前言

為什麼要寫這本書

這本書的初衷是希望給區塊鏈專案提供一些安全方面的指導來改變目前區塊鏈專案匆匆上線，安全係數不高，安全問題層出不窮的現狀，也希望正在開發或將來需要開發的區塊鏈專案在安全方面給予足夠的重視。我們認為安全問題會是區塊鏈專案實作的主要絆腳石。一個不注意安全的區塊鏈專案，成功係數不會很高。區塊鏈有很好的安全屬性，例如資料不可篡改、資料不會遺失、可利用一些加密技術對資料進行加密等。但是從許多與區塊鏈有關的安全事件可以看出，區塊鏈的安全屬性不能保障區塊鏈專案百分之百安全。本書儘量從多個不同的方面，比較系統地對區塊鏈的安全進行分析，並且對區塊鏈專案實作所需要考慮的因素，提供一些建議。

本書特色

本書是為數不多系統性地說明區塊鏈安全的書。

本書的主要特色是以深入淺出的形式說明區塊鏈的安全，便於讀者更進一步地了解為什麼區塊鏈安全是一個重要的課題，以及如何解決某些區塊鏈的安全問題。

適合讀者群

本書的適合讀者群包含：

區塊鏈的開發者

區塊鏈安全的架構師

區塊鏈專案的主要技術負責人

其他對區塊鏈安全有興趣的人

如何閱讀本書

在閱讀過程中，讀者可以根據工作需要將某些章節多讀幾遍。因為章節與章節之間的依賴性不強，完全可以根據工作需要抽出重點來讀。

第1章詳解區塊鏈的安全屬性，主要從保密性、資料完整性、可用性、實體安全性4個方面對區塊鏈的安全屬性進行詳解。在分析過程中，本章穿插了一些實例，使得內容說明更為直觀、容易。本章所介紹的內容，可以讓讀者對區塊鏈的安全屬性有更深層次的了解，對做好區塊鏈的安全工作具有非常重要的參考價值。

由於區塊鏈的安全性分析極具抽象性，所以第2章特意挑選了一些主流數位貨幣（包含比特幣、乙太幣和Zcash），對其安全屬性進行分析。閱讀本章後，，讀者可以了解主流數位貨幣的程式、密碼學演算法以及“錢包”等，進一步加深對區塊鏈相關安全技術的認識。

第3章為應用與智慧合約層的安全控制。本章主要從Web或行動用戶端應用程式、智慧合約，以及身份與存取控制3個方面對安全問題進行分析。在目前資訊技術快速發展的背景下，行動裝置已經成為很多人上網的主要工具。為此，本章從一開始就對Web或行動用戶端應用程式的安全性進行了分析，讓讀者對相關的危險因素有所了解。在智慧合約的安全方面，主要從智慧合約的概念、安全編碼、漏洞、開放原始碼工具等幾個方面進行了分析，為讀者在開發相關內容方面提供了重要的參考。在本章的最後，從多個方面對區塊鏈的身份管理與存取控制進行了分析。透過對這部分內容的學習，讀者可以了解在開發區塊鏈的過程中，如何高效、安全地做好身份管理與存取控制等工作。

第4章為激勵層安全機制設計。本章主要從激勵的產生和分配以及激勵層安全兩方面進行了分析。首先，分別借助比特幣、乙太幣的激勵模式對激勵的產生和分配進行了分析，可以讓讀者對區塊鏈激勵層的存在有較為直觀的認識。在此基礎上，本章又從激勵模式的安全隱憂、安全事件、法律風險以及安全措施等方面，對激勵層安全進行了分析，讓讀者了解安全對激勵層的重要性，以及如何設計才能有效避免區塊鏈激勵層安全事件的發生。

第5章為網路層安全與控制。網路層是區塊鏈的重要組成部分，是否可做好安全與控制直接影響區塊鏈的價值。本章主要從P2P加密、用戶端與節點通訊加密、防禦DDoS攻擊3個方面進行了分析。透過對本章的學習，讀者可以對網路層安全與控制的相關內容有全面的了解。這對開發過程中加強區塊鏈的安全性具有重要影響。

第6章為資料層與共識安全。資料層是區塊鏈設計的基礎部分，是影響區塊鏈是否可正常執行的關鍵。本章主要從區塊鏈資料加密技術、資料傳輸、區塊鏈交易簽名、共識攻擊、區塊鏈安全性考慮5個方面進行分析。閱讀本章後，，讀者可以了解關於資料層安全更多的知識。這對於加強區塊鏈的安全，保障區塊鏈的正常執行具有重要的參考價值。

第7章為私密金鑰的安全。本章從私密金鑰的重要性、使用方法、存在的問題等多個方面對私密金鑰的安全進行了全面的分析。透過對本章的學習，讀者可以對私密金鑰安全性在區塊鏈技術中的重要性有更深層次的認識，了解如何使用私密金鑰才能有效避免安全問題的出現以及私密金鑰的更新、找回與吊銷等。除此之外，本章還對私密金鑰保護的正確“姿勢”、硬體錢包等內容做了分析。有了這些內容的指導，讀者可以參考、擴充關於保障硬體錢包、行動錢包方面的設計想法，加強區塊鏈的安全性。

除了上述內容，本書還包含3個附錄。附錄A介紹的是區塊鏈安全基礎概念、原理與分析方法，可以更進一步地了解區塊鏈。當制定區塊鏈安全性測試標準時，可以適當地參考、參考。附錄B主要介紹DAG的基本概念、原理與主流專案，從中可以了解DAG給區塊鏈安全帶來的價值和影響。附錄C介紹區塊鏈私密金鑰管理的一種方法，主要用於企業級數位資產的安全。

勘誤和支援

本書從不同的角度來說明區塊鏈安全，抛磚引玉。我們不能說這本書包含了區塊鏈專案實作需要考慮的所有安全因素，因為不可能面面俱到。區塊鏈目前尚處於初級的技術發展階段，新的安全隱憂和新的安全措施會在發展的過程之中不斷湧現。我們希望這本書是“活著”的書，透過不斷地修訂，儘量把新的內容增加到這本書，也歡迎區塊鏈安全專家在這方面給我們多提一些意見。

本書不是從空中樓閣造出來的，我們參閱了大量網路公開的內容，並且參考了很多區塊鏈安全專家在不同新聞媒體或網路所刊登的內容以及個別面對面的交流資訊。對於被參考的內容或面對面交流的資訊，我們儘量與各位專家進行了溝通，並且獲得了同意，例如NEO創始人、OnChain創始人及CEO達鴻飛，NEO創始人兼核心開發者張錚文，上交所技術有限責任公司架構師朱立，複雜美CTO王志文，元界CEO顧穎（初夏虎），元界CTO陳浩，公信寶CEO黃敏強，Dfinity CEO丁磊（Tom Ding）等。不過，仍有可能某些內容與網上公開的內容存在類似或雷同之處，在所難免，敬請諒解。如果在閱讀本書的過程中發現有類似的內容，請及時與我們聯繫，我們會在修訂版中增加參考的出處。

前言

為什麼要寫這本書

這本書的初衷是希望給區塊鏈專案提供一些安全方面的指導來改變目前區塊鏈專案匆匆上線，安全係數不高，安全問題層出不窮的現狀，也希望正在開發或將來需要開發的區塊鏈專案在安全方面給予足夠的重視。我們認為安全問題會是區塊鏈專案實作的主要絆腳石。一個不注意安全的區塊鏈專案，成功係數不會很高。區塊鏈有很好的安全屬性，例如資料不可篡改、資料不會遺失、可利用一些加密技術對資料進行加密等。但是從許多與區塊鏈有關的安全事件可以看出，區塊鏈的安全屬性不能保障區塊鏈專案百分之百安全。本書儘量從多個...

第1章　詳解區塊鏈的安全屬性
1.1　保密性
1.2　資料完整性分析
1.3　可用性
1.4　實體安全性
1.5　本章小結

第2章　主流區塊鏈安全屬性分析
2.1　比特幣
2.2　乙太幣
2.3　Zcash
2.4　本章小結

第3章　應用與智慧合約層的安全控制
3.1　Web與行動用戶端應用安全
3.2　智慧合約的安全
3.3　智慧合約中的身份管理與存取控制
3.4　本章小結

第4章　激勵層安全機制設計
4.1　激勵的產生和分配
4.2　激勵層安全分析
4.3　本章小結

第5章　網路層安全與控制
5.1　P2P加密
5.2　用戶端與節點通訊加密（聯盟鏈）
5.3　防禦DDoS攻擊
5.4　本章小結

第6章　資料層與共識安全
6.1　區塊鏈資料加密技術的應用
6.2　資料傳輸
6.3　區塊鏈交易簽名
6.4　共識攻擊
6.5　區塊鏈安全性考慮
6.6　本章小結

第7章　私密金鑰的安全
7.1　私密金鑰安全的重要性
7.2　主流區塊鏈私密金鑰的使用方法和問題分析
7.3　私密金鑰保護的正確“姿勢”
7.4　硬體錢包介紹
7.5　行動錢包如何提升安全性
7.6　淺析私密金鑰更新、找回與吊銷
7.7　本章小結

附錄A　區塊鏈安全基礎概念、原理與分析方法
附錄B　區塊鏈的DAG技術和安全分析
附錄C　企業級數位資產保護

第1章　詳解區塊鏈的安全屬性
1.1　保密性
1.2　資料完整性分析
1.3　可用性
1.4　實體安全性
1.5　本章小結

第2章　主流區塊鏈安全屬性分析
2.1　比特幣
2.2　乙太幣
2.3　Zcash
2.4　本章小結

第3章　應用與智慧合約層的安全控制
3.1　Web與行動用戶端應用安全
3.2　智慧合約的安全
3.3　智慧合約中的身份管理與存取控制
3.4　本章小結

第4章　激勵層安全機制設計
4.1　激勵的產生和分配
4.2　激勵層安全分析
4.3　本章小結

第5章　網路層安全與控制
5.1　P2P加密
5.2　用戶端與節點通訊加密（聯盟鏈）
...