“區塊鏈行業缺乏監管帶來的問題,(比如)遇到資產被盜和資產跑路,遇到這些事情怎麼辦,總要有人解決這些問題。我們作為一個安全公司,有職責做好這件事情。”
9月16日,在2019上海區塊鏈國際週Demo day的現場,成都鏈安科技有限公司創始人&CEO,電子科技大學副教授、博士後楊霞詳細分析了行業的六大安全問題,並介紹了Beosin一站式安全平台如何為行業健康發展護航。 PANews作為合作媒體在現場進行報導。
現在區塊鏈行業的安全現在是什麼?楊霞將安全事件歸納為六大方面,首先是系統漏洞引起的損失,僅今年就高達30多億美元。第二是由用戶使用不當的引起的,比如私鑰被盜丟失等。第三是網絡犯罪,損失已經超過50多億美元,這樣的案件不完全統計多達500多件。其次還有暗網黑市交易、洗錢、資金盤和傳銷盤。
楊霞認為其中的一些問題是由於區塊鏈行業缺乏監管造成的,而安全公司可以通過技術補位監管,“我們研發出了Beosin一站式安全平台。從各個維度提供我們一系列的產品,希望通過我們的一點努力,讓這個行業能夠健康發展,貢獻我們一點點力量。”
目前,成都鏈安已經提供了包括VaaS智能合約形式化驗證技術、鷹眼安全態勢感知、Auditing反洗錢系統、威脅情報系統、Eag Le Eye、大數據追踪、AML、防火牆等多項安全技術,為區塊鏈提供安全審計、資產追溯、隱私保護、安全諮詢、安全防護等全面的支持和服務。
以下是演講內容:
非常感謝萬向給我們這樣的機會。自2016年我第一次站在這個地方,今年是第三次。 2016年的時候,我帶來的是作為全球最早將形式化驗證技術,代入到區塊鏈的技術,2016年是智能合約與形式化驗證。 2017年是面向智能合約的自動化形式化驗證平台VaaS。今年帶來的是什麼呢?我們經過三年的打造,今年給大家帶來的是一站式的面向區塊鏈的安全服務平台。首先有一個視頻,跟大家分享一下,也是一個工作匯報。每年在這裡進行工作匯報,是我們的一個習慣。
我今天分三個部分,首先花一點時間介紹一下我們公司。我們公司是去年成立的,也是全球最的專門從事區塊鏈安全的團隊,目前也是最大的從事區塊鏈安全的團隊,由我和兩位博士聯合創立。我們公司自成立以來,從死形式化的技術研究,現在建立了一站式的區塊鏈安全平台。為區塊鏈提供安全審計、資產追溯、隱私保護、安全諮詢、安全防護等全面的支持和服務。我們的安全審計是面向區塊鏈的全生態,我們為全球十幾個鏈平台和區塊鏈應用系統,這裡麵包括供應鏈金融、DIFI、區塊鏈遊戲等等,這些都到我們的安全審計和安全防護。我們目前已經和螞蟻金服、微眾銀行、萬向集團、本體等國內外知名100多家企業建立了。深度合作關係。我們累計發現了區塊鏈安全漏洞多達十幾種,我們參與了工信部的多項區塊鏈標准或白皮書的撰寫,獲得了全國SaaS創新應用大賽的冠軍,當時有300多家企業參賽,我們的自動形式化驗證產品VaaS獲得了冠軍,也是對我們工作的認可。我們是中國區塊鏈企業百強,我們和CSDN聯合出版了第一部區塊鏈安全的專注。
現在大家關心的是區塊鏈現在的安全現狀是什麼,作為一個專門從事區塊鏈安全的公司,我們跟大家一樣非常重視安全問題。在這裡面通過六方面跟大家解釋一下區塊鏈安全有哪些問題。平常看到的被盜、資產跑路,這些問題有多嚴重呢?拿數據來說話。首先系統漏洞引起的損失,這是從區塊鏈產生到現在由系統漏洞引起了損失蠻大的,今年來講由區塊鏈漏洞引起了損失高達30多億美元。從2011年到2018年,有區塊鏈技術到現在損失高達90多億美元。由用戶使用不當的引起的,像私鑰被盜、賬號丟失。第三個是網絡犯罪,這個也蠻嚴重的。我們經常收到客戶向我們求救,說最近被勒索病毒盯上了。前一段時間說,楊教授能不能幫我解決一下?因為一不小心點了郵件,中了勒索病毒,讓他支付一定的BTC。這樣的損失已經超過了50多億美元,而且這樣的案件不完全統計是500多件。還有暗網的黑市交易,也有很多。對於暗網的跟數字貨幣相關的事件,我們也在關注。從2017年到2019年這三年,每年有超過8億美元以上的數字貨幣流入暗網交易市場,在裡面賣藥、賣軍火、賣各種東西。還有洗錢,利用數字貨幣進行洗錢,全球的涉案資金達到了將近60億美元。這樣利用數字貨幣洗錢超過了100億人民幣,還有傳銷盤和資金盤。從2018年總共出現了400多種傳銷幣和空氣幣,傷害了在座不少朋友的投資熱情。 2019年被騙的資金額超過了60億多。
這四大問題,說明區塊鏈行業缺乏監管帶來的問題。遇到資產被盜和資產跑路,遇到這些事情怎麼辦,總要有人解決這些問題。我們作為一個安全公司,有職責做好這件事情,因此區塊鏈面臨的問題,我們研發出了Beosin一站式安全平台。從各個維度提供我們一系列的產品,希望通過我們的一點努力,讓這個行業能夠健康發展,貢獻我們一點點力量。
首先VaaS智能合約形式化驗證技術使代碼趨近於零漏洞,避免系統被攻擊。我們的安全審計為智能合約底層鏈平台和區塊鏈供應鏈應用系統,進行深度的安全審計和檢測。因為我們的目標,在你的系統上線運行之前,通過我們的安全審計盡可能發現更多的安全問題,然後協助你解決這些問題,讓你預防這些安全的損失。
這是鷹眼安全態勢感知,為區塊鏈平台和DIFI、區塊鏈遊戲這些項目,來提供預警和報警。再加上我們的防火牆安全阻斷,當我們發現有人正在嘗試攻擊你,或者對你進行非法惡意操作,我們的防火牆將會進行及時阻斷,不需要人盯著,我們系統365天無死角、 24小時進行監控。
這是Auditing反洗錢系統,這個系統便於監管需要。比如資產被盜了,項目跑路了。這些錢去了哪裡?如何追踪、如何追回?這是我們需要解決的問題,所以這是Auditing數字貨幣追踪系統。
威脅情報系統。因為全球隨時都在發生安全事件,對於安全事件從業人員都非常關注,比如我是個公鏈平台,我是個應用,想知道全球範圍內有哪些安全事件在發生,會不會對我們系統帶來危害。因為我們推出了威脅情報系統,能夠及時定向精準推送給你在什麼時候,又發生了什麼事情,這個事情跟你有沒有關係。所以我們希望通過我們的一站式安全服務平台,各大產品和服務的支持,能夠為這個行業做點事情。
大家知道成都鏈安科技,知道我們的VaaS,VaaS是全球精度最高的,如果在座有哪位朋友不信,可以去市面找,如果找到了,可以來找我,這一點我是非常自信的。因為我們一直堅持做這件事情,經過多年打造,已經將智能合約形式化自動化能力做到最高了,對代碼的自動化檢測精度超過97%,而且我們已經支持多個鏈平台。你只需要把代碼導入我們平台,點一下按鈕就會自動檢測出幾十項安全問題。在技術上我們採用多種形式化驗證技術,我們的自動化也是最好的,一鍵自動檢測出代碼安全問題,並且精確定位到代碼所在的位置,能夠給用戶提供非常及時準確的定位,幫助你及時解決這些問題。我們是從原代碼到字節碼的完整檢測這是我們是申請了專利的。目前我們支持了多鏈平台,像螞蟻平台的Baas平台、微眾銀行的BCOS平台、Fabric、EOS、ONT等等。我們檢測能力有30多項智能合約安全問題,檢測精度全球最高。
在安全審計方面,目前已經為全球上千個智能合約提供安全審計服務,採用我們的形式化驗證技術。我們審過的項目裡面,審完的每一個項目,沒有誰說鏈安審完了,還有問題,目前沒有這樣的案例。因為我們採用了非常嚴格的形式化驗證技術,做的智能合約審計。
還有公鏈系統,有一些主流的好的項目,都通過了我們的安全審計。還有底層鏈平台,我們採用黑盒、灰盒、白盒等多種安全檢測技術,對區塊鏈的底層平台進行安全審計。對於核心代碼採用形式化驗證。 APP方面,通過移動端的檢測。在安全審計方面,為區塊鏈全生態的安全來服務。
這是硬件系統,是Eag Le Eye ,為區塊鏈的應用提供24小時的安全加運維的態勢感知,風險預警和報警。目前支持多個主流區塊鏈平台,已經有大量的項目得到的鷹眼的安全保護。大家有沒有發現最近區塊鏈遊戲被攻擊少了,為什麼呢?因為它們入駐鷹眼了。我們的鷹眼給它及時的預警防護,保護了投資者和玩家的利益。
我們的鷹眼採用人工智能和大數據方法,綜合分析了120多萬以上的賬號交易行為,對主流公鏈超過3億筆的交易的分析建模,建立了30種分析模型,海量的黑名單、白名單地址庫,再加上主流鏈平台上全量大數據分析,為用戶提供了多級的分類預警和檢測、分析、預警、處置的全流程安全管理,再加上24時小的安全運維和預警報警。
這是剛剛說的資產追溯。我們通過大數據的分析方法,對主流鏈的這些數據的交易行為進行全面的追踪和分析。結合我們的豐富的標籤庫,比如對主鏈的溯源,做到反洗錢和監管的目的。通過一個地址,你給我一個地址,非法者通過混幣等其他惡意手段,把地址延伸到上萬個地址。無論他怎麼操作,通過我們的系統可以把整個流程梳理出來,最近定位到資金的流向,查找到這個資金到了哪,該找誰要回這個資金。
這是我們的AML,已經支持了多個主鏈的系統,比如BTC、ETH、EOS的信息的採集。對製定賬號的資金去向,我們可以精准進行推送,我們累計了海量的異常地址標籤。我們已經有不少客戶被盜之後找到我們,我們已經第一時間幫他解決了相應的問題。
這是我們的防火牆,防火牆跟我們的鷹眼可以配套使用,入駐鷹眼之後可以選擇使用我們的防火牆。我們的防火牆非常簡單,不需要修改你的代碼,只需要加入一個很小的改變,就可以做到對應用的安全防護,可以自動阻斷攻擊和羊毛黨的惡意行為。為區塊鏈的應用的落地保駕護航,為區塊鏈應用保駕護航是我們的一直努力的分方向,我們希望可以通過各項努力,達到這個目標。
這是我們的威脅情報,也是行業安全事件太多了,很多朋友講,有沒有這樣的資訊來提供這樣的支持,我們就做了。我們將全球的海量安全資訊和情報,能夠用大數據和人工智能的方法,自動整理和提取體特徵,並且精准定向推送到需要的客戶手裡。現在已經有很多項目方和客戶,在等待我們的定向推送。
我們的威脅情報是實時全鏈的檢測,及時預警,可以做到秒級,第一時間發現,第一時間推送。我們定的是精準的推送,是你需要的、感興趣的、跟你相關的情報。有了情報之後,想進一步知道這個情報對你有沒有危害。如果有危害的話,將如何解決,我們再幫你做深入直觀地分析。