天亮请睁眼,昨晚是区块链的“平安夜”

原创
2262 天前
17420
火讯财经

《火讯琅琊榜》经历了前三期的沉淀,本期迎来了纯链圈、顶级阵容的访谈。巨头云集,蓄势待发。

第四期第三场

朱江、易欢欢×杨文玉



前言


你以为只有狼人杀有平安夜吗?不,今晚注定是一次区块链版的“平安夜”。

10月18日,火讯琅琊榜第四期第三场,邀请到了猎豹移动区块链安全中心首席科学家、白帽安全专家杨文玉,带来一场关于“安全”的讨论。

本场的邀请嘉宾——杨文玉,有着多年的安全研发经验,专注于区块链安全领域,对以太坊节点、智能合约自动化检测技术、去中心化交易平台都有深入研究。

提到交易安全问题,杨文玉提出了很多中肯的建议。她表示:“交易所作为虚拟货币市场中的流量聚焦点,应该更加重视安全建设。”对于交易所如何保障自身的安全,她认为,如果从交易所自身的角度出发,应该在产品的设计流程中考虑到安全问题,如严格的权限控制,网络安全设备的部署等。

“有效保障海量智能合约安全的最好的方法是降低人工审计复杂度,采用智能合约自动化审计”,杨文玉说,不过现在它处于一个很不成熟的阶段。相较于人工审计的耗时长和可能会导致的审计结果的偏差,自动化检测快且质量一致。但是自动化检测技术当前还存在误报高、漏报高、系统不稳定等缺点,要完全取代人工审计还需要很长一段时间的发展。

谈到猎豹为何会选择切入“人工智能+区块链项目”,杨文玉用“乌卡时代”进行了阐述。乌卡时代形容了当前环境的易变性、不确定性、错综复杂性和模糊性。而在乌卡时代,整个行业都会加速融合,无数信息不断涌现。“如果我们固步自封守着原有的东西,就很容易陷入“深井病”的困顿局面。”杨文玉表示,未来,猎豹在区块链方向的布局重点还是会放在安全方面。此外,也会探索将 AI 和机器学习技术运用到区块链方向,比如提供智能的项目评级服务。


精华摘要


1、我引用下我们傅老板在一次内部周例会上的分享吧。那次他聊到《赋能》这本书,书里有个关键词叫 VUCA 乌卡时代。乌卡时代形容了当前环境的易变性、不确定性、错综复杂性和模糊性。而在乌卡时代,整个行业都会加速融合,无数信息不断涌现,如果我们固步自封守着原有的东西,就很容易陷入“深井病”的困顿局面。

2、相比传统互联网安全,区块链安全更需要安全从业者站在更高的系统层面去思考问题、更快速地去学习新的技术理论。

3、零知识证明距离真正的商业化产品化应用还有两个方面的问题要解决:①setup预备阶段的去中心化程度  ② 证明的大小和时间。

4、用户在使用数字钱包的时候,私钥的自行保管和记录的用户体验分数很低,私钥经常面临着遗忘、丢失的情况。这是整个体系中最容易忽略也最为棘手的问题。

5、挖矿木马更为隐秘,不容易被发现。它往往隐藏在后台,长时间持续地进行挖矿计算,从而使得攻击者获得大量的挖矿回报。挖矿木马的传播、感染方式有两种:通过僵尸网络,通过网页。

6、有效保障海量智能合约的安全最好的方法是降低人工审计复杂度,采用智能合约自动化审计,不过现在它处于一个很不成熟的阶段。


以下是访谈实录

火讯财经主编赵一丹:大家晚上好!【火讯琅琊榜第四期·巨头扬帆】第三场马上开启!

今晚为我们分享的嘉宾是:猎豹移动区块链安全中心首席科学家、白帽安全专家杨文玉。

杨文玉有多年安全研发经验,专注于区块链安全领域,对以太坊节点、智能合约自动化检测技术、去中心化交易平台有深入研究。

期待两位两位阁主今晚与嘉宾碰撞出的思想火花!


Q1

阁主易欢欢:从 PC 时代到移动互联网再到AI机器人,猎豹移动不断探索自己新的边界,工具、游戏、机器人、投资,“四轮驱动”。如今,从移动安全数字资产钱包 SafeWallet 到人工智能+区块链项目“智能链(AI BlockChain)”,其实我们可以看到猎豹移动也一直在拥抱区块链,并专注进行有实际需求和落地场景的区块链应用的探索。猎豹为什么会选择切入“人工智能+区块链项目”?你认为人工智能+区块链两者是如何相互赋能的?

嘉宾杨文玉:哇,这个问题格局有点大,我想想。

说猎豹的方向选取,我引用下我们傅老板在一次内部周例会上的分享吧。那次他聊到《赋能》这本书,书里有个关键词叫 VUCA 乌卡时代。

乌卡时代形容了当前环境的易变性、不确定性、错综复杂性和模糊性。而在乌卡时代,整个行业都会加速融合,无数信息不断涌现,如果我们固步自封守着原有的东西,就很容易陷入“深井病”的困顿局面。


今天这种局面,已经不是以前流量红利时代靠着单一产品就可以开拓一片天地的时代了。专业技能过时的越来越快,信息融合多样化,行业边界越来越模糊,人人都在强调进化,而进化的基础是要有开放的心态和跨界的思维。所以,为了进化,寻求第二条曲线,在思维模型的进化基础上,猎豹选择了投入人工智能、区块链等新领域。

也像之前所谈到的,人工智能更像是生产力的发展,而区块链是生产关系的变革,所以我们选择了 AI +区块链的路径。

像现在发展起来的一些区块链项目、通证体系,都是突出每个人在这个社区、这个系统里面的贡献,并且得到相应的回报,这种关系也促使每个人都要去维护这个生态的良性发展。

正如生产力和生产关系不可分割一样,区块链和人工智能也相互赋能,调动所有参与方用户的积极性,维护着人工智能产业的健康发展。

阁主易欢欢:回答的非常棒。生产力和生产关系是相互作用的、不可分割的、相互赋能的。


Q2

阁主易欢欢:下一个问题,请问杨总,猎豹准备下一步在区块链上如何布局呢?会着重探索哪些应用场景呢?

嘉宾杨文玉:目前在区块链方向我们重点还是在安全方面,像之前讲的,我们重点在于向交易所提供完整的安全解决方案。因为交易所作为整个生态重要的一环,它的安全问题不能得以保障,其实是阻碍整个生态的发展的,比如频繁爆发的交易所被盗问题,会让很多人开始质疑整个区块链行业,这是十分不好的现象。

除此之外,我们也不断地探索将 AI 和机器学习技术运用到区块链方向。比如提供智能的项目评级服务,帮助投资者更早地发现优秀的区块链项目。目前的规划是这些,当然,也在不断地尝试 探索,向大家学习。

阁主易欢欢:智能项目评级服务挺有意思的,能具体说一下吗?我相信如果引入人工智能项目评级的话,将会更加公平,促进整个区块链行业的良币驱除劣币。

嘉宾杨文玉:传统的人工评级其实面临着一个巨大的问题,就是区块链项目是实时更新的,传统评级的时效性难以保证。

而我们团队中有很多自然语言处理的专家、大数据专家,我们从项目白皮书、社交舆论分析、 github 代码提交频率、创始团队社交关系分析等多个维度来对项目进行评分。

这种自动化评分可以保证实时性,只要项目有变动,我们能第一时间获知。比如,项目代码更新,项目技术团队变化等,这些现象都能第一时间反馈给投资者。

我们的口号也是净化币圈,结合安全、评级,希望能够促进整个区块链行业的良币驱除劣币。

阁主易欢欢:好的。


Q3

阁主易欢欢:我接着请教下一个问题。

杨总是白帽安全专家。曾有专业人士曾经一语道出了这个行业的悲哀:“安全白帽子的价值一直以来被严重低估,致使黑客攻击获取的回报远远高于白帽子。造成区块链安全领域,更多人愿意选择当黑客,而不是维护正义的白帽子。” Roy Li 在参加火讯琅琊榜第三期访谈时也提到过:“全球比特币排行榜,中本聪后面三名都是黑客。”你觉得安全白帽价值被严重低估的情况未来有希望被改善吗?哪些措施会有助于解决攻守利益失衡的问题?

嘉宾杨文玉:记得上周末和朋友聊天时候,他感叹做安全最好的境界就是做到0,做到谁都无法感受到。如果突然有一天出现了安全问题,那你做的成果就直接是-1。

这很形象的描述了当前安全从业者的一些现状,也确实会带来一些价值失衡的体验。这种现象不是因为区块链产生而产生的,其实在过去,大量的黑产灰产也盛行,高昂的收益报酬也是会吸引一批白帽子的。

但是,这又可以说是每个安全从业者的信仰问题。(有点大~)哈哈,我熟悉的大多数安全从业者其实心里都有着自己的底线,知道哪些应该做,哪些是绝对不能碰的东西。相较于非法收益获利,我看到的更多的是,我们会因为拿到某个安全平台奖励的 T 恤等周边、徽章感到很高兴。

相反,区块链的出现,我认为已经些许改善了这种失衡问题。特别是在发展的初期,区块链各项技术和标准并不完善,安全事件频出,会让安全白帽子有参与感和成就感。很多安全厂商结合区块链理念推出了众测赏金计划,提高对每一次安全防御的精神奖励,提高对安全行业的认可,重视安全。不断地激励和认可,可以让大多数白帽子坚守自己的底线的。有所为,有所不为嘛。


Q4

阁主易欢欢:是的,安全白帽有所为,有所不为,那就引出我想请教的下一个问题:

安信证券出具的一份区块链安全报告显示:2012-2016年我国网络安全行业的市场规模保持20%以上的增速,2016年我国网络安全行业市场规模已经达到495.8亿元,近五年的复合增长率为22.6%,而目前区块链市场仅仅数字货币资产就达到6000亿美元,价值互联网时代的安全之战似乎刚刚拉开帷幕。你认为区块链领域的安全攻防将成为下一个风口吗?纵观现在做区块链安全的人,大部分是原来做互联网安全的。相比互联网安全,区块链安全有什么不一样的地方吗?

嘉宾杨文玉:安全和防御其实是相互依赖的,因为如果没有攻击,安全的意义也会削弱。

目前处于行业初期,存在大量的安全问题,攻击的门槛并没有传统安全攻击那样高,并且攻击获益也很大。在这种环境下,安全会被高度、持续地重视和投入。

相比传统互联网安全,区块链安全更需要安全从业者站在更高的系统层面去思考问题、更快速地去学习新的技术理论。要做到先攻击者一步,这其实是对安全从业者的一个极大的挑战。

阁主易欢欢:区块链行业正是野蛮生长的初期阶段,安全问题的确愈发突出,但哪里有问题,哪里比较乱,哪里就有大机会,哪里就有相应需求。在安全领域,希望更多像杨总一样的白帽安全专家不畏挑战,终究是魔高一尺,道高一丈。

嘉宾杨文玉:过奖过奖。 如果安全不作为,会导致恶性发展。


Q5

阁主易欢欢:下面我想请教些关于交易所安全方面的问题。

9月29日,币安CEO赵长鹏发推特称,币安正在筹备去中心化交易平台,该平台将以BNB为平台gas,并且不会控制用户的资金,拟于今年末或明年初推出公测版本。你看好币安这类中心化交易平台做去中心化交易平台吗?你认为未来去中心化交易平台会是中心化交易平台的终结者吗?

嘉宾杨文玉:我认为中心化平台和去中心化平台之间并没有什么不可逾越的鸿沟。因为目前人们对交易所最大的需求就是安全感,如果有更多知名厂商加入,并且提供激励,我认为是可以产生一个正向的影响的。

就未来发展而言,区块链去中心化的结构,其实就应该让每笔资产都上链,理所当然的应该就是去中心化的平台。

但是,由于当前发展还处于初期,去中心化的优势还没有完全体现,资金溯源技术也有待深入研究,并且当前区块链的 tps 还有待提高等等。

在很长一段时间内,中心化平台和去中心化平台是会相互共存的,并不存在终结取缔的关系。最终是个什么共存关系,也要结合区块链整体的发展节奏。

阁主易欢欢:的确,安全感是对交易所最大的需求。据外媒报道,大多数去中心化交易所并非真的“去中心化”。以Bancor为例,该平台唯一的做市商就是它自己,这与“去中心化”的概念明显冲突。也正因为该平台单一的做市商模式,Bancor不得不解决其面临的“去中心化流动性网络”问题,以及潜在的黑客攻击风险。而此前为了应对黑客攻击,Bancor紧急冻结了用户资金,此举也招致非议,因为平台冻结用户资金的行为是集中式/集权式(不同于“去中心化”)平台的主要特征。你觉得去中心化交易平台面临着哪些障碍?

嘉宾杨文玉:两方面吧:1、交易tps,tps上不来,效率远远不及中心化交易所;2、出现安全问题之后的应对方案,比如攻击溯源问题~ 还是需要回到给用户提供安全感的核心,而不是因为去中心化,所以可以不去理会用户可能面临的安全问题。

阁主易欢欢:好的。


Q6

阁主易欢欢:我想请教下,在用户的数据隐私保护方面,现有的零知识证明距离真正的商业化产品化应用还有哪些难点需要克服和解决的?

嘉宾杨文玉:也是两个方面的问题:1、setup预备阶段的去中心化程度。2、证明的大小和时间。

当前的 setup 阶段都依赖于中心化或者非完全去中心化的组织来完成初始参数的设定,这其实不能做到理想状态的完全数据隐私,还是依赖于第三方机构。

另外证明的大小和时间,可以给大家一张图,摘自国内密码学大佬和矩阵元联合发表的0知识证明相关的论文。

可以看到,在 zcash 中使用到的证明时间接近2分钟,证明大小288B, 他们调优到了时间8.7秒,但是大小扩展到了3616B。


这对于目前区块大小有限的公链架构是无法接受的,会极大地限制每个块的交易笔数。目前就这两方面最主要的问题。

阁主易欢欢:明白了,中心化vs去中心化;大小vs时间;不同的取舍都将影响到最后真正商业化的落地成果,需要克服不少挑战。


Q7

阁主易欢欢:再请教一个比较有意思的问题,在传统市场被黑客黑了可以找法律,但是未来在数字货币市场可能会形成怎样的执法约束机制呢?

嘉宾杨文玉:依赖第三方的裁决这种其实是一种惯性思维,也依赖于去中心化现在还在发展初期。

其实也不用说到未来,就说已经发生的事情,其实就可以初见区块链世界执法约束的雏形。

近期 EOS 系统中出现的 dapp 安全问题,如 eosbet 几经受到攻击,eos 法庭也在积极讨论、响应,寻找合理的解决方案。

未来数字货币市场会将权利去中心化,所有的决定并非是根据某个权威机构来制定执行,而是需要在社区里面通过讨论、投票等一系列处理过程来最终判决,尊重每个参与者的意愿。


阁主易欢欢:公平、民主、自治的精神,才是区块链技术所努力追求的,感谢猎豹移动杨文玉总的精彩分享。我的访谈到此结束。


Q8

阁主朱江:非常高兴迎来首位女嘉宾接受访谈,据我了解,猎豹移动女性技术专家不止一个,那就请你介绍一下,猎豹区块链实验室的整个团队情况吧:团队背景构成是怎样的?目前团队规模?区块链安全涉及哪些领域?你们主要侧重哪个领域的研究与服务?当前取得了哪些进展?

嘉宾杨文玉:大家好,我是来自猎豹移动区块链中心的安全方向负责人杨文玉。

目前我们团队共有50多人,有安全研究员、大数据、人工智能和区块链研发人员。团队成员大多来源于金山安全团队。

随着区块链的发展,我们在去年开始区块链安全方向的研究和研发。

就区块链安全方向而言,我们目前针对项目方、交易所提供全面的安全生态解决方案,如:智能合约审计、dapp安全审计、钱包安全审计、公链安全审计、交易所业务安全审计。另外我们基于自己的大数据实时监控系统,实现了实时威胁情报感知,可以第一时间发现区块链安全问题。

目前,我们合作方近50家,包含媒体、公链项目方、交易所、高校实验室、安全合作伙伴等等。我们利用领先的技术和及时的情报分析能力,发现了多个合约、dapp的安全问题,并及时告知项目方和相关交易所,配合进行安全改进。我们也即将上线定制化的安全saas平台,将我们的安全能力集中输出到该平台上,交易所、项目方可以一键接入,从而获取自定义的安全服务以及及时的安全预警。

阁主朱江:4亿用户的基础体量让我们印象深刻,同为金山系的公司,为你们如此骄傲的战绩而骄傲。


Q9

阁主朱江:下一个问题,早在今年1月底,猎豹移动就推出了数字资产钱包,开始涉足区块链行业。猎豹移动CEO傅盛曾表示,猎豹有80%的用户来自海外,这些4亿左右的海外用户也急需区块链的各种服务。猎豹将从最擅长的安全切入区块链,帮助用户保护数字资产。目前猎豹是如何保护用户数字资产的呢?在这过程中有哪些比较棘手的问题?

嘉宾杨文玉:我们认为一个钱包是不是安全主要看它能否安全的管理和使用密钥。

我们常用到助记词。助记词是明文私钥的另一种表现形式,其目的是为了帮助用户记忆复杂的私钥,但是助记词也并不是那么容易记忆。

因此能否安全的管理助记词也是区别钱包是否安全的重要条件。

阁主朱江:所以你们是怎么做的呢?

嘉宾杨文玉:基于以上认知,我们的钱包产品在设计实现过程中全面考虑到了钱包可能在运行环境、网络传输、文件存储方式、应用自身、数据备份等方面的面临的风险问题。

应用了三层安全防御系统,分别从用户行为安全,设备安全和资产安全管理三个关键领域为用户数字资产提供最大程度的保护,防止用户数字资产丢失或被盗。

根据我们的调查,当前用户在使用数字钱包的时候,私钥的自行保管和记录的用户体验分数很低,私钥经常面临着遗忘、丢失的情况。这是整个体系中最容易忽略也最为棘手的问题。

忽略是因为,是用户自己导致密钥的丢失,平台完全可以推辞责任,所以很多厂商认为用户记录好助记词即可。

阁主朱江:是的,我们都是自己负责。

嘉宾杨文玉:同时,正是由于助记词是由用户自行保管的,平台其实仅能做极少的事情来防止其丢失。

我们推出了基于二维码的私钥备份功能,以取代复杂难以极易和保存的助记词和私人密钥,同时也保证安全性。

阁主朱江:经过多年的教育,我们用户本身也有责任保管好私钥,你的意思是换成了二维码吗,具体有什么特点,如何防止丢失呢?

嘉宾杨文玉:我们采用了一种新型的二维码生成方式,运用了复杂的加密、编码算法。


Q10

阁主朱江:根据腾讯安全发布的《2018上半年区块链安全报告》,当前区块链数字货币“热”背后面临三大网络安全威胁:勒索病毒、挖矿木马以及攻击交易所。其中挖矿病毒是2018年上半年传播最广的网络病毒。而挖矿热度与币种价格成正比。进入2018年以来,PC端挖矿木马以前所未有的速度增长,仅上半年爆出挖矿木马事件45起,比2017年整年爆出的挖矿木马事件都要多。而在2018年上半年,挖矿木马较之前产生了一系列的变化。全能型挖矿木马开始出现,上半年出现的“Arkei Stealer”木马,集窃密、远控、DDoS、挖矿、盗币于一体,可谓木马界“全能”;隐藏技术更强,与安全软件对抗愈加激烈。你认为该如何应对挖矿木马带来的安全威胁?

嘉宾杨文玉:勒索病毒全球性攻击使得人们开始关注基于加密货币的勒索病毒,相较而言,挖矿木马则更为隐秘,不容易被发现。

木马往往隐藏在后台,长时间持续地进行挖矿计算,从而使得攻击者获得大量的挖矿回报。

挖矿木马的传播、感染方式有两种:通过僵尸网络,通过网页。一旦感染,会使得计算机使用率飙升,出现卡顿、死机等现象。

从这里出发,针对C端用户,防御挖矿木马最有效的方式就是如果一旦出现了以上问题,及时使用安全软件进行扫描。特别是企业级用户,一定要重视系统的漏洞修复。

记得wannacry当时造成了大面积的影响,漏洞修复方案已经出来了,时隔一年还有企业没有及时修复,导致感染了同样攻击方法的类似勒索病毒。所以我们应该从平时的习惯做起,重视安全,及时扫描,定期清理。

阁主朱江:wannacry大名鼎鼎,相信很多人都印象深刻,保护好个人电脑从及时更新病毒库开始。

嘉宾杨文玉:我想朱总负责的云业务,应该会有大量的这种防御检测机制吧。

阁主朱江:有的,我们也有专业的安全团队,负责企业客户的安全,但是与猎豹的区别是,我们关注的是主机安全。

这些主机部署在云平台之上,我们从主机创建之后就会对其进行相关的多项安全检查,以确保系统安全,如果出现安全漏洞,我们也会及时通知和建议客户进行修正。

嘉宾杨文玉:对,安全重要的一点就是及时通知,保证及时性。


Q11

阁主朱江:有数据显示,近三年来,交易所被盗的损失约8. 64 亿美元,而 2018 年上半年,由于安全问题引发的损失高达 5 亿美元,超过了前两年的总和。你认为交易所该怎样有效保障自身安全?猎豹在维护交易所安全方面有哪些成果?

嘉宾杨文玉:这个问题问到我们核心业务了。猎豹区块链安全中心致力于向交易所提供全面的安全解决方案。

交易所作为虚拟货币市场中的流量聚焦点,应该更加重视安全建设。从交易所自身的角度出发,应该在产品的设计流程中考虑到安全问题,如严格的权限控制,网络安全设备的部署等等。

从第三方安全服务厂商的角度而言,要保证交易所的安全,我们建议交易所定期采用第三方的安全测试服务,从攻击者的角度出发审视自己平台面临的安全问题。回到我们的核心业务,我们即将开放一套面对交易所的,可定制化的安全服务平台。

阁主朱江:能不能具体介绍一下有哪些特点?

嘉宾杨文玉:基于该平台交易所可以实时监控自己上所项目的安全状态。比如他想知道的币价实时的波动,有没有大起大落的项目,我们根据自己搭建的公链节点,监控实时的交易,通过威胁行为建模,可以实时判断当前交易是否可能是攻击交易。

另外,对于pow项目经常面对的,交易所也很头疼的51%攻击,我们即将推出算力监控平台,做到攻击预警。

结合我们对社群的了解,自然语言处理技术的积累,我们可以做到针对项目的社群舆情分析,用户对该项目的情感态度分析,当前突发的安全问题预警。

阁主朱江:公链节点是指检测对象的公链节点是吧?

嘉宾杨文玉:对。


Q12

阁主朱江:你曾说过,有效保障海量智能合约的安全最好的方法是降低人工审计复杂度,采用智能合约自动化审计,不过现在它处于一个很不成熟的阶段。那么智能合约自动化审计存在哪些优势和劣势?针对这些问题你有想到哪些比较有效的解决措施了吗?


嘉宾杨文玉:自动化检测的优势显而易见,就是快且质量一致。

人工审计耗时长,且不同审计员的评判标准可能有稍微的差别,有时会导致审计结果的偏差。

但是自动化检测技术当前还存在误报高、漏报高、系统不稳定等缺点,要完全取代人工审计还需要很长一段时间的发展。漏报、误报的解决方法最直观的就是增加反馈。

测试样本多,分析应对的case越多,准确率就会有所提升,这很像人工智能里面对于算法的调优,不断地增加学习样本,来提供机器的精度。

所以,我们从当前我们已经检测的近100万个智能合约项目中,挑选出来一些作为样本,进行代码相似性聚合,不断地去训练我们自动化检测的引擎。同时,我们还即将与以太坊著名厂商consensys进行合作,集合反馈,一起优化。

阁主朱江:哦?聚合是个专有名词,能详细说说吗?

嘉宾杨文玉:就是在智能合约项目中,往往它的代码相似程度是很高的。

我们首先对代码结构、方法进行分析,然后用机器学习的方法将代码分类,这样可以避免我们的测试样本落在同一类型中。同一类的合约,代码几乎一致,他们其实应该看成一个测试样本。聚合来提炼有效测试样本。

阁主朱江:了解,目前市面上有几个著名的形式化验证的项目,比如Certik,请问与你们的智能合约检测方法有何不同?

嘉宾杨文玉:我们目前采用的是符号执行结合形式化验证的方法来自动化检测代码的漏洞。形式化验证方法将代码转化成一些中间形式,并最终形成逻辑表达式,放在验证器中进行验证。

特别是在一些未开源的代码中,我们通过对opcode的分析,可以看到大量的循环,这导致形式化验证会出现路径爆炸等一些棘手的问题,引起检测失败。

所以我们加入了符号执行,首先将代码解耦,形成一个个小的模块再去检验代码中的漏洞问题。

另外,我们最大的不同应该是检测结果的表达方面。

阁主朱江:形式化验证(Formal Verification)在安全领域是新的技术么,之前用在哪些地方?为什么最近突然火了起来?在区块链项目的智能合约安全性方面的作用有多大?

嘉宾杨文玉:不是新的技术,形式化验证很早就被提出来了。之前一直用在航空航天、金融软件等对安全性要求极高的环境中进行严格的逻辑校验。

因为如果区块链中发生了安全问题,可能直接涉及到大量的资金安全,所以安全要求比传统的系统、软件高很多,并且目前智能合约的逻辑还比较简单,不复杂,所以形式化验证技术便被引入进来。

形式化验证技术可以帮助审计员全面地发现问题。人工审计确实可能存在一些偏差,相互结合可以减少一部分的漏报。另外,当前智能合约每天都在按千增加,人工没法一个个地审计,所以形式化验证自动技术还是能够帮助我们大方面地了解当前合约的安全整体状态。

阁主朱江:了解,介绍的非常详细。尽管区块链在最底层原理方面保障了其可靠性,但目前区块链安全机制并不十分健全。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击,每年因区块链安全漏洞造成的损失高达数十亿美元。从分析结果来看,攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。我们看到猎豹在各个方面都有自己的安全方案。

嘉宾杨文玉:对,努力为安全发展做点贡献,也在不断地探索,尝试。

阁主朱江:谢谢杨文玉的分享,我的访谈到此结束。

阁主易欢欢:感谢杨文玉总精彩的分享,感谢朱江阁主精彩的访谈,获益匪浅!

嘉宾杨文玉:谢谢。

火讯财经主编赵一丹:谢谢两位阁主和今晚嘉宾杨文玉为我们带来的“安全之夜”。

再次感谢大家收看本场火讯琅琊榜,感谢网易科技、凤凰新闻、和讯、链得得、火星财经、核财经、金色财经、Blockchain No.1、bianews、链路财经、陀螺财经、区块网、金牛财经、维特财经、币头条、一本区块链、烯财经、杭链财经、区块链财经圈、零度财经、巨链财经、牛吧发、牛金财经、韭菜之家的特约支持!

下面预告下一场访谈时间明晚8点(10月18日),嘉宾是华为区块链专家张小军


阁主:

朱江,金山云区块链业务负责人,计算机专业硕士研究生学历,负责金山云区块链技术与游戏行业融合的前瞻性应用研究和技术布道,而后继续开展与金融、医疗、文档存证和版权等相关领域的研究工作。2007年至2017年期间,任IBM全球云计算首席顾问并拥有Master Certified Architect by Open Group、DRII CBCP(Certified Business Continuity Plan)国际业务连续性管理专家、ITIL V3服务管理专家高级认证等多项国际认证。

朱江具有十余年面向世界五百强企业的IT服务和管理经验,从2013年起开始关注比特币等虚拟货币的技术发展,2016年初作为IBM最早一批区块链技术布道师参与到包括银行、保险、制造业、食品安全等多个领域的应用创新工作。今年3月加入金山云,推出面向游戏行业的金山云KBaaS区块链平台,旨在打消游戏厂商与区块链融合的技术壁垒,并主持发起区块链游戏全生态“Project-X”计划,汇聚区块链游戏数字发行平台、区块链游戏引擎、区块链安全、私链联盟链公司和知名公链等众多合作伙伴参与,旨在作为区块链游戏行业的催化剂,快速实现行业验证技术、技术反哺行业的区块链“千万级”应用落地。

易欢欢,易股天下董事长。曾任申万宏源证券董事总经理,证券研究所执行所长。现任易股天下董事长,旗下有易选股,易链天下,易智科技等服务;上市公司亚联发展执行董事。担任一行三会及共青团中央互联网专家委员。上市公司汉威集团、久其软件董事,北京大学金融校友会副会长。曾任职Oracle、Google、Intel。中国资本市场互联网金融、大数据、产业互联网、云计算四次大潮的引领者。业界唯一:连续多年连续获得证券业最高荣誉新财富、水晶球最佳分析师第一名。被腾讯新浪多次评为金融科技年度人物。


嘉宾:

杨文玉,猎豹区块链安全中心首席科学家、白帽安全专家,多年安全研发经验,专注于区块链安全领域,对以太坊节点、智能合约自动化检测技术、去中心化交易平台有深入研究。



本文内容来源火讯琅琊榜总群,如需转载,务必注明出处。