成都鏈安楊霞：區塊鏈的六大安全問題與防範

PANews ｜2019-09-16 13:56

本文是上海區塊鏈週系列報導。 9月16日，在2019上海區塊鏈國際週Demo day的現場，成都鏈安科技有限公司創始人&CEO，電子科技大學副教授、博士後楊霞詳細分析了區塊鏈行業目前遭遇的六大安全問題，以及安全公司提供的防範工具。

“區塊鏈行業缺乏監管帶來的問題，（比如）遇到資產被盜和資產跑路，遇到這些事情怎麼辦，總要有人解決這些問題。我們作為一個安全公司，有職責做好這件事情。”

9月16日，在2019上海區塊鏈國際週Demo day的現場，成都鏈安科技有限公司創始人&CEO，電子科技大學副教授、博士後楊霞詳細分析了行業的六大安全問題，並介紹了Beosin一站式安全平台如何為行業健康發展護航。 PANews作為合作媒體在現場進行報導。

現在區塊鏈行業的安全現在是什麼？楊霞將安全事件歸納為六大方面，首先是系統漏洞引起的損失，僅今年就高達30多億美元。第二是由用戶使用不當的引起的，比如私鑰被盜丟失等。第三是網絡犯罪，損失已經超過50多億美元，這樣的案件不完全統計多達500多件。其次還有暗網黑市交易、洗錢、資金盤和傳銷盤。

楊霞認為其中的一些問題是由於區塊鏈行業缺乏監管造成的，而安全公司可以通過技術補位監管，“我們研發出了Beosin一站式安全平台。從各個維度提供我們一系列的產品，希望通過我們的一點努力，讓這個行業能夠健康發展，貢獻我們一點點力量。”

目前，成都鏈安已經提供了包括VaaS智能合約形式化驗證技術、鷹眼安全態勢感知、Auditing反洗錢系統、威脅情報系統、Eag Le Eye、大數據追踪、AML、防火牆等多項安全技術，為區塊鏈提供安全審計、資產追溯、隱私保護、安全諮詢、安全防護等全面的支持和服務。

以下是演講內容：

非常感謝萬向給我們這樣的機會。自2016年我第一次站在這個地方，今年是第三次。 2016年的時候，我帶來的是作為全球最早將形式化驗證技術，代入到區塊鏈的技術，2016年是智能合約與形式化驗證。 2017年是面向智能合約的自動化形式化驗證平台VaaS。今年帶來的是什麼呢？我們經過三年的打造，今年給大家帶來的是一站式的面向區塊鏈的安全服務平台。首先有一個視頻，跟大家分享一下，也是一個工作匯報。每年在這裡進行工作匯報，是我們的一個習慣。

我今天分三個部分，首先花一點時間介紹一下我們公司。我們公司是去年成立的，也是全球最的專門從事區塊鏈安全的團隊，目前也是最大的從事區塊鏈安全的團隊，由我和兩位博士聯合創立。我們公司自成立以來，從死形式化的技術研究，現在建立了一站式的區塊鏈安全平台。為區塊鏈提供安全審計、資產追溯、隱私保護、安全諮詢、安全防護等全面的支持和服務。我們的安全審計是面向區塊鏈的全生態，我們為全球十幾個鏈平台和區塊鏈應用系統，這裡麵包括供應鏈金融、DIFI、區塊鏈遊戲等等，這些都到我們的安全審計和安全防護。我們目前已經和螞蟻金服、微眾銀行、萬向集團、本體等國內外知名100多家企業建立了。深度合作關係。我們累計發現了區塊鏈安全漏洞多達十幾種，我們參與了工信部的多項區塊鏈標准或白皮書的撰寫，獲得了全國SaaS創新應用大賽的冠軍，當時有300多家企業參賽，我們的自動形式化驗證產品VaaS獲得了冠軍，也是對我們工作的認可。我們是中國區塊鏈企業百強，我們和CSDN聯合出版了第一部區塊鏈安全的專注。

現在大家關心的是區塊鏈現在的安全現狀是什麼，作為一個專門從事區塊鏈安全的公司，我們跟大家一樣非常重視安全問題。在這裡面通過六方面跟大家解釋一下區塊鏈安全有哪些問題。平常看到的被盜、資產跑路，這些問題有多嚴重呢？拿數據來說話。首先系統漏洞引起的損失，這是從區塊鏈產生到現在由系統漏洞引起了損失蠻大的，今年來講由區塊鏈漏洞引起了損失高達30多億美元。從2011年到2018年，有區塊鏈技術到現在損失高達90多億美元。由用戶使用不當的引起的，像私鑰被盜、賬號丟失。第三個是網絡犯罪，這個也蠻嚴重的。我們經常收到客戶向我們求救，說最近被勒索病毒盯上了。前一段時間說，楊教授能不能幫我解決一下？因為一不小心點了郵件，中了勒索病毒，讓他支付一定的BTC。這樣的損失已經超過了50多億美元，而且這樣的案件不完全統計是500多件。還有暗網的黑市交易，也有很多。對於暗網的跟數字貨幣相關的事件，我們也在關注。從2017年到2019年這三年，每年有超過8億美元以上的數字貨幣流入暗網交易市場，在裡面賣藥、賣軍火、賣各種東西。還有洗錢，利用數字貨幣進行洗錢，全球的涉案資金達到了將近60億美元。這樣利用數字貨幣洗錢超過了100億人民幣，還有傳銷盤和資金盤。從2018年總共出現了400多種傳銷幣和空氣幣，傷害了在座不少朋友的投資熱情。 2019年被騙的資金額超過了60億多。

這四大問題，說明區塊鏈行業缺乏監管帶來的問題。遇到資產被盜和資產跑路，遇到這些事情怎麼辦，總要有人解決這些問題。我們作為一個安全公司，有職責做好這件事情，因此區塊鏈面臨的問題，我們研發出了Beosin一站式安全平台。從各個維度提供我們一系列的產品，希望通過我們的一點努力，讓這個行業能夠健康發展，貢獻我們一點點力量。

首先VaaS智能合約形式化驗證技術使代碼趨近於零漏洞，避免系統被攻擊。我們的安全審計為智能合約底層鏈平台和區塊鏈供應鏈應用系統，進行深度的安全審計和檢測。因為我們的目標，在你的系統上線運行之前，通過我們的安全審計盡可能發現更多的安全問題，然後協助你解決這些問題，讓你預防這些安全的損失。

這是鷹眼安全態勢感知，為區塊鏈平台和DIFI、區塊鏈遊戲這些項目，來提供預警和報警。再加上我們的防火牆安全阻斷，當我們發現有人正在嘗試攻擊你，或者對你進行非法惡意操作，我們的防火牆將會進行及時阻斷，不需要人盯著，我們系統365天無死角、 24小時進行監控。

這是Auditing反洗錢系統，這個系統便於監管需要。比如資產被盜了，項目跑路了。這些錢去了哪裡？如何追踪、如何追回？這是我們需要解決的問題，所以這是Auditing數字貨幣追踪系統。

威脅情報系統。因為全球隨時都在發生安全事件，對於安全事件從業人員都非常關注，比如我是個公鏈平台，我是個應用，想知道全球範圍內有哪些安全事件在發生，會不會對我們系統帶來危害。因為我們推出了威脅情報系統，能夠及時定向精準推送給你在什麼時候，又發生了什麼事情，這個事情跟你有沒有關係。所以我們希望通過我們的一站式安全服務平台，各大產品和服務的支持，能夠為這個行業做點事情。

大家知道成都鏈安科技，知道我們的VaaS，VaaS是全球精度最高的，如果在座有哪位朋友不信，可以去市面找，如果找到了，可以來找我，這一點我是非常自信的。因為我們一直堅持做這件事情，經過多年打造，已經將智能合約形式化自動化能力做到最高了，對代碼的自動化檢測精度超過97%，而且我們已經支持多個鏈平台。你只需要把代碼導入我們平台，點一下按鈕就會自動檢測出幾十項安全問題。在技術上我們採用多種形式化驗證技術，我們的自動化也是最好的，一鍵自動檢測出代碼安全問題，並且精確定位到代碼所在的位置，能夠給用戶提供非常及時準確的定位，幫助你及時解決這些問題。我們是從原代碼到字節碼的完整檢測這是我們是申請了專利的。目前我們支持了多鏈平台，像螞蟻平台的Baas平台、微眾銀行的BCOS平台、Fabric、EOS、ONT等等。我們檢測能力有30多項智能合約安全問題，檢測精度全球最高。

在安全審計方面，目前已經為全球上千個智能合約提供安全審計服務，採用我們的形式化驗證技術。我們審過的項目裡面，審完的每一個項目，沒有誰說鏈安審完了，還有問題，目前沒有這樣的案例。因為我們採用了非常嚴格的形式化驗證技術，做的智能合約審計。

還有公鏈系統，有一些主流的好的項目，都通過了我們的安全審計。還有底層鏈平台，我們採用黑盒、灰盒、白盒等多種安全檢測技術，對區塊鏈的底層平台進行安全審計。對於核心代碼採用形式化驗證。 APP方面，通過移動端的檢測。在安全審計方面，為區塊鏈全生態的安全來服務。

這是硬件系統，是Eag Le Eye ，為區塊鏈的應用提供24小時的安全加運維的態勢感知，風險預警和報警。目前支持多個主流區塊鏈平台，已經有大量的項目得到的鷹眼的安全保護。大家有沒有發現最近區塊鏈遊戲被攻擊少了，為什麼呢？因為它們入駐鷹眼了。我們的鷹眼給它及時的預警防護，保護了投資者和玩家的利益。

我們的鷹眼採用人工智能和大數據方法，綜合分析了120多萬以上的賬號交易行為，對主流公鏈超過3億筆的交易的分析建模，建立了30種分析模型，海量的黑名單、白名單地址庫，再加上主流鏈平台上全量大數據分析，為用戶提供了多級的分類預警和檢測、分析、預警、處置的全流程安全管理，再加上24時小的安全運維和預警報警。

這是剛剛說的資產追溯。我們通過大數據的分析方法，對主流鏈的這些數據的交易行為進行全面的追踪和分析。結合我們的豐富的標籤庫，比如對主鏈的溯源，做到反洗錢和監管的目的。通過一個地址，你給我一個地址，非法者通過混幣等其他惡意手段，把地址延伸到上萬個地址。無論他怎麼操作，通過我們的系統可以把整個流程梳理出來，最近定位到資金的流向，查找到這個資金到了哪，該找誰要回這個資金。

這是我們的AML，已經支持了多個主鏈的系統，比如BTC、ETH、EOS的信息的採集。對製定賬號的資金去向，我們可以精准進行推送，我們累計了海量的異常地址標籤。我們已經有不少客戶被盜之後找到我們，我們已經第一時間幫他解決了相應的問題。

這是我們的防火牆，防火牆跟我們的鷹眼可以配套使用，入駐鷹眼之後可以選擇使用我們的防火牆。我們的防火牆非常簡單，不需要修改你的代碼，只需要加入一個很小的改變，就可以做到對應用的安全防護，可以自動阻斷攻擊和羊毛黨的惡意行為。為區塊鏈的應用的落地保駕護航，為區塊鏈應用保駕護航是我們的一直努力的分方向，我們希望可以通過各項努力，達到這個目標。

這是我們的威脅情報，也是行業安全事件太多了，很多朋友講，有沒有這樣的資訊來提供這樣的支持，我們就做了。我們將全球的海量安全資訊和情報，能夠用大數據和人工智能的方法，自動整理和提取體特徵，並且精准定向推送到需要的客戶手裡。現在已經有很多項目方和客戶，在等待我們的定向推送。

我們的威脅情報是實時全鏈的檢測，及時預警，可以做到秒級，第一時間發現，第一時間推送。我們定的是精準的推送，是你需要的、感興趣的、跟你相關的情報。有了情報之後，想進一步知道這個情報對你有沒有危害。如果有危害的話，將如何解決，我們再幫你做深入直觀地分析。