作者 | Edwin

责编 | Aholiab

出品 | 区块链大本营（blockchain_camp）

3月8日，备受关注的“京东白条漏洞诈骗案”在长沙一审宣判，汪某等九名涉案人员因骗取京东公司110万元，被以诈骗罪判处10年9个月至1年2个月不等的有期徒刑，涉案人员包括汪某在内，共有4名大学生。

大三的汪某在2017年偶然发现京东白条存在巨大漏洞：开通白条无需本人实名验证，也不用绑定银行卡，只用身份信息即可注册账号，并直接申请白条的审核面签。

而面签环节形同虚设，只需在学信网获取他人学籍信息用于申请，便可轻松通过。

发现利益的汪某，迅速伙同其他好友非法盗取他人信息用于注册白条账号，并将赊购商品转卖销赃，事后分配利益，形成“骗收销”的链条。

作案流程模拟图

据悉，目前全国已有超过200人因“京东白条”诈骗而犯法并获刑，已披露的107名涉案人员平均年龄28岁，最高刑期19年。而因受骗导致身份信息被冒用的受害大学生超过362人，令人痛心。

对于此案，京东方面回应白条漏洞已于2017年修复，京东金融目前已将核验身份方式升级为人脸识别等智能手段。

而对于身份信息被冒用而受损的用户，在认定盗刷后，将免除用户还款责任，并对账务进行特殊处理，不影响用户征信。

京东白条的漏洞是什么？

回顾案件中汪某的诈骗流程，不难发现以下两个问题。

1. 实名制部分的业务逻辑有漏洞：注册账号并申请白条业务后，无需本人实名认证，也不用绑定银行卡，直接进入面签。

2. 公司方的面签及风控问题：犯罪嫌疑人持他人证件进行面签，当地的面签官视而不见，且面签要录制视频上传总部，多道程序未能发现诈骗发生，公司自身风控环节存在问题。

由于京东白条属于消费金融业务，其资产数据量大，管理较为复杂，传统模式下如果全部进行人工穿透式核查，效率低下不言而喻，因此自动化风控是必要的。

白条管理的困境，区块链能做什么？

关于白条业务的种种难题，京东方面也在不断尝试新技术，近年来概念火热的区块链技术便是其中之一。

例如，2018年6月13日，“京东金融-华泰资管19号京东白条应收账款债权资产支持专项计划”设立，京东金融建立多方部署的联盟链，对ABS（资产证券化）云平台区块链底层技术的升级。

其意义在于对消费金融中的底层资产项目的优化。京东白条ABS涉及的资产数据量大、管理复杂。当托管人、管理人等参与方要核查贸易、供货、物流等信息时，一般是通过律师做穿透式核查。

而利用区块链技术中分布式记账、防篡改等技术特性，白条业务的底层资产以及现金流、产品、账务等数据信息流在ABS各参与方之间得以实时共享并确认交易，有助于实现信息增信、提升效率，直接降低了白条业务的信用风险。

通过区块链底层改造，尝试破解金融ABS难题的初衷很好，但中心化的白条业务，能否也通过区块链技术进行优化呢？

白条如何利用区块链，实现去中心化？

33复杂美是国内最早投入区块链白条业务的公司之一，针对这一事件，其CEO吴思进认为，区块链技术可以改变传统互联网白条业务的现状。

在吴思进看来，上述“白条诈骗案”本质上是风控出现了漏洞，注册时没有进行实名认证：目前互联网白条业务，其市场主要被大型企业所占领，而面对业务中存在的风险，大企业往往习惯于通过提升主观犯罪成本来遏制风险，为的是降低风控管理的技术成本，事实上已有的人脸识别等技术完全可以防范。

而目前互联网场景下，即便用户进行了实名认证，白条的风险仍然存在。

一方面，“白条”属于消费贷金融业务，用户购买商品，自然绕不开支付环节。

目前大家习惯于使用密码支付，而一旦密码被截取，或中心化数据库被攻破，并被不法分子用于支付就会十分危险。而在传统互联网解决方案中，系统根本无法判断支付者是否为本人。

但区块链则给出了新的支付授权方案——通过用户本地私钥签名进行验证。区块链解决方案中，一个用户对应唯一的私钥用于数字签名，用户的各项行为都需要通过私钥签名进行验证确认。

用户与另一方的一次交互可以被简单视为一次交易，原始的交易数据和用户的私钥通过签名算法合成正式的交易数据，用户用私钥进行确认无误后，交易数据将对区块链进行广播，并由所有节点参与校验，最终将校验正确的数据记录到区块链上，实现去中心化的分布式记账。

而区块链的私钥理论上只能用户拥有，不像字符密码需要在中心化数据库中存储以作验证。

区块链的私钥由随机算法生成，通过SHA256算法获得私钥，同时通过椭圆曲线算法用私钥生成公钥。公钥常用于交易中收款的确认，由于非对称加密的特性，使得用户的私钥被截取和破解的成本极高，也就大大提升了支付环节的安全性，用户隐私等得到有效保护。

私钥生成原理示意图

此外，区块链的交易信息全部上链，且不可篡改，所有交易流程更加易于追踪，通过技术手段进一步提升了犯罪成本。

白条的未来，中小企业的逆袭

尽管区块链技术对于支付环节的优化，无疑将大大提升用户信息安全性和平台可信度，但吴思进认为，区块链对于白条业务的最大意义，体现在其对于市场的重塑，中小企业将通过区块链技术实现逆袭。

以本次“白条诈骗案”为例，京东这样的巨头企业资源甚广，一旦被钻了技术漏洞，仍可以通过强大的法律团队及时挽回损失，而如果是中小企业身处同样境地，最终恐怕后果就很难说了，这一现状无疑导致中小企业对消费贷业务望而却步。

但运用区块链技术，直接降低了消费贷风控环节的技术成本，进而帮助中小企业降低入场门槛，尤其是降低了对服务器安全性的要求，这让中小企业数据安全性得到用户认可，从而得到了与大型中心化企业争夺市场的技术资本。

除此之外，区块链技术在司法仲裁过程中的取证方面，同样可以解决传统物联网无法解决的问题。

比如，我们与杭州互联网法院合作的“合同上链”等项目，互联网法院通过对“认证、消费”等动作数据上链存证，并且包括电子合同、交易数据等都需要由涉世方私钥签名进行验证，无法作伪或推脱责任。

一旦发现诈骗或法律纠纷，法院通过区块链追溯、调取数据取证，涉案各方的法律责任便清晰明确，司法办案效率将大幅提升。

如今的中心化机构凭借流量接口的优势，通过白条业务轻松盈利，但在今后的区块链时代，更多中小企业将通过区块链去中心化的解决方案发行白条，获得更多的生存空间，消费者也将获得更多更好的金融服务和用户体验。

*本文作者Edwin，

专注区块链业务解决方案，阿里云IoT认证讲师

扫码报名 | 免费技术公开课

技术架构 | 应用架构 | 安全 | 隐私

推荐阅读：

• 好莱坞大片! 为躲避死亡威胁, 只用15步, 这个密码朋克大叔就从世界"消失"了...

• 20-75K | 互联网寒冬中，架构师、工程师、产品经理、运营仍为招聘刚需, 赶紧来投吧！

• 最新职位报告出炉: IBM 110个招聘职位居榜首! 中国或超美国成区块链发展最快国家！

• 315 后，等待失业的程序员

• 都道业务提升坑大事儿多，但英特尔云方案却说“简单”

• 那位13岁就当上老板的开发者是如何炼成的？

• 套路贷+套路培训，IT 培训机构造假术大公开 | 程序员有话说

• 确认！贾扬清加盟阿里，任技术副总裁

点击“阅读原文”，打开 APP 获取更多干货哟！

好文！点「在看」哟~