Morketing logo 投稿 申请链条号
注册
|
登录

链安科技杨霞:区块链合约安全漏洞与生俱来 | 链条人物014期

链条ChainHeadline链条ChainHeadline 2018-11-15 53 人物

1.jpg


文|Han

 

目前在区块链领域中,智能合约安全问题所带来的损失已经高达33%~34%,占据了整个区块链安全问题的1/3。

 

当一个新兴技术产业发展的同时,该技术的安全隐患也随之而来。区块链的安全问题包括了数字钱包、底层代码、共识机制、密码算法、智能合约等,而智能合约本身在区块链中占据一个十分重要的地位,从它的自带属性来看,它与“利益”息息相关,与“交易”直接相连。

 

链安科技CEO杨霞被认为是区块链安全领域“嗅觉”灵敏的先行人。早在2016年,杨霞就在当时大热的人工智能与不太显眼的区块链中做出了选择,并在17年开始专注投身于区块链的安全研究。

 

在众人苦苦“淘金”的区块链行业,她并未选择加入淘金者浩浩汤汤的队伍,而是选择给这些淘金者造出一把把安全的“铲子”——她拥有多年的安全研究和技术实践的积累,在众多创业者苦苦挣扎于公链、联盟链以及各种应用场景时,她早早的将视野聚焦在区块链的安全研究上。

 

“我这个人有一个特点,看准一个东西,就会扎根一直做下去,直到我满意为止。”作为链安科技的创始人,杨霞前后的创业经历都围绕着“安全问题”展开,从移动终端到航空甚至在军事领域也有建树。“不论是军事、航空还是区块链,其安全的研发原理差异并不大,只是方法不同而已。”杨霞说。

 

德谟克利特曾说过,“身体的美若不与聪明才智相结合,那是某种动物性的东西。”

 

在区块链的世界里,不乏娇好脸庞,却少有兼具二者之人。而杨霞似乎是这句话最好的诠释之一——在男性居多的区块链技术领域里,她气质不凡,是少有的技术派女性。

 

近日,区块链媒体《链条ChianHeadline》对话杨霞,就区块链从业者关心的诸多安全问题展开探讨。

 

以下为对话实录:


1.与生俱来的安全问题

 

链条:首先,希望了解下您的4次创业经历分别是什么,以及您为什么会在第4次选择区块链安全研究?

 

杨霞:我们研发过PAD——平板电脑(那时候还没有现在市面上所有的同类型产品),做过面向移动终端安全的TEE安全系统,做过深度隔离的双安卓系统保护用户隐私,这些工作全部都是围绕系统安全展开。2016年,当时大热的有人工智能,我们也尝试过,但最终我选择了研究区块链的安全问题,契机是在一次大会中做有关形式化验证的演讲报告,当时演讲内容引发了大家对于智能合约安全问题的高度关注和热烈讨论,,并且当时鲜有人来关注安全问题。

 

于是,我们在2017年开始专注研究区块链安全问题。可以说,是第一个将形式化验证用在区块链安全领域的团队。

 

链条:那么,区块链存在安全隐患的根本原因是什么?对于The DAO事件的发生认为是偶然还是必然?

 

杨霞:区块链技术作为一个软件系统,它和其它软件系统一样天生就存在安全问题。首先,智能合约涉及的早期人为操作、行业规范以及合约本身与交易、金钱相关等发展并不成熟;其次,目前交易所还是中心化居多,和传统的交易所安全问题相同,存在主网网络被攻击、代码缺陷等问题;还包括,区块链本身机制的一些问题,早期的技术不太成熟,而导致安全漏洞。

 

The DAO事件,我认为不是一个偶然事件,它本身就存在一些安全漏洞,只是早晚被攻击的时间问题。

 

(The DAO:DAO全称是Decentralized Autonomous Organization,即“去中心化的自治组织”, 而 The DAO则是其中最大的一个,被誉为“DAO之母”。The DAO事件可以算是一个以太坊的丑闻,直接导致了硬分叉。黑客利用其存在的安全漏洞攻击代码并源源不断从1.5亿美金的以太币池中拿走资金。)

 

链条:对于航空及军事领域的安全问题与区块链,您觉得哪一个更难攻克,它们之间虽然同用形式化验证,但是区别是什么?

 

杨霞:都是挑战,有各自的难点。从本质上来讲,它们都是软件系统,而任何一个软件系统都存在安全问题。

 

军事航空领域的形式化验证,系统更为复杂、层次多样,而区块链领域则是语言种类繁多,但实际上它们在原理上差异不大,只是方法不同而已。具体在区块链方面的挑战就是,面临众多语言时,我如何快速的采用形式化验证的方法解决研究。

 

2.智能合约,一个自动执行代码的库

 

链条:贵公司为什么会选择做智能合约的安全审计?能具体解释一下这套系统的形式化验证吗?

 

杨霞:根据数据显示,智能合约安全问题所带来的损失已经高达33%~34%,占据了整个区块链安全问题的1/3。这个数据显示了智能合约对于区块链的重要性,并且智能合约安全问题也逐渐被行业重视。

验证工具,首先将代码变成公式,用公式进行推导,证明这个代码是否存在安全漏洞,目前这个工具在检测项的范围内其准确率能够达到95%以上。

 

我们通过形式化验证的方法来减少漏洞的出现,使这个软件更加安全、完备,以减少可攻击性,提高代码的安全性。就像修房子,这个验证方法实际上是起到使其更加坚固、查补漏洞的作用。

 

链条:智能合约本身是一个代码程序,只能执行对与错这样的指令,但是实际上合约在现实中是极为复杂的,不可避免有人为因素,那么这套验证工具是否能够做到随机应变?

 

杨霞:很多早期的安全验证是依靠人的经验来进行比如黑盒测试,这实际存在人为的操作失误。我们做的是安全性验证和功能性正确性验证,功能正确性就比如我设计一个房子我的预期目标是个尖顶,但结果是圆形的,那就不符合我所期待的目标,也就是说这个代码在安全的前提下,还要符合用户的期待目标。

 

对于现实中的一些因素,实质上就是我们输入的条件,几乎现实生活中所要求的条件我们都会求去证明,包括一些可变因素都会考虑,然后证明这个条件一定满足或者一定不满足,是非常严谨的。例如,这个代码有多少个特殊条件,这个数值范围是多少,就会把所有的可能性列出来去证明。

 

链条:区块链技术是不断更新与前进的,因而您的这套验证工具是否能对更新迭代的区块链项目进行同步验证?同时,在这个更新的过程中如何保证这个智能合约的安全性?

 

杨霞:安全保障与技术是并行存在的,我们的工具会根据技术的发展不断更新与完善,安全工具实质上希望能够避免一些不必要的事件发生。实际上是保障智能合约的代码安全,因为智能合约一旦部署是不能更改的,因此事先预防智能合约的安全问题非常重要。

 

如果将智能合约看成是一个库,里面的信息更新、交易、信息交流都是自动完成的,我们对这个代码进行审计,只要代码安全即智能合约受到保护,里面的包括数据执行等就不会有问题。

 

3.全生态的安全建设

 

链条:链安科技目前为多少家公司提供了服务?会涉及其他内容的安全研发吗,比如跨链?

 

杨霞:大概有40多家,还包括一些交易所、链平台等,已经审核了大概500多份合约。比如以太坊、EOS、本体这些都是有合作,其中我们在以太坊上应用的最多,我们研发的VaaS-ETH对于智能合约的安全检测达到了95%的准确率。同时,我们也为本体等公链提供了定制化服务。目前,我们建立了区块链全生态安全服务,主要包括:智能合约安全审计、钱包开发和审计、数字资产安全监控、安全的Dapp开发与审计、安全的智能合约开发审计、交易所和公链平台安全检测等。对于热门的跨链等应用安全,都是我们的安全服务对象。

 

链条:我们了解到,同时您也是电子科大的教授,目前区块链在大学生群里中的普及率高吗?

 

杨霞:其实目前,有大部分同学对区块链表现出极大的兴趣。有的大学其实也已经设有区块链技术方面的专业,在上课时也尽可能的在普及区块链这个概念和技术。


  • 已有0人收藏

  • 已有1人点赞

本文系链条原创稿件,版权归作者所有,未经授权不得转载,转载须在文章标题后注明“文章来源:链条”,违者将依法追究法律责任。 免责声明:文章内容不代表链条的观点与立场,仅供参考,不构成投资建议。投资者据此操作,风险自担。

发表评论
已有 评论
查看全部评论

申请入驻

链条号ID:
邮箱:
手机号码:
文章链接:
简介: