第六问 区块链企业自身应该采取哪些措施来加强区块链的安全性呢

王峰：除了柚子之外，我注意到以太坊也发生过几次严重的安全事件，[67]柚子和以太坊这样规模较大、实力较强的区块链企业尚且如此，其他区块链企业则更需额外警惕安全风险。你认为区块链企业自身应该采取哪些措施来加强区块链的安全性呢？

周鸿祎：我认为，区块链领域真正的安全问题其实还没有出现。这次360披露柚子的漏洞，也是希望大家能够重视区块链的安全问题。

在网络安全行业里，有两种情况是最可怕的：一种是做“沙漠里的鸵鸟”，知道有问题但不改；另一种是知道问题而不曝光，最终被人利用。

我最近在提一个概念“大安全”，简单来说，就是网络安全问题已经从最初简单的信息安全，演变到现在从线上到线下都会受到网络攻击的威胁，并且新威胁越来越多。区块链是这两年的热点技术，我把它遇到的安全威胁也归到新威胁的类别中。

在区块链行业，某个项目自身的安全防护能力肯定是有限的，要想解决安全问题，只靠360一家安全公司很难做到，应该是整个安全行业共同发展。所以，区块链行业需要与网络安全行业协同发展。

我们应该记住：没有攻不破的网络。只有没被发现的漏洞，或者被发现没公开的漏洞，不存在没有漏洞的网络。无论是区块链行业，还是其他行业，都要正视网络安全问题的重要性。

除了借助网络安全行业的外部公司力量，还可以推行一些漏洞奖励计划，让整个安全社区来帮助企业解决安全问题。我们每年都会帮谷歌、微软和苹果公司解决很多问题，它们都有自己的漏洞奖励计划，对提交漏洞的团队给予奖励。

王峰：从目前的漏洞产生机制来看，360安全团队只曝光了柚子智能合约的设计缺陷，实际上，从漏洞风险来看，我们认为可能在点对点端口、远程过程调用端口、服务器与集群等方面还可能潜藏着很多漏洞。针对这些问题，360的技术团队是否会对柚子进行系统评估？

周鸿祎：从攻击者的角度来看，一个系统或者应用有很多的攻击面，他们可以通过各种途径和方式尝试突破，其中软件设计与实现的缺陷是最直接的一个攻击面。

360有很多安全团队，他们会从不同角度发现系统的脆弱性，通过评估给出整体的安全解决方案。目前，区块链应用主要以智能合约应用和数字货币为主，从360安全团队发现的安全威胁来看，区块链领域的确还存在很多安全威胁，我们会在这方面逐步拓宽关注和研究的方向。