更多精彩 >

成都链安科技CEO杨霞:80%的智能合约都存在安全漏洞

2018-08-22 23:18:13   来源:投资家网  作者:李澍 

摘要:基于区块链加密数字货币引发的安全问题,来源于区块链自身机制安全、生态安全和使用者安全三个方面。在区块链自身机制安全方面,智能合约的安全性至关重要。

腾讯安全日前发布的报告显示,与加密数字货币有关的黑客攻击事件,从 2013年到2018年上半年增加了约五倍,全年预计增加10倍左右。其中,仅今年上半年,黑客对加密数字货币的攻击,就已经造成了20亿美元的直接损失。


基于区块链加密数字货币引发的安全问题,来源于区块链自身机制安全、生态安全和使用者安全三个方面。在区块链自身机制安全方面,智能合约的安全性至关重要。


据链安方面的数据显示,2011年至2018年,由智能合约安全事件导致的经济损失达12.4亿美元。目前,由智能合约安全事件导致的经济损失已经超越交易所,位列第一。


智能合约作为执行合约条款的计算机交易协议,对所有用户都开放,导致了内部存在的安全漏洞也随之公开暴露在黑客面前。


而且,智能合约一旦上传即公开且不可更改,因此现在的区块链项目,对于安全性的需求更加迫切。因此,在智能合约正式开始运行之前进行安全审计就显得尤为重要。


链安科技创始人兼CEO杨霞表示,从目前研究来看,80%的智能合约都存在安全漏洞。在合约开发前、开发过程中和编写完成后,整个项目周期都要保证智能合约的安全性。


的安全性.bmp


在合约开发前,开发者应进行智能合约相关漏洞风险知识学习,了解最新的智能合约安全漏洞,避免开发的合约中存在安全隐患。


在开发过程中,Remix-IDE、truffle等编译工具会对合约中不符合最新规范的代码提出告警,开发者需要对告警引起重视,强烈建议开发者更改自己的代码,以消除编译过程中的告警。


在合约编写完成后,需要对合约功能的完整性和安全性进行测试,确保合约逻辑实现与设计相符,确保无安全风险;最后,可以寻找专业的智能合约审计团队进行合约审计,最大程度地减少安全隐患。


01 智能合约形式化验证应用状况


2016年9月1日,万向区块链实验室肖风在为《区块链革命》作序时曾写道:“The Dao”事件提醒我们,应该有一个能对智能合约进行事先检验的科学方法,但这方面最先进的技术如形式化验证,目前还处于理论研究阶段。”可是如今形式化验证已经被正式用于智能合约的检验中了,这就是技术的进步。


形式化验证指的是用数学中的形式化方法对算法的性质进行证明或证伪。


据了解,一般来讲,方法有两种:


一种是模型检测,即把系统所有可能的状态列出来并一一进行检验,此种方法是全自动化的,但是只适合小型系统;


另一种是定理证明,即首先把系统代码标记成抽象数学模型,然后对定理进行证明,此种方法适合大型系统,但是需要首先人工将系统的运作方法转换成验证系统可以理解的语言。


以理解的.bmp


目前区块链产业中与形式化验证相关的产品可以分为三类:  VaaS平台,公链和语言。


式化验证.bmp


目前,主要从事智能合约形式化认证的区块链安全公司主要有7家,分别是成都链安科技、Imandra、Certik、The Matrix、Securify.ch、Runtime Verification和Tezos。其中,从事VaaS形式化验证平台研发的有四家,分别是:成都链安科技、Certik、Securify.ch和Runtime Verification。


其中,链安的特色在于:提供多个区块链平台验证工具,而不是单一地为以太坊或者EOS提供智能合约形式化验证。


杨霞是2016年才开始接触区块链的,正赶上了著名的以太坊The Dao事件,在此之前,杨霞老师一直专注于为航空航天、军事领域提供形式化验证服务。


“其实那个时候真的没有太在意。不过我有一个朋友在搞区块链,他跟我说你搞形式化验证,能不能去验证一下智能合约的安全,比如针对Dao系统的安全事件。”杨霞回忆道,“我觉得挺有趣的就去试了一下。那时候我们还没有自动化的工具,只能靠人工进行代码的形式化描述,然后去证明。最后发现,形式化验证方法应用于智能合约安全审计效果不错。”


发现.bmp


也许当时选择将形式化验证应用于区块链智能合约的审计是一个偶然的机遇,但是,通过杨霞和她的团队经过一年半左右的潜心研究研发出了自动化的智能合约安全验证平台VaaS。


目前,链安的VaaS平台支持EOS和以太坊的智能合约的安全审计,VaaS也是全球第一个支持EOS的智能合约验证平台。


02 形式化方法像一套完备的法律


被问到如何向技术小白解释形式化认证,杨霞表示“形式化方法就像一套完备的法律,规定了每个角色能做什么和不能做什么,并对角色之间的关系进行界定。类似于社会系统架构对不同角色进行分类,在承认个体天性的同时,使系统的复杂程度降低了多个维度。”


形式化验证通过数学建模的方式,对合约进行验证,发现合约的未知的潜在的风险。


因为是用数学证明的方式去发现问题,所以首先需要一个函数的详细功能规范,形式化验证就依据这个功能规范去证明实际的代码是不是和需求一致,如果是函数的规范足够完整并且能够清楚无歧义的表达,那么是可以发现针对这个被验证的函数之前没有发现的问题。


形式化的抽象可以从复杂的事物中抽离出本质。举个简单的例子,一个构造复杂的中式凉亭,经过形式化的方法抽象过后,可能只是一个分层的三角形,这就相当于一个精简的解读。


相当于.bmp


在验证安全之后,通过使用可执行模型,将较高级别的抽象模型转换为较低级别的代码。形式化方法使智能合约的生成和执行有了规范性约束,保证了合约的可信性,使智能合约的生产过程和执行效果得到了保障。


据杨霞表示,目前,理论上讲,形式化认证可以找出所有已知的和未知的智能合约安全漏洞。而实际操作中,形式化工具可以查出80%的常规漏洞,对于部分结合业务逻辑的漏洞,还需要人工复核。


03 智能合约小白级漏洞居多


区块链行业的安全漏洞是不断涌现的,尤其是涉及到“钱”的安全漏洞,可以使人们的数字资产瞬时归零。目前,随着漏洞不断被挖出,很多数字资产投资者也陷入到了恐慌之中。


杨霞老师表示,就智能合约来讲,80%都存在安全问题。


就目前看来,智能合约中还是小白级的错误居多,包括一些造成巨额财产损失的漏洞。


举个例子,2018年4 月 22 日 13 时左右BEC智能合约被爆出的整数溢出漏洞,黑客能无限印币,在一次交易中,也就那么几秒钟的事情,黑客就“无中生有”地给两个账户转了天文数字般的BEC币,而原账户一分BEC币都没损失。一行代码就造成了60多亿人民币的损失。


整数溢出就像是水轮车。往里面加水,加满之后,继续加水,水轮车将会失衡并转动,此时水将会被全部倒出来,并重新盛水。当变量累加到超过自身容量范围时,将会溢出,归零。而黑客也是利用了这一点,把运算前的数值作为转账金额,把运算后溢出的0作为检测条件,从而实现绕过。


这是一个很简单的逻辑,但是后果却很严重。


同样,之前爆出来的以太坊平台的漏洞,短地址攻击,以及拒绝服务攻击等等的漏洞的逻辑也都很简单,但是这些漏洞都造成了人们数字资产的巨大损失。


其实,这些漏洞在智能合约正式开始运行之前,都是可以通过形式化验证的方式找出来的,并加以修复的。

 

链安采用数学的证明方式将代码形式化描述为公式,并对其进行逻辑漏洞和安全漏洞证明,基于此原理,实现了自动化的验证工具,能够方便、快速地验证出代码的功能正确性和安全属性。


杨霞老师表示,目前,成都链安科技的优势集中体现在三个方面:


第一,我们专注只做智能合约的安全。


第二,我们在技术上有优势,我们采用了严格的形式化验证的方法,为智能合约提供更加完备的安全审计。


第三,我们率先研发了自动化的智能合约安全验证工具VaaS,在智能合约的审计过程中,我们通过自动化工具VaaS和人工结合的方法比全人工的安全审计方式更准确、更高效。


对于未来区块链安全的走向,杨霞老师表示,安全是一个持续完善的过程,没有绝对的安全,越是复杂的软件系统,出现安全事件的概率越高。


为了避免安全事件的发生,最好的办法就是提高软件开发人员的安全意识,并对智能合约在部署之前进行全面的安全审计。


我们要理智地看待区块链技术的漏洞,区块链作为一个新兴技术,出现安全事件是可以理解的,不能因噎废食。


本文为投资家网原创文章,转载或内容合作请联系投资家网,违规转载,法律必究。

猜你喜欢
原创

完美?不存在的!智能合约既不“智能”也不“安全”

智能合约

如今,智能合约如云计算、人工智能一样,在人群中掀起一波热潮。依附着“区块链”和“以太坊”这样“高科技...

2018-08-03

群蜂社

当我们说起智能合约,我们说的应该是什么?

区块链Token智能合约

在某种意义上,智能合约确实是合约。

2018-07-17

首席发言者

在做环保这件事情上,为何微博选择长期投入

微博新浪环保

9月11日,微博也发布了与联合国环境署合作的环保公益项目的进展。

2018-09-13

首席发言者

不止是开放对封闭,百度与微信做小程序的区别在于基因不同

微信百度小程序

继微信小程序崛起之后,小程序的市场竞争越发激烈,阿里与百度相继入场,9月12日支付宝正式成立小程序事...

2018-09-13

原创

投资家网快讯|微脉完成3000万美金B轮融资,源码资本继续跟投

经纬中国源码资本千骥资本微脉

投资家网9月13日消息,源码成员企业“微脉”宣布完成B轮3000万美金融资。本次融资由千骥资本领投,...

2018-09-13

投资家网快讯|慧医大白完成熊猫资本近千万元人民币天使轮融资

熊猫资本AI医疗慧医大白

投资家网9月13日消息,互联网AI医疗服务公司慧医大白宣布于近期完成近千万元人民币的天使轮融资,由熊...

2018-09-13

让“V神”膜拜的PoS创始人Sunny King带来新算法SPoS

PoSSunny KingSPoS

因创建了第一种基于权益证明(PoS)机制的加密货币而闻名的匿名开发者Sunny King正式回归了,...

2018-09-13

原创

2018北京文创大赛企业与资本对接洽谈会举办

蒋东文资本投资者东方嘉诚

9月10日,由京津冀文化产业协同发展中心、投资家网、东方嘉诚联合主办的2018北京文创大赛企业与资本...

2018-09-13

原创

深度|合法“数字美元”成定局,一场新的货币战争正在酝酿!

货币数字美元

9月10日,纽约金融服务部(NYDFS)在官网发布公告,数字货币交易所Gemini Trust发行的...

2018-09-12

原创

6天,这家公司股价腰斩!但马云“不背锅”

中央商场祝义财

事实上,与中央商场跌停真正有关系的企业家,不是马云,而是公司第一大股东、前江苏首富祝义财。

2018-09-12

曾响铃

沿袭生态特质,BAT三家聚首短视频能唱一出什么好戏?

腾讯阿里巴巴百度短视频

虽说BAT被称作中国互联网的三巨头,但三家重叠的业务并不太多。

2018-09-12

原创

投资家网快讯|ONES完成A+轮600万美元融资,华创资本领投

华创资本晨兴创投ONES

投资家网9月12日消息,企业研发管理解决方案公司ONES宣布已经完成A+轮600万美元融资。本轮融资...

2018-09-12

投资家网(www.investorscn.com)实时提供专业的创业、投资资讯和深度分析。长按右侧二维码添加"投资哥"可与小编深入交流,并可加入微信群参与官方活动,赶快行动吧。

李想20年2万字创业真经:我在高三的时候,一个月有近2万元收入

除了国内电影《流浪地球》票房火爆,海外贝索斯麻烦缠身,着实没有什么特别有亮点的新闻出来,但在开工前一...

孤狼王兴:最节俭的富二代,一件衬衫穿13年,9年建造千亿帝国

一件衬衫穿13年,每次出差都住经济型酒店,这似乎有些不太符合他“富二代”的身份。

钛信资本——百里挑一的价值投资者

要成为赢家就要有选择性地下注。

17岁成为高考状元,26岁拿下斯坦福博士,他能成为下一个乔布斯吗?

2006年,同样有一个23岁的天才,躺在斯坦福大学松软的草坪上,天马星空地想到了柔性显示屏的课题。

明星张庭微商生意经:业务遍布全球,年缴税21亿,旗下代理月赚13万

最近,明星张庭和老公林瑞阳化身微商大佬,将微商生意做得风生水起,登上了上海青浦区2018年纳税第一大...

GIEC2019春季峰会将于4月初在京举办

GIEC2019春季峰会将于4月初在京举办

第六届全球互联网经济大会•GIEC2019春季峰会将于2019年4月2日-3日在北京国际会议中心召开...

聚力向未来 “美好生活计划”全面启动

聚力向未来 “美好生活计划”全面启动

1月30日,“美好生活计划”启动仪式在北京新浪总部大厦成功举行。

中国银河证券与宜信财富签署战略合作协议

中国银河证券与宜信财富签署战略合作协议

中国银河证券在本次发布会上宣布与宜信财富签署战略合作协议,双方表示将重点在财富管理领域展开合作。宜信...

正商参阅荣获新盟New Media 2018年度财经新媒体奖

正商参阅荣获新盟New Media 2018年度财经新媒体奖

1月14日,由NewMedia新媒体联盟(以下简称“新盟”)举办的“2019新盟盛典暨中国新媒体领袖...

正商参阅、投资家荣获胡润新金融优秀财经自媒体50强

正商参阅、投资家荣获胡润新金融优秀财经自媒体50强

2019年1月9日,由胡润百富、知名新金融第三方服务机构小铜人联合主办的、主题为“共赴时艰·共塑未来...