转自巴比特
原文作者:邱祥宇
智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。那么智能合约程序存在哪些安全问题?出了安全问题,怎么办?如何用形式化验证的方法给智能合约程序提供(军事级)的安全验证,提高智能合约代码的安全性?
5月30日晚间,蚂蚁区块链创新大赛安全合作伙伴、有着区块链安全领域“女侠”称号的成都链安科技创始人兼CEO杨霞,在大赛直播群中就以上问题分享了解决方案,同时也分享了如何与蚂蚁区块链BaaS平台共建安全生态。
数据显示,2011年至2018年发生的安全事件造成的资金损失高达42亿美元,其中由于智能合约安全事件造成的损失占据1/3,由此可以看出智能合约安全问题的严重性。而随着区块链落地应用的大量爆发,潜在的安全问题更是不容忽视。
以以太坊为例,智能合约安全漏洞就有数十大类,30多小类。
智能合约的初衷是建立人与人之间的信任基础,如果自身的安全性和功能的正确性得不到保障,这个程序就很难值得信任。如何有效解决智能合约的安全问题,是行业值得深入探讨的。
作为一家专门从事区块链安全的公司,成都链安科技采用形式化验证的方法对智能合约安全进行一键式安全检测。
形式化验证,是根据某个或某些形式规范或属性,使用数学的方法证明其正确或非正确。它是一个系统化的过程,将使用数学推理来验证设计意图(用户功能需求)在实现(智能合约)中是否得以正确贯彻。
此前,形式化验证通常被用于对航空、航天、军事控制系统的关键程序的功能正确性和安全性验证,以确保系统可以通过极其苛刻的安全级别认证。由于区块链系统涉及大量的资金交易,采用形式化验证技术为区块链系统的代码提供“军事级”的安全检测就显得至关重要了。
在对代码安全性检测方面,与形式化验证对立的是“测试”。
测试的弊端是没办法穷举,只能显示已经存在的bug,但永远不能证明bug一定不存在。形式化验证是通过数学推理的证明方法,能够保证一定不存在指定属性的安全问题,并且能够证明程序是否正确地满足功能需求和设计目标。
形式化验证通常分三个步骤:
第一步,对系统功能需求和设计建立形式化的规范; 第二步,对代码实现进行形式化的建模,包括对系统的状态进行形式化的描述,还有每个函数的功能要进行描述,并且给出每一个功能所需要满足的前后的条件; 第三步,通过定理辅助证明器,证明代码实现是否正确满足形式化规范,以此证明功能是否符合预期。
但实际上,这里边有大量的人工参与,效率是非常低的,同时成本也是非常高的。
据杨霞透露,此前她在给军事领域做形式化验证的时候是按照代码行数收费的,在给区块链系统做形式化验证的时候,刚开始用的是人工手段,验证一个600-700行的智能合约就花了一周左右的时间。
显然,这样做根本无法实现工程化的需要。为此,成都链安科技经过近两年的潜心研发,推出了自动形式化验证平台VaaS,能够把代码自动进行建模,自动推理证明。
VaaS在验证智能合约的时候,分两部分,一部分是安全属性验证,一部分是功能正确性验证。
对安全属性验证,首先把智能合约代码自动化进行建模,然后对常规智能合约的安全漏洞建立模型。
对功能正确性验证,必需要人工参与,目前业界还达不到脱离人工参与的水平。VaaS在对工程正确性验证的部分,先对用户的代码和功能的描述进行抽象,自动化建模。之后再通过形式化验证专家进行前置条件后置条件的定义,然后用辅助证明器去证明。
有了这两个基础之后,就能够实现一键式的自动化形式化验证。
据杨霞介绍,VaaS是目前国际上最领先的形式化验证产品,可以支持以太坊、Fabric、BCOS、蚂蚁BaaS等多个区块链平台,精确率可以达到95%以上。而且可以一键式自动化精确定位出代码的漏洞以及所在位置。
此外,成都链安科技还推出了鹰眼安全态势感知系统(Beosin-Eagle Eye),采用大数据、人工智能的方法,为区块链上的数据和资产提供安全实时预警和监控,保护用户的资产安全。 另外推出了智能合约开发平台(Beosin-IDE),为区块链平台定制化智能合约的开发环境。
可以看出,成都链安科技从区块链开发、安全检测到运行时的安全监控,构筑了一体化的完整防护体系。
凭借在区块链安全领域过硬的技术实力,成都链安科技赢得了大厂的青睐,蚂蚁区块链的专家禁不住盛赞:
“可以毫不夸张的说,你们的安全产品的确是全球范围内最好的!”
成都链安科技也顺利成为蚂蚁区块链创新大赛的安全合作伙伴,为蚂蚁BaaS平台定制智能合约自动化形式验证的平台,可以一键式检测常规安全问题,为蚂蚁BaaS平台的区块链应用程序提供深度的安全审计和服务。
据杨霞透露,这个新的平台预计会在6月份开发出来,并且入驻蚂蚁BaaS平台。
同时,在6月6日,成都链安科技参与协办蚂蚁区块链创新大赛成都站Road Show(报名链接:活动报名链接:https://www.huodongxing.com/event/3494458774400),欢迎各界对区块链感兴趣的朋友使用蚂蚁BaaS平台进行区块链的应用开发,可以扫描下面的二维码进群交流。
(钉钉扫码进入大赛群)
欢迎大家体验:
一、智能合约自动形式化验证平台VaaS精简版,准确率达到95%以上
Beosin(成都链安科技)已向全球发布VaaS平台,全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台,准确率达到95%以上。
VaaS(精简版)系统为所有区块链从业者提供方便而免费的智能合约安全审计服务,对智能合约安全漏洞进行形式化验证,从容应对常规合约安全问题。欢迎大家登陆官方网址体验:
官方网址:
https://beosin.com/vaas/index.html#/audit/ptsj
▲VaaS 精简版平台
二、在线 Beosin-IDE 免费版本
Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境,可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。
欢迎大家免费体验:通过浏览器访问
https://beosin.com/BEOSIN-IDE/index.html#/
(如下图,推荐Chrome浏览器)。
▲Beosin EOS-IDE
Beosin官方发表正式声明:
为了全球化市场战略需要,公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司,“Beosin”力求为行业保驾护航,以打造区块链全生态安全为宗旨,竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp安全加固与审计、区块链平台安全审计、交易所安全检测、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图:
近期,有XX链安科技与成都链安科技重名,且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司,与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌,谨防上当受骗,一切消息以官网及官方公众号为准。
成都链安科技官方公众号名称:Beosin成都链安
成都链安科技官方网址:
www.lianantech.com
——Beosin
关于Beosin:
Beosin(成都链安)成立于2018年,公司位于四川省成都市,专注于区块链生态安全。公司由杨霞和郭文生两位教授共同创建,团队核心成员由来自海内外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。已获得分布式资本、界石资本、盘古创富等著名投资机构的两轮股权投资。其核心技术为形式化验证,是全球最早一批将此技术应用到区块链安全领域的公司。
公司首批入选Etherscan智能合约审计推荐名单及普华永道创新加速器,荣获全国首届中小微企业SaaS应用创新创业大赛冠军,获得OKEx最佳安全审计合作伙伴奖等荣誉,参加工信部多项区块链安全标准的撰写,入选工信部“2018区块链白皮书”,作为唯一安全公司入选“2018中国区块链企业百强榜”,荣膺金色财经“2018年度最专业安全服务机构”、“2019中国区块链安全领军企业”称号,荣获火星财经“最佳区块链数据安全团队”奖项,成为2019年区块链技术与数据安全工业和信息化部重点实验室成员单位。已与Huobi、OKEx、KuCoin、CoinBene、CoinTiger、ONT、Qtum、比原链、Wanchain、BOS、Scry、布比区块链、云象区块链、QuarkChain、麦子钱包、EOSPark等共计超过50家区块链公司建立战略合作关系,审计报告被国内外各大知名交易所认可,为助力本体智能合约安全发布形式化验证平台VaaS-ONT。公司审计智能合约超500份,独立发现区块链安全漏洞几十种,获得行业及客户的一致好评和认可。让区块链生态更安全,是我们的美好愿景!
「Beosin」
作为Huobi、OKEx、KuCoin
CoinBene、CoinTiger等
著名交易所指定的合约审计公司。
入选Etherscan智能合约安全审计名单。
欢迎联系Beosin,了解智能合约安全审计
智能合约开发审计一条龙
钱包安全审计
DApp安全加固与审计
区块链平台安全审计
交易所安全检测
安全产品定制化服务
企业级安全服务
·
电话:028-83262585
网站:www.lianantech.com
邮箱:vaas@lianantech.com
地址:成都市世纪城南路599号
天府软件园D7座504室
官网:
https://www.lianantech.com
GitHub网址:
https://github.com/Lianantech/VCA
Facebook网址:
https://www.facebook.com/BeosinChengdu/
twitter网址:
https://twitter.com/Beosin_com
Telegram中文群:
https://t.me/LiananTech_cn
Telegram英文群:
https://t.me/LiananTech_en
微博:
https://weibo.com/u/6566884467
CSDN博客:
https://blog.csdn.net/CDLianan
知乎专栏:
点击了解更多
4117
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
