“区块链行业缺乏监管带来的问题,(比如)遇到资产被盗和资产跑路,遇到这些事情怎么办,总要有人解决这些问题。我们作为一个安全公司,有职责做好这件事情。”

9月16日,在2019上海区块链国际周Demo day的现场,成都链安科技有限公司创始人&CEO,电子科技大学副教授、博士后杨霞详细分析了行业的六大安全问题,并介绍了Beosin一站式安全平台如何为行业健康发展护航。PANews作为合作媒体在现场进行报道。

 WechatIMG52.jpeg

现在区块链行业的安全现在是什么?杨霞将安全事件归纳为六大方面,首先是系统漏洞引起的损失,仅今年就高达30多亿美元。第二是由用户使用不当的引起的,比如私钥被盗丢失等。第三是网络犯罪,损失已经超过50多亿美元,这样的案件不完全统计多达500多件。其次还有暗网黑市交易、洗钱、资金盘和传销盘。

杨霞认为其中的一些问题是由于区块链行业缺乏监管造成的,而安全公司可以通过技术补位监管,“我们研发出了Beosin一站式安全平台。从各个维度提供我们一系列的产品,希望通过我们的一点努力,让这个行业能够健康发展,贡献我们一点点力量。”

目前,成都链安已经提供了包括VaaS智能合约形式化验证技术、鹰眼安全态势感知、Auditing反洗钱系统、威胁情报系统、Eag Le Eye、大数据追踪、AML、防火墙等多项安全技术,为区块链提供安全审计、资产追溯、隐私保护、安全咨询、安全防护等全面的支持和服务。

以下是演讲内容:

非常感谢万向给我们这样的机会。自2016年我第一次站在这个地方,今年是第三次。2016年的时候,我带来的是作为全球最早将形式化验证技术,代入到区块链的技术,2016年是智能合约与形式化验证。2017年是面向智能合约的自动化形式化验证平台VaaS。今年带来的是什么呢?我们经过三年的打造,今年给大家带来的是一站式的面向区块链的安全服务平台。首先有一个视频,跟大家分享一下,也是一个工作汇报。每年在这里进行工作汇报,是我们的一个习惯。

我今天分三个部分,首先花一点时间介绍一下我们公司。我们公司是去年成立的,也是全球最的专门从事区块链安全的团队,目前也是最大的从事区块链安全的团队,由我和两位博士联合创立。我们公司自成立以来,从死形式化的技术研究,现在建立了一站式的区块链安全平台。为区块链提供安全审计、资产追溯、隐私保护、安全咨询、安全防护等全面的支持和服务。我们的安全审计是面向区块链的全生态,我们为全球十几个链平台和区块链应用系统,这里面包括供应链金融、DIFI、区块链游戏等等,这些都到我们的安全审计和安全防护。我们目前已经和蚂蚁金服、微众银行、万向集团、本体等国内外知名100多家企业建立了。深度合作关系。我们累计发现了区块链安全漏洞多达十几种,我们参与了工信部的多项区块链标准或白皮书的撰写,获得了全国SaaS创新应用大赛的冠军,当时有300多家企业参赛,我们的自动形式化验证产品VaaS获得了冠军,也是对我们工作的认可。我们是中国区块链企业百强,我们和CSDN联合出版了第一部区块链安全的专注。

现在大家关心的是区块链现在的安全现状是什么,作为一个专门从事区块链安全的公司,我们跟大家一样非常重视安全问题。在这里面通过六方面跟大家解释一下区块链安全有哪些问题。平常看到的被盗、资产跑路,这些问题有多严重呢?拿数据来说话。首先系统漏洞引起的损失,这是从区块链产生到现在由系统漏洞引起了损失蛮大的,今年来讲由区块链漏洞引起了损失高达30多亿美元。从2011年到2018年,有区块链技术到现在损失高达90多亿美元。由用户使用不当的引起的,像私钥被盗、账号丢失。第三个是网络犯罪,这个也蛮严重的。我们经常收到客户向我们求救,说最近被勒索病毒盯上了。前一段时间说,杨教授能不能帮我解决一下?因为一不小心点了邮件,中了勒索病毒,让他支付一定的BTC。这样的损失已经超过了50多亿美元,而且这样的案件不完全统计是500多件。还有暗网的黑市交易,也有很多。对于暗网的跟数字货币相关的事件,我们也在关注。从2017年到2019年这三年,每年有超过8亿美元以上的数字货币流入暗网交易市场,在里面卖药、卖军火、卖各种东西。还有洗钱,利用数字货币进行洗钱,全球的涉案资金达到了将近60亿美元。这样利用数字货币洗钱超过了100亿人民币,还有传销盘和资金盘。从2018年总共出现了400多种传销币和空气币,伤害了在座不少朋友的投资热情。2019年被骗的资金额超过了60亿多。

这四大问题,说明区块链行业缺乏监管带来的问题。遇到资产被盗和资产跑路,遇到这些事情怎么办,总要有人解决这些问题。我们作为一个安全公司,有职责做好这件事情,因此区块链面临的问题,我们研发出了Beosin一站式安全平台。从各个维度提供我们一系列的产品,希望通过我们的一点努力,让这个行业能够健康发展,贡献我们一点点力量。

首先VaaS智能合约形式化验证技术使代码趋近于零漏洞,避免系统被攻击。我们的安全审计为智能合约底层链平台和区块链供应链应用系统,进行深度的安全审计和检测。因为我们的目标,在你的系统上线运行之前,通过我们的安全审计尽可能发现更多的安全问题,然后协助你解决这些问题,让你预防这些安全的损失。

这是鹰眼安全态势感知,为区块链平台和DIFI、区块链游戏这些项目,来提供预警和报警。再加上我们的防火墙安全阻断,当我们发现有人正在尝试攻击你,或者对你进行非法恶意操作,我们的防火墙将会进行及时阻断,不需要人盯着,我们系统365天无死角、24小时进行监控。

这是Auditing反洗钱系统,这个系统便于监管需要。比如资产被盗了,项目跑路了。这些钱去了哪里?如何追踪、如何追回?这是我们需要解决的问题,所以这是Auditing数字货币追踪系统。

威胁情报系统。因为全球随时都在发生安全事件,对于安全事件从业人员都非常关注,比如我是个公链平台,我是个应用,想知道全球范围内有哪些安全事件在发生,会不会对我们系统带来危害。因为我们推出了威胁情报系统,能够及时定向精准推送给你在什么时候,又发生了什么事情,这个事情跟你有没有关系。所以我们希望通过我们的一站式安全服务平台,各大产品和服务的支持,能够为这个行业做点事情。

大家知道成都链安科技,知道我们的VaaS,VaaS是全球精度最高的,如果在座有哪位朋友不信,可以去市面找,如果找到了,可以来找我,这一点我是非常自信的。因为我们一直坚持做这件事情,经过多年打造,已经将智能合约形式化自动化能力做到最高了,对代码的自动化检测精度超过97%,而且我们已经支持多个链平台。你只需要把代码导入我们平台,点一下按钮就会自动检测出几十项安全问题。在技术上我们采用多种形式化验证技术,我们的自动化也是最好的,一键自动检测出代码安全问题,并且精确定位到代码所在的位置,能够给用户提供非常及时准确的定位,帮助你及时解决这些问题。我们是从原代码到字节码的完整检测这是我们是申请了专利的。目前我们支持了多链平台,像蚂蚁平台的Baas平台、微众银行的BCOS平台、Fabric、EOS、ONT等等。我们检测能力有30多项智能合约安全问题,检测精度全球最高。

在安全审计方面,目前已经为全球上千个智能合约提供安全审计服务,采用我们的形式化验证技术。我们审过的项目里面,审完的每一个项目,没有谁说链安审完了,还有问题,目前没有这样的案例。因为我们采用了非常严格的形式化验证技术,做的智能合约审计。

还有公链系统,有一些主流的好的项目,都通过了我们的安全审计。还有底层链平台,我们采用黑盒、灰盒、白盒等多种安全检测技术,对区块链的底层平台进行安全审计。对于核心代码采用形式化验证。APP方面,通过移动端的检测。在安全审计方面,为区块链全生态的安全来服务。

这是硬件系统,是Eag Le Eye ,为区块链的应用提供24小时的安全加运维的态势感知,风险预警和报警。目前支持多个主流区块链平台,已经有大量的项目得到的鹰眼的安全保护。大家有没有发现最近区块链游戏被攻击少了,为什么呢?因为它们入驻鹰眼了。我们的鹰眼给它及时的预警防护,保护了投资者和玩家的利益。

我们的鹰眼采用人工智能和大数据方法,综合分析了120多万以上的账号交易行为,对主流公链超过3亿笔的交易的分析建模,建立了30种分析模型,海量的黑名单、白名单地址库,再加上主流链平台上全量大数据分析,为用户提供了多级的分类预警和检测、分析、预警、处置的全流程安全管理,再加上24时小的安全运维和预警报警。

这是刚刚说的资产追溯。我们通过大数据的分析方法,对主流链的这些数据的交易行为进行全面的追踪和分析。结合我们的丰富的标签库,比如对主链的溯源,做到反洗钱和监管的目的。通过一个地址,你给我一个地址,非法者通过混币等其他恶意手段,把地址延伸到上万个地址。无论他怎么操作,通过我们的系统可以把整个流程梳理出来,最近定位到资金的流向,查找到这个资金到了哪,该找谁要回这个资金。

这是我们的AML,已经支持了多个主链的系统,比如BTC、ETH、EOS的信息的采集。对制定账号的资金去向,我们可以精准进行推送,我们累计了海量的异常地址标签。我们已经有不少客户被盗之后找到我们,我们已经第一时间帮他解决了相应的问题。

这是我们的防火墙,防火墙跟我们的鹰眼可以配套使用,入驻鹰眼之后可以选择使用我们的防火墙。我们的防火墙非常简单,不需要修改你的代码,只需要加入一个很小的改变,就可以做到对应用的安全防护,可以自动阻断攻击和羊毛党的恶意行为。为区块链的应用的落地保驾护航,为区块链应用保驾护航是我们的一直努力的分方向,我们希望可以通过各项努力,达到这个目标。

这是我们的威胁情报,也是行业安全事件太多了,很多朋友讲,有没有这样的资讯来提供这样的支持,我们就做了。我们将全球的海量安全资讯和情报,能够用大数据和人工智能的方法,自动整理和提取体特征,并且精准定向推送到需要的客户手里。现在已经有很多项目方和客户,在等待我们的定向推送。

我们的威胁情报是实时全链的检测,及时预警,可以做到秒级,第一时间发现,第一时间推送。我们定的是精准的推送,是你需要的、感兴趣的、跟你相关的情报。有了情报之后,想进一步知道这个情报对你有没有危害。如果有危害的话,将如何解决,我们再帮你做深入直观地分析。