，甚至将永久封停。飒姐在一些视听网站发现某地区几个币圈黑嘴，现在已经彻底闭嘴，不再继续诱使群众买币，这就是去年9.4至今监管部门行动的效果。

4. 写在最后...

币尽链归，这是当下现状。

知道很多币圈、链圈的朋友有不同看法，但我们作为守法公民，必须以合法为基本行为准则。出口转内销的ICO项目，如果再有路演等，就是往枪口上撞了。地方监管部门接受类似举报；同时，涉币的非法集资类案件、诈骗案件、组织领导传销案件，如果发现，应当及时向本地**机关报案。

回归链圈的人们，我们不反对大家满脑子社区建设，但请务必找到应用场景，把技术优势落在实处。

本文系未央网专栏作者肖飒发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

《道高一尺魔高一丈的随机数攻击——EOS伪随机数漏洞》 相关文章推荐九：刷量、买粉、伪创作… 数据造假最终受伤的是谁?

“刷量”“买粉”“伪创作”

数据造假成“套路” 最终受伤的是谁

一篇自媒体文章不仅引起了公众对旅游社区平台马蜂窝点评内容抄袭的质疑，也捅开了互联网行业数据造假的“马蜂窝”。

在对“是否存在内容抄袭或数据造假”的质疑讳莫如深数天后，马蜂窝联合创始人兼CEO陈罡承认，其“在餐饮等点评数据方面存在部分问题，但远没有外界所表述的那么夸大”。然而，业内人士指出，互联网领域的数据造假远比想象的更严重，而且造假套路也呈现“道高一尺魔高一丈”的趋势。

从最早的电商刷单、刷好评，到之后的公众号买粉、刷阅读量，再到网络直播平台买流量、App机器人用户充数据，各类数据造假的手段不断翻新，而真实数据成为难以获知的“高度机密”。

难道没有机制可以识别、约束这些“套路”吗？事实上，一些平台企业和投资机构早已尝试通过反爬虫、第三方数据调查等技术手段预防和应对数据造假，但是效果并不好。另外，部分投资机构出于种种考虑，默认一些互联网企业的数据造假行为，甚至与之合谋。技术难题也随之成为更加复杂的人性谜题。

进步最快的是造假的方式

在“马蜂窝事件”中，备受质疑的一个数据造假“套路”是，不少用户在其他平台的旅行攻略、点评内容，被搬运到马蜂窝上。实际上，此类做法并不新鲜。

今年7月，生活社区小红书通过官方微博指责大众点评大量抄袭其用户的内容。具体做法是批量建立虚假账号，抄袭及搬运用户在小红书发布的原创内容。据小红书估计，抄袭的数量在百万条量级。

一些用户专门为小红书平台创作的内容被“copy”后，依然留着原本内容的影子。小红书用户“詹小猪Coco”曾于6月6日发视频庆祝小红书创立纪念日，“copy”后，文案竟变成了“祝点评生日快乐”，但视频中用户说的仍然是“小红书”，而且6月6日也不是大众点评的“生日”。

当时，大众点评方面对此回应称，这是因为新上线试运营的推荐栏目在未经授权的情况下对相关内容进行了违规转载，已第一时间完成所有内容排查与全部清理下线比特币破解挑战，并通过技术手段确保该类问题不再出现。

段民（化名）从2002年开始从事数据挖掘工作，是国内最早一批大数据行业应用的开拓者。他告诉中国青年报·中青在线记者，这类搬运其他平台内容为己所用的行为，属于常见的“伪创作”造假套路，即通过网络爬虫软件，将其他平台的数据和内容复制过来，稍加修改后变成自己的内容。与其他造假手法相比，这类做法更隐蔽，需要专业人士持续跟踪、分析、比对才能发现。

段民表示，除“伪创作”以外，互联网内容平台常见的数据造假“套路”还包括虚报数据、“僵尸用户”、虚假行为等。前两种“套路”因用户了解有限，平台与用户之间存在一定门槛，往往难以得知；而通过机器人冒充真实用户，访问网站或App从而增加流量或点击量的虚假行为，是离普通用户最近的一种造假“套路”。

微博、等平台的“刷量”“买粉”，是其中的典型代表。2016年9月末，因官方的后台调整行为，屏蔽了公众号刷量工具的操作，许多自媒体大V的真实用户和阅读数量显现出来。此前一周平均阅读量上万的公众号，在当天最少的阅读量只有200；此前阅读量在10万以上的公众号，当天的阅读量只有2万左右。

此外，一些音视频节目的播放量也出现造假。此前，在国内首起因视频网站“刷量”而引发的不正当竞争案件中，被告杭州飞益信息科技有限公司针对爱奇艺、优酷土豆、腾讯视频等主流视频网站上的视频内容“刷量”，对某个视频节目“刷量”1万次，仅收费15元。

上海市徐汇区人民法院公布的信息显示，飞益公司多名员工通过多个域名、不断更换访问IP地址等方式，连续访问爱奇艺网站视频，在短时间内迅速提高视频访问量，仅2017年2月1日至6月1日，飞益公司在爱奇艺网站制造了不少于9.5亿余次的虚假访问，按照该公司每万次15元的刷量收费标准，共非法获利上百万元。

技术的发展让造假成本更低

与“刷量”“买粉”“伪创作”等内容平台的造假手法相比，夸大用户和产品交易数据，则是互联网平台上更直接，也更难被发现的数据造假方式。

2015年，有业内技术人员在知名社区“知乎”上爆料，通过反向编译蜻蜓FM安卓版本软件，他发现蜻蜓FM软件中隐藏有名为“普罗米修斯”和“宙斯”的强行自启代码。前者可以在用户不知情的情况下，在手机后台启动无窗口透明界面；后者则可以自主触发广告商的广告，并回传给第三方数据公司，从而完成“用户自主点击广告”的操作。

因为普通用户很难发现这种技术方法，而且可以提高日活跃用户数（DAU）等数据指标，所以该爆料甫一出现，便立即引发关注。对此，蜻蜓FM曾回应称，相关代码是用于新功能上线时进行AB对照测试、统计相关用户指标。

不过，这类说法未能解释该平台的日活用户数量和广告点击量为何突然增加。此前，蜻蜓FM在宣布用户数量达到1.5亿的两个月之后，就宣布用户数突破2亿，许多业内人士怀疑该数据的真实性。

除这类由专业人士爆料的案例之外，也有一些平台可能因一些“长相奇怪”的数据而引起质疑。同样在2015年，互联网农业公司一亩田因出现“9小时前李老板采购了1073741.8235吨洋葱”“6小时前刘老板采购了999.999吨毛桃”等数额怪异的交易信息而陷入数据造假疑云中。

彼时，一亩田展示了其过去一年的交易后台数据，并称一亩田网站确实还有一些产品和数据不够完善，仍处于数据测试阶段。

中国首席数据官联盟专家成员鲍忠铁表示，许多面向用户端的互联网企业都希望讲述一个快速增长的“独角兽”的故事，而市场份额、客户数量、日活用户等数据就成了体现企业估值快速提高的重要指标。

鲍忠铁在移动互联网界工作多年，他对一些App宣称的用户数量嗤之以鼻。据他的观察，很多App的下载量和用户量都可以通过技术手段造假：

因为安卓系统的开放性，破解系统权限后，一台平板电脑设备上甚至可以装十多个同样的App，配合不需实名制的虚拟运营商电话卡，可以形成十多个看似真实、独立，实则批量化虚假的用户。而且，由于虚拟运营商的手机号可以包月使用，这样的造假手法成本得以进一步降低。

当数据造假变成一场合谋

数据造假的“套路”如此大行其道，甚至已经形成特定的产业链条，为何会出现如此局面？

前海梧桐合伙人王蔚分析，互联网企业比较常见的是在运营数据上造假，包括用户数据、产品数据、财务数据等，因为这类数据可以帮助企业获得激烈竞争中的优势地位，提升业务合作报价。

此外，早期互联网企业的投融资估值一般采用流量法或市销率法，夸大的运营数据一般会对应更高的估值。王蔚表示，在运营数据造假以外，还有不少互联网企业在融资经历、融资金额等方面也会造假。“我们都习惯了，官宣融资额除以510有可能更接近真实数据。”

王蔚认为，除互联网企业自身竞争需求和融资需求驱动外，投资人作为另一重要的参与方，在数据造假问题上也不是没有责任的。由于财务投资者需要在投资互联网公司时“低买高卖”，有时候为了推高企业估值以便实现股权退出，也会成为数据造假的协同者。

值得注意的是，投资机构在企业数据造假中扮演的角色非常微妙。在成为某些企业的投资者之前，也会通过一些技术手段发现或破解刷量、刷粉等数据造假的手法。

远瞻资本合伙人秦岗表示，由于许多公司数据“注水”，大多数投资机构不再将企业自己公布的数据作为评判一个创业公司或产品的主要指标，可能会聘请第三方数据机构来开展尽职调查，以验证各项数据指标的真实性。

不过，秦岗也指出，这类做法一般出现在投资项目比较成熟的中晚期，或投资金额较大的情况下。对于早期创业项目，或投资金额不够大的项目，很多投资机构往往没有相应的预算。

鲍忠铁表示，对于网站、App的真实运营数据，网络运营商一清二楚。“App什么时间打开，什么时间关闭，装在哪些设备上，通过运营商的DPI数据是可以解析出来的。”但令人遗憾的是，这类真实数据往往得不到重视，一些VC投资机构、第三方数据公司也不会充分利用这些数据。“没人做这个事情，因为对别人只有害、没有利。”

鲍忠铁也注意到，有些第三方监测软件或第三方数据咨询公司有时也会充当数据造假的“帮凶”。一些在业内颇有名气的第三方数据咨询公司所公布的特定App的下载量、月活用户等数据，也经常被质疑。

例如，国内知名数据研究机构艾瑞咨询曾发布的数据产品，就被今日头条、“大姨妈”等平台质疑可能弄虚作假。2017年年底，艾瑞咨询联合美柚App发布的《2017年中国女性生活形态研究报告》显示，美柚的月度总有效使用时长占据所有经期管理类App的95%，这也意味着，“大姨妈”等其他经期管理App的阅读有效使用时长加起来还不到5%，这被“大姨妈”指责为“收钱说瞎话”。

“造假是'多赢'的”，这已经成为数据产业链病态发展的一个奇怪结论。重庆大学网络与大数据法治战略研究院院长齐爱民分析，企业运营数据和融资数据“好看”了，既方便部分投资机构退出，也能让“刷量”的水军商家从中牟利；内容方可以通过大量刷取点击量，炮制市场火爆的假象，进而吸引真实用户的目光；平台方也需要通过这种假象来营造优质平台的形象，从而进一步吸引广告投放。

鲍忠铁认为，刷单等数据造假行为的根本原因，还是“to VC”的创业模式泛滥，无论创业团队还是投资机构，都希望快速将企业估值做大，针对这类作假行为，相应的监督还缺乏执行力。

王蔚表示，数据造假属于不正当获益的商业手段，最终仍需要社会埋单，但很难用道德约束或行业自律的方法去治理，或许还是“底线管理”原则更加适用：从立法上界定清楚“数据造假”和“商业欺诈”违法犯罪行为之间的联系，抬升“数据造假”的获益成本。

责任编辑：李锋

关键字： 攻击漏洞阅读全文

本文来源：

标签组：[信息安全][区块链][安全平台][网络监管][比特币][以太坊][币安][中国货币][网络攻击][ico币][网站安全][ico][比特币区块][道高一尺魔高一丈][随机数]