從2019年政府將區塊鏈定義為核心技術自主創新重要突破口,到2020年發改委將區塊鏈納入新基建範疇,再到“十四五”規劃中把區塊鏈劃為數字經濟重點產業,一系列政策都為區塊鏈市場發展提供了積極的引導訊號,是區塊鏈技術從專案試點走向商業推廣階段的強心劑。
但區塊鏈技術是一把雙刃劍,潛藏了多方面的風險,比如區塊鏈系統自身的安全問題越來越突出,資料洩漏、資金損失和系統執行故障等安全事件層出不窮。不法分子利用區塊鏈匿名、無國界的特點開展洗錢、犯罪資金轉移、繞開外匯管制等非法活動,對經濟和社會造成惡劣影響,給監管帶來巨大挑戰。而安全是整個區塊鏈行業的基石,是區塊鏈行業的剛需。我們有幸邀請到成都鏈安科技有限公司(以下簡稱“成都鏈安”)創始人&CEO楊霞,為我們分享成都鏈安守護區塊鏈生態安全的企業故事。
成都鏈安科技有限公司創始人&CEO楊霞
資訊化觀察網:我們知道成都鏈安在區塊鏈安全行業有著很高的建樹,請您簡單介紹一下成都鏈安?
楊霞:好的,成都鏈安是一家致力於區塊鏈安全生態建設的全球領先區塊鏈安全公司,也是最早將形式化驗證技術應用到區塊鏈安全的公司,總部位於四川成都。公司由電子科技大學教授聯合創立,團隊成員均來自從事資訊保安行業多年的國內外知名院校教授、博士後、博士以及知名企業精英,現有團隊成員近200人,技術人員佔比超過85%。已在北京、深圳、杭州、海南等多地設有分公司和辦事處。
目前我們已與公安、工信部、中國通訊院、網信辦等執法監管機構,以及包括螞蟻鏈、騰訊區塊鏈、微眾銀行、萬向區塊鏈、布比等國內外頭部區塊鏈企業建立了深度合作;為全球2000多份智慧合約、100多個區塊鏈平臺和落地應用系統提供了安全審計與防禦部署服務;為上千家執法單位提供了虛擬貨幣犯罪案件前、中、後期全鏈條打擊技術支援服務,成功協助破獲案件總涉案金額數百億。
資訊化觀察網:在您看來,區塊鏈安全風險主要包括哪些呢?
楊霞:這個風險主要包含兩個方面,一個是系統自身的危險,比如程式碼安全風險、運營過程中的安全風險等等。在區塊鏈領域,同樣能夠受到傳統的DDoS攻擊、網路釣魚、域名攻擊等,而鏈平臺安全則包括共識安全、賬戶安全、簽名安全、P2P安全等。智慧合約作為以區塊鏈系統為平臺的可執行指令碼,更加容易遭受到攻擊。
另外一個就是金融安全風險,不法分子利用區塊鏈匿名、無國界的特點開展洗錢、資金轉移、繞開外匯管制等非法活動,對經濟和社會造成嚴重影響,給監管帶來巨大挑戰。
資訊化觀察網:一般來說區塊鏈安全研究方向主要包括哪些方面呢?
楊霞:業內對於區塊鏈安全方面的研究集中於三個方面,一是區塊鏈安全標準研究,二是區塊鏈全生命週期安全研究,三是區塊鏈監管。
區塊鏈安全標準研究,包括系統級區塊鏈安全體系,是從資料安全、共識安全、隱私保護、智慧合約安全和內容安全等方面推動區塊鏈安全標準化,為區塊鏈開發、運營、管理和使用等提供指導。
區塊鏈的整個生命週期主要分為研發和執行兩個階段,設計開發階段包括提供安全輔助工具,進行漏洞檢測和脆弱性評估。對區塊鏈平臺、智慧合約等進行漏洞掃描,發現並及時修復漏洞,確保交付安全的區塊鏈系統。系統執行階段則按照縱深防護的理念,依靠異常檢測機制,及時發現異常行為。典型的檢測機制包括運營監控、安全態勢感知和線上合約安全掃描等。
區塊鏈監管方面,我們主要研究藉助區塊鏈技術進行的新型涉網犯罪打擊,從而協助監管部門共同淨化網路環境、淨化社會環境。
資訊化觀察網:作為全球最早一批也是中國最頭部的專門從事區塊鏈安全的公司,成都鏈安在鏈上安全方面是如何操作的?
楊霞:成都鏈安自成立起就一直致力於區塊鏈安全賽道,自主研發的“鏈必安”一站式區塊鏈安全服務平臺,涵蓋“六大安全產品”、“六大安全服務”,可為執法監管機構、金融機構、區塊鏈企業等提供安全審計、安全防護、安全檢測、安全監管、安全預警、安全諮詢等全方位安全服務,提供區塊鏈系統“研發-執行-監管”全生命週期的安全保障解決方案。
安全產品包括:虛擬貨幣案件智慧研判平臺、智慧合約形式化驗證平臺、區塊鏈檢測平臺、區塊鏈安全態勢感知平臺、區塊鏈安全輿情平臺、智慧合約安全開發IDE。
安全服務包括:智慧合約安全審計服務、鏈平臺安全檢測服務、虛擬資產追蹤溯源和調查取證服務、安全輿情服務、安全諮詢服務、安全應急響應服務。
資訊化觀察網:眾所周知,安全問題已成為制約區塊鏈技術發展的重要因素,而聯盟鏈的安全威脅同樣不容忽視,聯盟鏈上的智慧合約安全檢測方法有哪些呢?
楊霞:在開發階段和上線前,確保合約的安全性和邏輯正確性是很重要的,因此需要採用相應安全檢測來滿足安全性需求。
針對智慧合約的程式碼安全性,可以使用自動化/半自動化安全檢測來掃描合約程式碼,尋找程式碼中的安全缺陷。目前常見的檢測方法可分為靜態掃描、動態掃描以及形式化驗證。
形式化驗證技術是除了靜態和動態掃描以外,另一種智慧合約正確性與否的驗證方法。作為一種數學方法,形式化驗證可以有效確定一個程式的程式碼是否正確。此處“正確”的意思是,程式的執行結果符合預期。值得一提的是,“形式化驗證技術”也是成都鏈安的核心技術之一。
資訊化觀察網:“形式化驗證技術”作為成都鏈安的核心技術,可以簡單介紹一下嗎?除了形式化驗證技術,成都鏈安還有哪些核心技術?
楊霞:形式化驗證作為程式碼安全最高嚴苛的方法之一,其效果已經在航空航天,軍事等領域得到了驗證。在當前區塊鏈以及智慧合約的安全業務裡,形式化驗證正在凸顯著巨大的潛力。這種基於「數學推理」的驗證方法,一方面能夠精確證明程式碼是否存在安全漏洞,同時能有效解決傳統技術如測試等對人經驗的嚴重依賴和無法窮舉的問題。
我們是全球最早將此技術應用於智慧合約安全審計的區塊鏈安全公司,同時,成都鏈安團隊採用形式化驗證,模糊測試等多重技術作為核心技術,研發了面向智慧合約的高度自動化的安全檢測工具:智慧合約形式化驗證平臺,其工具的自動化檢測精度高達97%,可以“一鍵式”自動檢測智慧合約的幾百種安全問題、自動發現智慧合約中存在的已知、未知漏洞及業務邏輯問題,並給出專業的修復建議。在精確定位風險程式碼位置的同時給出修改建議,幫助開發者提高智慧合約的安全能力。
同時,我們依託網路安全、人工智慧、區塊鏈大資料等多種技術打造“自主創新、自主可控”的全鏈條、一體化解決方案,服務於整個區塊鏈生態。我們既是全球區塊鏈安全生態的貢獻者,也是全球區塊鏈生態的引領者。
資訊化觀察網:上面我們提到聯盟鏈的安全威脅同樣不容忽視,聯盟鏈面臨哪些安全問題?
楊霞:聯盟鏈安全問題時刻都存在,面臨的安全挑戰十分嚴峻。目前聯盟鏈的發展還處於初期階段,聯盟鏈生態安全體系還並不夠強大,大量風險都還是未知數,若被攻擊者盯上,結果將十分嚴重。
聯盟鏈安全是行業發展的重中之重,引起了行業的極大重視。2021年9月,由公安部第一研究所、中國科學院資訊工程研究所等單位聯合釋出了團隊標準《聯盟區塊鏈安全技術要求》,該標準主要闡述了聯盟區塊鏈安全體系結構,主要也提出了聯盟區塊鏈系統安全、聯盟區塊鏈安全體系建設、聯盟區塊鏈監管審計安全以及聯盟區塊鏈執行環境安全評估規則。其中聯盟區塊鏈監管審計安全主要包括:自身審計、第三方審計以及第三方監管。
所以,在這樣的背景下,聯盟鏈上線前的安全審計工作就顯得尤為重要了,需要將所有未知的安全風險扼殺在搖籃之中,避免因為圖一時的便利導致無法承受的結果。
資訊化觀察網:在行業領域內,成都鏈安目前獲得了哪些榮譽和獎項呢?未來還有哪些願景呢?
楊霞:公司已獲前海母基金、聯想創投、復星高科、成創投、任子行等知名機構的多輪投資。是工信部“網路安全技術應用試點示範專案”單位、CNVD國家區塊鏈安全漏洞平臺技術支援單位、中國信通院區塊鏈安全檢測的主要技術合作單位、中央網信辦“國家區塊鏈創新應用試點”參與單位、國家網際網路應急中心“區塊鏈安全技術檢測中心”的主要技術合作單位、四川省區塊鏈安全工程技術研究中心依託單位、四川省區塊鏈基礎設施—蜀信鏈安全檢測和准入測試支撐單位。並作為中國信通院可信區塊鏈聯盟理事單位和安全組副組長、全國資訊保安標準化技術委員會成員單位、中國物流與採購聯合會區塊鏈應用分會常務理事單位、北京金融科技產業聯盟會員單位、四川省區塊鏈協會理事單位、四川省網際網路行業聯合會副會長單位等多個區塊鏈相關行業協會成員。參與了多項國家級區塊鏈安全技術標準和白皮書的撰寫,承擔了多項國家級、省部級專案,依託技術優勢現已申請軟體發明專利和軟體著作權30多項。
基於對公司實力和行業認可,公司榮獲成都市新經濟“雙百工程”重點培育企業、全國硬科技企業之星TOP100榜單、中國產業區塊鏈優秀案例(2021年度)、2020中國區塊鏈企業百強企業、2020金熊貓全球區塊鏈創新創業大賽一等獎、2020四川省區塊鏈優秀企業、2020中國區塊鏈技術創新典型企業、2020首屆人民網內容科技創新創業大賽全國總決賽“創業人氣獎”、中國區塊鏈安全領軍企業等諸多榮譽。
但是,路漫漫其修遠兮,吾將上下而求索,我們將繼續努力,以“讓區塊鏈生態更安全”為使命,以“成為全球第一的區塊鏈安全公司”為願景,不斷打造區塊鏈安全監管技術和安全保障體系,為區塊鏈生態的安全發展保駕護航。