比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

區塊鏈:鏈安科技創始人楊霞:無懼熊市,安全在任何時候都是剛需_ETH

Author:

Time:1900/1/1 0:00:00

「干得好,小伙子!」楊霞拍著研發組同學的肩膀,高興地說道。今年11月6日,她創辦的Beosin完成了智能合約形式化驗證平臺VaaS2.0的研發,把行業內智能合約審計的準確度提高到95%以上。

統計數據顯示,2011年~2018年間,智能合約安全事件損失金額達12.4億美元,占該期間區塊鏈安全事件總損失金額的1/3。2016年下半年,楊霞便從智能合約安全入手,采用形式化驗證方法解決區塊鏈安全問題。此前,形式化驗證多用于安全系數要求較高的航空、航天等關鍵領域。

歷時近2年,楊霞帶領團隊發布VaaS平臺。用戶只需把公鏈的合約代碼導入VaaS自動驗證平臺,點擊「開始審計」按鈕,平臺便會審查智能合約的漏洞,審查結果可精確到代碼所在的具體某行,提醒用戶存在安全隱患。

目前,Beosin已與Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原鏈等國內40多家區塊鏈行業公司建立長期戰略合作。截至11月末,公司已完成超500份智能合約的審計工作,實現收支平衡。

以太坊聯合創始人:信標鏈安全性對ETH 2.0至關重要:7月17日,以太坊聯合創始人、ConsenSys創始人Joseph Lubin發推稱,信標鏈的安全性對ETH 2.0的成功和ETH 2.0第一階段的順利推出至關重要。Joseph Lubin還表示,ConsenSys正想辦法為信標鏈生態系統作為努力和貢獻。而據Joseph Lubin的說法,ConsenSys正和ethstatus等團隊一起對信標鏈的安全性作出評估。[2020/7/17]

今年11月初,該公司獲得了界石資本和盤古創富的數百萬美元天使輪投資,資金主要用于全生態區塊鏈安全產品的開發和全球化市場布局。

注:楊霞承諾文中數據無誤,為內容真實性負責。鉛筆道作客觀真實記錄,已備份速記錄音。

18年的「安全啄木鳥」

安全,一直是楊霞職業生涯的關鍵詞。前18年是面向安全關鍵嵌入式系統,后3年則是區塊鏈安全。

讀書期間,楊霞是名副其實的學霸,一路被保送讀到博士。畢業后,她一邊在大學任教,一邊在系統安全領域從事研究和創業。這期間,楊霞從事形式化驗證、內核安全、移動設備安全、TEE等安全技術研究長達18年,擔任CC國際安全標準成員、CCF區塊鏈專委會委員、CCF形式化驗證專委會委員,發表學術論文30多篇,申請專利20多項。同時,她還圍繞安全領域進行了3次創業。

動態 | 鏈安科技:已發現攻擊FFgame的攻擊者賬號:日前,區塊鏈骰子游戲FFgame遭惡意攻擊,成都鏈安科技技術團隊就此事進行分析,鏈安科技技術團隊表示:此次導致區塊鏈骰子游戲FFgame損失1330EOS的攻擊者賬號為jk2uslllkjfd,該攻擊者賬號于11月4日已經攻擊eosdice,本次使用手法與上次攻擊手法從函數傳參來看為類似。根據成都鏈安科技分析推斷:由于FFgame的開獎操作reval執行時refer區塊為下注前一個區塊,可以知道reval是在下注操作中defered出來的一個action,所以進行開獎時傳入的seed是在合約內生成,并且生成算法被黑客攻破。推測該項目可能使用了和eosdice類似的隨機數生成算法從而導致游戲被攻擊,成都鏈安科技提醒區塊鏈游戲開發者如果使用此類隨機數算法,安全的開獎方法應是在reval開獎之前多執行一次defered action,保證區塊信息不可預測。[2018/11/8]

她所做的形式化驗證,就是用數學和邏輯學的方法對代碼的安全屬性進行證明或證偽,通過判斷代碼問題,從而證明這個代碼的實現是否能滿足用戶需求。這種方法相較傳統審計代碼方法具有更高效、更安全的特點,多用于對安全系數要求較高的航空、航天等關鍵領域。

現場 | Baanx集團COO :區塊鏈安全需要更好的工具 商業協同和整體方案:據CoinTime現場報道,美西時間9月14日,在圣何塞舉辦的Blockworld 2018區塊鏈開發者及技術峰會上,Baanx 集團 COO Sean Salloux在講到區塊鏈和加密貨幣安全時指出,為了防止出現安全問題,我們首先需要更好的工具和商業協同,如AI, 機器學習,Elliptic, Nem, Quione type tools等;同時,實施整體的方案,如強大的管理團隊,特別是具有在所有軟硬件、過程級別管理而不僅僅是區塊鏈管理經驗的團隊,以及移動端過程高速存儲器等。總之,智慧的、謹慎的、經驗豐富的玩家才能夠真正生存和發展下來,團隊是最重要的。[2018/9/15]

楊霞稱自己是「安全啄木鳥」。在她看來,做安全研究就像是啄木鳥,要不斷地找出bug解決它,保障系統安全,「這個過程就像是啄木鳥要不斷啄蟲子,才能讓樹木健康一樣。」

2015年下半年,區塊鏈項目大量涌現的同時,也出現不少安全問題。2016年6月,黑客利用TheDAO項目的智能合約安全漏洞,導致項目方損失約5000萬美元資產。當時,「TheDAO」事件被認為是最大的以太坊智能合約漏洞事件。

動態 | 硅谷AI區塊鏈安全公司AnChain.ai與數據可視化公司Graphistry達成合作:近日,硅谷領先的區塊鏈安全服務公司AnChain.ai與數據可視化公司Graphistry達成合作。 早在本月初,AnChain.ai就通過態勢感知發現了隱藏在以太坊游戲FOMO3D和Last Winner背后的黑客團伙 BAPT- F3D和BAPT-LW20,并通過與Graphistry的合作,視覺化還原了黑客攻擊的全過程。該黑客團伙通過智能合約漏洞,發動攻擊,僅僅4天就獲利5194ETH,約合1200W人民幣。 AnChain.ai與Graphistry的此次合作調查證實了區塊鏈領域高級持續性攻擊(即BAPT,由AnChain.ai發現并命名)的存在,雙方將發揮各自在人工智能、區塊鏈安全、數據挖掘、數據可視化等領域的專長,最大限度的保障 Dapp 開發者、交易所及區塊鏈生態的安全與透明。[2018/8/29]

「TheDAO」事件后,早已入局區塊鏈的朋友們問起楊霞,可不可以用形式化驗證的方法進行區塊鏈安全的防護?這使楊霞意識到區塊鏈安全問題已經成為一個普遍現象,安全問題將影響區塊鏈行業的發展。她對區塊鏈安全開始產生興趣。

聲音 | SECC安全鏈: 區塊鏈安全的核心是重構安全節點經濟體:7月6日消息,Security Chain(安全鏈)創始人錢科銘認為,區塊鏈安全問題的核心體現在算法安全性、協議安全性、實現安全性、使用安全性和系統安全性五個方面。而造成區塊鏈整體安全隱患日益嚴重的根本性原因有三點:

一、安全白帽子(開發者)的價值一直以來被嚴重低估,致使黑客攻擊獲取的回報遠遠高于白帽子。造成區塊鏈安全領域,更多人愿意選擇當黑客,而不是維護正義的白帽子。

二、安全產品利潤和銷售渠道被中心化大公司壟斷,使用者需付出高代價但無法獲得有效果的安全能力。

三、由于市場的封閉性,導致安全開發者收入偏低,高階級別的白帽社群也不屑于與大公司合作。[2018/7/6]

于是,2016年下半年,楊霞便從航空、航天安全轉向了區塊鏈安全研究。通常來說,區塊鏈安全問題主要包括共識機制安全、智能合約安全、錢包安全和交易平臺安全等方面。

對于Beosin為何選擇智能合約安全方向,楊霞解釋說,智能合約安全事件在區塊鏈安全中影響比較嚴重,由它導致的損失占總損失金額的近1/3;另外,形式化驗證是個復雜的過程,代碼量太大的話會使驗證周期變得很長,剛好智能合約的代碼量都不大,這使得用形式化驗證進行安全審計非常可行。

智能合約安全事件損失金額約占總損失金額的1/3

目前,針對智能合約的安全驗證主要有兩種。一種是滲透測試,另一種是形式化驗證。滲透測試只能測出某些已知Bug,未知的Bug顯示不出來。形式化驗證則通過數學推理進行,可保證一定不存在指定屬性的安全問題,或者一定存在指定安全屬性的問題。

建VaaS平臺

從安全級別最高的軍工方向「降級」到區塊鏈方向,雖然后者在安全程序上趨向于簡單,但楊霞在這條路上走得也并非一帆風順。

事實上,直到2017年上半年,楊霞都是帶著學生采用人工建模的方式進行驗證。在近一年的研究中,她發現,形式化驗證在審計智能合約安全上確有成效,但人工建模代價大、效率低,人工參與對人員的素質要求很高,形式化驗證方面的人才很緊缺。

于是,2017年下半年,楊霞決定向自動化方向發展,降低人工成本的同時,減少人為誤判,提高形式化驗證的準確度。約1年后,今年5月,Beosin發布了智能合約形式化驗證平臺VaaS1.0,可同時支持EOS和ETH的智能合約形式化驗證。

VaaS的5項技術優勢

VaaS是一個智能合約安全驗證平臺,主要來檢驗智能合約的安全屬性和功能正確性,功能正確性是指智能合約的代碼實踐符合用戶的預期功能需求。

在使用上,用戶只需把公鏈的合約代碼導入VaaS自動驗證工具,點擊「開始審計」按鈕,工具就會開始審查智能合約的漏洞,并且精確到代碼的哪一行存在常規安全隱患。不過,對于復雜的功能邏輯的正確性驗證則需要部分人工的參與。

VaaS1.0的安全檢測準確度達80%以上,但楊霞并不滿意。「誤報率是我們非常頭疼的問題。我們需要盡可能提高精確度,降低誤報率。」于是,楊霞和團隊緊接著就開始了VaaS2.0的研發。

11月,Beosin發布VaaS2.0,其安全檢測準確度可達95%以上。楊霞自信地說,「有些客戶的智能合約在其他平臺上檢測沒有問題,在我們的平臺上卻被檢測出了漏洞。這種情況已經至少發生了5次了。」

當前,國內外從事VaaS形式化驗證平臺研發的有四家公司,包括Beosin、Certik、Securify.ch和RuntimeVerification。楊霞認為,相較于其他三家,Beosin的特色在于能夠提供除ETH、EOS之外的多個區塊鏈平臺的驗證工具,且準確率較高。

截至目前,Beosin已經與國內40多家區塊鏈行業公司,如Huobi、OKEx和KuCoin等建立長期戰略合作,其用戶包括了交易所、項目方、公鏈及所有區塊鏈從業者、開發者等。另外,Beosin的核心業務包括安全審計和定制化應用開發兩方面。其中,安全方面包括智能合約安全審計、智能合約開發審計一條龍、錢包安全加固與審計、DApp安全加固與審計、區塊鏈平臺安全檢測、交易所安全檢測、企業級安全服務等。

楊霞介紹,作為一家區塊鏈安全服務商,Beosin的盈利點主要有兩個,分別是安全審計的服務費和應用開發的開發費用。截至11月末,Beosin已審計超過500份智能合約,實現了收支平衡。

今年3月,Beosin獲得了分布式資本的種子輪融資。11月,楊霞團隊又獲得界石資本、盤古創富數百萬美元天使輪融資,資金主要用于全生態區塊鏈安全的產品開發和全球化市場布局。

對于現在持續的熊市,楊霞則認為,安全在任何時候都是剛需。「熊市只是相對于幣圈市場來講,但市場上除了發幣合約還有落地應用合約。未來,隨著落地應用越來越多,智能合約的數量肯定會爆發性增長,項目方也會越來越重視合約的安全。」

本文來源于非小號媒體平臺:

Beosin成都鏈安

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627100.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

利用比特幣回款,橫掃全球銀行的黑客組織「Carbanak」

下一篇:

再提Mt.Gox,糟糕的「里程碑事件」正提升區塊鏈世界的安全意識

Tags:區塊鏈EOSSINETH區塊鏈掙錢是真的假的eos幣柚子已經確定跑路SOMESINGETHA Lend

萊特幣最新價格
LIU:知道創宇 404 實驗室榮獲 2018 年度杰出安全實驗室獎_比特幣

1月15日,由部第一研究所指導,嘶吼傳媒主辦的2018網絡安全「金帽子」獎年度盛典在北京落下帷幕.

1900/1/1 0:00:00
BIT:縮水近20倍,比特幣現貨實際交易量僅有5.54億美元?_USD

來源|鏈得得 據AMBCrypto消息,資產管理公司Bitwise在3月份發布的報告稱95%的比特幣交易數據是虛假的.

1900/1/1 0:00:00
區塊鏈:從 2018 年度區塊鏈安全大事件,看當前區塊鏈安全發展與問題_BCH

原文標題:《2018年度區塊鏈安全報告》本報告由區塊鏈安全團隊PeckShield全程提供數據與技術支持.

1900/1/1 0:00:00
區塊鏈:360「史詩級營銷」背后的區塊鏈布局_EOSPack

2018年3月30日,360創始人周鴻祎在朋友圈發布了一句話:「我的人生竟然如此失敗,沒有任何意義.

1900/1/1 0:00:00
區塊鏈:山雨欲來?阿里、騰訊、京東數科三巨頭在區塊鏈領域暗中較勁_數字貨幣交易所開發安全技術與成本費用

現實總是很殘酷,一年的時間足已改變一切。當你聚焦于區塊鏈行業時,這一現象尤為明顯。過去一年,隨著加密數字貨幣的監管趨嚴,不少聲勢巨大的區塊鏈企業已經銷聲匿跡;BTC行情在沉寂了一年后,似乎又坐上.

1900/1/1 0:00:00
比特幣:BTC多次上攻阻力未破,短線關注回落風險_小比特幣

根據推特用戶planB最近的民意調查,在2500名參與者中,61%的人預計BTC價格會出現大幅上漲。由于挖礦獎勵將減半,流通中發行的比特幣將減少,這將使比特幣比現在更加稀缺,因此價格應該會上漲.

1900/1/1 0:00:00
ads