区块链金融行业应用发展报告（2023）.pdf

资源描述

1、区块链金融行业应用发展报告（2023）北京金融科技产业联盟 2023 年 12 月目录目录一、区块链发展概况.1 二、技术发展现状.3 2.1 基础技术创新.3 2.2 区块链与新技术融合发展.8 三、风险与治理.16 3.1 区块链应用的风险防范.16 3.2 区块链治理.22 四、应用场景与案例.24 4.1 典型应用场景.24 4.2 典型案例.31 五、发展展望.68 一、区块链发展概况 1 一、一、区块链发展概况区块链发展概况区块链技术的发展趋势主要受以下几个因素影响：应用场景和需求、政策环境和监管态度、技术成熟度、社区活跃度和开发者支持。区块链在国外的应用场景主要以公有链为

2、主，国内各大厂商和头部企业主要是围绕联盟链进行建设。公有链公有链以数字原生1应用为主导，由于元宇宙、NFT、WEB3.0等概念的相继提出，整体生态发展更加活跃，因此需求旺盛。以太坊作为公链的代表，近期主要围绕性能优化、扩容、隐私保护、安全提升等领域进行了架构调整，共识算法从 POW 迁移到 POS，通过零知识证明实现链上链下扩容，引入形式化验证提高智能合约的安全性。为了提升隐私保护能力，部分公有链也正在努力研发包括零知识证明、同态加密等难度较高的隐私保护技术，以太坊推出的一系列技术协议已成为区块链在相关领域公认的重要事实性标准。为了提高公链的交易吞吐量和处理能力，研究人员和开发者们也不断探索各

3、种技术方案，如分片、侧链、共识机制改进等。为了实现身份互认互通，W3C 制定了分布式数字身份的相关标准。为了实现公链间的互操作性，包括原子交换、中继链等技术也得到应用以实现不同公链之间的资产和信息的传递和跨链交易。联盟链联盟链以实体经济数字化应用为主导，提供了更高的隐私保 1 数字原生是先进数字技术能力和企业经营架构融合的思想方法集合，通过新一代数字技术实现“分布式、高敏捷、可再生、生态化”的架构，并将此理念充分融入企业文化和经营架构的建设与重塑，成为当代企业数字化转型的新范式。一、区块链发展概况 2 护和更快的交易速度，经过近几年发展，目前整体处于相对缓和的发展态势，主要围绕安全以及打造拥有

4、自主知识产权的企业级区块链平台进行探索，以业务赋能和打造生态进行建设。例如，以性能安全提升为主题的高性能共识算法、后量子密码算法等相关研究；中国人民银行数字货币研究所联合清华大学发布可解决共识算法四方难题的区块链大圣（DASHING）协议；以研发运维为主题的智能运维和智能合约安全研发，众多 BaaS 平台产品相继涌现，开源社区持续优化；在应用层面行业普遍关注跨链实现，并为实现互联互通所进行的跨链互操作、分布式数字身份、链上链下可信扩展等能力储备及应用实践。目前联盟链技术发展主要分为两个方向，一方面以头部区块链企业以及高校科研院所为代表的学术领域，通过产学研结合的方式，巩固区块链理论基础，推进区

5、块链核心技术突破；另一方以区块链行业应用为代表的工程领域，基于相对成熟的区块链技术体系，通过降低接入门槛、提升系统安全性与服务连续性的方式，完善区块链业务服务能力。总体来说，公有链领域的区块链技术发展趋势活跃，公有链技术的发展将进一步推动区块链在不同领域的应用和普及，而联盟链以应用场景为驱动不断迭代优化现有技术能力。二、技术发展现状 3 二、二、技术发展现状技术发展现状 2.1 基础技术创新基础技术创新 2.1.1 底层技术创新底层技术创新在区块链技术的创新和应用探索中，金融是最主要的领域，区块链技术已在支付清算、金融交易、物联网金融等多个方面有不同程度的探索和实践。但由于金融领域的业务场景

6、需求特性，对区块链技术在性能、可扩展性、隐私保护、分层监管等方面有更高的要求。当前区块链主要底层技术发展情况如下。区块链新型体系架构。区块链新型体系架构。随着应用规模逐渐增大，原有架构的性能问题越发凸显。为解决“三元悖论”问题，技术人员提出了并行化架构及链上链下协同架构。并行化架构主要通过分片实现系统性能的多维扩展，如以太坊 2.0 方案为通过建立信标链来管理多个分片链，其中交易独立运行于各自分片链中，通过与信标链跨链通信的方式确认最终状态。链上链下协同架构通过建立链下交易、链上清算的模式，减轻链上交易负担，提升交易处理吞吐量。“闪电网络”提供了较为完善的支付通道实现方案。区块链新型共识关键技

7、术。区块链新型共识关键技术。共识机制决定了整个系统的安全性、可用性和系统性能。公有链的共识机制大致分为三个阶段，从算力密集型（POW），到其它证明类（POS），到新型技术融合（DAG 数据结构）；联盟链共识则聚焦于拜占庭容错类和异步网络下的共识算法（FastBFT、DumboBFT 等）。区块链网络协同关键技术。区块链网络协同关键技术。不同区块链网络采用的网络通信二、技术发展现状 4 协议各不相同，如以比特币协议作为通信协议主网络，并具有很多扩展网络；而以太坊网络主要采用 Kademlia 算法实现。区块链新型存储关键技术。区块链新型存储关键技术。随着上链数据量爆发式增长，数据读写效率、查询性

8、能等问题逐渐暴露。Fabric 通过优化底层存储结构提升读写性能，ForkBase 将数据计算向存储层推移，公链项目更多是以主从链架构的分片方案，将数据分散到各个独立子片中。区块链隐私保护关键技术。区块链隐私保护关键技术。现有主流区块链平台仅采用假名机制来保护隐私，攻击者仍可通过攻击网络节点、分析交易关联性、攻击智能合约漏洞等方式威胁用户隐私。目前主要采用密码学、可信执行环境（TEE）等方式保证数据隐私性。智能合约关键技术。智能合约关键技术。目前主要的智能合约专用语言包括Solidity、Vyper、Obsidian、DAML 等，合约执行引擎则总体上分为虚拟机类（以太坊虚拟机、Move 虚拟

9、机、Java 虚拟机等）和系统原生类（容器、预编译合约等）。除此之外，智能合约的安全性问题也备受关注，漏洞检测技术主要有形式化分析、静态验证、模糊测试等。区块链监管监测关键技术。区块链监管监测关键技术。厂商加快区块链布局的同时，也在着手制定相关监管策略和法律框架，以预防信息内容、技术安全、货币及经济安全风险。2.1.2 基础设施创新基础设施创新区块链技术在我国发展势头持续迅猛，在时代发展机遇和政二、技术发展现状 5 策红利的双重推动下，使用区块链构建可信应用的价值已经获得多方认可，各机构对区块链的应用需求逐步显现。推进区块链与实体经济相结合，企业不倾向于从零开始构建一条链，这样做既不符合商业

10、行为追求的经济性，也不利于做后期拓展。企业渴望使用易用性强、标准程度高的区块链通用型产品，区块链基础设施化呼声渐高。区块链即服务（Blockchain as a Service，BaaS）作为区块链大规模应用的必要基础设施，成为入场者的必争之地，竞争日趋白热化。基于此，各大平台以加速数字化转型为目标，打造链上和云端双引擎驱动的新型商业模式，全面加速区块链技术在各个产业的普及和应用，力争构筑下一代可信价值网络的基础设施。区块链 BaaS 平台通过提供高性能云服务器、高带宽网络、高并发高吞吐的存储技术，能够更好地释放联盟链的可拓展性，使得不同环境中的节点可以共同构建联盟链，加速构建价值联盟，更好的

11、为实际业务场景服务。同时，为降低业务系统落地难度，区块链 BaaS 平台依托云基础设施，为企业及开发者提供一站式、高安全性、简单易用的区块链服务。提供多种底层框架，支持云上快速的、弹性的部署联盟区块链网络环境，提供区块链全生命周期管理、应用开发支持、智能运维及其它配套服务。同时，为满足客户自主可控需求，大部分 BaaS 平台同时提供私有云部署方案，符合金融级别的安全合规性要求。BaaS 平台供应商在区块链业务上持续加码，探索垂直场景二、技术发展现状 6 布局全周期的解决方案，制定行业标准并建设联盟打造区块链生态。当前，以政务机构、企业级客户为中心的自上而下的商业模式已初步完成，从长远来看，基于

12、 BaaS 平台推出通用化行业服务，加强对个人开发者或中小企业的扶持将成为区块链进一步赋能实体经济的战略路线。2.1.3 上层应用创新上层应用创新利用区块链技术解决数据经济建设中存在的痛点难点，实现数据可信共享、优化资源配置、提升运营效率和建立社会协同，已逐渐成为全社会共识。目前全球范围内已落地或正在落地的区块链项目涉及到金融、政务、司法、能源、教育、医疗等多个方向，以区块链技术赋能数字经济的时代已经到来。1.区块链区块链+数据存储数据存储区块链基于分布式账本、时间戳、数字签名等技术，将身份、信息、资产、行为上链，使得存证无法篡改，维护数据的客观性、关联性、合法性；链上数据便于被多方共享，

13、解决业务流程长的问题；通过智能合约和非加密算法对数据进行细粒度的权限控制，通过链下交换、链上授权的方式，实现对数据的隐私性保护。区块链+数据存储技术可以解决电子证据复制成本低、复制精度高的问题，有效保证链上数据真实性，适用于金融、保险、医疗、数字扶贫、慈善、电子票据、供应链、数字内容版权等业务场景中。2.区块链区块链+数据可信传输与追踪数据可信传输与追踪二、技术发展现状 7 区块链基于账本的块链式结构与交易中的公开时间戳信息等技术，实现供应链上所有数据的可信传输与追踪，保证数据真实可靠不可篡改、各方权责清晰可追溯；打破信息孤岛，全链数据第一时间上链存储，各参与方实时同步共享；也可实现链上数据

14、统一管理、市场渠道统一划分，及时了解供产销信息，调整企业经营策略；同时，基于可信的数据源，便于监管机构数据查验、监管取证，规范市场行为。区块链+数据可信传输与追踪技术适用于如食药畜牧、数字凭证、供应链等行业中。3.区块链区块链+数据调度与交互数据调度与交互在传统的公共服务中，审批环节长，重复工作多，业务办理效率较低。区块链的业务互联方式可以将业务办理规则智能合约化，利用智能合约控制流程的进度，将串行的流程实现并行化。流程审批的结果各部门共享，减少部门间在数据认证上投入的重复工作。保证流程中所有参与方获得真实、可信、全量的数据，加快业务办理效率。区块链+数据调度与交互技术适用于政务、跨国贸易或

15、其它涉及到多方参与的业务场景。4.区块链区块链+数据共享数据共享随着信息化的不断能深入，企业已经习惯了用数据来做决策和参考。数据的基础在于共享，但是对于大多数人来说，数据共享的观念尚未形成。除去权责不明、体系不健全导致开放共享生二、技术发展现状 8 态环境差等客观因素外，由于数据市场潜力巨大，各家都想通过自身获得垄断性的数据获利，导致资源整合效率降低，限制了数据共享市场发展。区块链凭借其不可篡改和可追溯性，实现链上数据上传、修改、查阅、下载等行为全流程追踪，保证各参与方权责清晰；其分布式的存储方式，保证了数据不易被攻击；而通过加密算法建立不同层级的权限控制体系，对数据的访问权限进行精确控制，

16、可以有效保护数据安全和用户隐私；在激励方面，可以通过发放链上积分的方式，对数据共享方给予奖励，增强数据分享意愿，养成数据分享习惯。区块链+数据共享技术适用于医疗、政务、金融、影视行业、唱片公司、科研院校等行业。2.2 区块链与新技术融合发展区块链与新技术融合发展 2.2.1 区块链区块链+云计算云计算一方面，依托云计算成熟的底层计算资源，建立区块链基础设施。创新型企业瞄准云计算技术，将其在计算性能、存储能力、网络吞吐能力及规模扩展能力上的优势与区块链技术相结合，建设 BaaS 市场，形成支撑区块链大规模建设的基础设施，将复杂底层技术整合打包，为企业及开发者提供更为灵活方面的区块链部署及运维服

17、务，使得开发者更专注于开发应用而无需担心计算资源，促进区块链应用的快速落地。另一方面，可建立依托区块链技术的分布式云计算二、技术发展现状 9 （Decentralized Cloud Computing）平台。云计算发展至今，仍存在一些挑战，如数据安全、数据管理、互操作性等。而区块链本质可以理解为是一个基于 P2P 的价值传输协议，核心为共识机制、分布式网络、非对称加密系统和智能合约，这与云计算存在痛点不谋而合。将区块链技术应用于云计算中，可利用密码技术解决数据安全问题、智能合约解决数据管理问题、共识协议解决不同云之间的数据通讯问题，从而提供更高效、更安全可信的云计算服务。目前国内外已有多个项

18、目已有不同程度的尝试。Enigma 是具有隐私保护功能的分布式计算平台。借助安全多方计算技术，不同参与方可对分布存储的数据运行计算程序并得到正确结果，而无需访问原始数据本身。Enigma 分离了数据访问和计算流程，使得共享数据不再是一个不可逆过程，实现了对个人数据的自主控制，保证了数据安全。Golem 是建立在以太坊平台上的分布式计算机算力租赁平台。通过 Golem 平台，用户通过提供的是闲置家用电脑或是大型的数据中心，申请成为算力提供者和租用者；同时，引入以太坊交易系统，算力租用者和算力提供者通过以太坊交易系统完成费用支付与结算，推动闲置资源有效利用。总之，区块链利用云计算已有技术，可低成本

19、实现区块链应用的灵活部署，加快区块链应用开发流程，满足未来区块链生态系统中各类机构区块链应用建设需求。而云计算则可以利用区块链的分布式、数据不能篡改的特性，解决制约云计算发展的“可二、技术发展现状 10 信、可靠、可控制”三大问题。2.2.2 区块链区块链+人工智能人工智能一方面，区块链为人工智能带来了更大的透明度、可信性和安全性。首先，区块链不仅为人工智能提供可信数据，而且可将模型和算法的运行过程和计算结果可靠地记录和验证，从而提高人工智能的可信性与透明度；其次，区块链分布式计算和存储模式为人工智能带来更大的灵活性和扩展性，通过区块链网络，多个计算节点可协同完成复杂的计算任务；最后，区块链

20、为人工智能的数据共享和隐私保护提供了可行解决方案，区块链技术通过分布式数据存储和加密算法，可以确保数据的安全存储和传输，同时智能合约的应用使得个人可以授权其他实体访问自己的数据，而不必担心数据被滥用或泄露。另一方面，人工智能则为区块链提供更智能的分析决策能力。首先，人工智能可帮助区块链系统提升效率和安全性，例如，人工智能算法不仅可以优化区块链网络的性能，还可以模拟攻击来检测区块链系统漏洞和监控链上异常交易行为，提高其健壮性和可靠性；其次，人工智能有助于提升区块链系统的决策与分析能力，例如，自然语言处理技术可以为智能合约添加更多的智能性和灵活性，使其能够智能判断和执行合同文本条款，减少纠纷发生的

21、可能性；最后，人工智能可为区块链系统提供更加智能和高效的身份认证和安全保护，保障用户身份和数据的安全性。对于金融机构而言，可利用区块链不可篡改和公开透明性，结合人工二、技术发展现状 11 智能的模型训练和推算能力，提升风险评估与预测水平。2.2.3 区块链区块链+隐私计算隐私计算隐私计算是隐私保护与数据共享技术的集合，包括多方安全计算、联邦学习、可信执行环境、差分隐私等核心技术。隐私计算与区块链都综合利用了分布式计算、数据统计学、密码学等技术，既有相似之处又各有特点。通过将隐私计算和区块链相结合，不仅融合了二者的优势，也能解决双方技术面临的部分难点问题，实现“1+12”。既能在数据共享过程中

22、有效保护个人信息，实现数据的安全流通，还能为数据的真实性、数据确权等提供可行解决方案，实现数据共享全流程可记录、可验证、可追溯、可审计，并为进一步建设高效、高安全和高流动性的数据要素市场打下基础。首先在技术底座方面，区块链技术融合了国密算法、数据隔离、共识机制、熔断机制等技术特性，为隐私计算提供了底层数据的加密和应用逻辑的导入。隐私计算作为区块链的技术服务能力存在，可集成各类密码学协议与算法，包括密钥分享、零知识证明、同态加密、混淆电路算法等，为基础服务的拓展提供可调用、可替换的底层能力支撑。其次在基础服务方面，可以组合技术支撑领域的各类能力和算法，并进行组合封装，实现联合统计、隐私交易、隐匿

23、追踪等基础技术的落地，并基于隐私计算算法，以接口的形式为技术应用提供安全可信的服务调用通道。二、技术发展现状 12 最后在技术应用方面，通过调用基础服务，可以为相关主体提供各类基于区块链+隐私计算的服务，包括针对数据应用领域的可信存储、可信流通、可信应用；针对企业级服务领域的分布式数字身份、共识机制；针对场景服务对接领域的应用接口、数据接口等，为各类参与主体提供可信、安全的应用支撑。区块链与隐私计算技术融合发展可从以下三方面探索。一是数据确权。依托区块链技术可信存储、可溯源等技术特性，能够实现对数据隐私计算过程中的源数据、操作数据、处理记录、结果数据等相关信息的安全和可信存证，同时基于智能合约

24、，将数据所有权、使用权等权限归属写入合约，通过节点间的共识机制实现数据权属有据可依、有证可查，从源头解决数据归属权的问题。二是隐私保护。基于区块链技术对各节点方相关数据进行隔离，同时，依托智能合约的自动执行，可以将节点准入机制写入合约，严格按照共识机制执行条例，确保联盟内的相关主体在数据隔离和隐私安全保护的基础上建立信任。隐私计算技术可以保证各主体间隐私数据的可用不可见，基于隐私计算输出的是计算结果/数据指纹，并将相关结果上链存储，区块链与隐私计算的融合，能保证数据在存储、隔离、传输、应用等相关环节的隐私安全。三是数据全流程可信。区块链技术能对隐私计算全流程进行数据全生命周期管控，实现数据采集

25、、传输、存储、流通、应用、二、技术发展现状 13 销毁等流程的可信上线，实现隐私计算的主体身份可信、数据来源可信、计算结果可信等目标。2.2.4 区块链区块链+数字身份数字身份在基于技术与数据驱动的时代，数字身份已经成为数字经济社会发展的基础。作为连接虚拟与物理世界的桥梁，数字身份为个人和组织提供了更高效、更安全的在线交互方式，通过与智慧城市的设备相结合，使城市居民能够更好地控制自己的生活。分布式数字身份作为一种潜在的解决方案，可以让用户在不依赖第三方的情况下完全拥有和控制自己的数字身份，并决定谁可以看到，可以共享哪些数据，并且可以随时撤销对数据的访问权限，提供了比集中式身份管理系统更高的安

26、全性；在未来还有可能转换成可兑现的数据资产。同时，用户可以依靠一组凭据在不同的应用程序和网站上获得安全登录权限，不必管理多个账户和密码。分布式数字身份的另一个重要好处是保护隐私，通过可验证声明，用户可以提供尽可能少的信息验证其身份，而无需透露姓名、地址或银行帐号等敏感信息。区块链与数字身份的结合为个人用户和组织带来了基于价值的优势。分布式数字身份使个人用户能够更好地掌握和保护自己的身份信息，同时增加了信任和安全性。对于组织而言，数字身份的实施提供了更精确、高效和安全的身份验证方式，并促进了与用户之间更紧密和有价值的互动。2.2.5 区块链区块链+量子计算量子计算二、技术发展现状 14 随着各

27、个行业区块链应用的蓬勃发展，区块链所依赖的现代公钥密码也在发生巨大变革。量子计算的快速发展，对传统公钥密码学造成严重威胁。因为在传统计算机上可能需要数万亿年才能破解出正确的密钥，而在量子计算机上可能只需要几天甚至几个小时就能破解，这使得当前使用的绝大多数基于公钥算法的密码系统将极易受到暴力破解攻击。目前，很多组织都将当前无法破解的加密数据存储起来，待量子计算机成熟时在进行破解，这使得各国对能对抗量子计算的加密算法愈加重视。2022 年 5 月，美国政府发布国家安全备忘录，明确必须采用后量子密码（Post-Quantum Cryptography,PQC）来替换传统公钥密码。在随后召开的 G7

28、峰会上，七大工业国就采用 PQC 技术来保障各自重要信息系统的安全达成一致。我国也高度重视 PQC 技术的研究，近年来国家国有部门组织实施了一系列重大攻关活动，取得了一系列成果。由此可见，区块链底层的现代密码需要从传统公钥密码迁移到 PQC，才能保障建立在区块链之上重要应用的长治久安。目前主流的抗量子密码方案包括：基于多元变量密码体系（RAINBOW 等）、基于 Hash 函数的密码体系（LMS、XMSS、SPHINCS、NSW 等）、基于编码的密码体系（CFS、QUARTZ 等）、基于格的密码体系（GPU、LYU、BLISS、RING-TESLA、DILITHIUM、NTRU 等）。如 Ch

29、alkias（2018）提出区块链化的后量子签名方案 BPQS（Blockchainized Post-Quantum Signature），二、技术发展现状 15 是第一种使用区块链或 DAG 结构来降低签名成本的后量子签名方案，其签名更短、速度更快。2 2 参考来源：C114 通信网：量子计算将攻破区块链？中国人民大学教授袁勇谈该如何应对.https:/ 三、风险与治理 16 三、三、风险与治理风险与治理 3.1 区块链应用的风险防范区块链应用的风险防范3 3.1.1 底层代码风险与技防手段底层代码风险与技防手段底层代码是保证区块链

30、系统安全运行的基础。在区块链技术发展的过程中，针对底层代码漏洞的区块链应用攻击事件频发，造成了一定的经济损失。研发针对区块链底层代码的评估机制以保障区块链安全迫在眉睫。目前，区块链的编程语言主要包括 Solidity、Serpent、LLL 等图灵完备语言和 Go、Java 等编写语言，严重依赖于国外的开源项目。与此同时，随着对区块链密码协议的安全性要求越来越高，代码级的密码协议成为了一个新兴的研究方向，但与国外先进项目相比，国内项目在代码级上分析密码协议实际执行是否安全的相关研究相对较少。完备的代码评估体系亟需被构建，以保障区块链应用安全。此外，在现有的区块链底层代码体系中，区块链应用易受到

31、智能合约代码漏洞安全问题的影响，受到代码攻击的威胁。在语言安全、代码静态分析等方面，智能合约也存在代码安全问题，在某种程度上限制了区块链的广泛发展。随着区块链技术的广泛应用，构建完备的代码安全评估体系迫在眉睫，具体措施包括：（1）加快研究形式化建模和验证技术，加强形式化验证技 3 参考来源：浙商银行-浙江大学联合研究中心，区块链技术与金融应用安全白皮书.三、风险与治理 17 术在区块链底层代码中的研究力度，构造动态检测的程序分析工具，同时大力研究形式化验证理论基础，建立形式化验证的标准。（2）构建代码级的密码协议安全验证分析方案，加强实验研究，推动国内代码级密码协议安全验证方向的发展。3.1.

32、2 共识协议风险与技防手段共识协议风险与技防手段共识协议是区块链核心内容之一，也决定了区块链系统的性能及安全性。区块链中使用的共识协议包括 PoW、PoS、BFT 等，主要面临的威胁包括拜占庭攻击、双花攻击、女巫攻击、预测攻击、重放攻击、贿赂攻击等。针对共识协议安全问题，可以从三个方面来进行研究和解决，一是融合不同机制的优点进行互补，设计更安全的新共识机制；二是与惩罚机制进行配合，提高节点作恶成本，从而提高共识协议的安全性；三是根据业务场景选择多种或可切换的共识算法。(1)混合协议。不同的共识算法有不同的侧重和工作效率，单一的共识算法很难满足复杂业务场景的安全要求。混合共识机制通过把两种或多

33、种共识机制运用在同一区块链的底层架构中，可以弥补单一共识机制带来的效率低下、失去安全防护或牺牲中心化程度的缺陷。(2)惩罚机制。惩罚机制规定了节点作恶行为将会受到的惩罚，包括没收该节点的权益、将该节点踢出验证队列等措施。共识协议可以通过与惩罚机制的配合防止节点对总帐本进行篡改、为节点长期维持区块链网络运行提供动力，鼓励节点参与到维护区块三、风险与治理 18 链系统安全运行中来，从而提高共识协议的安全性。(3)协议切换。无论使用何种共识协议，想要完全解决存在的安全威胁是非常困难的。共识协议安全更多的是在确保安全和攻破安全防御所付出的代价之间找一个平衡点。因此，区块链应用可以结合业务需求与应用场景

34、，利用可插拔共识机制技术，实现多场景下共识机制的自由切换，采取适当的共识机制来避免攻击者利用共识机制的漏洞破坏区块链网络。3.1.3 加密算法风险与技防手段加密算法风险与技防手段加密算法是区块链技术的根基。随着中华人民共和国网络安全法中华人民共和国密码法等法规的颁布，密码安全已上升至国家战略层面，构建先进、安全、可控的国产密码，形成以国产密码为基础的网络空间安全体系刻不容缓。目前国内各区块链底层技术平台都在尝试应用国密算法，但在融合的过程中仍然存在一些问题，比如对于 SSL 等上层的协议涉及较少，区块链相关硬件设施（如硬件钱包、国产密码机、云服务密码机等）很少采用国密标准进行设计，与国产芯

35、片、操作系统及软件适配度不高。同时，国密中并没有针对零知识证明、多方安全计算等热门密码学协议的标准，因此相关协议很难国密化。对于国密算法体系当前的问题，可以从以下几个方面着手改进：（1）推进区块链加密算法更新，使用国密算法替代国外开三、风险与治理 19 源算法，推进国密算法在区块链底层技术中的应用研究与标准化工作。（2）进一步开展国产密码新算法的研究，包括零知识证明、多方安全计算、签名、共识等更为丰富的方案并制定相应的标准说明，不断壮大国密算法体系。（3）开展可信硬件方面密码学处理模块的研究，加大硬件系统对区块链的支撑力度，扩展区块链在物联网、工业互联网等领域的集成应用，加速推动多领域协同创新

36、。（4）促进区块链加密算法的国际合作研究，在合作中结合现有高效安全的密码技术，发挥自身的原始创新能力，提升自主密码算法的可靠性，并推进国产密码的国际化应用。3.1.4 网络协议风险与技防手段网络协议风险与技防手段 P2P 网络是在区块链网络层中频繁使用的一种分布式网络架构，是区块链系统分布式的基石。对于恶意节点而言，P2P 网络的特性可以被利用来从网络通信层对区块链系统发起 DDoS 攻击、日蚀攻击等各种攻击，从而威胁区块链系统的安全性。对单个节点的 DDoS 攻击可以让其处理的信息超出最大承受度，而在接下来的时间里不能再去处理新的区块和交易信息。日蚀攻击通过占据和积累受害者节点周围的点对点连

37、接空隙，将这个节点阻绝在一个闭塞的网络中，使其不能和其他网络通信，从而恶意增加区块链网络的交易成本。区块链中的网络攻击主要是依靠区块链中存在问题的机制三、风险与治理 20 以及网络中固有的安全问题来达到将受害节点隔离的目的，从而使受害节点遭受各种损失。因此，我们需要针对网络层攻击建立更加系统的防御措施，这样才能更好地预防区块链网络层中的攻击，建立一个更加可靠的通信环境。3.1.5 智能合约风险与技防手段智能合约风险与技防手段智能合约的低运行成本、低干预风险等优势使其成为了区块链的重要组成部分，在区块链数字经济中得到了大规模的应用。一旦智能合约的设计存在问题，就容易被攻击者加以恶意利用，将会带

38、来巨大的损失。相比于传统软件，智能合约的安全问题更加棘手，现实情况也更加严峻。智能合约中出现频率最高的安全问题包括：代码重入、访问控制、整数溢出、未严格判断不安全函数调用返回值、拒绝服务、可预测的随机处理、竞争条件/非法预先交易、时间戳依赖、短地址攻击以及其他未知漏洞类。除此之外，智能合约在本身的设计上也存在部分缺陷：一是智能合约秉承“代码即规则”的理念，一旦被部署便无法修改，其不可篡改的特性促成了它的高可信度，但也为它埋下了一个安全隐患。任何人都可以对已上线的合约中的安全漏洞发起攻击，即使有恶意交易被记录下来，也无法将其从区块链上剔除。二是智能合约常常是公开透明的，但这也大大降低了黑客的攻击

39、成本。三是智能合约主要依靠专家经验进行代码审计，无法满足智能合约规模日益壮大与漏洞挖掘难度显著提升的新形势三、风险与治理 21 下，漏洞分析与发现的需求。为解决智能合约安全问题，智能合约在部署之前往往需先在沙盒环境中进行运行测试，以进行漏洞挖掘。目前主流的智能合约漏洞挖掘手段包括形式化验证、模糊测试、符号执行和污点分析等方法。（1）形式化验证是将智能合约内容通过逻辑语言进行建模，利用严谨的数学推理来检查智能合约中是否存在漏洞。与传统测试方法相比，基于数学的形式化智能合约模型在推理证明的过程中能够有效涵盖穷举漏洞，在一定范围内完全覆盖代码行为，将可能性遗漏减小到最低，弥补了原有审计工作的局限性。

40、（2）模糊测试需要生成大量随机非预期数据作为输入，观察智能合约在运行过程中是否会发生异常，并跟踪检测异常发生的位置与条件。根据故障检测结果，对输入数据进行微调，继续新一轮的运行与监测，尽可能多的触发智能合约的状态空间，并利用有限状态机来分析每一笔交易的状态，从而合理规避潜在的漏洞与安全风险。其主要特点就是简单、高效，并且在具有低误报率的同时还能够有利于检测出合约中更深层的漏洞。（3）符号执行指的是对合约执行过程中可能产生的不确定值的变量均采用符号来表示，在程序执行过程中逐条解释路径中的各条指令，根据语义更新执行状态，在路径分叉处进行分路，判断每一条路径是否存在漏洞，最后遍历检测每一条路径。（4

41、）污点分析是针对污点变量的一种数据流分析技术，通三、风险与治理 22 过识别并标记智能合约中产生污点信息之处，按照传播规则对该点数据进行前后双向依赖分析，得到关于污点数据的依赖关系指令集，最后检测程序的关键点是否遭受污点信息的侵蚀。未来，我们可以从安全开发、合约测试、合约审计这三个角度，完善智能合约漏洞库，建立漏洞挖掘工具效率评价体系，进一步提高与完善漏洞挖掘的准确性、效率和自动化程度，满足未来与日俱增的大规模智能合约复杂漏洞挖掘需求。3.2 区块链治理区块链治理相较于传统的 IT 系统治理，区块链治理是一个跨机构、跨组织，甚至是跨国别、跨法域的治理，参与主体之间不存在行政隶属关系，经济利益

42、彼此独立，还可能存在制衡、监督、博弈关系。另外，区块链治理的参与方更加复杂，形式和方法更加多样，结果的影响面更大。随着区块链尤其是联盟链落地项目的增多，区块链治理也在实践中不断探索和完善，区块链治理从过去的中心化管理方式向分布式管理方式演进。也由此在行业中对区块链治理原则、治理内容和治理方式等方面进行了深入的探索和研究。区块链治理的核心原则是分布式治理，是指各参与方彼此间是对等协作的，通过沟通、对话的方式来协商，实现区块链自我管理、自我约束、自我协调和自我发展。在联盟链中，联盟内部任何提案的发起、决策、执行等全过程无需依赖任意第三方，可独立闭环完成。分布式治理方式有助于解决彼此之间的分歧，并三

43、、风险与治理 23 尽可能达成共识，提升治理的韧性。另外，治理还应是公开透明的，有高效可持续的激励相容机制，并可以与时俱进、不断升级、动态进化的。区块链治理内容主要包括基础治理、技术治理以及业务治理。基础治理包括治理委员会的建立和运行规则，参与方的准入条件、权利与义务、利益分配原则等治理协议内容等；技术治理包括区块链网络的部署、监控、升级，节点的加入、退出，智能合约的开发、测试、部署、升级等；业务治理包括业务场景的选择，业务逻辑的设计，业务参与方的拓展等。在区块链治理方式方面，主要分为链上治理、链下治理、混合治理三种方式。链上治理是指网络升级迭代的决策过程嵌入在区块链系统内部的“以链治链”的治

44、理模式，使用链上投票并直接在链上实施治理内容的更新和变动；链下治理决策过程不发生在区块链系统之上，公链和联盟链的治理基础分别围绕开源社区和联盟成员展开，使用链下讨论、投票等模式进行决策，根据决策结果对治理内容实施更新和变动；混合治理是综合链上链下两种治理方式特点并进行融合的治理方式。区块链治理现在仍处于起步阶段，现有的治理模式并不能完全满足当下的治理需求，需要在区块链治理标准制定、生态打造、理念宣传、基础设施完善等方面进一步探索。同时也需要产业各方参与和深度互动，才能防范区块链风险，让区块链的发展和应用走上更畅通有序的道路。四、应用场景与案例 24 四、四、应用场景与案例应用场景与案例 4.1

45、典型应用场景典型应用场景 4.1.1 跨境支付跨境支付在传统的跨境支付业务中，主要面临汇款速度慢、汇款费用高、透明度低、隐私性差、资金占用率高等问题。一笔跨境支付业务需要通过多个银行的系统才能完成清算与记账，整个汇款流程一般需要2-3天才能完成。客户需支付高额的手续费、电报费、中转费用、现钞兑换费等。此外跨境汇款往往涉及多个国家或地区，支付报文以串行方式在银行间逐层传递，可追溯性差，导致信息沟通反馈不畅，信息透明度低，客户的账户及交易等私人信息完全暴露给汇款路径上所有参与机构。此外，为满足日常清算需要，银行需要在结算账户中备付一定资金量，导致大量资金占用。基于以上原因，金融机构和科技公司都

46、在加速布局区块链技术在支付与结算领域的应用。2019 年 2 月，摩根大通公司推出了 JPMcoin，可以将摩根大通的企业客户间跨境支付的清结算时间由 1 天缩短至实时。2019 年 6 月，Facebook 联合二十余家机构共同宣布计划推出 Libra，目标是建立一套为数十亿人服务的金融服务生态系统。中国银行、招商银行、蚂蚁集团等机构也在支付领域推进区块链应用创新，将区块链作为信息交换的载体，将机构间的串行处理并行化，提高信息传递及处理效率，提升跨境汇款的实效性。此外，欧洲和日本央行、新加坡金管局、加拿四、应用场景与案例 25 大央行等境外金融监管机构也在探索区块链技术在中央银行之间的清结算

47、领域的应用。区块链技术应用到跨境支付中，可以有效克服传统跨境支付业务模式的痛点，解决信息共享不畅、跨地区多主体协同困难、支付交易费用高、交易不安全等问题。应用区块链技术创新跨境支付机制，解决传统跨境支付清算路径长、时效性低、成本高等痛点，提升跨境支付清算的效率，同时满足境内外监管合规的要求，大幅提升客户跨境支付体验。区块链技术在跨境结算中的应用仍处于起步阶段。未来可以考虑由监管机构建设跨境支付基础设施，并负责系统的运维工作，采用联盟链方式将监管机构、商业银行、清算机构等连接在一起，每个机构拥有自己的节点。经审核的金融机构加入节点后，可对外提供跨境支付服务，还可通过智能合约服务留存贸易信息，清算

48、中心提供资金清算服务，监管机构对资金流向、票据、单证等信息进行全程监管。此外，可以通过跨链技术实现与其他区块链平台的连接，将跨境支付区块链平台与人民银行贸易金融区块链平台、外汇局跨境区块链平台等进行打通，提升跨境金融服务水平。4.1.2 资金监管资金监管在数字经济蓬勃发展的大背景下，随着资金服务向各应用场景深入渗透，业务呈现多主体、多交互、信息流与资金流互相驱动、权属意识强化等特点，客户联结逐渐形成分布式的生态模式，四、应用场景与案例 26 往往伴随信息流、资金流等自发连接而形成关系复杂的协同价值网络。传统资金服务缺乏逐笔流水管理粒度、多账户穿透追溯的资金监管能力，影响资金科学合理使用的同时

49、造成出资方权益保障难、政府相关部门监管难的局面。基于区块链的资金监管场景聚焦于复杂资金服务场景下的多方协同、信息对称、穿透管理等问题，基于智能合约实现场景化资金监管的应用创新，并通过抽象业务流程打造资金监管类的业务智能合约模板库。一方面，依托区块链多方参与、可追溯、防篡改的技术特点实现逐笔资金穿透管控，提升资金流转透明度，降低资金风险，提升资金相关方互信度，更好的规避交易商信用风险，真正解决买卖双方在交易过程中的风险问题，提高双方的诚信度，提供安全资金监管服务。另一方面，发挥智能合约的自动执行和可编程特性，实现资金管理自动化。同时实现资金服务客制化，研究沉淀更具推广应用价值的智能合约，提升资金

50、服务创新的便捷性，增强资金监管服务质效。赋能资金监管业务拓展，为革新业务经营模式和管理方式注入新推力，促进开放金融生态建设，在集团企业、新型互联网产业逐步创造金融服务数字化经济价值。4.1.3 双碳双碳区块链技术特点有望解决双碳场景参与方众多、流程繁杂等问题，为双碳数据要素的全生命周期管理和认证提供技术支撑。主要应用场景包括以下几方面。四、应用场景与案例 27 碳核查。区块链结合物联网技术可直接采集企业生产、物流、存储过程中涉及的碳足迹信息并上链存证，确保相关信息客观、真实、可溯源，满足碳核查过程对数据真实性的要求；利用智能合约获取链上数据并自动进行碳核算，可保障碳核算结果的准确性，避免人为

展开阅读全文