「干得好,小伙子!」楊霞拍著研發組同學的肩膀,高興地說道。今年11月6日,她創辦的Beosin完成了智能合約形式化驗證平臺VaaS2.0的研發,把行業內智能合約審計的準確度提高到95%以上。
統計數據顯示,2011年~2018年間,智能合約安全事件損失金額達12.4億美元,占該期間區塊鏈安全事件總損失金額的1/3。2016年下半年,楊霞便從智能合約安全入手,采用形式化驗證方法解決區塊鏈安全問題。此前,形式化驗證多用于安全系數要求較高的航空、航天等關鍵領域。
歷時近2年,楊霞帶領團隊發布VaaS平臺。用戶只需把公鏈的合約代碼導入VaaS自動驗證平臺,點擊「開始審計」按鈕,平臺便會審查智能合約的漏洞,審查結果可精確到代碼所在的具體某行,提醒用戶存在安全隱患。
目前,Beosin已與Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原鏈等國內40多家區塊鏈行業公司建立長期戰略合作。截至11月末,公司已完成超500份智能合約的審計工作,實現收支平衡。
區塊鏈安全公司GK8將為Stellar網絡提供托管和代幣化服務:金色財經報道,區塊鏈安全公司GK8宣布與Stellar建立托管伙伴關系,將為Stellar Lumen網絡提供托管和代幣化服務。通過與Stellar集成,GK8的客戶可以在托管環境中訪問XLM投資。GK8表示,其基礎設施消除了網絡攻擊的風險,同時還提供了可擴展的高頻交易。[2021/9/7 23:05:00]
今年11月初,該公司獲得了界石資本和盤古創富的數百萬美元天使輪投資,資金主要用于全生態區塊鏈安全產品的開發和全球化市場布局。
注:楊霞承諾文中數據無誤,為內容真實性負責。鉛筆道作客觀真實記錄,已備份速記錄音。
18年的「安全啄木鳥」
安全,一直是楊霞職業生涯的關鍵詞。前18年是面向安全關鍵嵌入式系統,后3年則是區塊鏈安全。
讀書期間,楊霞是名副其實的學霸,一路被保送讀到博士。畢業后,她一邊在大學任教,一邊在系統安全領域從事研究和創業。這期間,楊霞從事形式化驗證、內核安全、移動設備安全、TEE等安全技術研究長達18年,擔任CC國際安全標準成員、CCF區塊鏈專委會委員、CCF形式化驗證專委會委員,發表學術論文30多篇,申請專利20多項。同時,她還圍繞安全領域進行了3次創業。
騰訊安全玄武實驗室披露波場和NEO區塊鏈安全漏洞報告:據國家信息安全漏洞庫(CNVD)和區塊鏈漏洞子庫(CNVD-BC)消息,騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞已被收錄,其中波場(TRON)遠程代碼執行漏洞獲得CNVD危害評分最高分10分,玄武實驗室發現TRON通過舊版本的fastjson 庫(1.2.60)對 HTTP請求進行反序列化解析,可以實現對開啟了HTTP 服務的TRON 節點的遠程代碼執行攻擊,進而遠程控制服務節點,安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現,攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊 HTTP 節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能,竊取用戶所轉賬的虛擬貨幣。
另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務” 是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞,攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。據悉,玄武實驗室已于數月前就向受影響的波場(TRON)、NEO等區塊鏈平臺提交了詳細報告漏洞,以幫助平臺盡快修復安全問題。[2021/8/2 1:29:38]
她所做的形式化驗證,就是用數學和邏輯學的方法對代碼的安全屬性進行證明或證偽,通過判斷代碼問題,從而證明這個代碼的實現是否能滿足用戶需求。這種方法相較傳統審計代碼方法具有更高效、更安全的特點,多用于對安全系數要求較高的航空、航天等關鍵領域。
UENC公鏈與CertiK、北京鏈安達成戰略合作:據官方消息,UENC公鏈智能合約預計將于7月上線測試網,待測試網各項指標達標,將在第三季度部署主網,合約審計業務已與CertiK和北京鏈安達成戰略合作,運用UENC鏈上特性,雙方將共同推動應用生態的安全規范發展。
UENC(United Engine Chian,引擎鏈)是一個高效節能的去中心化公有鏈系統,通過DPOW的共識算法,實現了CPU低能耗的工作模式,實現了鏈上快速,高并發的支付交易,目前任何可用的計算機都可以參與網絡的基礎建設。[2021/6/11 23:30:09]
楊霞稱自己是「安全啄木鳥」。在她看來,做安全研究就像是啄木鳥,要不斷地找出bug解決它,保障系統安全,「這個過程就像是啄木鳥要不斷啄蟲子,才能讓樹木健康一樣。」
2015年下半年,區塊鏈項目大量涌現的同時,也出現不少安全問題。2016年6月,黑客利用TheDAO項目的智能合約安全漏洞,導致項目方損失約5000萬美元資產。當時,「TheDAO」事件被認為是最大的以太坊智能合約漏洞事件。
分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]
「TheDAO」事件后,早已入局區塊鏈的朋友們問起楊霞,可不可以用形式化驗證的方法進行區塊鏈安全的防護?這使楊霞意識到區塊鏈安全問題已經成為一個普遍現象,安全問題將影響區塊鏈行業的發展。她對區塊鏈安全開始產生興趣。
聲音 | 騰訊安全:古老的DDoS攻擊仍是威脅區塊鏈安全的最大隱患:騰訊安全近日發布《2018上半年區塊鏈安全報告》,報告顯示,在諸多安全問題中,古老的DDoS攻擊仍十分普遍。據悉,DDoS攻擊對區塊鏈生態安全產生普遍威脅自互聯網誕生起DDoS攻擊就已存在并作為一種經典的攻擊方法延續至今,并隨著網絡技術和互聯網基礎設施的不斷提升,衍生出了更多難以應付的攻擊手段。簡單來說,DDoS攻擊就是在某一時刻,向目標服務器發送遠超出常規的大量通訊請求,造成目標服務器資源瞬間消耗殆盡,無法提供正常服務。DDoS攻擊的意圖也十分明確:變相獲取對手流量或直接敲詐對手錢財。[2018/8/24]
于是,2016年下半年,楊霞便從航空、航天安全轉向了區塊鏈安全研究。通常來說,區塊鏈安全問題主要包括共識機制安全、智能合約安全、錢包安全和交易平臺安全等方面。
對于Beosin為何選擇智能合約安全方向,楊霞解釋說,智能合約安全事件在區塊鏈安全中影響比較嚴重,由它導致的損失占總損失金額的近1/3;另外,形式化驗證是個復雜的過程,代碼量太大的話會使驗證周期變得很長,剛好智能合約的代碼量都不大,這使得用形式化驗證進行安全審計非常可行。
智能合約安全事件損失金額約占總損失金額的1/3
目前,針對智能合約的安全驗證主要有兩種。一種是滲透測試,另一種是形式化驗證。滲透測試只能測出某些已知Bug,未知的Bug顯示不出來。形式化驗證則通過數學推理進行,可保證一定不存在指定屬性的安全問題,或者一定存在指定安全屬性的問題。
建VaaS平臺
從安全級別最高的軍工方向「降級」到區塊鏈方向,雖然后者在安全程序上趨向于簡單,但楊霞在這條路上走得也并非一帆風順。
事實上,直到2017年上半年,楊霞都是帶著學生采用人工建模的方式進行驗證。在近一年的研究中,她發現,形式化驗證在審計智能合約安全上確有成效,但人工建模代價大、效率低,人工參與對人員的素質要求很高,形式化驗證方面的人才很緊缺。
于是,2017年下半年,楊霞決定向自動化方向發展,降低人工成本的同時,減少人為誤判,提高形式化驗證的準確度。約1年后,今年5月,Beosin發布了智能合約形式化驗證平臺VaaS1.0,可同時支持EOS和ETH的智能合約形式化驗證。
VaaS的5項技術優勢
VaaS是一個智能合約安全驗證平臺,主要來檢驗智能合約的安全屬性和功能正確性,功能正確性是指智能合約的代碼實踐符合用戶的預期功能需求。
在使用上,用戶只需把公鏈的合約代碼導入VaaS自動驗證工具,點擊「開始審計」按鈕,工具就會開始審查智能合約的漏洞,并且精確到代碼的哪一行存在常規安全隱患。不過,對于復雜的功能邏輯的正確性驗證則需要部分人工的參與。
VaaS1.0的安全檢測準確度達80%以上,但楊霞并不滿意。「誤報率是我們非常頭疼的問題。我們需要盡可能提高精確度,降低誤報率。」于是,楊霞和團隊緊接著就開始了VaaS2.0的研發。
11月,Beosin發布VaaS2.0,其安全檢測準確度可達95%以上。楊霞自信地說,「有些客戶的智能合約在其他平臺上檢測沒有問題,在我們的平臺上卻被檢測出了漏洞。這種情況已經至少發生了5次了。」
當前,國內外從事VaaS形式化驗證平臺研發的有四家公司,包括Beosin、Certik、Securify.ch和RuntimeVerification。楊霞認為,相較于其他三家,Beosin的特色在于能夠提供除ETH、EOS之外的多個區塊鏈平臺的驗證工具,且準確率較高。
截至目前,Beosin已經與國內40多家區塊鏈行業公司,如Huobi、OKEx和KuCoin等建立長期戰略合作,其用戶包括了交易所、項目方、公鏈及所有區塊鏈從業者、開發者等。另外,Beosin的核心業務包括安全審計和定制化應用開發兩方面。其中,安全方面包括智能合約安全審計、智能合約開發審計一條龍、錢包安全加固與審計、DApp安全加固與審計、區塊鏈平臺安全檢測、交易所安全檢測、企業級安全服務等。
楊霞介紹,作為一家區塊鏈安全服務商,Beosin的盈利點主要有兩個,分別是安全審計的服務費和應用開發的開發費用。截至11月末,Beosin已審計超過500份智能合約,實現了收支平衡。
今年3月,Beosin獲得了分布式資本的種子輪融資。11月,楊霞團隊又獲得界石資本、盤古創富數百萬美元天使輪融資,資金主要用于全生態區塊鏈安全的產品開發和全球化市場布局。
對于現在持續的熊市,楊霞則認為,安全在任何時候都是剛需。「熊市只是相對于幣圈市場來講,但市場上除了發幣合約還有落地應用合約。未來,隨著落地應用越來越多,智能合約的數量肯定會爆發性增長,項目方也會越來越重視合約的安全。」
本文來源于非小號媒體平臺:
Beosin成都鏈安
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627100.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
利用比特幣回款,橫掃全球銀行的黑客組織「Carbanak」
下一篇:
再提Mt.Gox,糟糕的「里程碑事件」正提升區塊鏈世界的安全意識
Tags:區塊鏈EOSSINDOS區塊鏈域名是什么意思eos幣最新利好消息Business boss chaindose幣前景
火星財經APP一線報道,5月22日18:00,火幣全球站啟動PrimeDay活動,通過火幣Prime打折出售188枚BTC.
1900/1/1 0:00:00據記者了解,與其他黑客組織相比,Lazarus不僅實力強勁,是世界上最賺錢的加密貨幣黑客集團,而且還有國家級背景參與其中……原文標題:《起底Lazarus:加密世界最成功的竊賊》文章來源:公眾號.
1900/1/1 0:00:00最近,ETH漲勢迅猛。在不到一個月內的時間里價格逼近300美元,是去年12月低點82美元的三倍多。5月22日,以太坊基金會發布了2019年春季報告.
1900/1/1 0:00:00原文標題:《囂張的黑客,和正在消失的防護網...……》失序的區塊鏈行業里,時刻隱藏著風險,黑客就是其一.
1900/1/1 0:00:00超級賬本中國區聯席主席 如果你留意區塊鏈的新聞,你可能會注意到這么兩則新聞:一是微軟要在比特幣網絡上搭建自己的電子身份基礎平臺ION,二是加拿大BC省利用Indy分布式身份.
1900/1/1 0:00:00本文觀點僅代表個人,僅限交流學習,所有內容不構成任何投資建議。想及時了解更多行情信息,請添加官方微信進群:jiamibaoluo.
1900/1/1 0:00:00