區塊鏈時代,智能合約的安全性被無限放大,一行代碼的漏洞就能導致千萬美元的損失。統計數據顯示,2011年-2018年間,智能合約安全事件損失金額達12.4億美元,占該期間區塊鏈安全事件總損失金額的1/3。
2018年3月,一家想要保證智能合約100%正確的安全服務公司「Beosin成都鏈安」,攜帶一種被應用在軍事、航空航天等領域的小眾、高門檻的驗證方式「形式化驗證」殺入區塊鏈領域。Beosin成都鏈安創始人楊霞表示,形式化驗證并非很神秘,歸根結底,它是利用數學之美為計算機系統做安全防護的一種嚴格、有效的方法。
如今Beosin成都鏈安正式迎來了它的一周歲,針對智能合約的安全問題,Beosin成都鏈安成功研發了全球首個同時支持ETH、EOS、Fabric、TRON等多個區塊鏈平臺的高度自動化智能合約形式化驗證平臺,實現了「一鍵式」的形式化驗證,用數學的手段證明代碼,給智能合約提供軍事化級別的安全保護。
Beosin成都鏈安是楊霞的第四次創業,作為一名連續創業者,她對區塊鏈行業的未來和安全需求表達了充分的信心:「區塊鏈跟其他互聯網產業不一樣,它的安全需求更大,而且它更剛需,無論是鏈上交易也罷,數字資產也罷,用戶數據也罷,這些都不能出現安全問題,如果出現問題后果是非常嚴重的。」
Beosin成都鏈安創始人楊霞
Beosin:Gearbox Protocol受閃電貸攻擊,損失40萬美元:8月27日消息,據Beosin監測,Gearbox Protocol在以太坊上受閃電貸攻擊,損失40萬美元。[2023/8/27 13:00:01]
在Beosin成都鏈安成立一周年之際,楊霞接受了鏈聞的專訪,分享了她對區塊鏈安全和形式化驗證的深度觀察和思考。以下是本次采訪實錄:
Q=鏈聞ChainNewsA=楊霞,Beosin成都鏈安聯合創始人,電子科技大學副教授
Q:您從何時開始關注到區塊鏈,能否講一講你深入區塊鏈領域的過程?
A:對區塊鏈這個概念的了解,是來源于我身邊的一些朋友,他們有人從14年、15年就開始在區塊鏈領域工作,也給陸續我講區塊鏈方面的知識和動態。但是我當時還沒有真正的把目標轉向區塊鏈,因為我本來一直在安全領域做研究,所以我更關注的是安全。16年的時候,以太坊TheDAO系統安全漏洞的的發生直接導致了7000萬美元的損失,可以說是這個漏洞把我的目光吸引過來。
從那個時候開始我思考能否嘗試用形式化驗證的方法避免這些漏洞的發生,尤其是我之前一直給軍事等比較關鍵的領域做形式化驗證,對于形式化驗證有足夠的信賴。因為TheDAO的安全事件讓我感覺到在區塊鏈領域安全問題非常大,一次漏洞就丟那么多錢,說明風險太高。作為安全領域的從業者和研究者,我需要不斷的找尋新的對安全有需求的領域進行探索,所以我是從16年開始,真正深入區塊鏈安全領域進行實踐。
Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。
攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]
注:TheDAO事件是區塊鏈歷史上的著名事件,由于智能合約的漏洞造成資金被黑客轉移。2016年5月初,以太坊社區的一些成員宣布了「TheDAO」的誕生。它是作為以太坊區塊鏈上的一種智能合約而被建造的。編碼框架是由Slock開源開發的。?2016年6月17日,一名黑客在編碼上發現了漏洞,使得他可以從TheDao上抽走資金。在攻擊的頭幾個小時,360萬的以太被轉出,在當時價值相當于七千萬美元。
Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]
Q:能否分享一下成立Beosin成都鏈安的過程?初衷和愿景是什么?
A:成立Beosin成都鏈安的過程是進行了很多探索的,在形式化驗證這個領域創業是一個很艱難的事,它是比較冷門、門檻比較高、比較小眾的一個領域。因為門檻高,所以形式化驗證對于傳統互聯網的安全,實際上發展空間并不大。但是在軍事這些非常關鍵的領域,形式化驗證已經被頻繁的應用。所以對我而言,我首要思考的是從原來的應用領域,把應用的目標轉向區塊鏈,我當時第一個要考慮的問題就是用形式化驗證的方法能在區塊鏈領域做什么,然后是怎么做?
當時可選擇的區塊鏈網絡不多,基于對這個問題的思考,我們就在以太坊上面,對以太坊的智能合約進行形式化驗證的嘗試。當時智能合約同樣也不多,我記得很清楚,我們當時找了一個IBM官方的捐贈合約,然后用人工的方法對其進行形式化的描述,而后進行形式化的建模,進而去證明整個流程。當時通過這份合約的形式化驗證,我們的確發現了以太坊有一個機制漏洞——send函數沒有返回值。如果用戶習慣不好,實際上這是不安全的。這算是我們通過形式化驗證發現以太坊智能合約的第一個安全問題,也證明這個方法是有效的。
巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]
Beosin成都鏈安技術團隊與Vitalik就形式化驗證進行交流
但是這個過程中有一個問題,驗證這樣一個幾百行代碼的合約,我們就花了一周多的時間。?這說明通過用人工的方式去做效率太低了。通過人工建模,然后再去發現問題,這個過程太費時間,用這種方法做產業化服務顯然是不行的,得盡可能提高它的自動化能力。因為我們先嘗試的是通過人工進行形式化的建模,那么我當時就想能不能不用人工建模,而制作一個工具自動對代碼進行建模,進而轉換成形式化的語言描述,證明部分再用人工參與。
確定了這個方向,我們就朝這個目標走,也就是半自動化的目標。到目前為止,我們已經經歷了從全人工化到半自動化到現在大部分自動化的三個階段,當半自動化功能出來之后,其實我們大部分的產品原型也陸續完備,時間也就到了2017年底,完成這些準備之后,分布式資本對我們進行了投資,2018年3月正式成立了Beosin成都鏈安。
仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。
?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。
合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s
審計報告編號:202009262149[2020/9/28]
Q:獲得投資的過程順利嗎?能否介紹一下Beosin成都鏈安的創始團隊,國內是否對標的項目和團隊?
A:很順利,實際上在17年9月份的時候,萬向組織了第三屆區塊鏈全球峰會,當時峰會邀請我去做了「智能合約及形式化驗證」的主題分享。當時在演講結束后反響特別好,這套方法得到了比較廣泛的認可。
目前在國內區塊鏈行業,我們還暫時沒有看到特別能夠跟我們對標的公司或者團隊。我的聯合創始人郭文生老師也是做形式化驗證的學者,我們原來是兩個不同的門派,所以Beosin成都鏈安相當于把兩套方法結合起來提供安全服務,加上自動化能力、安全檢測能力和先發優勢,目前還沒有明確的競爭對手。
Q:走完了從全人工化到半自動化到大部分自動化三個階段之后,2019年的目標和計劃是什么?
A:因為公司成立剛好滿一年了,在這一年中,我們推出了基于形式化驗證的VaaS平臺,它是Beosin成都鏈安創立時就規劃的一個高門檻的產品,這個產品我們已經做到全球最頂級,精確度和準確率都是全球最高。在形式化驗證的基礎上,2019年我們計劃做更多的區塊鏈安全產品,同時我們的安全服務也將進化為全生態的,市場也將朝全球化發展,區塊鏈本來就是個全球化的產物。
例如我們前段時間剛剛發布了面向EOS的線上智能合約開發平臺,我們為什么做這個事情?因為在做形式化驗證的過程中,我們發現其實有些問題是由于編程人員的規范不夠,或者編程人員的意識不夠,或者能力不夠,或者有的是習慣不好,因此我們覺得有必要做一個專業的開發平臺。基于形式化驗證這套服務發展服務和產品生態,這就是我們2019年的目標。
Q:如何看待過去一段時間區塊鏈的安全形勢和區塊鏈安全領域的變化?,區塊鏈安全是否有了長足的進步?
A:還是有很大的進步。至少2016年的時候還沒有多少人關注區塊鏈安全,我們應該算全球最早一批把形式化驗證用到區塊鏈來的團隊,所以在我們做的時候根本沒有任何路子可尋,都不知道該怎么做,全是自己硬著頭皮一步步走過來的。到17年的時候,行情開始火熱,慢慢有人在關注區塊鏈安全了,到2018年的時候也成立了多家區塊鏈安全公司,但現在好多公司可能都沒有聲音了,能夠堅持下來也就只有幾家。
現在畢竟是行情的低谷期,這很正常,因為區塊鏈行業仍是很早期的產物。但是對于區塊鏈的發展我是長期有信心的。區塊鏈跟其他互聯網產業不一樣,它的安全需求更大,而且它更剛需,無論是鏈上交易也罷,數字資產也罷,用戶數據也罷,這些都不能出現安全問題,如果出現問題后果是非常嚴重的。
Q:在安全服務領域,道德是值得討論的一個話題,從事安全服務,是否需要更高的道德約束?能否講講您的理解?
A:這個問題的確是好多安全公司需要面對的問題,所以我也想提一下,這就是我們公司和其他安全服務公司不太一樣的地方,其實Beosin成都鏈安的定位是以防為主,不是以攻為主。形式化驗證是一個很好的防的方法,形式化驗證這套方法的目的是讓系統的的代碼真的安全,更安全的代碼,意味著更少被攻擊的可能性。
形式化驗證是做盾的,就好像我們原來在航空、航天、軍事領域用形式化驗證讓系統更堅固,讓代碼更安全,盡可能減少漏洞。Beosin成都鏈安是一個以防為主的公司,這是我們跟其他的安全服務公司不太一樣的地方,我們重點關注的是如何提升系統自身的安全能力和系統自身的健壯能力。這一點跟其他的白帽黑帽團隊是不一樣的,的確,白和黑或者白和灰,這是一念之間,這里面有太多的誘惑了,我們防的就是黑,是通過系統自身的安全角度去防黑。
我們把這叫做從根本上出發,從開發源頭解決問題,包括我剛提到的EOS線上智能合約開發平臺,我們的目的就是為開發者提供一個好用的開發平臺,對開發流程進行保護,然后再進行安全檢測。包括區塊鏈安全態勢感知系統、安全事件的預警報警、風控和反洗錢等等都是希望從系統自身的健壯性出發解決問題。
Q:Beosin成都鏈安有行業榜樣嗎?不局限于區塊鏈領域,為什么?
A:其實在Beosin成都鏈安成立之初就想做區塊鏈的360,當然是不是360這種模式或者360的發展路線我們還不確定。實際上我們的第一個形式化驗證平臺就是免費的。我們面向普通用戶toC都是免費的,而面對企業選擇做定制化的服務,這是互聯網公司一種成熟的發展模式。
本文來源于非小號媒體平臺:
鏈聞看天下
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627158.html
EOS柚子
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
起底龍網被竊案背后的數字交易所大盜Lazarus
下一篇:
Beosin成都鏈安發布在線BOS-IDE免費版本,同時支持BOS智能合約在線編輯、編譯、運行調試、部署
金色財經比特幣5月23日訊在紅杉資本投資人起訴幣安創始人兼首席執行官趙長鵬案件被駁回之后,趙長鵬開始了自己的反擊,他聲稱紅杉資本中國損害了其聲譽,并阻止他以有利的公司估值募集資金.
1900/1/1 0:00:00數字資產行業在2018下半年開始經歷“寒冬”后終于在2019年一季度出現回暖態勢。主流加密通證在一季度增幅超過20%,交易活躍度與市場參與人數環比顯著提升.
1900/1/1 0:00:00WeissRatings首席加密分析師JuanVillaverde表示,比特幣在5月16日飆升至2019年的高點8,373美元。從歷史上看,牛市開始后的第一次回調是回到加密市場的最佳時期之一.
1900/1/1 0:00:00近日,數字貨幣交易所Bitfinex及其旗下交易平臺Ethfinex宣布推出新的IEO交易平臺Tokinex.
1900/1/1 0:00:00為了滿足ZT用戶交易需求,ZT.COM結合了眾多用戶及項目方的意見反饋。為了給用戶提供更多優質的項目,促進行業的健康發展和生態發展。ZT.COM將開啟“共識上幣”的活動,每月將會進行一到兩場.
1900/1/1 0:00:00BitMEX研究團隊此前曾對閃電網絡做過理論方面的深入研究。現在,隨著閃電網絡從抽象的概念轉入試驗,他們對這一熱點進行了再次審視.
1900/1/1 0:00:00