区块链防守铁娘子和她的安全军团

最新推荐文章于 2021-04-08 09:00:00 发布

成都链安

最新推荐文章于 2021-04-08 09:00:00 发布

阅读量343

点赞数

640?wx_fmt=jpeg

“链安的目标是给行业送水。”

作者：币世界——胡怡莹

导语：专注、朝气和亲切，是踏进Beosin成都链安安全堡垒的整体感觉，也可以说是创始人杨霞副教授个人魅力的延伸。

走在成都天府软件园里，十分安静，不远处还能传来周边小学的嬉闹声。D7楼下，阳光掩映的阴凉处，还有一个女孩儿在背书。直走上楼503室，便是Beosin成都链安科技的总部。

办公室整体明亮、干净，进门左边便是一个藤书架，整齐地落满了奖状和绿植。右边坐着Beosin的市场和运营，乍眼一看，几乎都是90后的面庞。就像学生时代的课堂，一群孩子簇拥着讲台中心的老师，杨霞副教授的办公室就落在正中。

“杨老师，记者来了。”被一个男生指引着进了办公室，就看见了她。

阳光透过一整面的窗户，点亮了不大的办公室。杨霞从两台电脑后站起身来，大步走上前来，灰色的绸面百褶裙有节奏地摇曳起来。

“你好。”杨霞伸出手来，笑眼盈盈，手虽是轻轻握住，但是却传来笃定的力度。

640?wx_fmt=png

当家人

杨霞副教授就职于电子科技大学，从事安全技术研究长达18年，有着多年军工背景，熟谙航空、航天、军事领域的形式化验证，目前仍在教学一线。

一个学者、一名人民教师，这些都远远不足于定义她。

2015年接触到区块链技术，在看到形式化验证在区块链安全的大有可为后，杨霞便毅然拉上同事郭文生教授，于2016年率先尝试形式化验证在智能安全验证的研究，作为全球最早一批将形式化验证应用到区块链的人。并且于2018年成立公司，开始了她的第三次创业——成为一名区块链安全人。

把老师的温柔和煦带入到企业管理中，也把自己的得意门生招入麾下，让成都链安在圈子里获得了“学院派”的称号，而这显然不是杨霞作为当家人的制胜管理之道。专注和力量才是她性格的底色，这两者，也深刻地影响着成都链安的发展轨道。

学霸如杨霞，一路从本科保送至博士，对自己既选道路的专注和执着从学业一直延伸到了企业管理。

在成都链安迎来一周岁生日之际，杨霞回顾到过去一年，坦言经历了一次大的信仰挑战，不过好在最后还是守住了初心。时值去年5、6月份，成都链安正在寻求第二轮融资，而当时有很多人都来联系她，希望链安能发币。

“群里有一个用户直接把微信名字改成了‘链安什么时候发币’，”杨霞说着说着就笑了，“几十个人、机构天天打电话，跟我说发币这好那好。”当时有人听说链安要发币的传闻，直接汇来了价值2千万的ETH，但是杨霞后来给退了回去。

她心中对于发币这件事儿始终存有疑虑，于是自己做了调查，一是觉得监管红线碰不得，二是担心重蹈别人的覆辙，很多项目发了币之后，就忙着“圆故事”去了，没时间去做技术。

“那不是我想要的目标。”杨霞认为，安全就是给行业“送水”，给大家提供支持，这是她加入区块链安全最初的想法，也是成都链安的初心。

杨霞觉得，投资方分布式资本沈波在对分布式投资项目群里的一句话说到了她的心坎里，“上市公司都等了10多年才能上市，咱们的区块链公司连1、2年都等不了吗？”更是坚定了自己，保持初心，拒绝发币，坚持走股权融资。目前，成都链安盈亏平衡，还把办公室对面租下来，继续扩招人才。

640?wx_fmt=png

（成都链安的90后“代表”）

对正确道路的专注和坚持，抵御住了钱的诱惑，也让杨霞在对“名”的追逐中保持清醒和理智。

EOS的创始人BM算是让成都链安“一炮而红”：去年5月1日， BM怒怼成都链安对EOS的分析报告不准确，称其发现的EOS智能合约漏洞是“不负责任的报告”。

在币圈浸淫久了的人就会知道，口水战是出名的大好时机。成都链安发现EOS智能合约程序如果不规范同样可能出现数据溢出的漏洞后，其实是先通过EOS佳能社区传达给EOS官方，并且时任Block.one的产品总裁Thomas Cox还对链安发现这个漏洞表示了感谢。在EOS官方的同意后，成都链安才公开了这个安全风险。由于类似漏洞导致美蜜币（BEC）被盗64亿元，市场反应极其激烈，EOS币价当天掉了20个点。

“我自己不买币，也不关心币价。别人说币价跌了，我才知道。难怪BM不高兴了。”不过问及，为什么不回应BM的文章，借热度增强一下知名度，杨霞直言身正不怕影子斜，没必要和他争辩，更没有必要炒作、把时间浪费在这些事情上。

而这种不蹭漏洞热度、不散布恐慌的态度渗透在成都链安的日常工作中。发现漏洞，先联系涉及的项目方和交易所，等对方修复好后，再发新闻稿，这是他们规定的流程，而这样的流程阻断了很多曝光的机会。

笔者记得一次印象中很深刻的“无名漏洞”。2018年7月26日，杨霞提醒笔者已经检测到一个重大漏洞，希望能够在确定后第一时间进行报道。在等待期间，杨霞多次告知进度，在找多家交易所进行排查。10个小时后，杨霞告知：“我们排查了几个大的交易所，发现只有一个交易所网站有这个问题，所以我们打算不报新闻了。我们已经通知有问题的交易所，让他们修复漏洞。”

至今，笔者也不知道这个漏洞是什么。但是可以想像，杨霞以及像她这样默默坚守在大后方的安全人，替公众阻挡了多少这样的“无名漏洞。”

有过委屈吗？有的，但是还是要打理好情绪，坚持自己的风格和原则继续前行。

杨霞很忙。在采访期间，她的手机不时震动，有两件事儿她不得不分心处理一下。一是采访当天，有一个圈内大会给成都链安颁了奖，杨霞只是淡淡一句带过；另一个是有客户有紧急安全需求，派了几个人去现场排查，她在大后方跟进情况，一边忙着远程沟通，一边自顾着说：“就跟我们之前预想的一样。”

就是这股专注、踏实的劲儿，和她要做的事业紧密地结合在一起——“防”。

做好一堵墙

区块链安全和计算机安全，方法论基本一致，讲究有攻有防。“攻”就是主动出击，寻找目标的软肋，攻之然后补之。“攻”就像是一根针，找准点，就容易爆。

而“防”就像是做一堵墙，一个针眼都不能留。这是一项不容得怠慢的事业，需要十年如一日的坚持和夯实，才能把墙建得坚实。墙，永远都不会是华丽的，粗砺而敦厚。不论如何，它就在那里，却总容易被忽视。墙后的人，以血肉之躯要承载住这堵墙外的所有危机，一如长城上兵将们的坚守。

危机一来，狼烟四起，熬夜、通宵是家常便饭，但这就是杨教授和千千万万选择安全人这条路的人的坚守。

那怎么做好这堵墙呢？杨霞的答案是“形式化验证”。

640?wx_fmt=png

（安全军团庆祝一周年）

犹记得在2018年，CertiK把形式化验证这个词带入了大众的视野。而杨霞本人，其实已经在形式化验证上耕耘了超10个年头了。并且，杨霞早在2016年就开始研究面向区块链的形式化验证技术，并且于2017年受邀在万向组织的第三届区块链全球峰会上演讲“智能合约及形式化验证”，分享了研究成果。

形式化验证用比较通俗的话解释，用已知的漏洞库对目标代码进行数学化、自动化的检验，验证其是否存在安全问题。

国内有多家知名区块链安全公司，除了成都链安科技，还有慢雾区、派盾、降维安全、知道创宇等，大家各有所长，但是对人工的核验、审核，普遍来说是相对依赖的。能力极强的安全人员对于解决突发的未知、创新型漏洞，是极其必要的。

但是当行业进入产业化时，效率的重要性就体现出来。成都链安推出的智能合约形式化验证平台VaaS（Verification as a Service）能以其高度自动化的服务在竞争中突出重围。经过VaaS自动化流程验证的智能合约，至少是一个95%以上的合格品，如果能辅以人工，这个合约就能更加完善。而现在很多DApp，连安全的及格线都达不到，被盗、被攻击是币世界快讯里的“常客”。

根据DAppReview对三大公链DApp的统计，截止至3月31日，总共有2434个DApp，如果要保证都不出现重大安全漏洞，是选择对这些智能合约代码全部进行人工查验，还是应用VaaS进行最基础的排查，然后辅以人工复诊，答案可能是显而易见的。

目前，成都链安的VaaS已经支持几大公链，例如ETH、EOS、ONT、TRON等，对外公开了VaaS-ETH精简版。杨霞表示，本来是全公开的，但是试用的人数太多，跑服务器的成本太高，所以收回完全免费版，只留下精简版。

杨霞携VaaS再次参加了2018年万象区块链全球峰会大会，以太坊的创始人Vitalik Buterin当时试用了VaaS，十分满意，给成都链安团队竖了个大拇指。

640?wx_fmt=png

（V神和VaaS的初次触电）

不过成都链安不会止步于形式化验证，他们的目标是要区块链相关企业提供全面的安全保护服务，有四个阶段可以入手：设计、开发、检验和风控。在最初设计区块链系统的时候，就可以进行安全埋点，保证架构的安全性，减少风险点；在开发过程中，提供友好的、安全的开发平台，降低门槛，规范开发预警和报警，及时防范。

成都链安在过去的一年内，已经开发了三款产品，对应不同的阶段，Beosin-IDE开发平台、Beosin-VaaS形式化验证平台，以及用于风控的Beosin-Eagle Eye态势感知平台，并且已经在配合一些需求方进行设计指导和定制化产品开发。

除了在服务的纵深上下功夫，成都链安也将继续横向拓展，和区块链生态内其他更多主体达成合作，提供安全服务。

问及对现有区块链安全行业的看法，杨霞难得苦笑了一下。她认为行业普遍的安全意识不够，即使安全成本没有那么高，有些人的侥幸心理或者其他因素，也会绕安全而行。例如DragonEx这次被盗，杨霞表示，其实成都链安提前检测到了相关风险，联系了交易所希望能够接入数据进行更好地排查，但是对方以隐私保护为由拒绝了，后来被盗价值超600万美元的数字货币。杨霞表示，每次遇到这种可以被避免的安全漏洞，总是觉得很痛心。

此外，有时候安全公司已经将黑客锁定到交易所特定账号上了，如果交易所愿意配合行动，可以冻结被盗资产、甚至可以锁定黑客在现实世界的身份，帮助警方将其绳之以法。但是，由于多种原因，往往不了了之。

尽管现实如此，杨霞也肯定了行业积极的走向：随着行业发展，已经有越来越多的区块链公司开始重视安全，为安全买单。被问及区块链安全的产业规模，杨霞列举数据称，预估到2025年，全球区块链行业规模达到200亿美元，“安全是刚需，80%的区块链程序存在安全风险，所以市场潜力无限。”

结语

采访结束后，杨霞马上又回到了她的工作岗位，继续处理远程的安全工作。

笔者在快离开的时候，听到从杨霞的办公室里传出一声“我们的安全员几个小时就找到问题的原因了。”办公室外的一个小姑娘回了一句：“哇，不是说截止定在31号（三天后）吗？”

币世界采访原文请点击左下角“阅读原文”查看。

欢迎大家体验：

一、智能合约自动形式化验证平台VaaS精简版，准确率达到95%以上

Beosin（成都链安科技）已向全球发布VaaS平台，全球首个同时支持ETH、EOS、Fabric、TRON等多个区块链平台的智能合约形式化验证平台，准确率达到95%以上。

VaaS（精简版）系统为所有区块链从业者提供方便而免费的智能合约安全审计服务，对智能合约安全漏洞进行形式化验证，从容应对常规合约安全问题。欢迎大家登陆官方网址体验：

官方网址：

https://beosin.com/vaas/index.html#/audit/ptsj

640?wx_fmt=jpeg

▲VaaS 精简版平台

二、在线 Beosin-IDE 免费版本

Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境，可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。

欢迎大家免费体验：通过浏览器访问

https://beosin.com/BEOSIN-IDE/index.html#/

（如下图，推荐Chrome浏览器）。

640?wx_fmt=jpeg

▲Beosin EOS-IDE

Beosin官方发表正式声明：

为了全球化市场战略需要，公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司，“Beosin”力求为行业保驾护航，以打造区块链全生态安全为宗旨，竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全加固与审计、DApp安全加固与审计、区块链平台安全检测、交易所安全检测、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图：

640?wx_fmt=jpeg

近期，有XX链安科技与成都链安科技重名，且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司，与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌，谨防上当受骗，一切消息以官网及官方公众号为准。

成都链安科技官方公众号名称：Beosin成都链安

成都链安科技官方网址：

www.lianantech.com

——Beosin

640?

关于Beosin：

Beosin（成都链安）成立于2018年，公司位于四川省成都市，专注于区块链生态安全。公司由杨霞和郭文生两位教授共同创建，团队核心成员由来自海内外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。已获得分布式资本、界石资本、盘古创富等著名投资机构的两轮股权投资。其核心技术为形式化验证，是全球最早一批将此技术应用到区块链安全领域的公司。

公司首批入选Etherscan智能合约审计推荐名单及普华永道创新加速器，荣获全国首届中小微企业SaaS应用创新创业大赛冠军，获得OKEx最佳安全审计合作伙伴奖等荣誉，参加工信部多项区块链安全标准的撰写，入选工信部“2018区块链白皮书”，作为唯一安全公司入选“2018中国区块链企业百强榜”，荣膺金色财经“2018年度最专业安全服务机构”、“2019中国区块链安全领军企业”称号，荣获火星财经“最佳区块链数据安全团队”奖项。已与Huobi、OKEx、KuCoin、LBank、CoinBene、CoinMex、CoinTiger、Becent、ONT、Qtum、比原链、Wanchain、Scry、布比区块链、云象区块链、QuarkChain、IoTeX、麦子钱包、EOSPark等共计超过40家区块链公司建立战略合作关系，审计报告被国内外各大知名交易所认可。审计智能合约超500份，独立发现区块链安全漏洞10余个，获得行业及客户的一致好评和认可。让区块链全生态更安全，是我们的美好愿景！

640?wx_fmt=jpeg