鏈安科技楊霞:被用于導(dǎo)彈控制的形式化驗證,進軍區(qū)塊鏈安全區(qū)塊鏈
自2009年中本聰發(fā)布了《Bitcoin:A Peer-to-Peer -Eletronic System》論文后,區(qū)塊鏈的概念就逐漸在社會中普及開來。近年來隨著社會各界...
自2009年中本聰發(fā)布了《Bitcoin:A Peer-to-Peer -Eletronic System》論文后,區(qū)塊鏈的概念就逐漸在社會中普及開來。近年來隨著社會各界關(guān)注度的日益提高,區(qū)塊鏈技術(shù)的發(fā)展更是突飛猛進。
在早期,被稱為區(qū)塊鏈1.0的比特幣,它的代碼和結(jié)構(gòu)體系是簡單的,這也是它能健康運行直到現(xiàn)在的重要原因。而隨著行業(yè)發(fā)展,越來越多的技術(shù)被運用于區(qū)塊鏈技術(shù)。不僅被稱為區(qū)塊鏈2.0的以太坊,區(qū)塊鏈3.0的EOS等主鏈依次上線,市面上種類繁多的項目更是讓人目不暇接。
野蠻生長雖然對區(qū)塊鏈技術(shù)的發(fā)展是一種好事,但與之相伴相生的區(qū)塊鏈安全問題也日益嚴重。
遠至以太坊DAO,mtgox被黑客攻擊,近至NiceHash事件,Tether黑客事件。各種對區(qū)塊鏈技術(shù)或者數(shù)字貨幣的安全漏洞事件層出不窮。根據(jù)區(qū)塊鏈安全公司CipherTrace報告,僅僅2018年上半年,黑客就竊取了價值7.31億美元的加密數(shù)字貨幣。
安全問題從來都是不可忽略的,每個行業(yè)的發(fā)展都需要一些專注于安全的公司。近日,耳朵財經(jīng)(微信公眾號ID:erduocaijing)采訪了國內(nèi)首家專注于區(qū)塊鏈安全的公司—鏈安科技。
很多時候,一個新興行業(yè)的發(fā)展需要來自其他成熟行業(yè)的支持,無論是技術(shù)也好、人才也好。
最近,區(qū)塊鏈圈內(nèi)新出現(xiàn)了一家專注于智能合約安全的公司,叫做鏈安,它是國內(nèi)首家專門從事區(qū)塊鏈安全的公司。由來自成都電子科技大學(xué)的楊霞教授和她的技術(shù)團隊所創(chuàng)立,目前已經(jīng)與國內(nèi)十多家區(qū)塊鏈行業(yè)的知名公司,如火幣、OKex、KuCoin等建立了長期的戰(zhàn)略合作。
鏈安科技的創(chuàng)始人楊霞,作為形式化驗證的專家,曾經(jīng)為大型航空航天項目的形式化驗證服務(wù),主持過國家核高基,裝發(fā)重大軟件等近10項國家重大課題,發(fā)表學(xué)術(shù)論文30多篇,申請20多項專利。
2016年以太坊發(fā)生了第一個安全漏洞事件。當(dāng)時以太坊被爆出the DAO漏洞,這個漏洞使得攻擊者可以將theDAO資產(chǎn)池中的以太幣非法轉(zhuǎn)移給自己。楊霞在區(qū)塊鏈行業(yè)的一個朋友頓時想到了她在安全領(lǐng)域中建樹頗豐,認為如果楊教授如果能來做區(qū)塊鏈方面的安全研究一定能獲得一些成功。
“目前從數(shù)據(jù)上看,市面上起碼80%的智能合約都或多或少存在著安全問題”,楊霞說“往往幾行代碼的錯誤就會造成數(shù)十億的損失,這帶來的教訓(xùn)是十分慘痛的”。
楊霞對區(qū)塊鏈技術(shù)當(dāng)前的安全性是不滿意的。
于是從2016年下半年開始,那么為了保證區(qū)塊鏈代碼的安全,楊霞就聽從了朋友的建議。開始了對區(qū)塊鏈的研究,將自己在形式化驗證方面的成果,運用到了區(qū)塊鏈方面。
這種形式化驗證,相較傳統(tǒng)審計代碼方法,具有更高效,更安全的特點。它本身主要用于航空航天,軍事安全等領(lǐng)域中,之前更多的實際應(yīng)用是導(dǎo)彈控制,戰(zhàn)斗機導(dǎo)航等對安全性和正確性要求比較高的系統(tǒng)之中。
形式化驗證,簡單的說,就是用數(shù)學(xué)工具進行驗證的方法,把代碼編成數(shù)學(xué)模型,從設(shè)計到實現(xiàn)整個流程,通過證明手段來證明代碼是完備安全的,能夠滿足期待。
因此,將它運用在區(qū)塊鏈智能合約中是非常合適的。這種先進的科技理念和技術(shù)指導(dǎo),是其他行業(yè)對區(qū)塊鏈發(fā)展的強大動力。
眾所周知,和傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)不同,智能合約一旦寫定上鏈后,后續(xù)出現(xiàn)問題則是無法更改的。這是區(qū)塊鏈技術(shù)的特點也是對區(qū)塊鏈安全技術(shù)發(fā)展的挑戰(zhàn)。
這對代碼的測試就有了很高的要求,在楊霞看來,和傳統(tǒng)測試不同的是,區(qū)塊鏈項目的測試需要的科技含量更高。傳統(tǒng)測試無論是白盒測試、黑盒測試,往往都需要窮盡bug。而限于人力,測試往往不能覆蓋所有可能產(chǎn)生的問題,這種測試方式在區(qū)塊鏈行業(yè)是很容易忽略致命的漏洞,一旦漏洞出現(xiàn),又無法修復(fù),帶來的損失將會是巨大的。
針對智能合約的安全問題,鏈安科技研發(fā)的VaaS平臺,采用了形式化驗證的形式,用數(shù)學(xué)的手段來證明代碼,給智能合約提供軍事化級別的安全保護,杜絕邏輯漏洞和安全漏洞,確保系統(tǒng)安全性。
“減少人工干預(yù),更多的工作被機器完成”也是智能合約安全需要被強調(diào)的。
VaaS所提供的服務(wù),具有快速支持多平臺的能力,近期VaaS的重點雖然是專注于為EOS提供全面的形式化驗證服務(wù),但是未來,VaaS平臺也將逐步支持其他主流區(qū)塊鏈平臺的形式化驗證工作。
在聊到區(qū)塊鏈這個大行業(yè)整體的當(dāng)前的創(chuàng)業(yè)氛圍時,楊霞認為,雖然現(xiàn)在有不少人借用區(qū)塊鏈技術(shù)來作惡,但這是一個社會問題。無論哪種技術(shù)在發(fā)展的時候都是無法避免的。區(qū)塊鏈本身依然是一個很偉大的創(chuàng)新。
比如最近風(fēng)靡的某個區(qū)塊鏈游戲,在楊霞看來,這種類型的傳銷游戲并不是一種好的現(xiàn)象,對區(qū)塊鏈的發(fā)展不會起到促進的作用。雖然它的本意是諷刺目前幣圈的一些騙局。但是大家在看到它火了之后反而去爭相模仿,這在信息傳播急速的現(xiàn)代社會是會產(chǎn)生不良影響的項目。
當(dāng)然除了這些利用人性,利用區(qū)塊鏈為噱頭的騙局之外,在區(qū)塊鏈基礎(chǔ)之上的一些技術(shù)的發(fā)展可以對整個行業(yè)是會起到促進作用,鏈安科技所提供的智能合約審計服務(wù)就是其中一個典范。
隨著各種規(guī)范的完善,代碼錯誤率降低,程序的漏洞減少,黑客攻擊的成本增加難度加大。數(shù)字貨幣的價值最終也會越來越穩(wěn)定,市場也會越來越成熟。
但這都是依靠在越來越多像鏈安這樣,從技術(shù)服務(wù)角度,為區(qū)塊鏈產(chǎn)業(yè)的發(fā)展貢獻出自己一份力量的基礎(chǔ)上。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
