（《智勇相对论》第8期嘉宾黄连金）

半年多来，区块链在国内市场上掀起了巨大波浪，在刚刚落幕的第四届贵阳数博会上，国家工信部等主管部门明确肯定了区块链的和意义和前景，让行业对区块链充满了信心。但这两天发生的EOS系统漏洞事件，又让许多人质疑区块链的安全性。这种情况下，我们该保持怎样的态度？行业大咖黄连金曾长期在中美两国研究互联网安全问题，对区块链的国际发展现状和趋势有清醒的认识。

在本期的《智勇相对论》上，起风财经创始人罗智勇与区块链行业大咖黄连金一起坐而论链，为创业者、投资人带来理性的思考和洞察式分析，在区块链信息爆炸的市场上，带来冷静专业的指引和判断。

中美区块链的现状、趋势、差异、优劣势

罗智勇：您的个人履历极其丰富，最近奔波于美国纽约和加拿大多伦多，对于区块链有哪些最新感想？中美之间在区块链发展方面有哪些差异？各自的优劣势是什么？

黄连金：先说说中美对于区块链发展的共识。在刚结束的2018纽约共识大会上，我和业内部分人士认为，区块链在实体经济要落地应用关键要解决身份问题，包括用户身份和产品身份。这个身份怎么定义？比如说你购物、看病、住酒店时，身份都是不一样的。但是只要区块链要跟实体经济相结合应用，就必须要解决身份问题。

在身份问题上，有的地方监管比较严，用户要登记身份。另外，现在也有很多做身份管理的项目，包括人和物品的身份管理系统，这些项目在研发时都需要用到数据，不过这种需求很难被批准。美国类似项目团队也面临这种情况，他们需要这些数据，但是获得国家批准比较困难。这个在中国落地的可能性比较大一点，事实上，北京已经有一家公司获得国家社会保险数据使用的批准，可以有安全的API通道验证用户社会保险的数据，并且用于医疗保险。

其实，整个身份管理系统在互联网经济中做的并不好。因为我们的用户信息都在脸书、腾讯、谷歌这样的中央控制系统上，他们截留了用户数据拿去变现，用户自己却不能从中获益。现在，区块链去中心化给我们提供了一个契机，让用户拥有了自己的数据，并从数据里面获利、变现。

再说下美国区块链的趋势：第一，美国的交易所有些开始免交易费。在美国共识大会上，我观察到免交易费的交易所正在涌现，其中有个叫Cobinhood的交易所，因为免交易费所以交易量正在快速增加。另外有一个传统股票交易的平台，Robinhood目睹前者如此红火，也开始开放就做Robinhood Crypto的数字货币的免交易费的服务。

第二，美国证监会（SEC）的大部分ICO项目都是证券，专门有人在做发行证券的链，这也是个趋势。

第三，纽约共识大会参会人数年年上涨。2018年共识大会参会人数比往年任何一年都多，第一年只有500多人，2017年3000多人，2018年有8500人，其中很多中国人。

第四，大家都在关注区块链安全问题。我收到美国计算机协会的邀请，去多伦多做了一个智能合约安全与人工智能的主题演讲，在会场上碰到了图灵奖获得者MIT的Silvio Micali教授，还有美国计算机学会的主席和其他几名区块链与人工智能专家，我跟他们进行了深入交流，主要探讨在区块链上怎么处理安全问题。今年9月份他们其中几个专家会到南京承办由中国电子学会区块链专家委员会主办的区块链峰会的AI 和区块链的论坮。

第五，美国一些大企业也很看重区块链。在大会上我还遇到了维基百科以前的CEO，以及好几位做区块链与人工智能结合的科学家。维基百科也觉得区块链很重要，他们有个项目准备专门把维基链放到区块链上。

再说下中美两国区块链的差距：现在基础链暂时美国领先，但国内的一些项目也在赶超中。我做多个区块链项目的顾问，项目都做的很不错，提出了一些新的共识算法，也有一些把代码模块化，或者区块链结合大数据，区块链结合物联网和人工智能等等。美国的几个区块链热点城市是纽约、华盛顿、芝加哥和旧金山，我认为中外在区块链上的差距正在缩小，而且国内在应用方面更有想象空间。

说到中美各自的优劣势：我认为国内的优势是国家承认区块链这项技术，劣势在于目前禁止通证资产的交易。区块链是价值互联网，价值必须流通，要用通证来表示。中国改革开放已经三十多年，经济发展一直发展的很好，下一个经济发展的重要引擎就是通证经济。

在通证经济上，世界上许多国家都有基本共识——没有通证经济，区块链将很难搞。绝大部分区块链项目必须有币，否则将面临很多摩擦。用法币的话需要中介，区块链想要正常发展也离不开监管，监管必须作为一个节点进入到区块链里。离开监管，区块链与实体经济的结合会出现问题。

一个人有多维度的身份，要解决认证+访问权限问题

罗智勇：未来区块链行业要得到应用规模化爆发，包括政府实现有效监管，一定要是实名的，对此您怎么看？另外，什么时候区块链的实名或身份认证的问题能得到有效的解决和突破？

黄连金：实名身份的想法是对的，人的身份很重要，还有物的身份。一个人有多维度的身份，首先要解决认证问题，还有就是访问权限的问题。认证就需要联盟，比较好的就是联盟链的解决方法，这里有几个不同的角色要讲一下：一是Identity Provider（身份供应商）来认证个人的身份，比如大学来认证毕业生的身份，社保数据可以证明人的看病记录；二是ServiceProvider（服务供应商）；三是终端用户。ServiceProvider要用到个人信息，必须获得个人同意，而个人信息还需要政府数据、学校数据等公正机构来公正，数据必须要检验。

这个原理就是Service Provider需要个人数据，就要把通证给你，你作为个人就可以获得通证；它还需要付通证给Identity Provider。个人赚到通证后，可以去购买保险、健康食品等，逐渐进行流通。

具体到跨链场景是一个更深入的问题，如果做的好可以在自己的链上开发一些DAPP，能够支撑比较多的一些应用场景，而且Identity Provider和Service Provider都在同·一条联盟链上，就不需要跨链。

但是在某种程度上，比如你真的需要其他链上的一些通证或者服务，那就需要跨链，目前身份链还没有到解决这个问题的必要性的时候。主要还是需要解决单条的一个身份链，并在这个链上可以开发不同的应用，链上有Identity Provider和Service Provider就可以了。

这里我还要讲一下实物的Identity，特别点名一个国外的项目——IOTA，这个项目最初想解决物联网（IOT）与区块链结合，但其实没有解决IOT物理产品怎么上链的问题，只解决了M2M交易免费，但有安全隐患。而且IOTA生来就长的厉害，到目前为止还没有真正在物联网有一个落地的应用，总的来说是这方面的第一个尝试，但是基于它的DAG的技术和想法，给其他项目有了启发，其他项目在这个DAG Tangle算法基础上做了不同的改善。

最近我和上海一个团队在专门研究，如何解决物理产品上链，还处于研发阶段。我们的思路就是在TCP/IP这个网络上开发出一个区块链通用协议BNP（BlockchainNetwork Protocol），把这个通用协议写到终端里，把物理产品的唯一属性写进通讯包里面，来帮助物理产品上链。那么目前那些IOT存量设备怎么办？我们不能解决所有存量IOT设备的上链问题，但是可以为很多的有存储空间和一定运算能力的设备提供SDK（相当于开发包），从而解决大部分IOT物理产品的上链问题，已在研发中。这主要是为了解决IOT物理产品的数字化，就像手机里嵌入的芯片包含的唯一的ID。

360入局区块链安全，对从业者和企业都是好消息

罗智勇：最近360团队宣称发现了EOS价值百亿美金的漏洞，您对这事有什么看法？

黄连金：针对EOS漏洞事件，我们要透过现象看到几点本质：1、安全是动态的，不是静态的；2、代码是人写的，没有百分之百的安全；3、智能合约的安全非常重要。它一旦通过共识确立就很难更改，同时智能合约还是锁定资产的。4.安全需要多方面考虑，不能顾此失彼。

现在大部分的智能合约是无加密的，很多项目说能解决智能合约安全问题，但是解决的都是数据的安全，代码的安全无法解决。我认为，要想解决智能合约的安全，第一要把源代码进行加密，第二要进行形式化证明，运行时还要进行实时的检测。

仅保护智能合约还是不够，区块链还有许多安全控制的需要，比如安全身份的确认和访问控制权限的问题、从源代码安全审计的问题、数据加密和隐私问题等。对于隐私问题，2018年5月25号，欧洲出台了《通用数据保护条例》（简称GDPR），该条例有三个重要的规定，第一，提取数据要获得个人的同意；第二，商家使用数据要说明数据的用途；第三，当个人要求商家删除数据时必须删除。所以针对做区块链时数据放在链上无法移除的问题，必须要考虑到怎么合规合法的应用和保护个人隐私。

另外，区块链的安全问题不仅仅是从智能合约体现出来，也会从交易所安全、还有硬钱包和冷钱包的安全问题等方面体现出来。值得欣慰的是，很多大的交易所已经开始有安全防护措施，比如与第3方安全公司合作做安全审计和保护，要求项目方如果想要上币，必须经过第三方的安全检测等等。需要注意的是，仅仅依靠一次性的安全审计是不够的，安全需要完整的持续的流程。

举个例子，有个多签名钱包parity项目出过两次比较大的安全问题。第一个问题是函数的可见性问题，黑客利用这个漏洞转走了大约2000万，幸亏有白帽子团队把7000万美金转走，但还是损失巨大。后来因为另外一个bug，parity项目库存又出现了问题，到现在还有将近两亿美金锁在以太坊里面还没有解决。其实，写parity代码的团队技术是非常厉害的，而且雇用了比较牛的第三方安全公司做了安全审计，后来也还是出问题了。因此安全需要完整的持续的流程。

公开演讲时，我经常说仅智能合约安全不够，但不能因此不注重智能合约的安全。我们需要360这样的安全团队帮助审计代码，内部也需要安全的人员努力钻研。总体来说要有安全意识，而且从一开始就要形成安全的流程。

安全的问题才刚刚开始，以后EOS或其它链的安全问题肯定还会出现。360进入到区块链的安全领域，对于区块链的从业者和企业都是好消息。而360本身也可能因此成为引领安全的企业，在美国也有很多大大小小的传统的信息安全领域的企业，以后会有许多企业逐渐进入区块链安全行业，我非常看好这个行业。

EOS漏洞会大大降低平台的公信力

罗智勇：假设EOS漏洞没有被及时发现，在上线后被黑客利用，黑客控制了所有的节点，然后进行数字资产的转移，这种情况怎么办？能通过程序恢复吗？如果不能，将面临什么后果？

黄连金：如果这样，后果将难以想象。黑客可以把币转走，然后通过不同的交易所把币换成比特币，或者通过法币通道换成法币，尽快提现，这是如果黑客行动够快的情况。

但如果交易所或银行等意识到有了黑客，各节点大家可以尝试一起阻止。如果发生这种事，平台的公信力肯定会降低。虽然也可能在转走之前把黑客的钱给冻结，但我们不可能把比特币或法币换回EOS。EOS被转走就没有了，不可能凭空的再制造出一些来。

有种分叉的解决方案，不过这个方案是否可行，要看具体社区会发生什么情况。以太坊发生过DAO的问题，导致了分叉，安全问题发生之后进行的分叉，现在有了ETC和ETH。ETC保留黑客偷走的币，但ETH没有，这个分叉比较成功。EOS分叉会不会成功，很难预估。

我没有想好能怎么做，不过损害确实是非常巨大的。总结一下，损失肯定是巨大的，而且公信力也难以恢复。

三点论证交易市场或面临重新洗牌

罗智勇：如果这个现象发生的话，后果真的是非常严重的。某种程度上来说， EOS安全漏洞事件是助力整个区块链行业发展的，这是第一次把安全推到了区块链行业的顶端，引发了整个行业的思考，有如360这样顶级的安全厂商开始进入到区块链行业，这对未来行业的健康发展很有帮助。

目前出现了很多零手续费的数字货币的交易平台，对此我有两个问题：在商言商，做生意都是讲究利润的。而零手续费顾名思义就是不收手续费了，也就是无利可图，那么这样的平台靠什么去生存和发展呢？其次，这种新型交易所模式的出现，会导致现有的交易所格局进行重新洗牌吗？

黄连金：零手续费的交易平台目前有两种盈利模式，一是收取上币费，即送项目上币收取的费用，这个是基本的盈利模式。二是每年会收取维护费。零手续费的交易平台流量会比较大，也会吸引项目方去进行上币。

我认为交易市场重新洗牌的可能性是非常大的。具体可以从三个方面来阐述：

首先，交易市场的去中心化。从目前的现状来看，因为安全和性能等等问题，完全去中心化的交易市场几乎不存在，但随着技术的逐渐成熟，交易市场的完全去中心化也将会逐渐普及。

其次，交易市场是否拥有国家牌照。举个例子，我之前遇到一个团队，他们马上要拿到欧盟的牌照了，这意味着他们将拥有代币交换法币的合法通道了。目前一些地区包括澳洲、台湾，也都正在酝酿发行数字货币交易所的牌照。拥有牌照即拥有代币交换法币的通道，这一点也很有可能引发市场重新洗牌。

最后，零手续费交易所的出现。

如果一个交易所，同时具备了这三个条件的话，那它的杀伤力将会非常大了。如果它能够同时再与传统的股票交易所相结合，集股票交易与数字货币交易于一体，那就更无敌了。Robinhood是一个比较有名气的交易所，很有可能成为上面说的“集合体”。

罗智勇：如果现有的证券交易所开始支持数字货币的交易，会更有优势吗？

黄连金：传统的股票交易所会有优势的，因为它自带流量，数字货币交易者数量只有股民的十分之一，新的数字货币交易所要跟传统交易所竞争很困难。到时二者可能要拼服务，比如交易界面体验如何等。不过大的成熟数字货币交易所会有自己的流量，也许他们也会做传统股票交易。

这里要提一下安全问题，很多交易所会请安全专家帮他们审计或买保险，但最终关键还是用户的体验。有些数字货币交易的界面很不专业，信息很难找，股票交易所的界面要好的多。而且，如果股票交易所能交易的话，意味着他们已经拿到牌照了，这是他们的优势，法币的通道也是竞争优势。

两大原因限制区块链还没有大规模落地应用

罗智勇：你看到的区块链服务实体经济案例有哪些？

黄连金：首先我们要定义什么是实体经济。网上许多交易是实体经济，游戏、博彩也产生了经济效益，也算实体经济。我们现在说的实体经济是跟现实物理世界结合的经济。

我所知道的有个关于食品安全的项目，第一代产品已经落地，现在打算进一步改进。他们结合了物联网IOT技术，又把区块链技术放到物联网的设备里，这样就解决了上链的第一步。

区块链跟实体经济相结合目前缺少第一步和最后一步。第一步上链的问题大家正在解决中。最后一步是区块链作为价值互联网，它的价值如何在实体经济中体现出来，需要有去中心化的应用产生。

供应链金融、溯源、食品安全等，都跟实体有关。我还知道有个跟世界杯有关的博彩项目，做的很好，粉丝经济也是能用区块链落地的。

不过，目前区块链还没有大规模落地的应用，原因包括技术和身份两方面。区块链大规模落地要符合监管，所以必须实名；同时还要提高性能，做好隐私保护。现在许多项目在研究如何提高性能和安全。，比如采用多链、子链、多层次链，分片等各种技术，以及闪电网络、状态通道等。

总的来说，现在区块链有三辆车在以不同的速度奔跑。第一辆车是区块链的商业模式。区块链是基于价值互联网，重构人与人、人与组织、组织与组织、组织与政府、政府与政府之间关系的价值互联网。目前基于区块链的95%的应用还没出现，我们要有想象力，先相信，再看见。

第二辆车是技术。技术如果不成熟，性能就无法跟上，隐私保护也做不到。存储问题现在浪费很大，还没有好的解决方案。有个办法是，每过一段时间做个快照，把快照以前的数据放到链下，把一个哈希值放到链上，重新开始。但如何解决链上链下数据的检查又是个问题。目前在技术上我们有许多能做的事。

第三辆车是监管。监管远远在技术后面，这方面中美都一样。目前美国的政策是先观察，美国目前还没有下发对通证和代币具体的政策，唯一一点是之前美国商品交易期货委员会（CFTC）把比特币定义为商品，意味着比特币可以买卖。还有美国怀俄明州表示，具有使用权通证就可以到他们州来ICO，在波罗黎各，数字货币的交易可以免税，不同国家有不同政策。

总之，区块链在不断发展，三辆车要互相制衡，才更有利于国家通证经济的发展。