區(qū)塊鏈技術(shù)應(yīng)用風(fēng)險分析

□文/ 張亞飛 黃思瑩

（新疆職業(yè)大學(xué) 新疆·烏魯木齊）

［提要］ 新興技術(shù)區(qū)塊鏈，具備顛覆現(xiàn)有許多傳統(tǒng)行業(yè)的潛力。區(qū)塊鏈基本版本1.0 誕生以來，逐漸在各個領(lǐng)域得到應(yīng)用，獲得大量交易數(shù)據(jù)。隨著技術(shù)更新迭代，以太網(wǎng)為代表的合同區(qū)塊鏈技術(shù)2.0 誕生，區(qū)塊鏈數(shù)據(jù)類型進一步豐富。區(qū)塊鏈技術(shù)的不斷發(fā)展為技術(shù)創(chuàng)新提供技術(shù)支撐，為研究人員通過分析區(qū)塊鏈數(shù)據(jù)解決相關(guān)問題帶來新機遇的同時，在應(yīng)用中也伴隨著一些新的問題和風(fēng)險。因此，分析總結(jié)目前區(qū)塊鏈技術(shù)的優(yōu)劣、在實際應(yīng)用中風(fēng)險的評估與評價以及提出相應(yīng)規(guī)避和監(jiān)控方案具有重要意義。

區(qū)塊鏈作為信息領(lǐng)域的前沿技術(shù)，正在技術(shù)創(chuàng)新和風(fēng)投領(lǐng)域掀起一波浪潮。以區(qū)塊鏈為技術(shù)支撐的產(chǎn)業(yè)發(fā)展中，金融行業(yè)是其優(yōu)先落地應(yīng)用的主要領(lǐng)域，基于對區(qū)塊鏈的探索及其自身的發(fā)展，區(qū)塊鏈技術(shù)的觸角在未來會伸向越來越多的其他領(lǐng)域和行業(yè)。然而，正是從金融行業(yè)發(fā)現(xiàn)區(qū)塊鏈在實際應(yīng)用中會帶來資產(chǎn)和管理上的風(fēng)險損失，因此本文針對區(qū)塊鏈在哪些領(lǐng)域得到了哪些應(yīng)用、現(xiàn)狀如何、應(yīng)用中的風(fēng)險如何評估及評價，試做一些探討。

一、區(qū)塊鏈技術(shù)介紹

（一）概念。對區(qū)塊鏈概念的理解可以分為狹義和廣義兩個層次。狹義視角下，區(qū)塊鏈指的是一種特殊的鏈式數(shù)據(jù)存儲結(jié)構(gòu)；廣義視角下，區(qū)塊鏈是一種技術(shù)集合，其中包括幾種基礎(chǔ)技術(shù)，如分布式存儲、加密算法、點對點網(wǎng)絡(luò)等。用戶基于共識協(xié)議和分布式架構(gòu)技術(shù)進行可信數(shù)據(jù)的交換以及存儲是區(qū)塊鏈在實際應(yīng)用中發(fā)揮的主要作用。目前為止，區(qū)塊鏈技術(shù)在行業(yè)內(nèi)還未形成統(tǒng)一定義。2016年10月，由中國工業(yè)和信息化部發(fā)布的《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書》將區(qū)塊鏈技術(shù)描述為分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式。

（二）優(yōu)勢及劣勢

1、核心優(yōu)勢。當前，信息技術(shù)處于一個快速發(fā)展的時代，然而信息有效性和數(shù)據(jù)可靠性卻無法得到保證，區(qū)塊鏈的出現(xiàn)由于其技術(shù)的特殊機制，其中的數(shù)據(jù)具有“可信”的寶貴特征，使得我們對數(shù)據(jù)高效率的獲取看到了一線希望。下文介紹區(qū)塊鏈技術(shù)在應(yīng)用中的主要優(yōu)勢。

（1）集體維護。在區(qū)塊鏈的數(shù)據(jù)系統(tǒng)中，除交易用戶的私有信息會被加密，其余數(shù)據(jù)系統(tǒng)均對所有節(jié)點用戶開放。因此區(qū)塊鏈網(wǎng)絡(luò)中的數(shù)據(jù)會受到所有具有維護功能節(jié)點的共同維護，由于所有節(jié)點都有訪問的權(quán)限，通過公共鏈的公開接口，任何人都可以對區(qū)塊鏈數(shù)據(jù)以及相關(guān)應(yīng)用進行查詢和開發(fā)，系統(tǒng)信息處于高度透明狀態(tài)。

（2）去中心化。區(qū)塊鏈使用分布式賬本核算和存儲，采用對等網(wǎng)絡(luò)技術(shù)對數(shù)據(jù)進行存儲，打破原有利用中心化的硬件和管理機構(gòu)管理數(shù)據(jù)的方式。區(qū)塊鏈中所有節(jié)點的權(quán)利和義務(wù)都相等，單獨節(jié)點的變動無法對整個系統(tǒng)的整體運作產(chǎn)生影響，以此保證節(jié)點之間的相對獨立性以及系統(tǒng)運行的整體性。

（3）無需信任系統(tǒng)。區(qū)塊鏈的節(jié)點之間遵循一套固定算法進行交換，參與人無需對任何人信任，系統(tǒng)的安全性反而會隨著參與點的增加而提高。因此，在區(qū)塊鏈系統(tǒng)中的交易雙方無需通過傳統(tǒng)公開信息的方式產(chǎn)生相互信任，這將有助于系統(tǒng)交易過程中的信用累積。

（4）信息不可篡改。在信息進入?yún)^(qū)塊鏈網(wǎng)絡(luò)之前需要經(jīng)過驗證，驗證通過之后被添加至區(qū)塊鏈就會被永久存儲，無法篡改。在區(qū)塊鏈系統(tǒng)中按照時間先后順序生成一套不可篡改、可信任的數(shù)據(jù)庫，以此規(guī)避一些由于數(shù)據(jù)篡改產(chǎn)生的不法行為。這也決定了區(qū)塊鏈數(shù)據(jù)極高的穩(wěn)定性和可靠性。

2、核心劣勢。由于區(qū)塊鏈技術(shù)的應(yīng)用尚處于不成熟階段，其帶來優(yōu)勢的同時也出現(xiàn)不可避免的缺點，甚至有些優(yōu)勢在某些方面也會成為技術(shù)本身的劣勢。

（1）無隱私性。區(qū)塊鏈采用分布式賬本核算和存儲數(shù)據(jù)，在公有鏈上等于每個節(jié)點的用戶都可以查看完整賬本，同時由于區(qū)塊鏈數(shù)據(jù)存儲、管理交易過程的可追溯性，交易過程中的數(shù)據(jù)都是公開透明的。這就意味如果某個人的賬戶被知曉，通過區(qū)塊鏈就能知道他的資產(chǎn)情況以及每一單交易記錄，無法保證用戶交易過程中的隱私性。

（2）監(jiān)管危機。區(qū)塊鏈的去中心、自治化特點淡化了國家監(jiān)管的概念。然而監(jiān)管要求是所有技術(shù)創(chuàng)新應(yīng)遵循的底線。對區(qū)塊鏈的監(jiān)管力度提高，一方面在區(qū)塊鏈商業(yè)應(yīng)用過程中可以提供合規(guī)性保護；另一方面由于這項新技術(shù)的未完全開發(fā)性和虛擬性，其相關(guān)法律和制度的建立仍然需要進一步研究和跟進，監(jiān)管程度和立法的尺度如果掌握不好也可能會毀掉區(qū)塊鏈。

（3）安全性問題。私鑰安全是保證區(qū)塊鏈數(shù)據(jù)不可逆、不可偽造的前提，而用戶作為生成和保管私鑰的主體，不存在第三方參與，因此私鑰一旦泄露或丟失，賬戶的資產(chǎn)便無法做任何操作。私鑰的保密性主要通過非對稱加密算法實現(xiàn)，隨著計算機技術(shù)的發(fā)展，采用新技術(shù)對非對稱加密算法進行破解存在一定可能性，這將對區(qū)塊鏈技術(shù)造成安全隱患。

（4）數(shù)據(jù)確認的延遲性。區(qū)塊鏈的交易無法保證時效性。以比特幣在區(qū)塊鏈中的交易為例，網(wǎng)絡(luò)傳輸會影響到交易的有效性。這是因為這筆交易要被網(wǎng)絡(luò)大多數(shù)節(jié)點知曉，并且認可后方可進行。同時還受一個小概率事件影響，就是當網(wǎng)絡(luò)上同時有2 個或以上節(jié)點競爭到記賬權(quán)力，那么在網(wǎng)絡(luò)中就會產(chǎn)生2個或以上的區(qū)塊鏈分支，這時到底哪個分支記錄的數(shù)據(jù)是有效的，則要再等下一個記賬周期，最終由最長的區(qū)塊鏈分支來決定。因此，區(qū)塊鏈的交易數(shù)據(jù)是有延遲性的。

（5）信息不可篡改。數(shù)據(jù)被用戶變動的可能性微乎其微既是區(qū)塊鏈的優(yōu)點也是缺點。舉個例子：區(qū)塊鏈中用戶交易的地址信息如果填寫錯誤將無法撤銷并會造成永久損失；私鑰丟失也同樣會導(dǎo)致無法挽回的損失。在現(xiàn)實情境中如果銀行卡丟失或密碼忘記都可以通過一定方式找回，及時阻止損失的發(fā)生或盡可能降低損失。

（三）應(yīng)用領(lǐng)域。目前關(guān)于區(qū)塊鏈技術(shù)，理論性的探討居多，其應(yīng)用還處于一個探索期，切實展開應(yīng)用的領(lǐng)域主要集中在金融行業(yè)。不過現(xiàn)在一些產(chǎn)業(yè)和企業(yè)已經(jīng)開始嘗試區(qū)塊鏈技術(shù)，根據(jù)目前發(fā)展態(tài)勢，區(qū)塊鏈可能在分享經(jīng)濟、供應(yīng)鏈管理、數(shù)字資產(chǎn)管理這三個領(lǐng)域落地。首先，由于分享經(jīng)濟的資源和資產(chǎn)呈現(xiàn)一定分散化，交易雙方無需過多信任，基于區(qū)塊鏈技術(shù)無需信任系統(tǒng)和去中心化的特點將有助于分享經(jīng)濟的運行。其次，具有連續(xù)性的鏈條交易也可以應(yīng)用區(qū)塊鏈技術(shù)。例如在供應(yīng)鏈管理過程中，一些電商平臺可以通過區(qū)塊鏈技術(shù)對所有商品進行追蹤溯源，并且記錄不可篡改，以此來保證產(chǎn)品安全。最后，一些頻繁交易的數(shù)字資產(chǎn)管理可以利用區(qū)塊鏈技術(shù)規(guī)避交易風(fēng)險。在P2P 網(wǎng)絡(luò)借貸中，區(qū)塊鏈技術(shù)可以全程保存出借人和借款人雙方的交易行為記錄并且無法更改。依托區(qū)塊鏈技術(shù)，在建立智能合約的基礎(chǔ)上幫助雙方清晰明了地掌握交易過程，以此提升違約難度，極大降低違約風(fēng)險。

二、區(qū)塊鏈技術(shù)應(yīng)用風(fēng)險分析

（一）利用安全表法識別風(fēng)險。安全檢查表法是根據(jù)系統(tǒng)工程的分析思想，在對系統(tǒng)進行分析的基礎(chǔ)上，找出所有可能存在的風(fēng)險源，然后以提問方式將這些風(fēng)險因素列在表格中。最基礎(chǔ)的安全檢查表由四個欄目組成，包括序號欄、安全檢查項目欄、判斷欄和備注欄。根據(jù)目前區(qū)塊鏈技術(shù)的發(fā)展以及在應(yīng)用過程中可能出現(xiàn)的問題建立安全檢查表，列舉出6 個安全檢查項目對區(qū)塊鏈技術(shù)在應(yīng)用中可能存在的風(fēng)險進行識別，如表1 所示。（僅代表個人觀點）（表1）

（二）存在的風(fēng)險。區(qū)塊鏈是一個分布式的大賬本，具有去中心化、交易不可篡改、信息透明可查詢的特點。理論角度來看，區(qū)塊鏈所具備的一些特點能夠保證其系統(tǒng)的可靠，然而區(qū)塊鏈在實際應(yīng)用中仍然存在一定風(fēng)險隱患。同時，基于以上安全檢查表的判斷結(jié)果可以看到，區(qū)塊鏈技術(shù)在應(yīng)用中由于會存在黑客攻擊無法及時阻止以及技術(shù)有限性無法準確識別交易主體，導(dǎo)致產(chǎn)生以下可能的風(fēng)險。

1、技術(shù)風(fēng)險。區(qū)塊鏈所依托的技術(shù)支撐龐大而復(fù)雜，數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、智能合約層、應(yīng)用層是構(gòu)成區(qū)塊鏈的五層技術(shù)架構(gòu)。為了保證技術(shù)架構(gòu)之間協(xié)調(diào)運行，確保網(wǎng)絡(luò)正常運行，進而產(chǎn)生信任，需要通過默克爾樹、非對稱加密、哈希算法等多種技術(shù)和算法復(fù)雜而又精密的組合才能實現(xiàn)。由此可以看到，代碼編寫無誤、程序正常運行、加密算法可靠準確是區(qū)塊鏈產(chǎn)生信任的前提，如果其中任何一個環(huán)節(jié)發(fā)生問題或錯誤，都會造成信任危機。

2、業(yè)務(wù)管理風(fēng)險。區(qū)塊鏈中的全網(wǎng)數(shù)據(jù)會被每個節(jié)點存儲和驗證，單個節(jié)點無法更改數(shù)據(jù)。只有獲得大部分節(jié)點的同意，才有可能對數(shù)據(jù)進行變更，因此在業(yè)務(wù)管理上存在滯后或無法挽回的風(fēng)險。例如，2016年6月，以太坊上the DAO 被黑客盜取高達360 多萬以太幣（按事發(fā)前價格折算約5 億元人民幣）的數(shù)字資產(chǎn)，由于區(qū)塊鏈不可篡改，the DAO 管理者無法撤銷這筆交易，只好求助于社區(qū)，最終以太坊創(chuàng)始人通過個人權(quán)威說服了大部分節(jié)點，共同修改黑客賬戶，才挽救這筆被盜資產(chǎn)。業(yè)務(wù)數(shù)據(jù)的修改和撤回在傳統(tǒng)交易系統(tǒng)中是非常常見的事情，然而在區(qū)塊鏈網(wǎng)絡(luò)中由于信息的穩(wěn)定性就變得異常困難。

3、智能合約風(fēng)險。共同維護區(qū)塊鏈網(wǎng)絡(luò)運行的節(jié)點，具備同等的權(quán)利和義務(wù)，當智能合約在某個節(jié)點部署后，相應(yīng)代碼會在全網(wǎng)的每個節(jié)點同時運行并校驗彼此的結(jié)果。這種節(jié)點關(guān)聯(lián)性會導(dǎo)致某一節(jié)點的智能合約出現(xiàn)問題時波及到其他節(jié)點的正常運行。例如，2016年10月以太坊上有節(jié)點惡意執(zhí)行大量消耗磁盤IO 的智能合約，使得全網(wǎng)負載大幅增加，導(dǎo)致以太坊上大部分應(yīng)用都無法順利運行，全網(wǎng)一度陷入癱瘓。后經(jīng)緊急程序升級修正了此問題，才使以太坊上的應(yīng)用恢復(fù)正常。

4、法律風(fēng)險。區(qū)塊鏈應(yīng)用中的各種風(fēng)險最終都將可能轉(zhuǎn)化為法律風(fēng)險，當企業(yè)在應(yīng)用區(qū)塊鏈技術(shù)的過程中無法識別和處理這些風(fēng)險時，很有可能會面臨法律上的約束或制裁，又或者牽扯耗費大量物力財力的訴訟。另外，區(qū)塊鏈集體維護、集體使用的特點同樣面臨新的法律挑戰(zhàn)，如果某個節(jié)點存儲了不合法的數(shù)據(jù)，基于數(shù)據(jù)同步原則，其他節(jié)點均會存儲相同違法數(shù)據(jù)，這個時候是否所有節(jié)點的用戶都將面臨法律責(zé)任？

三、風(fēng)險評價

（一）利用SWOT評價風(fēng)險。利用SWOT 分析法，定性分析區(qū)塊鏈技術(shù)自身及其在應(yīng)用中存在的優(yōu)劣勢和面臨的機會與威脅，如表2 所示。（表2）

表2 區(qū)塊鏈技術(shù)SWOT分析一覽表

（二）根據(jù)SWOT分析制訂策略方案。根據(jù)SWOT 分析矩陣，可以得到定性的風(fēng)險評價結(jié)果，主觀上可以判斷應(yīng)采取何種策略應(yīng)用區(qū)塊鏈技術(shù)，具體策略如表3。（表3）

表3 區(qū)塊鏈技術(shù)的SWOT策略方案一覽表

（三）評價結(jié)果分析。針對區(qū)塊鏈技術(shù)在應(yīng)用中的技術(shù)優(yōu)勢、劣勢以及現(xiàn)階段面臨的機遇、威脅，構(gòu)建其SWOT 分析矩陣，可以清楚地看到，在區(qū)塊鏈技術(shù)應(yīng)用中應(yīng)當采取何種決策，在發(fā)揮優(yōu)勢和機會的同時規(guī)避劣勢和威脅。區(qū)塊鏈的發(fā)展正處于史無前例的機遇期，理論概念面向群眾的廣泛普及、政府的大力支持、企業(yè)轉(zhuǎn)型升級的需求正在為其快速穩(wěn)定發(fā)展提供強大的推動力。結(jié)合區(qū)塊鏈技術(shù)的評價結(jié)果，區(qū)塊鏈技術(shù)的更高價值還未被完全開發(fā)，未來應(yīng)當通過企業(yè)這個微觀主體，結(jié)合區(qū)塊鏈技術(shù)的特點及技術(shù)優(yōu)勢與產(chǎn)業(yè)發(fā)展相結(jié)合。

四、風(fēng)險規(guī)避與監(jiān)控

區(qū)塊鏈是一種全新的互聯(lián)網(wǎng)底層技術(shù)構(gòu)架，不僅限于金融、經(jīng)濟領(lǐng)域，未來在政治、法律、公益、社會、科學(xué)等領(lǐng)域都有一定應(yīng)用，是一種具有潛力、重塑社會各方面及運作方式的覆式創(chuàng)新技術(shù)。區(qū)塊鏈在實際應(yīng)用中出現(xiàn)問題將會給用戶、企業(yè)、社會帶來嚴重的后果，任何領(lǐng)域都應(yīng)做到有效的風(fēng)險防控，為區(qū)塊鏈技術(shù)與產(chǎn)業(yè)的結(jié)合和落地應(yīng)用設(shè)立一道堅實的防火墻。對于區(qū)塊鏈技術(shù)在應(yīng)用可能存在的風(fēng)險，可以從以下幾個方面進行防范和監(jiān)控。

（一）數(shù)據(jù)泄漏風(fēng)險防范。一是提供技術(shù)支持，采用先進的非對稱加密算法從技術(shù)上保護數(shù)據(jù)，在目前業(yè)界的相關(guān)技術(shù)成熟后，企業(yè)可以從根本上解決數(shù)據(jù)泄露問題。二是利用區(qū)塊鏈數(shù)據(jù)層和企業(yè)內(nèi)部數(shù)據(jù)層相結(jié)合的結(jié)構(gòu)處理數(shù)據(jù)，根據(jù)數(shù)據(jù)是否需要在區(qū)塊鏈上流動，差異化設(shè)置數(shù)據(jù)的存儲位置。企業(yè)內(nèi)部數(shù)據(jù)庫主要處理不需要在區(qū)塊鏈流動的數(shù)據(jù)，當數(shù)據(jù)需要在區(qū)塊鏈范圍流動時再接入?yún)^(qū)塊鏈相應(yīng)節(jié)點。三是嚴格把關(guān)申請接入?yún)^(qū)塊鏈的節(jié)點在授權(quán)管理方面的權(quán)限。與公有鏈不同的是，企業(yè)應(yīng)用區(qū)塊鏈需要通過身份認證和授權(quán)管理來審核節(jié)點的接入。同時，可以在簽署的協(xié)議中明確責(zé)任和權(quán)利，從法律角度規(guī)避節(jié)點用戶數(shù)據(jù)泄露的風(fēng)險。

（二）企業(yè)應(yīng)用中。企業(yè)在應(yīng)用區(qū)塊鏈技術(shù)時需要把網(wǎng)絡(luò)安全監(jiān)管放到一個新的高度，不能完全依賴區(qū)塊鏈本身的技術(shù)優(yōu)勢，加強網(wǎng)絡(luò)軟件的可靠性管理，保持一定警惕性?；谀壳搬槍^(qū)塊鏈技術(shù)應(yīng)用的監(jiān)管條例暫處于空白狀態(tài)，各行業(yè)的監(jiān)管機構(gòu)應(yīng)當分享信息，根據(jù)實際業(yè)務(wù)的共通特點制定區(qū)塊鏈技術(shù)的行業(yè)監(jiān)管細則，達成共識，便于在技術(shù)上提前做好準備，防患于未然，將發(fā)生損失的可能性降到最低。

（三）提升法律規(guī)制。區(qū)塊鏈主要依托加密算法提供技術(shù)支撐，以及通過虛擬貨幣在網(wǎng)絡(luò)上進行交易，這無疑增大了法律約束和監(jiān)管的難度，政府及相關(guān)監(jiān)管部門應(yīng)當針對區(qū)塊鏈技術(shù)的特點以及我國數(shù)字貨幣發(fā)展的實際情況對相關(guān)法律和監(jiān)管政策進行研究和規(guī)范，避免在出現(xiàn)問題時陷入被動。同時，在對法律法規(guī)進行研究時，應(yīng)當針對區(qū)塊鏈類型和應(yīng)用場景的差異制定相關(guān)標準，發(fā)布合理的法律法規(guī)條例，為各行業(yè)在應(yīng)用區(qū)塊鏈的過程中提供堅實的法律保障，消除法律隱患，激發(fā)企業(yè)以區(qū)塊鏈技術(shù)為依托進行技術(shù)創(chuàng)新的活力。