​​2020年9月11日(星期五)19:30,成都鏈安創始人&CEO 楊霞教授受邀出席了由BiYong、Bananatok主辦的『中韓區塊鏈週』相關活動,並發表了題為《區塊鏈安全,重於泰山》的主題演講。

『中韓區塊鏈週』相關活動是由BiYong、Bananatok聯合金色財經、CoinReaders、幣世界舉辦的線上交流分享會活動,於2020年9月9日隆重召開。本次活動將持續7天,至9月15日結束。活動旨在深入探討區塊鏈行業創新發展戰略,推動區塊鏈行業持續穩定發展,探索可落地的區塊鏈創新項目,持續提升區塊鏈行業的影響力。

作為全球最早從事區塊鏈形式化驗證的專家,CC國際安全標準成員,CCF區塊鏈專委會委員,成都鏈安創始人&CEO 楊霞教授受邀於9月11日19:30進行《區塊鏈安全,重於泰山》的主題演講;演講以中文、英文、韓文三種語言同步直播,與中韓區塊鏈業界先鋒共同圍繞『區塊鏈安全』這一賽道,開展了一場深度的高質量探討。

以下為主題演講實錄

區塊鏈安全,重於泰山

 

主講人:成都鏈安創始人&CEO 楊霞

 

Hello,大家晚上好,非常高興能夠受到主辦方的邀請,參與到本次【BiYong中韓區塊鏈週】的線上交流分享會;也很榮幸能有這個機會,與群裡的各位嘉賓一同進行學習、探討,推動區塊鏈產業的向上發展。

 

首先,簡單來做一個自我介紹。我是成都鏈安科技有限公司的創始人兼CEO楊霞,同時也是電子科技大學的副教授。我本人從事有關形式化驗證、內核安全、移動設備安全、TEE等安全的技術研究長達20多年了,並將科研成果運用到諸如航空航天、軍事等領域,主持了10多項國家課題研發,發表了學術論文30多篇,申請了專利20多項。

2016年,以太坊平台爆出的【the DAO】漏洞讓我注意到區塊鏈安全這一賽道。我發現,當時的區塊鏈安全的相關基礎設施構築尚不完善,一旦出現安全隱患,就可能會造成巨大的經濟損失。經過調研,我發現我一直所鑽研的形式化驗證技術能夠很好地解決區塊鏈安全的痛點。於是,便毅然決然地投身到區塊鏈行業這一大浪潮之中。

這幾年來,我個人在業界也取得了一定的成績,業界朋友都稱我是全球最早將形式化驗證技術運用到區塊鏈安全領域的專家,也是區塊鏈安全的學術派代表。同時,作為CC國際安全標準成員、CCF區塊鏈專委會委員,我個人也被評為四川省海外高層次留學人才、成都市新經濟百名優秀人才、成都市高新區急需緊缺人才和高端人才、2018年成都市區塊鏈十大優秀人物、2019四川十大新經濟領軍人物、2019成都高新區四派人才等。

現在,進入我今天要跟大家分享的主題-【區塊鏈安全】。我主要會從全球區塊鏈生態的安全現狀,區塊鏈生態的主要安全挑戰,以及我們成都鏈安針對區塊鏈生態安全問題而提供的解決方案,這3個方面來展開論述。​

首先,在我看來,區塊鏈技術發展至今已形成了一個較為完整的技術棧,區塊鏈技術諸如去中心、可溯源性、開放性等天然特性使其能夠廣泛賦能到諸如金融、醫療、物流等多個領域,形成【區塊鏈+】的產業生態。

但伴隨著廣泛應用,隨之而來的安全問題也層出不窮。據Beosin-Eagle Eye的詳細數據統計:全球區塊鏈重大安全事件的損失金額從2011-2019年呈逐步上升趨勢,2017-2019年甚至出現了指數級增長。 2019年,區塊鏈安全事件造成的損失已高達60億美金。

從全球來看,區塊鏈生態所面臨的的安全問題日趨嚴重,虛擬資產被盜、虛擬資產服務商被黑客攻擊、智能合約邏輯問題導致執行出錯等安全事故不斷發生,世界各國都在對區塊鏈生態的安全問題加緊研究,也制定了各項關於區塊鏈產業的安全監管條例。

從我國來看,對區塊鏈生態的安全問題也越發重視,在去年中共中央政治局第十八次集體學習上,習總書記就著重強調了要探索建立適應區塊鏈技術機制的安全保障體系,推動區塊鏈安全有序發展。

那麼,區塊鏈生態所面臨的的安全挑戰究竟是來自哪幾個方面呢?我認為主要存在於區塊鏈平台、區塊鏈應用,以及虛擬資產犯罪這三個層面。下面,我將針對這三個層面重點展開來講。

區塊鏈平台指的是區塊鏈的底層系統,負責支撐各類區塊鏈應用的運行環境,是區塊鏈生態中的核心與基石。在經歷了新的區塊鏈分化與發展後,產生了公有鍊和聯盟鏈的應用方向。首先,公有鏈因其開源性質,導致公有鏈的安全性較低,受攻擊面較大,容易受到威脅。其次,聯盟鏈的安全性雖然相較於公有鏈有些許提升,但依然存在諸如鍊上數據異常、節點異常、加密通信的安全性,以及聯盟鏈特有的認證授權策略及賬戶授權機制的風險等問題。

區塊鏈應用的安全挑戰主要來自於智能合約、應用Web端以及移動APP端。首先,智能合約的安全問題是我今天要重點提到的,無論是各類區塊鏈落地應用,還是現階段異常火爆的Defi,智能合約都扮演著極其重要的角色。智能合約實現了全自動化計算機合約執行流程,在不需要第三方機構的情況下,可實現相對安全、高效、低成本的交易;但其本質上還是一份代碼程序,自然不可避免地存在諸如合約代碼的規範性問題、函數調用問題、業務邏輯設計問題、業務邏輯實現與設計不符等問題。因此,智能合約倘若有一行未經安全審計的代碼,就很有可能暗藏著極大的安全風險,這需要我們時刻注意。另外,就是應用Web端和移動APP端與智能合約的項目中,也或多或少會存在著各類安全隱患。

最後,虛擬資產犯罪也是區塊鏈生態所面臨的安全挑戰中非常重要的一環。隨著虛擬資產體量的逐步增大,虛擬資產犯罪現像也呈現出愈演愈烈的趨勢。僅統計2019年上半年的情況,被盜或被詐騙的虛擬資產總額就已超過了50億美元,令人咋舌。其中,諸如非法洗錢、詐騙、暗網非法交易、恐怖融資、病毒勒索等五花八門的犯罪模式,都為區塊鏈生態的安全監管和安全建設提出了迫在眉睫的建設需求。

那麼,區塊鏈生態所面臨的的安全挑戰是如此嚴峻和迫切,我們應該怎樣築起區塊鏈生態的安全盾牌,使其更健康地發展呢?這對區塊鏈行業的所有從業者而言,都是需要思考的問題,這也是我常常不斷思索的方向;老實來說,也是我創立成都鏈安科技有限公司的契機。

針對於區塊鏈平台、區塊鏈應用以及虛擬資產犯罪等各類安全挑戰,作為全球最早將形式化驗證技術應用到區塊鏈安全領域的公司,我們成都鏈安已面向區塊鏈全生態安全建立了全生命週期的安全解決方案,打造了【Beosin一站式區塊鏈安全服務平台】,從項目的【研發→運行→監管】三個發展階段切入,致力於解決不同階段的安全挑戰。

【Beosin一站式區塊鏈安全服務平台】以網絡安全、形式化驗證、人工智能和大數據分析作為核心技術,自主研發了【四大核心安全產品】和【八大明星安全服務】。其中,【四大核心安全產品】包含:Beosin-VaaS-智能合約自動形式化驗證系統;Beosin-AML-反洗錢和調查取證系統;Beosin-Eagle Eye-安全態勢感知系統;Beosin-OSINT-威脅情報系統。 【八大明星安全服務】包含:智能合約安全審計服務、鏈平台安全檢測服務、虛擬資產追踪溯源調查取證服務、移動端APP(錢包)滲透測試和安全檢測服務、Web滲透測試和安全檢測服務、威脅情報服務、安全諮詢服務、安全應急響應服務。

下面,我將著重針對區塊鏈生態的研發上線階段的【Beosin-VaaS】,以及監管階段的【Beosin-AML】進行一個簡單的介紹。

首先,【Beosin-VaaS】是一款全球領先的【一鍵式】智能合約自動形式化驗證系統,可為智能合約提供【軍事級】的安全檢測和驗證,檢測準確率高達97%以上。精確定位風險代碼位置並給出修改建議,自動檢測智能合約的10大項32小項常規安全漏洞及功能邏輯缺陷,是全球首套同時支持螞蟻鏈、ETH、EOS、ONT、TRON、FISCO-BCOS 、Fabric等多個公鍊及聯盟鏈平台的安全檢測工具。

其次,【Beosin-AML】是一款反洗錢和調查取證系統,在海量地址標籤庫、區塊鏈大數據分析+人工智能先進技術的基礎上,協助執法部門調查取證虛擬資產犯罪案件的證據鏈,快速定位資產流向,自動對交易做風險評分,實時監控風險交易和洗錢、欺詐等行為。

迄今為止,在業務合作上,我們成都鏈安已與信通院、微眾銀行、萬向區塊鏈、螞蟻鍊等國內外100多家區塊鏈頭部企業建立了深度的合作關係,為全球1000多份智能合約、50多個區塊鏈平台和落地應用系統、近100家數字金融企業提供安全審計與防禦部署服務。

在安全監管上,我們成都鏈安也作為中國信通院可信區塊鏈聯盟理事單位、全國信息安全標準化技術委員會成員單位、CNVD國家區塊鏈安全漏洞平台唯一技術支持單位等,參與了工信部多項區塊鏈安全標準和白皮書的撰寫,積極推動區塊鏈安全合規標準建設,為公安、工信部、網信辦、執法監管部門等提供安全監管技術支持,成為這些部門的首選品牌。

在未來,我們成都鏈安也將以【讓區塊鏈生態更安全】為使命,以【成為全球第一的區塊鏈安全公司】為願景,不斷打造區塊鏈安全顛覆性的核心技術,為全球區塊鏈企業的安全保駕護航。

最後,感謝大家的聆聽。今天我關於【區塊鏈安全】的主題分享就到這裡,希望我今天提到的一些觀點,能夠引起各位對區塊鏈安全這一賽道的關注和思考,意識到區塊鏈生態安全建設的重要性和迫切性。

再次感謝主辦方的邀請,謝謝大家。​​​​