360集团区块链专家彭峙酿：区块链游戏安全痛点解决之道

12月3日，【金色相对论专场】之“DAPP游戏，区块链落地第一试金石？”线上访谈直播精彩来袭。走出实验室验证期的区块链快速拥抱各行各业，硝烟滚滚中，被视为最具备天然基因的区块链+游戏能否真的落地重塑行业，打破巨头垄断？它更该被定义为游戏还是投资？金色财经合伙人&CoinTime COO佟扬线上访谈十余位DAPP游戏大佬，披沙拣金，带你剖析区块链的游戏世界。

360集团区块链专家彭峙酿博士参与了本次【金色相对论专场】之“DAPP游戏，区块链落地第一试金石？”线上访谈直播并提出了众多精彩观点。

区块链游戏技术安全痛点的解决

他表示，从安全技术角度来看，目前区块链游戏主要的安全问题有：随机数被预测、整数溢出、逻辑漏洞等安全问题。

其中菠菜游戏随机数被预测的问题发生的特别严重。导致这个问题的核心原因是智能合约虚拟机本质上是一个确定性虚拟机。确定性虚拟机要求执行具有确定性、一致性。随机数的出现，会打破这种确定性，导致安全问题。所以智能合约虚拟机，本质上是不支持随机数的。各个菠菜游戏都会使用一些复杂的方法来实现一些随机数的产生，然而这些方法的设计和实现没有经过严格的安全证明。所以容易出现问题。

而整数溢出和逻辑漏洞，主要其实是一些传统安全上的问题，和一些业务逻辑的问题。产生的主要原因还是程序员在编程的时候没有注意安全细节导致的。

“区块链游戏安全问题，既有区块链本身的特性造成的，也有一些传统安全上的问题，开发人员应该多注意。”彭峙酿博士总结说。

在区块链游戏落地方面，彭峙酿博士表示，区块链游戏在安全层面最大的问题，是区块链项目本身编程模型的一些特性和传统软件编程特性不同。

他解释到，在传统安全模型中，一个协议、一个事件，是顺序发生的。而在区块链中，因为可能有回滚、分叉的可能性，所以很多原本安全的方案和协议，不能直接放到区块链上使用。
另外，由于区块链去中心化的特性可能会导致性能上有一定缺陷。此时，一些方案为了更好的体验，可能会一定程度上忽略安全性从而导致问题。

区块链游戏大爆发，需先做好行业公链基础设施

线上访谈环节，金色财经合伙人&CoinTime COO佟扬向360集团区块链专家彭峙酿博士发问：“目前公链面临哪些安全风险？公链能够从哪些方面来提升自己的安全系数？”

彭峙酿博士直言，“ 目前公链的安全问题比较严重，主要集中在三个方面：智能合约虚拟机安全问题、P2P通讯协议安全问题、逻辑验证问题。 ”基于这些问题，彭峙酿博士也给出了三方面的建议：

• 智能合约虚拟机安全问题和P2P通讯协议安全问题是公链最大攻击面，也是最容易出现问题的地方。可以通过对公链进行代码审计、自动化模糊测试等方法解决。

• 逻辑校验问题则与公链具体的业务逻辑相关，一旦出现问题可能会造成比较严重的后果。防止这类问题主要是要从业务逻辑层面进行代码审计。

• 公链团队也可以通过开启漏洞赏金计划，奖励发现漏洞的白帽子，从而进一步利用社区的力量维护项目安全。

菠菜类Dapp是黑客的“提款机”？现阶段是事实

此前，网络安全公司CiferTrace发布的一份报告显示，今年前9个月，通过黑客入侵交易所和交易平台窃取的数字货币飙升至9.27亿美元，比2017年的水平增长了近250%。而随着菠菜类DApp的爆发和流水的水涨船高，这一未经挖掘的沃土俨然已经成为了黑客的新玩具。

“现阶段这个确实是事实，但是安全总是一个过程，当用户和项目方逐渐开始重视安全、积累足够经验之后，DApp的安全性问题会慢慢得到解决。”彭峙酿博士说，“ DApp游戏在开发时应该遵循软件的安全开发生命周期。 研发人员需要接受相应的安全培训，学习相关安全风险和解决方案，以便从DApp架构设计开始就将安全问题考虑在内。同时在具体实现时，也能考虑到可能出现的安全问题。游戏初步开发完成后，建议找专业的安全公司进行安全审计，进一步降低安全风险。”