很高興有機會參加本次峰會，之前參加技術領域、學術圈的峰會比較多，今天我看到在座的有很多區塊鏈從業者，還有特別多的投資圈朋友，我也學習到了很多。

我今天演講的題目是《區塊鏈技術突破與未來風險》。從比特幣到區塊鏈我們談了很多，問題出在哪里?我認為，一是信譽危機，國家政府忙于競爭，不重視經濟發展，例如津元貶值，導致國家信譽破產，人民對政府的信任度下降;個人聲勢導致投資人盲目的信任，例如麥道夫利用個人名譽，規避監管，最后爆出欺詐事件。二是權利中心化，貨幣發行的權利過度依賴于中央銀行，過量發行貨幣導致通貨膨脹;個人或獨立機構權利過大，會大量出現暗箱操作、濫用職權的現象。三是政府機構工作流程繁瑣，且多數工作決策過程不透明，導致人民或者其他機構無法進行監管;類似麥道夫騙局，許多企業或者投資機構財務狀態不公開，金字塔式的管理模型導致下層角色無法對上層工作進行監督。

區塊鏈技術的演進

在比特幣之前就有很多數字貨幣的實踐，比特幣是第一個真正成功的數字貨幣。1982年，David Chaum最早提出了不可追蹤的密碼學網絡支付系統;1990年，Chaum將他的想法擴展為最初的密碼學匿名現金系統，就是后來的Ecash;1998年，Wei Dai發表文章闡述了一種匿名的、分布式的電子現金系統，他將其命名為“B-money”;同一時期，Nick Szabo發明了“Bit gold”，和比特幣一樣，用戶通過競爭性地解決“工作量證明問題”，然后將解答的結果用加密算法串聯在一起公開發布，構建出一個產權認證系統。

比特幣不等于區塊鏈，比特幣是區塊鏈的應用，是一種數字貨幣，不依賴中央銀行，通過挖礦產生，獎勵記賬的節點。區塊鏈是一種技術，或者說是多種技術的綜合，可以承載很多上層應用。兩者相輔相成，比特幣依托于區塊鏈技術才具有價值，而區塊鏈產生數字貨幣又可以更好地激勵礦工節點工作。區塊鏈可以分為三大類：公有鏈、聯盟鏈、私有鏈。公有鏈是任何人都可以自由參加和退出，聯盟鏈是加入和退出需要經過聯盟授權，私有鏈是權利完全控制在一個私有組織中。

區塊鏈1.0是以比特幣為代表的數字貨幣應用，其場景包括支付、流通等貨幣職能;2.0是數字貨幣與智能合約相結合，對金融領域更廣泛的場景和流程進行優化的應用。那到底什么是區塊鏈3.0?剛才我在場下還跟白碩老師交流，大家對區塊鏈3.0的看法可能都不一樣，我們覺得未來在新的行業里，能夠有新的應用，這樣的形態才叫3.0，現在不著急給它下定義。

區塊鏈1.0有一個簡單的腳本語言，區塊鏈2.0有非常重要的智能合約。我是清華本科畢業的，包括王小川也是，我們在上學的時候沒有聽過“圖靈完備”這個詞，進入區塊鏈領域后才聽到“圖靈完備”，這個詞很有意思，它描述了一個語言的能力，有圖靈完備語言能力的智能合約就是區塊鏈2.0。智能合約的確極大推動了應用的發展，我們現在看到已經落地的應用有能源電力系統、分時租賃等。

區塊鏈技術的突破

區塊鏈到底帶來哪些新的東西，可能真的需要總結一下。我們認為區塊鏈是一種基于密碼學原理的分布式共識賬本技術，這里比較關鍵的有非對稱加密技術、共識機制，以及分布式賬本。非對稱加密技術就是公鑰數據加密和私鑰數據簽名;共識機制主要有工作量證明、權益證明，以及股份授權證明;分布式賬本就是基于P2P網絡的一個分布式數據庫。所以，我覺得區塊鏈是一個集成式創新的典范，它可能沒有單元技術上的重大突破，但是它非常成功地把已有技術集成在可以工作的系統里，這點值得我們思考學習。

首先，區塊鏈對于去中心化特性的突破。傳統中心化架構缺點是，易受攻擊，黑客攻破中心服務器后所有用戶都是不安全的。中心服務器的“暗箱操作”讓用戶隱私很難得到保障。中心服務器一旦出現故障，容易造成大規模的數據丟失。區塊鏈去中心化架構由多方共同參與數據的管理，多方保持相互之間具有相同的數據記錄，例如比特幣網絡中的賬本信息，多方保持相互之間具有相同的計算狀態，例如以太坊網絡中智能合約中數據的存儲。

其次，區塊鏈對于不可篡改特性的突破。當今互聯網上，如何保證數據的真實性和有效性是一大難題，因為數據的存儲者往往對數據有修改和刪除的權利。為了逃避責任追究，有些廠商會選擇直接刪除對自己不利的數據，或者直接篡改數據讓自己逃避法律的制裁，而對這種行為往往又很難防止和追責。區塊鏈的出現，讓數據不可篡改特性有了重大突破。數據分布式存儲，冗余備份，防止一個節點的崩潰導致整個數據的丟失;含有密碼學和有序時間戳，保證區塊直接的有序性和安全性，一旦區塊的順序確定，幾乎不可能被修改(除非有能力攻擊超過半數節點)，防止雙花、數據篡改等行為;各節點之間通過共識算法保證數據的一致性，數學上可以證明是可靠的。

第三，區塊鏈對于高可靠性的突破。傳統分布式網絡對于副本狀態機的使用是有限的，因此很難發展為大規模網絡;傳統分布式網絡的拓展會消耗很多的網絡資源;傳統分布式網絡的可靠性和一致性很難得到保障。區塊鏈技術，通過共識算法和適當的激勵機制，保障網絡中每個節點的正常工作，保障可靠性和一致性的前提下，將網絡規模擴大至全球范圍。

第四，區塊鏈對于共識機制的突破。區塊鏈在共識機制中，采用了激勵機制，進而可以更好地解決拜占庭問題，使得整個系統具有更高的安全的特性。為了針對不同的應用場景和提高共識機制的安全性，目前有很多種共識算法，主要分為：

1)POW(Proof of Work)干的越多，收益越多;

2)POS(Proof of Stake)持有越多，獲得越多;

3)PBFT(Practical Byzantine Fault Tolerance)提供了一定的容錯率;

4)DBFT(delegated BFT)將靜態的共識參與節點，改進為可動態進入、退出的動態共識參與節點;

5)DPOS(Delegated Proof of Stake)POS的改進，選取代表人參與投票，防止資金的中心化囤積。

第五，區塊鏈對于隱私保護的突破。最近Facebook攤上了大事，數據大規模泄露，隱私保護越來越受到大家重視。區塊鏈保護用戶隱私的可行方式主要有非對稱加密，用戶在區塊鏈中擁有一對私鑰和公鑰，理論上用戶可以通過加密存儲的方式保護自己的數據。其次，匿名身份，由于區塊鏈中無需彼此之間的信任，不用公開自己的現實身份來博取對方信任，保護了現實隱私。最后，數據混淆，有研究指出可以通過比對交易數據來推斷用戶身份，針對此種情景，可以通過分組交易、混淆順序等方式，讓用戶與用戶之間的交易信息無法被推測，并且不降低區塊鏈本身的安全性。

區塊鏈的前景與挑戰

區塊鏈在很多領域都有著廣闊的前景，但其目前仍然處于成長期，仍然存在許多問題，比如它的性能、安全、穩定性等。區塊鏈的痛點，剛才很多人提到，比特幣交易速度其實就是每秒幾次，我們做過一些測量，確實是這樣。如何提高交易速度?簡單的辦法是把區塊產生速度提快一點，其實就是降低挖礦的難度，但是快有快的問題，就會出現雙花、分叉等問題。

學術界也有一些人在關注研究，比如康奈爾大學的Ittay Eyal寫過一篇文章“Bitcoin-NG”，NG就是下一代比特幣，它重點提高對交易確認的能力。他的想法很簡單，就是把區塊分成關鍵區塊和微區塊，關鍵區塊可以十分鐘出一次，但是關鍵區塊可以根據交易的數量自己創建微區塊，不用再去算哈希，不用再去競爭，它在十分鐘內享受最高特權。中間涉及到交易費給誰的問題，有一個簡單的算法，40%給前面一個關鍵區塊，60%給后面一個關鍵區塊。當然也有優點和缺點，優點是安全性提高，缺點就是惡意礦工創建KeyBlock后可以短時間發布大量MicroBlock，引發共識收斂性問題。

當然還有閃電網絡，利用較簡單的智能合約，通過多用戶參與的支付通道網絡實現較高吞吐量的即時支付的分布式網絡。閃電網絡可以拓展成一個多跳的形式，但它并不能完全解決問題，也存在如下四個方面的缺陷：

1)建立、撤銷通道仍然需要進行鏈上交易，開銷較大，易引起中心化問題。

2)中間節點收取中介費，可能促使用戶選擇最短路徑，以致出現寡頭結點，進一步加強了中心化。

3)可能造成用戶在一段時間內資金被鎖定在區塊鏈上無法使用。

4)惡意用戶在通道對端未連接網絡時，可通過廣播對自己有利的交易，盜取通道中的貨幣。

下一個可能存在的問題——算力波動。如果比特幣的價格再進一步下跌，可能有一些算力就會撤出，算力的撤出讓系統總算力下降，總算力下降會導致出塊的時間變得更長。引申一下“算力攻擊”，如果要攻擊比特幣系統，可以用比現在系統大兩到三倍的算力，沖進去算一下，然后撤出來，這導致算力的難度會提升，但是算力撤出來難度不會下降，就造成很長時間都出不了塊，系統就跟死在那一樣。這是一種可能，當然還沒有發生過，所以大家想如果真有這種攻擊發生我們怎么去解決。

大家一直在說哈希安全性的問題，其實我們也一直在關注。因為，比特幣或者區塊鏈這種安全體系就依賴于哈希算法的安全性，但是哈希算法是不是真的那么安全?2017年2月23日，Google在其安全博客上公布了其找到了世界首例的SHA1碰撞，這標志著SHA1不再安全，其實SHA1碰撞很早就被清華的王小云教授提出來了，只不過那是一個理論的算法，谷歌真的把它算出來了，下面列出來的兩個哈希碰撞結果是相同的。

所以，SHA1已經不安全了，比特幣區塊鏈采用雙SHA256哈希方案，一旦SHA256被攻破，比特幣區塊鏈便不再安全，在可預見的未來，風險來自于哪里?答案是量子計算，量子計算機對每一個疊加分量實現的變換相當于一種經典計算，所有這些傳統計算同時完成，并按一定的概率振幅疊加起來，給出量子計算機的輸出結果，這種計算稱為量子并行計算。傳統計算是一類特殊的量子計算，量子計算對傳統計算作了極大的擴充，其最本質的特征為量子疊加性和量子相干性。

簡單看，量子計算是通過量子特性做計算的一種方式。有了量子計算，主要是可以對非對稱密碼，無論是基于因子分解問題的RSA，還是基于橢圓曲線上離散對數的ElGamal，都可以用量子計算機在很短的時間內破解。區塊鏈底層采用了橢圓曲線密碼學作為基礎，一旦量子計算機研發出來，便可在較短時間內攻破區塊鏈。

簡單算一下，如果破解1024bit的RSA算法，需要至少1000到2000量子比特，現在我們常用的可能是2048，所以還比較安全。當前的狀況是IBM剛剛研制出50量子比特的量子計算機。最近，澳大利亞有研究人員說，他們能做一個芯片可以集成一百萬個量子比特，聽起來很夸張。我仔細看了他們的文章，發現吹的比較厲害，他們計劃是到2022年，先做出一個10量子比特的芯片，所以還很遙遠，我們可以稍微放點心。

最后一點，智能合約。上午量子鏈的朋友講到，他們在智能合約里有大量的機制來保證代碼的安全性，這里我作為計算機的從業人員必須說一句，只要是軟件代碼編寫的東西就一定有漏洞，所以說智能合約的漏洞是不可避免的。有人做了一些研究，下圖是CMU指出的安全性和靈活性負相關的關系圖。

2018年3月14號，有一篇文章提到對三萬多份智能合約做檢查，發現都有漏洞，價值好幾百萬美元，其中一份合約的漏洞會導致2.8億美元被鎖死在以太坊上，這是很麻煩的事情，漏洞類型分為很多種，有鎖定的，有揮霍的，還有自殺型的等等。

以上問題提示我們，在代碼系統，或者程序完整性檢查還未有效保證的情況下，還是要很慎重地采用智能合約這樣的方式。

密鑰管理其實是老問題，比特幣的密鑰就是靠你自己去保存，如果丟了，密鑰忘了，錢就拿不出來。聽到一個故事，不知道真假，兩個人合伙買了十萬個比特幣，一人記一半密鑰，這樣保證沒有一個人可以單獨把它拿走，結果很不幸有一個人在美國遭遇車禍去世了，密鑰沒有留下來，所以另外一個人又開始找工作，因為屬于他的五萬個比特幣也相當于丟了。

所以，密鑰是一個大問題。如果采用中心化存儲將失去區塊鏈的一切優勢，未來區塊鏈上的應用可能越來越多，密鑰不僅關系到用戶的財產，還可能涉及用戶的隱私數據、自身安全(醫療數據)等，密鑰一旦丟失，會給用戶造成無法挽回的損失。

最后做一個總結，區塊鏈還處于一個成長期，很多問題需要解決，很多應用有待挖掘，但是我們確實相信，區塊鏈在未來，可能會引領一個新的去中心化世界。我的分享就到這里，謝謝大家!