「干得好,小伙子!」杨霞拍着研发组同学的肩膀,高兴地说道。今年11月6日,她创办的Beosin完成了智能合约形式化验证平台VaaS2.0的研发,把行业内智能合约审计的准确度提高到95%以上。
统计数据显示,2011年~2018年间,智能合约安全事件损失金额达12.4亿美元,占该期间区块链安全事件总损失金额的1/3。2016年下半年,杨霞便从智能合约安全入手,采用形式化验证方法解决区块链安全问题。此前,形式化验证多用于安全系数要求较高的航空、航天等关键领域。
历时近2年,杨霞带领团队发布VaaS平台。用户只需把公链的合约代码导入VaaS自动验证平台,点击「开始审计」按钮,平台便会审查智能合约的漏洞,审查结果可精确到代码所在的具体某行,提醒用户存在安全隐患。
目前,Beosin已与Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原链等国内40多家区块链行业公司建立长期战略合作。截至11月末,公司已完成超500份智能合约的审计工作,实现收支平衡。
区块链安全机构Chaos Labs宣布开源dYdX交易CLI:4月20日消息,区块链安全机构 Chaos Labs 宣布开源 dYdX 交易 CLI(命令行接口)。该接口允许用户通过 dYdX API 访问协议的全部功能。用户可实现交易、仓位控制、风险管理等操作。[2022/4/20 14:35:33]
今年11月初,该公司获得了界石资本和盘古创富的数百万美元天使轮投资,资金主要用于全生态区块链安全产品的开发和全球化市场布局。
注:杨霞承诺文中数据无误,为内容真实性负责。铅笔道作客观真实记录,已备份速记录音。
18年的「安全啄木鸟」
安全,一直是杨霞职业生涯的关键词。前18年是面向安全关键嵌入式系统,后3年则是区块链安全。
读书期间,杨霞是名副其实的学霸,一路被保送读到博士。毕业后,她一边在大学任教,一边在系统安全领域从事研究和创业。这期间,杨霞从事形式化验证、内核安全、移动设备安全、TEE等安全技术研究长达18年,担任CC国际安全标准成员、CCF区块链专委会委员、CCF形式化验证专委会委员,发表学术论文30多篇,申请专利20多项。同时,她还围绕安全领域进行了3次创业。
直播 | 链安科技CEO杨霞:为蚂蚁开放联盟链提供全生命周期的整体安全解决方案:金色财经报道,4月16日下午14:00,蚂蚁区块链“开放联盟链”面向中小企业和开发者发布,助推全民入链。链安科技CEO杨霞会上指出,蚂蚁区块链是目前区块链专利技术最多的企业,随着区块链的迅速发展,区块链安全问题导致的损失逐渐上升,随着区块链在各产业的落地,安全的问题愈发重要。蚂蚁区块链十分重视安全问题,链安科技与蚂蚁区块链共同探讨区块链技术。作为蚂蚁区块链的安全合作伙伴,我们将为蚂蚁区块链开放联盟链平台提供全生命周期的整体安全解决方案。
?[2020/4/16]
她所做的形式化验证,就是用数学和逻辑学的方法对代码的安全属性进行证明或证伪,通过判断代码问题,从而证明这个代码的实现是否能满足用户需求。这种方法相较传统审计代码方法具有更高效、更安全的特点,多用于对安全系数要求较高的航空、航天等关键领域。
杨霞称自己是「安全啄木鸟」。在她看来,做安全研究就像是啄木鸟,要不断地找出bug解决它,保障系统安全,「这个过程就像是啄木鸟要不断啄虫子,才能让树木健康一样。」
声音 | 360安全专家彭峙酿:区块链安全十分迫切:据搜狐网消息,360区块链安全高级专家彭峙酿表示,区块链安全是真真正正有非常大的业务需求。区块链本身是技术,从技术的角度,我不能确定区块链到底能不能解决各种高大上的问题。但是我们回看过去的十年,实际上数字货币的出现已经改变了我们的生活。
彭峙酿认为,从2008年比特币刚出现的时候无人问津,到现在有数千亿美元的资产沉淀在网络中,矿池、交易所、钱包,非常多的用户选择投资数字货币或者是使用数字货币直接进行交易,所以实际上数字货币已经改变了我们的生活,数字货币的安全其实是一个非常迫切的需求而不是一个跟风的东西。[2018/11/30]
2015年下半年,区块链项目大量涌现的同时,也出现不少安全问题。2016年6月,黑客利用TheDAO项目的智能合约安全漏洞,导致项目方损失约5000万美元资产。当时,「TheDAO」事件被认为是最大的以太坊智能合约漏洞事件。
「TheDAO」事件后,早已入局区块链的朋友们问起杨霞,可不可以用形式化验证的方法进行区块链安全的防护?这使杨霞意识到区块链安全问题已经成为一个普遍现象,安全问题将影响区块链行业的发展。她对区块链安全开始产生兴趣。
现场 | Baanx集团COO :区块链安全需要更好的工具 商业协同和整体方案:据CoinTime现场报道,美西时间9月14日,在圣何塞举办的Blockworld 2018区块链开发者及技术峰会上,Baanx 集团 COO Sean Salloux在讲到区块链和加密货币安全时指出,为了防止出现安全问题,我们首先需要更好的工具和商业协同,如AI, 机器学习,Elliptic, Nem, Quione type tools等;同时,实施整体的方案,如强大的管理团队,特别是具有在所有软硬件、过程级别管理而不仅仅是区块链管理经验的团队,以及移动端过程高速存储器等。总之,智慧的、谨慎的、经验丰富的玩家才能够真正生存和发展下来,团队是最重要的。[2018/9/15]
于是,2016年下半年,杨霞便从航空、航天安全转向了区块链安全研究。通常来说,区块链安全问题主要包括共识机制安全、智能合约安全、钱包安全和交易平台安全等方面。
对于Beosin为何选择智能合约安全方向,杨霞解释说,智能合约安全事件在区块链安全中影响比较严重,由它导致的损失占总损失金额的近1/3;另外,形式化验证是个复杂的过程,代码量太大的话会使验证周期变得很长,刚好智能合约的代码量都不大,这使得用形式化验证进行安全审计非常可行。
国内首部《区块链安全生存指南》发布:今日,长亭科技、ConsenSys和比特大陆联手发布了全国首部《区块链安全生存指南》。该指南围绕区块链安全,对不同应用的安全需求、过去发生的攻击事件和应对策略进行梳理,为区块链从业者提供了多维度的参考信息。[2018/5/7]
智能合约安全事件损失金额约占总损失金额的1/3
目前,针对智能合约的安全验证主要有两种。一种是渗透测试,另一种是形式化验证。渗透测试只能测出某些已知Bug,未知的Bug显示不出来。形式化验证则通过数学推理进行,可保证一定不存在指定属性的安全问题,或者一定存在指定安全属性的问题。
建VaaS平台
从安全级别最高的军工方向「降级」到区块链方向,虽然后者在安全程序上趋向于简单,但杨霞在这条路上走得也并非一帆风顺。
事实上,直到2017年上半年,杨霞都是带着学生采用人工建模的方式进行验证。在近一年的研究中,她发现,形式化验证在审计智能合约安全上确有成效,但人工建模代价大、效率低,人工参与对人员的素质要求很高,形式化验证方面的人才很紧缺。
于是,2017年下半年,杨霞决定向自动化方向发展,降低人工成本的同时,减少人为误判,提高形式化验证的准确度。约1年后,今年5月,Beosin发布了智能合约形式化验证平台VaaS1.0,可同时支持EOS和ETH的智能合约形式化验证。
VaaS的5项技术优势
VaaS是一个智能合约安全验证平台,主要来检验智能合约的安全属性和功能正确性,功能正确性是指智能合约的代码实践符合用户的预期功能需求。
在使用上,用户只需把公链的合约代码导入VaaS自动验证工具,点击「开始审计」按钮,工具就会开始审查智能合约的漏洞,并且精确到代码的哪一行存在常规安全隐患。不过,对于复杂的功能逻辑的正确性验证则需要部分人工的参与。
VaaS1.0的安全检测准确度达80%以上,但杨霞并不满意。「误报率是我们非常头疼的问题。我们需要尽可能提高精确度,降低误报率。」于是,杨霞和团队紧接着就开始了VaaS2.0的研发。
11月,Beosin发布VaaS2.0,其安全检测准确度可达95%以上。杨霞自信地说,「有些客户的智能合约在其他平台上检测没有问题,在我们的平台上却被检测出了漏洞。这种情况已经至少发生了5次了。」
当前,国内外从事VaaS形式化验证平台研发的有四家公司,包括Beosin、Certik、Securify.ch和RuntimeVerification。杨霞认为,相较于其他三家,Beosin的特色在于能够提供除ETH、EOS之外的多个区块链平台的验证工具,且准确率较高。
截至目前,Beosin已经与国内40多家区块链行业公司,如Huobi、OKEx和KuCoin等建立长期战略合作,其用户包括了交易所、项目方、公链及所有区块链从业者、开发者等。另外,Beosin的核心业务包括安全审计和定制化应用开发两方面。其中,安全方面包括智能合约安全审计、智能合约开发审计一条龙、钱包安全加固与审计、DApp安全加固与审计、区块链平台安全检测、交易所安全检测、企业级安全服务等。
杨霞介绍,作为一家区块链安全服务商,Beosin的盈利点主要有两个,分别是安全审计的服务费和应用开发的开发费用。截至11月末,Beosin已审计超过500份智能合约,实现了收支平衡。
今年3月,Beosin获得了分布式资本的种子轮融资。11月,杨霞团队又获得界石资本、盘古创富数百万美元天使轮融资,资金主要用于全生态区块链安全的产品开发和全球化市场布局。
对于现在持续的熊市,杨霞则认为,安全在任何时候都是刚需。「熊市只是相对于币圈市场来讲,但市场上除了发币合约还有落地应用合约。未来,随着落地应用越来越多,智能合约的数量肯定会爆发性增长,项目方也会越来越重视合约的安全。」
本文来源于非小号媒体平台:
Beosin成都链安
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627100.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
利用比特币回款,横扫全球银行的黑客组织「Carbanak」
下一篇:
再提Mt.Gox,糟糕的「里程碑事件」正提升区块链世界的安全意识
漏洞描述 英特尔近日公布了三个被称为L1TF漏洞:L1TF–SGX>>>CVE-2018-3615,又名ForeshadowL1TF–OS/SMM>>>CVE-2018-3620.
1900/1/1 0:00:00纵观2018年网络安全事件,网络犯罪分子攻击手段变幻莫测,除了零日漏洞的利用外,勒索软件、恶意挖矿大行其道,区块链领域险象环生,暗网数据泄露更是层出不穷,而且攻击渠道日益变幻,IoT设备、工业网亦成为不法黑客的攻击重点.
1900/1/1 0:00:00来自加密货币交易所Bitfinex官方的消息称,纽约最高法院法官JoelCohen已签署了一项命令,批准了Bitfinex和Tether反对总检察长提出的“文件要求”动议.
1900/1/1 0:00:00亲爱的社区成员们, DxChain项目成立至今,每一步脚印、每一个里程碑、每一次技术版本更新都离不开社区成员的大力支持及鼓励。我们坚信优质社区是项目发展不可或缺的助力之一.
1900/1/1 0:00:00这两天业内发生了两件很有意思的事情:1、5月21日,澳本聪向美国版权局申请比特币白皮书版权获得批准,引起一阵骚动;2、5月22日披萨节当天,BM表示:有一天,BTC有可能会在EOS链上运行.
1900/1/1 0:00:00据报道,巴西政府已向国家的顶级加密货币交易所发出调查,试图了解其业务并研究其在方面的潜在用途。根据当地新闻网站PortaldoBitcoin的一份报告,政府在过去两周通过他们的联系表格向加密货币交易所了发送一份调查问卷.
1900/1/1 0:00:00