前言

2019年伊始，筆者在公眾號(hào)“零時(shí)科技”中開始發(fā)表一系列區(qū)塊鏈相關(guān)的安全文章。其中“交易所安全審計(jì)”系列文章在發(fā)表后反響不錯(cuò)，這在很大程度上歸功于這種以實(shí)際滲透測(cè)試項(xiàng)目為基礎(chǔ)，模塊化成不同的測(cè)試方向，提煉出通用漏洞點(diǎn)，并輔以案例進(jìn)行說(shuō)明的形式。目前市面上的安全類書籍多是以漏洞類型為基礎(chǔ)，對(duì)不同類型的漏洞進(jìn)行分析利用，但鮮有此種形式，加之區(qū)塊鏈又是近些年來(lái)的新興技術(shù)，人們對(duì)該領(lǐng)域的安全問(wèn)題關(guān)注度較低，又由于數(shù)字貨幣具有金融屬性，其造成的影響廣泛而深遠(yuǎn)。于是，本書的幾位作者一拍即合，決定寫一本全面介紹區(qū)塊鏈安全的書。相信本書會(huì)提供一種系統(tǒng)而全面的視角，在漫無(wú)邊際的區(qū)塊鏈安全世界中，給讀者提供指南。

本書作為一本“指南”，旨在用簡(jiǎn)單明了的行文講清楚區(qū)塊鏈的安全問(wèn)題，將一些復(fù)雜的理論和攻擊手法簡(jiǎn)要概括出來(lái)。

閱讀本書，最好了解一門編程語(yǔ)言，例如C、Python、Go，因?yàn)檫@些語(yǔ)言的語(yǔ)法與Solidity相近，對(duì)學(xué)習(xí)智能合約大有裨益。

本書主要適合以下人員閱讀：

·區(qū)塊鏈相關(guān)應(yīng)用的開發(fā)人員

·對(duì)區(qū)塊鏈有興趣的安全測(cè)試人員

·對(duì)區(qū)塊鏈和安全有興趣的學(xué)生

本書的主要內(nèi)容如下：

第1章對(duì)區(qū)塊鏈的誕生、演化、分類以及區(qū)塊鏈生態(tài)中的比特幣（Bitcoin，BTC）、以太坊、智能合約和聯(lián)盟鏈進(jìn)行介紹。

第2章介紹對(duì)數(shù)字貨幣交易平臺(tái)的安全問(wèn)題進(jìn)行模塊化后，如何進(jìn)行全面、細(xì)致的分析，包括滲透測(cè)試的步驟，如信息收集、社會(huì)工程等，還介紹了各種攻擊面，如業(yè)務(wù)邏輯、輸入輸出、安全配置、信息泄露、接口方面、用戶認(rèn)證安全、App安全等。

第3章對(duì)Solidity編寫的以太坊智能合約的常見安全漏洞進(jìn)行全面、系統(tǒng)的分析，通過(guò)案例介紹相關(guān)漏洞形成的原理和實(shí)際危害，并學(xué)習(xí)相應(yīng)的修復(fù)方式。

第4章介紹公鏈的EOS、EOS智能合約的原理和安全問(wèn)題，并詳細(xì)分析針對(duì)EOS的攻擊事件及這些安全缺陷的修復(fù)方式。

第5章介紹數(shù)字貨幣錢包的工作原理，并對(duì)其存在的安全問(wèn)題進(jìn)行深入剖析。

第6章介紹公鏈自身的安全，包括共識(shí)安全、源碼安全、RPC接口安全和P2P網(wǎng)絡(luò)安全。

第7章介紹礦機(jī)與礦池的常見類型，并針對(duì)其安全問(wèn)題進(jìn)行詳細(xì)分析，包括攻擊利用手法、防御修復(fù)措施等。

第8章對(duì)區(qū)塊鏈DeFi進(jìn)行詳細(xì)介紹，針對(duì)已發(fā)生的經(jīng)典DeFi安全事件進(jìn)行詳細(xì)分析并提出修復(fù)策略。

第9章介紹數(shù)字貨幣交易平臺(tái)和智能合約的實(shí)戰(zhàn)案例。

附錄A為區(qū)塊鏈安全大事件紀(jì)年表，記錄了自2012年至本書出版前區(qū)塊鏈生態(tài)發(fā)生的安全大事件。

附錄B為數(shù)字貨幣交易平臺(tái)安全速查表，對(duì)平臺(tái)安全審計(jì)點(diǎn)進(jìn)行了總結(jié)，以便廣大安全從業(yè)者和開發(fā)人員查閱并迅速定位安全問(wèn)題。

由于區(qū)塊鏈?zhǔn)且环N新興的技術(shù)，其安全問(wèn)題及技術(shù)也在更新，加之作者水平有限，書中難免出現(xiàn)疏漏與錯(cuò)誤。如果大家發(fā)現(xiàn)問(wèn)題，可以在本書的GitHub庫(kù)中提交Issue反饋給我們，我們將在圖書再版時(shí)進(jìn)行更正，以提供最為準(zhǔn)確的內(nèi)容。

為了更好地理解區(qū)塊鏈安全部分的內(nèi)容，我們?yōu)楸緯糠终鹿?jié)錄制了視頻課程，大家可以在本書GitHub庫(kù)中Video目錄下獲取。

由于書中部分代碼過(guò)于冗長(zhǎng)，所以我們將部分代碼上傳至本書GitHub庫(kù)中的SourceCode目錄下供大家查閱，地址為https://github.com/BlockchainSecBook。

致謝

在本書撰寫的過(guò)程中，得到了許多業(yè)內(nèi)外朋友的鼎力相助，在這里由衷表示感謝。

感謝機(jī)械工業(yè)出版社的吳怡編輯，她對(duì)書稿進(jìn)行了專業(yè)、細(xì)致、認(rèn)真的編校工作，并提出了很多切中肯綮的修改建議。

感謝登鏈社區(qū)（https://learnblockchain.cn/）的熊麗兵（Tiny熊），在我們開始撰寫本書時(shí)，不僅在Tiny熊的技術(shù)博客“深入淺出區(qū)塊鏈”上學(xué)習(xí)到了很多底層的公鏈技術(shù)以及智能合約相關(guān)的內(nèi)容，還有幸在其為我們提供的專欄上發(fā)表文章。

感謝波士頓大學(xué)的Ethan Heilman在USENIX Security發(fā)表論文“Eclipse Attacks on Bitcoin’s Peer-to-Peer Network”，這篇論文為本書相關(guān)內(nèi)容的撰寫提供了理論參考。

感謝螞蟻集團(tuán)安全實(shí)驗(yàn)室和百度安全實(shí)驗(yàn)室，我們?cè)谧珜戧P(guān)于安全漏洞的內(nèi)容時(shí)，從他們的技術(shù)輸出之中受益匪淺。

感謝那些在我們學(xué)習(xí)區(qū)塊鏈及相關(guān)安全技術(shù)時(shí)閱讀的書籍及博客文章的作者，從他們的技術(shù)輸出之中我們獲益良多。

最后要感謝完美世界安全應(yīng)急響應(yīng)中心（PWSRC）的葉姝彤，在撰寫本書的過(guò)程中提供了大量幫助。

要感謝的朋友還有很多，在這里無(wú)法一一列舉，希望這本書可以為區(qū)塊鏈安全技術(shù)在我國(guó)的發(fā)展與推廣添磚加瓦！