国产无遮挡色视频免费视频-国产五月色婷婷综合-国产五月婷婷-国产午夜不卡-曰批免费视频播放在线看片二-曰韩一级毛片

更多精彩 >

成都鏈安科技CEO楊霞:80%的智能合約都存在安全漏洞

2018-08-22 23:18:13   來源:投資家網  作者:李澍 

摘要:基于區塊鏈加密數字貨幣引發的安全問題,來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。在區塊鏈自身機制安全方面,智能合約的安全性至關重要。

騰訊安全日前發布的報告顯示,與加密數字貨幣有關的黑客攻擊事件,從 2013年到2018年上半年增加了約五倍,全年預計增加10倍左右。其中,僅今年上半年,黑客對加密數字貨幣的攻擊,就已經造成了20億美元的直接損失。


基于區塊鏈加密數字貨幣引發的安全問題,來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。在區塊鏈自身機制安全方面,智能合約的安全性至關重要。


據鏈安方面的數據顯示,2011年至2018年,由智能合約安全事件導致的經濟損失達12.4億美元。目前,由智能合約安全事件導致的經濟損失已經超越交易所,位列第一。


智能合約作為執行合約條款的計算機交易協議,對所有用戶都開放,導致了內部存在的安全漏洞也隨之公開暴露在黑客面前。


而且,智能合約一旦上傳即公開且不可更改,因此現在的區塊鏈項目,對于安全性的需求更加迫切。因此,在智能合約正式開始運行之前進行安全審計就顯得尤為重要。


鏈安科技創始人兼CEO楊霞表示,從目前研究來看,80%的智能合約都存在安全漏洞。在合約開發前、開發過程中和編寫完成后,整個項目周期都要保證智能合約的安全性。


的安全性.bmp


在合約開發前,開發者應進行智能合約相關漏洞風險知識學習,了解最新的智能合約安全漏洞,避免開發的合約中存在安全隱患。


在開發過程中,Remix-IDE、truffle等編譯工具會對合約中不符合最新規范的代碼提出告警,開發者需要對告警引起重視,強烈建議開發者更改自己的代碼,以消除編譯過程中的告警。


在合約編寫完成后,需要對合約功能的完整性和安全性進行測試,確保合約邏輯實現與設計相符,確保無安全風險;最后,可以尋找專業的智能合約審計團隊進行合約審計,最大程度地減少安全隱患。


01 智能合約形式化驗證應用狀況


2016年9月1日,萬向區塊鏈實驗室肖風在為《區塊鏈革命》作序時曾寫道:“The Dao”事件提醒我們,應該有一個能對智能合約進行事先檢驗的科學方法,但這方面最先進的技術如形式化驗證,目前還處于理論研究階段。”可是如今形式化驗證已經被正式用于智能合約的檢驗中了,這就是技術的進步。


形式化驗證指的是用數學中的形式化方法對算法的性質進行證明或證偽。


據了解,一般來講,方法有兩種:


一種是模型檢測,即把系統所有可能的狀態列出來并一一進行檢驗,此種方法是全自動化的,但是只適合小型系統;


另一種是定理證明,即首先把系統代碼標記成抽象數學模型,然后對定理進行證明,此種方法適合大型系統,但是需要首先人工將系統的運作方法轉換成驗證系統可以理解的語言。


以理解的.bmp


目前區塊鏈產業中與形式化驗證相關的產品可以分為三類:  VaaS平臺,公鏈和語言。


式化驗證.bmp


目前,主要從事智能合約形式化認證的區塊鏈安全公司主要有7家,分別是成都鏈安科技、Imandra、Certik、The Matrix、Securify.ch、Runtime Verification和Tezos。其中,從事VaaS形式化驗證平臺研發的有四家,分別是:成都鏈安科技、Certik、Securify.ch和Runtime Verification。


其中,鏈安的特色在于:提供多個區塊鏈平臺驗證工具,而不是單一地為以太坊或者EOS提供智能合約形式化驗證。


楊霞是2016年才開始接觸區塊鏈的,正趕上了著名的以太坊The Dao事件,在此之前,楊霞老師一直專注于為航空航天、軍事領域提供形式化驗證服務。


“其實那個時候真的沒有太在意。不過我有一個朋友在搞區塊鏈,他跟我說你搞形式化驗證,能不能去驗證一下智能合約的安全,比如針對Dao系統的安全事件。”楊霞回憶道,“我覺得挺有趣的就去試了一下。那時候我們還沒有自動化的工具,只能靠人工進行代碼的形式化描述,然后去證明。最后發現,形式化驗證方法應用于智能合約安全審計效果不錯。”


發現.bmp


也許當時選擇將形式化驗證應用于區塊鏈智能合約的審計是一個偶然的機遇,但是,通過楊霞和她的團隊經過一年半左右的潛心研究研發出了自動化的智能合約安全驗證平臺VaaS。


目前,鏈安的VaaS平臺支持EOS和以太坊的智能合約的安全審計,VaaS也是全球第一個支持EOS的智能合約驗證平臺。


02 形式化方法像一套完備的法律


被問到如何向技術小白解釋形式化認證,楊霞表示“形式化方法就像一套完備的法律,規定了每個角色能做什么和不能做什么,并對角色之間的關系進行界定。類似于社會系統架構對不同角色進行分類,在承認個體天性的同時,使系統的復雜程度降低了多個維度。”


形式化驗證通過數學建模的方式,對合約進行驗證,發現合約的未知的潛在的風險。


因為是用數學證明的方式去發現問題,所以首先需要一個函數的詳細功能規范,形式化驗證就依據這個功能規范去證明實際的代碼是不是和需求一致,如果是函數的規范足夠完整并且能夠清楚無歧義的表達,那么是可以發現針對這個被驗證的函數之前沒有發現的問題。


形式化的抽象可以從復雜的事物中抽離出本質。舉個簡單的例子,一個構造復雜的中式涼亭,經過形式化的方法抽象過后,可能只是一個分層的三角形,這就相當于一個精簡的解讀。


相當于.bmp


在驗證安全之后,通過使用可執行模型,將較高級別的抽象模型轉換為較低級別的代碼。形式化方法使智能合約的生成和執行有了規范性約束,保證了合約的可信性,使智能合約的生產過程和執行效果得到了保障。


據楊霞表示,目前,理論上講,形式化認證可以找出所有已知的和未知的智能合約安全漏洞。而實際操作中,形式化工具可以查出80%的常規漏洞,對于部分結合業務邏輯的漏洞,還需要人工復核。


03 智能合約小白級漏洞居多


區塊鏈行業的安全漏洞是不斷涌現的,尤其是涉及到“錢”的安全漏洞,可以使人們的數字資產瞬時歸零。目前,隨著漏洞不斷被挖出,很多數字資產投資者也陷入到了恐慌之中。


楊霞老師表示,就智能合約來講,80%都存在安全問題。


就目前看來,智能合約中還是小白級的錯誤居多,包括一些造成巨額財產損失的漏洞。


舉個例子,2018年4 月 22 日 13 時左右BEC智能合約被爆出的整數溢出漏洞,黑客能無限印幣,在一次交易中,也就那么幾秒鐘的事情,黑客就“無中生有”地給兩個賬戶轉了天文數字般的BEC幣,而原賬戶一分BEC幣都沒損失。一行代碼就造成了60多億人民幣的損失。


整數溢出就像是水輪車。往里面加水,加滿之后,繼續加水,水輪車將會失衡并轉動,此時水將會被全部倒出來,并重新盛水。當變量累加到超過自身容量范圍時,將會溢出,歸零。而黑客也是利用了這一點,把運算前的數值作為轉賬金額,把運算后溢出的0作為檢測條件,從而實現繞過。


這是一個很簡單的邏輯,但是后果卻很嚴重。


同樣,之前爆出來的以太坊平臺的漏洞,短地址攻擊,以及拒絕服務攻擊等等的漏洞的邏輯也都很簡單,但是這些漏洞都造成了人們數字資產的巨大損失。


其實,這些漏洞在智能合約正式開始運行之前,都是可以通過形式化驗證的方式找出來的,并加以修復的。

 

鏈安采用數學的證明方式將代碼形式化描述為公式,并對其進行邏輯漏洞和安全漏洞證明,基于此原理,實現了自動化的驗證工具,能夠方便、快速地驗證出代碼的功能正確性和安全屬性。


楊霞老師表示,目前,成都鏈安科技的優勢集中體現在三個方面:


第一,我們專注只做智能合約的安全。


第二,我們在技術上有優勢,我們采用了嚴格的形式化驗證的方法,為智能合約提供更加完備的安全審計。


第三,我們率先研發了自動化的智能合約安全驗證工具VaaS,在智能合約的審計過程中,我們通過自動化工具VaaS和人工結合的方法比全人工的安全審計方式更準確、更高效。


對于未來區塊鏈安全的走向,楊霞老師表示,安全是一個持續完善的過程,沒有絕對的安全,越是復雜的軟件系統,出現安全事件的概率越高。


為了避免安全事件的發生,最好的辦法就是提高軟件開發人員的安全意識,并對智能合約在部署之前進行全面的安全審計。


我們要理智地看待區塊鏈技術的漏洞,區塊鏈作為一個新興技術,出現安全事件是可以理解的,不能因噎廢食。


本文為投資家網原創文章,轉載或內容合作請聯系投資家網,違規轉載,法律必究。

猜你喜歡
原創

完美?不存在的!智能合約既不“智能”也不“安全”

智能合約

如今,智能合約如云計算、人工智能一樣,在人群中掀起一波熱潮。依附著“區塊鏈”和“以太坊”這樣“高科技...

2018-08-03

群蜂社

當我們說起智能合約,我們說的應該是什么?

區塊鏈Token智能合約

在某種意義上,智能合約確實是合約。

2018-07-17

2024十大流行語里的我們|BAI年末特輯

金融科技BAI資本

時代的風向,總被語言捕捉。

2025-01-06

抖音商城年貨節正式開啟,引爆新年好生意!

大消費抖音商城

蛇年新春將至,作為國人一年當中最重要的節日,春節寄托著人們對美好生活的向往,同時也蘊含著商家生意爆發...

2025-01-06

晶體材料及元器件廠商「飛銳特」完成數千萬元人民幣A輪融資

飛銳特

晶體材料及元器件廠商「成都飛銳特科技有限公司」宣布完成數千萬元人民幣的A輪融資,本輪融資由川流投資領...

2025-01-06

近期兒童流感病例攀升,專家共識推薦康緣藥業金振口服液

上市公司康緣藥業

近期,流感高發,據中國疾控中心最新數據,目前流感病毒陽性率持續上升,其中99%以上為甲流。

2025-01-06

首屆全國大學生計算機系統能力大賽PolarDB數據庫創新設計賽(天池杯)圓滿收官

智能+天池杯

2024年12月29日,全國大學生計算機系統能力大賽PolarDB數據庫創新設計賽(天池杯)全國總決...

2025-01-06

國際戰略研究專家華國中:解讀特朗普上臺后的亞太安全形勢

人物華國中

近日,著名愛國人士,國際戰略和國家安全研究專家,聯合國第三十六屆國際科學與和平周“和平使者”華國中先...

2025-01-06

新年買iPhone 16系列就來京東,1月6日晚8點多重補貼至高2500元

京東大消費

臨近過年,Apple產品也開啟了年末促銷優惠,吸引了不少消費者前來選購。

2025-01-06

第七屆金禧獎公布,數禾科技獲評“2024卓越社會責任企業”

創新創業數禾科技

近日,由《投資時報》主辦的“見未來?2024第七屆資本市場高峰論壇暨金禧獎年度頒獎盛典”在北京順利舉...

2025-01-06

微醫控股遞表港交所,AI賦能催生“價值醫療”商業閉環

醫療健康微醫控股

AI醫療發展進入提速期,革新傳統醫療服務的同時為資本市場注入強大活力。

2025-01-06

投資家網(m.51baobao.cn)是國內領先的資本與產業創新綜合服務平臺。為活躍于中國市場的VC/PE、上市公司、創業企業、地方政府等提供專業的第三方信息服務,包括行業媒體、智庫服務、會議服務及生態服務。長按右側二維碼添加"投資哥"可與小編深入交流,并可加入微信群參與官方活動,趕快行動吧。

沙特天空塔投資設立專項基金帶領中國氫能獨角獸扎根沙特

2016年注冊于北京的中氫新能技術有限公司,下設位于大興的裝備制造公司、位于海淀區的技術研究院、材料...

挑戰奔馳的明星車企,突然“翻車”了

一度無比高光的理想汽車,猝不及防遭遇重挫。

深圳天使母基金姚小雄:將來股權投資行業競爭是服務能力的競爭

2024年1月10日,由投資家網主辦,財經銳眼、有時間協辦,北京微金科技有限公司承辦的“第十二屆股權...

避免卡脖子,硬科技如何“逆境”突圍?

2024年1月10日,由投資家網主辦,財經銳眼、有時間協辦,北京微金科技有限公司承辦的“第十二屆股權...

VC/PE眼中的“專精特新”

2024年1月10日,由投資家網主辦,財經銳眼、有時間協辦,北京微金科技有限公司承辦的“第十二屆股權...

第二屆中匈可再生能源、新材料商業投資峰會將盛大啟幕

第二屆中匈可再生能源、新材料商業投資峰會將盛大啟幕

第二屆中匈可再生能源、新材料商業投資峰會于2025年4月9日在匈牙利布達佩斯盛大啟幕。

雕刻耐心|第18屆中國投資年會·有限合伙人峰會在滬召開

雕刻耐心|第18屆中國投資年會·有限合伙人峰會在滬召開

“中國投資年會”作為私募股權行業的年度盛會,已成功舉辦了18屆,吸引了全國VC/PE領域從業者的廣泛...

雕刻耐心|第18屆中國投資年會·有限合伙人峰會即將啟幕

雕刻耐心|第18屆中國投資年會·有限合伙人峰會即將啟幕

2024年的一級市場,“耐心”是最高命題,也引發了持續全年的討論。

不響不輟|第18屆中國投資年會·年度峰會在滬召開

不響不輟|第18屆中國投資年會·年度峰會在滬召開

5月8-10日,由投中信息、投中網主辦的“第18屆中國投資年會·年度峰會”在上海外灘W酒店盛大召開。

主站蜘蛛池模板: 日本国产免费一区不卡在线 | 特黄aaaaaa久久片 | 韩国一级免费视频 | 亚洲性网 | 一级二级三级毛片 | 99久久精品久久久久久清纯 | 日韩特黄特色大片免费视频 | 免费a级片网站 | 亚洲欧美日韩国产vr在线观 | 亚洲美女aⅴ久久久91 | 伊人久久在线视频 | 亚洲第一页在线视频 | 国产精品一二三区 | 欧美视频在线一区二区三区 | 精品免费久久久久久成人影院 | 国产大乳孕妇喷奶水在线观看 | 一级做a爰片久久毛片看看 一级做a爰片久久毛片鸭王 | 国产人成 | 欧产日产国产精品精品 | 亚洲精品在线播放 | 美女黄视频免费观看 | 亚洲欧美日韩在线观看二区 | 久久国产热视频 | 九九精品久久久久久噜噜 | 免费看一级毛片欧美 | 日韩专区亚洲精品欧美专区 | 成人做爰 | 日本乱人伦毛片 | 99秒拍福利大尺度视频 | 国产极品一区 | 久久国产精品高清一区二区三区 | 高清毛片一区二区三区 | 欧美一二区视频 | mm在线精品视频 | 7m视频精品凹凸在线播放 | 国产高颜值露脸在线观看 | 国产综合精品在线 | 国产激爽大片在线播放 | 亚洲欧美在线视频 | 日韩毛片| 加勒比色综合久久久久久久久 |