缺陷

典型的企业应用程序开发人员会发现以确定性的方式编写代码是困难的或不切实际的。你的生意就会面临欺诈或黑客攻击的风险。如硬件上的浮点行为或哈希表的插入顺序。

BM今日在Medium发表一篇名为《为何区块链是更好的应用服务器/数据库架构》的文章。他分析了传统互联网中的数据库等基础架构和设计的缺陷并指出区块链是最好的解决方案：诸如EOSIO之类的区块链开放式框架使得开发者无需为了构建安全的应用程序而重新创建“数据库”，因为所有用户使用私钥对自己的行为签名，可追溯和查证。未来B1的一个目标是添加工具和接口，促使在区块链上部署业务的过程和传统互联网上部署业务相似（甚至更简单）。未来几年里，不采用区块链技术就像银行不采用SSL，而一旦区块链技术被广泛使用，那些没使用区块链技术的人就像犯了重大疏忽一般。是时候行动了，如果我们构建应用程序的方法没有根本性的变革，您的企业和用户根本得不到真正的安全保障，每耽误一天，就是将自己的生意暴露在黑客攻击以及欺诈等风险之中。（MEET.ONE）

2月10日，基于以太坊的去中心化社交应用Status发布2019第四季度报告。报告显示，Status已经完成了安全审计，并已解决相关缺陷。同时报告指出，Status将于今年在移动设备上引入以太坊2.0客户端Nimbus，最终将替代以太坊的Go语言实现（Geth）。

在The On The Brink播客的最新一集中，Castle Island Ventures合伙人Nic Carter讨论了与PoS税收政策有关的问题，Carter对此持高度批评态度，他表示，“就像很多加密领域的事物一样，从监管的角度来看，相关法规还不够清晰。”他接着强调，美国国税局关于加密的指南存在“很大缺陷”，并表示“人们往往很少谈论PoS税收问题。我认为，这是因为人们不想承认这些协议的收入中有很大一部分会被政府收取。”他补充说，严重的“低效”税收对PoS区块链无益。Carter进一步表示：“目前，美国国税局的解释似乎是（尽管我们还能确认这一点），你在PoS领域中获得的收入将被当作普通收入征税，而这将是灾难性的。”（AMBCrypto）

据官方消息，闪电网络客户端Eclair发布0.3.3版本，新增多路径支付功能。除此之外，还修复了多个缺陷，增加数项改进，并与之前的老版本兼容。该版本最重要的更新是增加了多路径支付（Multipart payments）功能，这也就意味着单个支付流程可以拆分为多个更小的支付金额并通过不同的通道发送，所有的流程都是通过原子（atomic）的方式进行，也就是所有拆分出的小额支付同时成功或同时失败。另外，本次还新添了确定性编译（Deterministic builds）、蹦床路由功能预览（Trampoline Routing Preview）以及其他一些接口（API）层面的调整。此前消息，今年1月和去年12月，闪电网络的另外两个主要客户端lnd和c-lightning也进行了主要更新，新增多路径支付功能和其他特性。

ETC官方发布公告称，在为Parity-Ethereum和Multi-Geth节点实施Aztlán硬分叉时，Wei Tang发现一些规范缺陷，并为此提出“修复”和“重做”两个修复方案（修复是指同一个区块，将设置两个硬分叉升级，第二个硬分叉协议将对第一个硬分叉进行修复；重做是指将原计划的硬分叉升级方案进行修正，以替换原有分叉）。ETC官方提醒，距离计划中的ETC主网激活Aztlán还有8.5周的时间，ETC官方相信开发人员可以在原定计划里利用“修复”方案对Aztlán硬分叉进行覆盖。目前Aztlán已在Multi-Geth 1.9.7中发布，并将在Parity-Ethereum中提供。只要能够达成共识，ETC有望在2020年3月25日10,500,839区块上实现与ETH主网的完全字节码兼容性，并将其称为Phoenix Day。届时，ETC将会激活两个硬分叉——ECIP 1061：AztlánEVM和协议升级（Yingchun版）；ECIP 1078：Phoenix EVM和协议升级。

IOHK首席执行官Charles Hoskinson在最近的一次采访中表示，在加密货币领域有一大群人要么认为PoS是庞氏骗局，要么认为Cardano的独特风格是有缺陷的。现在智能合约模型已被打破，“人们认为整个应用程序都在区块链上，”但事实上，这是一个面向服务的体系结构。（AMBCrypto）

Electrum 是全球知名的比特币轻钱包，支持多签，历史悠久，具有非常广泛的用户群体，许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景，Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8，而已知的 3.3.4 之前的版本都存在“消息缺陷”，这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送“更新提示”。这个“更新提示”对于用户来说非常具有迷惑性，如果按提示下载所谓的新版本 Electrum，就可能中招。据用户反馈，因为这种攻击，被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥（一般来说 Electrum 的私钥都是双因素加密存储的），而是在用户发起转账时，替换了转账目标地址。在此我们提醒用户，转账时，需要特别注意目标地址是否被替换，这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包，如果搭配 Electrum，虽然私钥不会有什么安全问题，但同样需要警惕目标地址被替换的情况。

2018 年 12 月，我们第一次发现并预警了有攻击者利用 Electrum 钱包客户端的消息缺陷，在用户转币操作时强制弹出“更新提示”，诱导用户更新下载恶意软件，进而实施盗币攻击。

这种“更新提示”不是 Electrum 官方行为，而是攻击者利用 Electrum 客户端和 ElectrumX 服务器的消息缺陷发起的钓鱼攻击，攻击者需要提前部署恶意的 ElectrumX 服务器，并且这个恶意服务器被用户的 Electrum 客户端纳入本地（因为 Electrum 客户端是轻钱包，用户需要 ElectrumX 服务器来广播交易）。疯狂时，恶意的 ElectrumX 服务器占全部的 71% 之多，剧不完全统计，过去一年多，这种钓鱼攻击已经盗取了数百枚比特币。

虽然在 2019 年初 Electrum 官方就说要采取一些安全机制来杜绝这种“更新钓鱼”的发生，比如：
1. 补丁 Electrum 客户端不显示丰富的文本，不允许任意消息，只有严格的消息；
2. 补丁 ElectrumX 服务器实现检测 Sybil Attack(即女巫攻击，发送钓鱼消息的恶意服务器)，并不再向客户端广播它们；
3. 实施黑名单逻辑，在 Electrum 客户端视图之外提醒恶意服务器；
4. 在社交网站、网站和与用户存在的所有通信形式上大力宣传，他们应该始终运行最新版本，并且始终只从官方来源(electrum.org)安装，通过安全协议(https)访问，并事先验证 GPG 签名。

但许多用户的 Electrum 还处于老版本状态（小于 3.3.4），老版本还处于威胁之中。不过，我们不排除新版本也会有相似威胁。

近期，慢雾科技反洗钱(AML)系统通过持续追踪发现，其中一个攻击者钱包地址 bc1qcygs9dl4pqw6atc4yqudrzd76p3r9cp6xp2kny 已累计盗取 30 多枚 BTC，作案时间持续半年，并且近期还在活跃。我们在此提醒 Electrum 用户注意“更新提示”，这种“更新提示”里的新版本 Electrum 很可能是假的，如果有安装，请及时在其他安全环境将比特币转出。同时我们呼吁广大加密货币交易所、钱包等平台的 AML 风控系统拉黑并监测如上比特币地址。

最后，认准 Electrum 官方网址：https://electrum.org/

在1月13日北大国发院举办的“数字货币未来”研讨会暨《数字货币-领导干部读本》发布会上，中国银行前行长、第十二届全国人大财经委委员李礼辉表示，虚拟货币存在两个很大的问题。

“第一，技术性缺陷。刚才我们提到的虚拟货币是在去中心化的公有区块链的架构下生存和发展的，在这样一种架构下它的全网验证是通过超大规格的数据同步，而且各个节点的运行能力也需要平衡。到现在为止不管发展的最好的比特币还是后来居上的以太坊，都不能解决交易效率和规模化应用的问题。”

“第二，经济性的问题，或者经济性的缺陷。它因为缺乏足够的实体资产做支撑和信任背书，它的价值不问题，投机性太重，在2018年虚拟货币，比特币它最低的价格是3158美元一枚，年初最高的价格是19700多美元一枚。最低价格跟最高价格之间跌了84%。”

据人民网消息，1月12日，福建省政协常委、民建福建省委主委吴志明在福建省政协十二届三次会议上作大会发言指出，增加银企间信息对称。在加强银行和税务部门合作力度、不断推动“银税互动”工程向纵深发展的基础上，应用区块链技术、金融科技等手段，通过采集中小微企业各种信息，全面掌握企业生产经营状况，提高透明度，增强真实性，弥补中小微企业财务信息不规范的缺陷。

近日，原中国银行行长、现任中国互联网金融协会区块链研究组组长李礼辉作了以“区块链技术变革与产业创新”为主题的内部交流。李礼辉认为，虚拟币存在技术性和经济性缺陷；数字资产市场理论上有可能建立公平对等、点对点的直接交易机制，从而淡化中介甚至取消中介；数字货币的广泛应用，有可能对传统的金融机构造成颠覆性冲击。（同花顺财经）

Kraken在最新研究文章中指出，加密货币硬件钱包KeepKey存在漏洞，攻击者可在15分钟内窃取资金。Kraken在其文章中详细描述了一次“电压故障（voltage glitchin）”攻击，该攻击方式可强行破解用于访问设备的加密种子。 研究人员警告说，修复这个缺陷并非易事——“该攻击利用了KeepKey中使用的微控制器的固有缺陷。KeepKey团队在不重新设计硬件的情况下，对此无能为力。”

据theblockcrypto消息，日本已有80多家银行表示有兴趣加入摩根大通的区块链支付平台IIN。摩根大通执行董事Sanai Daizaburo在周二采访中对彭博社(Bloomberg)表示，这一数字是单个国家中最高的。Sanai说，IIN可能会帮助日本银行对抗洗钱风险，因为该网络使现金收款人的筛选“更快、更有效”。自金融行动特别工作组(FATF) 2014年发现日本存在缺陷以来，日本各银行一直面临加强反洗钱措施。上个月，据报道，金融行动特别工作组完成了对日本的最新现场检查，并计划于明年公布结果。报告称，总部位于东京的三井住友信托银行是签署了加入IIN意向书的银行之一。

据Bitcoinist消息，英伟达(Nvidia)敦促美国法官驳回投资者提起的诉讼。投资者称，英伟达在加密挖矿收入方面误导了他们。该公司称，原告拥有精心挑选的信息，并依赖于显然在猜测其财务状况的分析师。此案最初于2018年12月提起，当时第三季度业绩令人失望，股价大幅下跌。投资者起诉的理由是，公司在加密货币开采需求方面误导了大家。英伟达称，分析师对第三季度的业绩感到意外，因为他们使用了一个有缺陷的模型，该模型假定游戏芯片的需求是静态的。

金色财经报道，谈及未来各地发展区块链技术要把握的重点，西南财经大学普惠金融与智能金融研究中心副主任陈文表示，一是要把握好区块链服务民生、技术为民所用的大方向。二是推动区块链应用与实体经济的紧密结合，认识到技术本身无法独立于场景应用创造价值。三是清醒认识到区块链技术现有的缺陷，在应用技术过程中还要不断完善现有技术，使其更为成熟。此外，陈文表示：“目前区块链技术的应用已从金融领域延伸到实体领域，区块链技术的落地应用只有与实体产业结合才能真正发挥其价值。”。

尽管近期资本市场对于区块链概念的追捧热度大幅度提升，但其距商业价值变现还有很长一段路要走，在目前相关政策利好的情形下，更要坚守初心，坚持技术服务实体产业、服务民生。各地需要密切推动区块链技术与本地实体产业的有效结合，防止相关项目一哄而上的泡沫式发展。

11月29日，火星大学区块链公开课——全国10城公益巡讲第一站在北京举办。课程重点讲解区块链3.0时代到来，如何通过学习快速实现区块链认知跃迁，如何正确解读国家对区块链的支持与监管，区块链技术如何赋能实体经济以及投资者应如何识别机会与风险等重要问题。

北京链安COO王延巍分享了主题《区块链安全：云+链+端全解析》。在分享中，王延巍罗列了区块链安全的内涵和危害，并且强调这些危害正在扩散。其中包括交易所被盗币、智能合约代码缺陷被利用、DApp漏洞频繁被利用、数字货币与传统传销、诈骗等犯罪方式结合、Defi兴起引出技术和金融机制的风控问题、区块链在行业试点，伴生安全方面的需求、暗网、勒索病毒加剧数字货币洗钱现象等。智能合约本质上是基于公链平台的代码实现，与其它计算机系统一样，也存在代码上的缺陷和漏洞，甚至本身相关平台就存在漏洞，从而引发安全问题。

据AMBVCrypto报道，Ripple公司的首席技术官David Schwartz表示，XRP分类帐是第一个使用工作量证明以外的东西的区块链，Ripple最终只是一个运行验证器的计划。他表示，即使运行验证器的坏人决定破坏网络，也只是“短期的减速带”。我最担心的事情是有尚未发现的软件缺陷。因为没人知道短期内可能造成什么损害。每当添加新功能时，都将承担风险。

Bitcoin Unlimited（BU）首席科学家Peter R Rizun声称比特币二层扩容解决方案闪电网络（Lighting Network，LN）用户可能会在没有犯任何错误的情况下丢失所有资金。