成都链安创始人&CEO:区块链安全,重于泰山
导语
2020年9月11日(星期五)19:30,成都链安创始人&CEO 杨霞教授受邀出席了由BiYong、Bananatok主办的『中韩区块链周』相关活动,并发表了题为《区块链安全,重于泰山》的主题演讲。
『中韩区块链周』相关活动是由BiYong、Bananatok联合金色财经、CoinReaders、币世界举办的线上交流分享会活动,于2020年9月9日隆重召开。本次活动将持续7天,至9月15日结束。活动旨在深入探讨区块链行业创新发展战略,推动区块链行业持续稳定发展,探索可落地的区块链创新项目,持续提升区块链行业的影响力。
作为全球最早从事区块链形式化验证的专家,CC国际安全标准成员,CCF区块链专委会委员,成都链安创始人&CEO 杨霞教授受邀于9月11日19:30进行《区块链安全,重于泰山》的主题演讲;演讲以中文、英文、韩文三种语言同步直播,与中韩区块链业界先锋共同围绕『区块链安全』这一赛道,开展了一场深度的高质量探讨。
▼以下为主题演讲实录:
区块链安全,重于泰山
主讲人:成都链安创始人&CEO 杨霞
Hello,大家晚上好,非常高兴能够受到主办方的邀请,参与到本次【BiYong中韩区块链周】的线上交流分享会;也很荣幸能有这个机会,与群里的各位嘉宾一同进行学习、探讨,推动区块链产业的向上发展。
首先,简单来做一个自我介绍。我是成都链安科技有限公司的创始人兼CEO杨霞,同时也是电子科技大学的副教授。我本人从事有关形式化验证、内核安全、移动设备安全、TEE等安全的技术研究长达20多年了,并将科研成果运用到诸如航空航天、军事等领域,主持了10多项国家课题研发,发表了学术论文30多篇,申请了专利20多项。
2016年,以太坊平台爆出的【the DAO】漏洞让我注意到区块链安全这一赛道。我发现,当时的区块链安全的相关基础设施构筑尚不完善,一旦出现安全隐患,就可能会造成巨大的经济损失。经过调研,我发现我一直所钻研的形式化验证技术能够很好地解决区块链安全的痛点。于是,便毅然决然地投身到区块链行业这一大浪潮之中。
这几年来,我个人在业界也取得了一定的成绩,业界朋友都称我是全球最早将形式化验证技术运用到区块链安全领域的专家,也是区块链安全的学术派代表。同时,作为CC国际安全标准成员、CCF区块链专委会委员,我个人也被评为四川省海外高层次留学人才、成都市新经济百名优秀人才、成都市高新区急需紧缺人才和高端人才、2018年成都市区块链十大优秀人物、2019四川十大新经济领军人物、2019成都高新区四派人才等。
现在,进入我今天要跟大家分享的主题-【区块链安全】。我主要会从全球区块链生态的安全现状,区块链生态的主要安全挑战,以及我们成都链安针对区块链生态安全问题而提供的解决方案,这3个方面来展开论述。
首先,在我看来,区块链技术发展至今已形成了一个较为完整的技术栈,区块链技术诸如去中心、可溯源性、开放性等天然特性使其能够广泛赋能到诸如金融、医疗、物流等多个领域,形成【区块链+】的产业生态。
但伴随着广泛应用,随之而来的安全问题也层出不穷。据Beosin-Eagle Eye的详细数据统计:全球区块链重大安全事件的损失金额从2011-2019年呈逐步上升趋势,2017-2019年甚至出现了指数级增长。2019年,区块链安全事件造成的损失已高达60亿美金。
从全球来看,区块链生态所面临的的安全问题日趋严重,虚拟资产被盗、虚拟资产服务商被黑客攻击、智能合约逻辑问题导致执行出错等安全事故不断发生,世界各国都在对区块链生态的安全问题加紧研究,也制定了各项关于区块链产业的安全监管条例。
从我国来看,对区块链生态的安全问题也越发重视,在去年中共中央政治局第十八次集体学习上,习总书记就着重强调了要探索建立适应区块链技术机制的安全保障体系,推动区块链安全有序发展。
那么,区块链生态所面临的的安全挑战究竟是来自哪几个方面呢?我认为主要存在于区块链平台、区块链应用,以及虚拟资产犯罪这三个层面。下面,我将针对这三个层面重点展开来讲。
区块链平台指的是区块链的底层系统,负责支撑各类区块链应用的运行环境,是区块链生态中的核心与基石。在经历了新的区块链分化与发展后,产生了公有链和联盟链的应用方向。首先,公有链因其开源性质,导致公有链的安全性较低,受攻击面较大,容易受到威胁。其次,联盟链的安全性虽然相较于公有链有些许提升,但依然存在诸如链上数据异常、节点异常、加密通信的安全性,以及联盟链特有的认证授权策略及账户授权机制的风险等问题。
区块链应用的安全挑战主要来自于智能合约、应用Web端以及移动APP端。首先,智能合约的安全问题是我今天要重点提到的,无论是各类区块链落地应用,还是现阶段异常火爆的Defi,智能合约都扮演着极其重要的角色。智能合约实现了全自动化计算机合约执行流程,在不需要第三方机构的情况下,可实现相对安全、高效、低成本的交易;但其本质上还是一份代码程序,自然不可避免地存在诸如合约代码的规范性问题、函数调用问题、业务逻辑设计问题、业务逻辑实现与设计不符等问题。因此,智能合约倘若有一行未经安全审计的代码,就很有可能暗藏着极大的安全风险,这需要我们时刻注意。另外,就是应用Web端和移动APP端与智能合约的项目中,也或多或少会存在着各类安全隐患。
最后,虚拟资产犯罪也是区块链生态所面临的安全挑战中非常重要的一环。随着虚拟资产体量的逐步增大,虚拟资产犯罪现象也呈现出愈演愈烈的趋势。仅统计2019年上半年的情况,被盗或被诈骗的虚拟资产总额就已超过了50亿美元,令人咋舌。其中,诸如非法洗钱、诈骗、暗网非法交易、恐怖融资、病毒勒索等五花八门的犯罪模式,都为区块链生态的安全监管和安全建设提出了迫在眉睫的建设需求。
那么,区块链生态所面临的的安全挑战是如此严峻和迫切,我们应该怎样筑起区块链生态的安全盾牌,使其更健康地发展呢?这对区块链行业的所有从业者而言,都是需要思考的问题,这也是我常常不断思索的方向;老实来说,也是我创立成都链安科技有限公司的契机。
针对于区块链平台、区块链应用以及虚拟资产犯罪等各类安全挑战,作为全球最早将形式化验证技术应用到区块链安全领域的公司,我们成都链安已面向区块链全生态安全建立了全生命周期的安全解决方案,打造了【Beosin一站式区块链安全服务平台】,从项目的【研发→运行→监管】三个发展阶段切入,致力于解决不同阶段的安全挑战。
【Beosin一站式区块链安全服务平台】以网络安全、形式化验证、人工智能和大数据分析作为核心技术,自主研发了【四大核心安全产品】和【八大明星安全服务】。
其中,【四大核心安全产品】包含:
Beosin-VaaS-智能合约自动形式化验证系统;
Beosin-AML-反洗钱和调查取证系统;
Beosin-Eagle Eye-安全态势感知系统;
Beosin-OSINT-威胁情报系统。
【八大明星安全服务】包含:
智能合约安全审计服务、
链平台安全检测服务、
虚拟资产追踪溯源调查取证服务、
移动端APP(钱包)渗透测试和安全检测服务、
Web渗透测试和安全检测服务、
威胁情报服务、
安全咨询服务、
安全应急响应服务。
下面,我将着重针对区块链生态的研发上线阶段的【Beosin-VaaS】,以及监管阶段的【Beosin-AML】进行一个简单的介绍。
首先,【Beosin-VaaS】是一款全球领先的【一键式】智能合约自动形式化验证系统,可为智能合约提供【军事级】的安全检测和验证,检测准确率高达97%以上。精确定位风险代码位置并给出修改建议,自动检测智能合约的10大项32小项常规安全漏洞及功能逻辑缺陷,是全球首套同时支持蚂蚁链、ETH、EOS、ONT、TRON、FISCO-BCOS、Fabric等多个公链及联盟链平台的安全检测工具。
其次,【Beosin-AML】是一款反洗钱和调查取证系统,在海量地址标签库、区块链大数据分析+人工智能先进技术的基础上,协助执法部门调查取证虚拟资产犯罪案件的证据链,快速定位资产流向,自动对交易做风险评分,实时监控风险交易和洗钱、欺诈等行为。
迄今为止,在业务合作上,我们成都链安已与信通院、微众银行、万向区块链、蚂蚁链等国内外100多家区块链头部企业建立了深度的合作关系,为全球1000多份智能合约、50多个区块链平台和落地应用系统、近100家数字金融企业提供安全审计与防御部署服务。
在安全监管上,我们成都链安也作为中国信通院可信区块链联盟理事单位、全国信息安全标准化技术委员会成员单位、CNVD国家区块链安全漏洞平台唯一技术支持单位等,参与了工信部多项区块链安全标准和白皮书的撰写,积极推动区块链安全合规标准建设,为公安、工信部、网信办、执法监管部门等提供安全监管技术支持,成为这些部门的首选品牌。
在未来,我们成都链安也将以【让区块链生态更安全】为使命,以【成为全球第一的区块链安全公司】为愿景,不断打造区块链安全颠覆性的核心技术,为全球区块链企业的安全保驾护航。
微信扫描关注公众号,及时掌握新动向
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场