區塊鏈技術應用風險分析

□文/ 張亞飛 黃思瑩

（新疆職業大學 新疆·烏魯木齊）

［提要］ 新興技術區塊鏈，具備顛覆現有許多傳統行業的潛力。區塊鏈基本版本1.0 誕生以來，逐漸在各個領域得到應用，獲得大量交易數據。隨著技術更新迭代，以太網為代表的合同區塊鏈技術2.0 誕生，區塊鏈數據類型進一步豐富。區塊鏈技術的不斷發展為技術創新提供技術支撐，為研究人員通過分析區塊鏈數據解決相關問題帶來新機遇的同時，在應用中也伴隨著一些新的問題和風險。因此，分析總結目前區塊鏈技術的優劣、在實際應用中風險的評估與評價以及提出相應規避和監控方案具有重要意義。

區塊鏈作為信息領域的前沿技術，正在技術創新和風投領域掀起一波浪潮。以區塊鏈為技術支撐的產業發展中，金融行業是其優先落地應用的主要領域，基于對區塊鏈的探索及其自身的發展，區塊鏈技術的觸角在未來會伸向越來越多的其他領域和行業。然而，正是從金融行業發現區塊鏈在實際應用中會帶來資產和管理上的風險損失，因此本文針對區塊鏈在哪些領域得到了哪些應用、現狀如何、應用中的風險如何評估及評價，試做一些探討。

一、區塊鏈技術介紹

（一）概念。對區塊鏈概念的理解可以分為狹義和廣義兩個層次。狹義視角下，區塊鏈指的是一種特殊的鏈式數據存儲結構；廣義視角下，區塊鏈是一種技術集合，其中包括幾種基礎技術，如分布式存儲、加密算法、點對點網絡等。用戶基于共識協議和分布式架構技術進行可信數據的交換以及存儲是區塊鏈在實際應用中發揮的主要作用。目前為止，區塊鏈技術在行業內還未形成統一定義。2016年10月，由中國工業和信息化部發布的《中國區塊鏈技術和應用發展白皮書》將區塊鏈技術描述為分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式。

（二）優勢及劣勢

1、核心優勢。當前，信息技術處于一個快速發展的時代，然而信息有效性和數據可靠性卻無法得到保證，區塊鏈的出現由于其技術的特殊機制，其中的數據具有“可信”的寶貴特征，使得我們對數據高效率的獲取看到了一線希望。下文介紹區塊鏈技術在應用中的主要優勢。

（1）集體維護。在區塊鏈的數據系統中，除交易用戶的私有信息會被加密，其余數據系統均對所有節點用戶開放。因此區塊鏈網絡中的數據會受到所有具有維護功能節點的共同維護，由于所有節點都有訪問的權限，通過公共鏈的公開接口，任何人都可以對區塊鏈數據以及相關應用進行查詢和開發，系統信息處于高度透明狀態。

（2）去中心化。區塊鏈使用分布式賬本核算和存儲，采用對等網絡技術對數據進行存儲，打破原有利用中心化的硬件和管理機構管理數據的方式。區塊鏈中所有節點的權利和義務都相等，單獨節點的變動無法對整個系統的整體運作產生影響，以此保證節點之間的相對獨立性以及系統運行的整體性。

（3）無需信任系統。區塊鏈的節點之間遵循一套固定算法進行交換，參與人無需對任何人信任，系統的安全性反而會隨著參與點的增加而提高。因此，在區塊鏈系統中的交易雙方無需通過傳統公開信息的方式產生相互信任，這將有助于系統交易過程中的信用累積。

（4）信息不可篡改。在信息進入區塊鏈網絡之前需要經過驗證，驗證通過之后被添加至區塊鏈就會被永久存儲，無法篡改。在區塊鏈系統中按照時間先后順序生成一套不可篡改、可信任的數據庫，以此規避一些由于數據篡改產生的不法行為。這也決定了區塊鏈數據極高的穩定性和可靠性。

2、核心劣勢。由于區塊鏈技術的應用尚處于不成熟階段，其帶來優勢的同時也出現不可避免的缺點，甚至有些優勢在某些方面也會成為技術本身的劣勢。

（1）無隱私性。區塊鏈采用分布式賬本核算和存儲數據，在公有鏈上等于每個節點的用戶都可以查看完整賬本，同時由于區塊鏈數據存儲、管理交易過程的可追溯性，交易過程中的數據都是公開透明的。這就意味如果某個人的賬戶被知曉，通過區塊鏈就能知道他的資產情況以及每一單交易記錄，無法保證用戶交易過程中的隱私性。

（2）監管危機。區塊鏈的去中心、自治化特點淡化了國家監管的概念。然而監管要求是所有技術創新應遵循的底線。對區塊鏈的監管力度提高，一方面在區塊鏈商業應用過程中可以提供合規性保護；另一方面由于這項新技術的未完全開發性和虛擬性，其相關法律和制度的建立仍然需要進一步研究和跟進，監管程度和立法的尺度如果掌握不好也可能會毀掉區塊鏈。

（3）安全性問題。私鑰安全是保證區塊鏈數據不可逆、不可偽造的前提，而用戶作為生成和保管私鑰的主體，不存在第三方參與，因此私鑰一旦泄露或丟失，賬戶的資產便無法做任何操作。私鑰的保密性主要通過非對稱加密算法實現，隨著計算機技術的發展，采用新技術對非對稱加密算法進行破解存在一定可能性，這將對區塊鏈技術造成安全隱患。

（4）數據確認的延遲性。區塊鏈的交易無法保證時效性。以比特幣在區塊鏈中的交易為例，網絡傳輸會影響到交易的有效性。這是因為這筆交易要被網絡大多數節點知曉，并且認可后方可進行。同時還受一個小概率事件影響，就是當網絡上同時有2 個或以上節點競爭到記賬權力，那么在網絡中就會產生2個或以上的區塊鏈分支，這時到底哪個分支記錄的數據是有效的，則要再等下一個記賬周期，最終由最長的區塊鏈分支來決定。因此，區塊鏈的交易數據是有延遲性的。

（5）信息不可篡改。數據被用戶變動的可能性微乎其微既是區塊鏈的優點也是缺點。舉個例子：區塊鏈中用戶交易的地址信息如果填寫錯誤將無法撤銷并會造成永久損失；私鑰丟失也同樣會導致無法挽回的損失。在現實情境中如果銀行卡丟失或密碼忘記都可以通過一定方式找回，及時阻止損失的發生或盡可能降低損失。

（三）應用領域。目前關于區塊鏈技術，理論性的探討居多，其應用還處于一個探索期，切實展開應用的領域主要集中在金融行業。不過現在一些產業和企業已經開始嘗試區塊鏈技術，根據目前發展態勢，區塊鏈可能在分享經濟、供應鏈管理、數字資產管理這三個領域落地。首先，由于分享經濟的資源和資產呈現一定分散化，交易雙方無需過多信任，基于區塊鏈技術無需信任系統和去中心化的特點將有助于分享經濟的運行。其次，具有連續性的鏈條交易也可以應用區塊鏈技術。例如在供應鏈管理過程中，一些電商平臺可以通過區塊鏈技術對所有商品進行追蹤溯源，并且記錄不可篡改，以此來保證產品安全。最后，一些頻繁交易的數字資產管理可以利用區塊鏈技術規避交易風險。在P2P 網絡借貸中，區塊鏈技術可以全程保存出借人和借款人雙方的交易行為記錄并且無法更改。依托區塊鏈技術，在建立智能合約的基礎上幫助雙方清晰明了地掌握交易過程，以此提升違約難度，極大降低違約風險。

二、區塊鏈技術應用風險分析

（一）利用安全表法識別風險。安全檢查表法是根據系統工程的分析思想，在對系統進行分析的基礎上，找出所有可能存在的風險源，然后以提問方式將這些風險因素列在表格中。最基礎的安全檢查表由四個欄目組成，包括序號欄、安全檢查項目欄、判斷欄和備注欄。根據目前區塊鏈技術的發展以及在應用過程中可能出現的問題建立安全檢查表，列舉出6 個安全檢查項目對區塊鏈技術在應用中可能存在的風險進行識別，如表1 所示。（僅代表個人觀點）（表1）

（二）存在的風險。區塊鏈是一個分布式的大賬本，具有去中心化、交易不可篡改、信息透明可查詢的特點。理論角度來看，區塊鏈所具備的一些特點能夠保證其系統的可靠，然而區塊鏈在實際應用中仍然存在一定風險隱患。同時，基于以上安全檢查表的判斷結果可以看到，區塊鏈技術在應用中由于會存在黑客攻擊無法及時阻止以及技術有限性無法準確識別交易主體，導致產生以下可能的風險。

1、技術風險。區塊鏈所依托的技術支撐龐大而復雜，數據層、網絡層、共識層、智能合約層、應用層是構成區塊鏈的五層技術架構。為了保證技術架構之間協調運行，確保網絡正常運行，進而產生信任，需要通過默克爾樹、非對稱加密、哈希算法等多種技術和算法復雜而又精密的組合才能實現。由此可以看到，代碼編寫無誤、程序正常運行、加密算法可靠準確是區塊鏈產生信任的前提，如果其中任何一個環節發生問題或錯誤，都會造成信任危機。

2、業務管理風險。區塊鏈中的全網數據會被每個節點存儲和驗證，單個節點無法更改數據。只有獲得大部分節點的同意，才有可能對數據進行變更，因此在業務管理上存在滯后或無法挽回的風險。例如，2016年6月，以太坊上the DAO 被黑客盜取高達360 多萬以太幣（按事發前價格折算約5 億元人民幣）的數字資產，由于區塊鏈不可篡改，the DAO 管理者無法撤銷這筆交易，只好求助于社區，最終以太坊創始人通過個人權威說服了大部分節點，共同修改黑客賬戶，才挽救這筆被盜資產。業務數據的修改和撤回在傳統交易系統中是非常常見的事情，然而在區塊鏈網絡中由于信息的穩定性就變得異常困難。

3、智能合約風險。共同維護區塊鏈網絡運行的節點，具備同等的權利和義務，當智能合約在某個節點部署后，相應代碼會在全網的每個節點同時運行并校驗彼此的結果。這種節點關聯性會導致某一節點的智能合約出現問題時波及到其他節點的正常運行。例如，2016年10月以太坊上有節點惡意執行大量消耗磁盤IO 的智能合約，使得全網負載大幅增加，導致以太坊上大部分應用都無法順利運行，全網一度陷入癱瘓。后經緊急程序升級修正了此問題，才使以太坊上的應用恢復正常。

4、法律風險。區塊鏈應用中的各種風險最終都將可能轉化為法律風險，當企業在應用區塊鏈技術的過程中無法識別和處理這些風險時，很有可能會面臨法律上的約束或制裁，又或者牽扯耗費大量物力財力的訴訟。另外，區塊鏈集體維護、集體使用的特點同樣面臨新的法律挑戰，如果某個節點存儲了不合法的數據，基于數據同步原則，其他節點均會存儲相同違法數據，這個時候是否所有節點的用戶都將面臨法律責任？

三、風險評價

（一）利用SWOT評價風險。利用SWOT 分析法，定性分析區塊鏈技術自身及其在應用中存在的優劣勢和面臨的機會與威脅，如表2 所示。（表2）

表2 區塊鏈技術SWOT分析一覽表

（二）根據SWOT分析制訂策略方案。根據SWOT 分析矩陣，可以得到定性的風險評價結果，主觀上可以判斷應采取何種策略應用區塊鏈技術，具體策略如表3。（表3）

表3 區塊鏈技術的SWOT策略方案一覽表

（三）評價結果分析。針對區塊鏈技術在應用中的技術優勢、劣勢以及現階段面臨的機遇、威脅，構建其SWOT 分析矩陣，可以清楚地看到，在區塊鏈技術應用中應當采取何種決策，在發揮優勢和機會的同時規避劣勢和威脅。區塊鏈的發展正處于史無前例的機遇期，理論概念面向群眾的廣泛普及、政府的大力支持、企業轉型升級的需求正在為其快速穩定發展提供強大的推動力。結合區塊鏈技術的評價結果，區塊鏈技術的更高價值還未被完全開發，未來應當通過企業這個微觀主體，結合區塊鏈技術的特點及技術優勢與產業發展相結合。

四、風險規避與監控

區塊鏈是一種全新的互聯網底層技術構架，不僅限于金融、經濟領域，未來在政治、法律、公益、社會、科學等領域都有一定應用，是一種具有潛力、重塑社會各方面及運作方式的覆式創新技術。區塊鏈在實際應用中出現問題將會給用戶、企業、社會帶來嚴重的后果，任何領域都應做到有效的風險防控，為區塊鏈技術與產業的結合和落地應用設立一道堅實的防火墻。對于區塊鏈技術在應用可能存在的風險，可以從以下幾個方面進行防范和監控。

（一）數據泄漏風險防范。一是提供技術支持，采用先進的非對稱加密算法從技術上保護數據，在目前業界的相關技術成熟后，企業可以從根本上解決數據泄露問題。二是利用區塊鏈數據層和企業內部數據層相結合的結構處理數據，根據數據是否需要在區塊鏈上流動，差異化設置數據的存儲位置。企業內部數據庫主要處理不需要在區塊鏈流動的數據，當數據需要在區塊鏈范圍流動時再接入區塊鏈相應節點。三是嚴格把關申請接入區塊鏈的節點在授權管理方面的權限。與公有鏈不同的是，企業應用區塊鏈需要通過身份認證和授權管理來審核節點的接入。同時，可以在簽署的協議中明確責任和權利，從法律角度規避節點用戶數據泄露的風險。

（二）企業應用中。企業在應用區塊鏈技術時需要把網絡安全監管放到一個新的高度，不能完全依賴區塊鏈本身的技術優勢，加強網絡軟件的可靠性管理，保持一定警惕性。基于目前針對區塊鏈技術應用的監管條例暫處于空白狀態，各行業的監管機構應當分享信息，根據實際業務的共通特點制定區塊鏈技術的行業監管細則，達成共識，便于在技術上提前做好準備，防患于未然，將發生損失的可能性降到最低。

（三）提升法律規制。區塊鏈主要依托加密算法提供技術支撐，以及通過虛擬貨幣在網絡上進行交易，這無疑增大了法律約束和監管的難度，政府及相關監管部門應當針對區塊鏈技術的特點以及我國數字貨幣發展的實際情況對相關法律和監管政策進行研究和規范，避免在出現問題時陷入被動。同時，在對法律法規進行研究時，應當針對區塊鏈類型和應用場景的差異制定相關標準，發布合理的法律法規條例，為各行業在應用區塊鏈的過程中提供堅實的法律保障，消除法律隱患，激發企業以區塊鏈技術為依托進行技術創新的活力。