ETH:鏈安科技創始人楊霞：無懼熊市，安全在任何時候都是剛需_區塊鏈

「干得好，小伙子！」楊霞拍著研發組同學的肩膀，高興地說道。今年11月6日，她創辦的Beosin完成了智能合約形式化驗證平臺VaaS2.0的研發，把行業內智能合約審計的準確度提高到95%以上。

統計數據顯示，2011年~2018年間，智能合約安全事件損失金額達12.4億美元，占該期間區塊鏈安全事件總損失金額的1/3。2016年下半年，楊霞便從智能合約安全入手，采用形式化驗證方法解決區塊鏈安全問題。此前，形式化驗證多用于安全系數要求較高的航空、航天等關鍵領域。

歷時近2年，楊霞帶領團隊發布VaaS平臺。用戶只需把公鏈的合約代碼導入VaaS自動驗證平臺，點擊「開始審計」按鈕，平臺便會審查智能合約的漏洞，審查結果可精確到代碼所在的具體某行，提醒用戶存在安全隱患。

目前，Beosin已與Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原鏈等國內40多家區塊鏈行業公司建立長期戰略合作。截至11月末，公司已完成超500份智能合約的審計工作，實現收支平衡。

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

今年11月初，該公司獲得了界石資本和盤古創富的數百萬美元天使輪投資，資金主要用于全生態區塊鏈安全產品的開發和全球化市場布局。

Onclave Networks獲得美國國家科學基金會資助以增強區塊鏈安全性:11月3日消息，Onclave Networks, Inc.已獲得美國國家科學基金會 (NSF)小型企業創新研究 (SBIR) 的資助，以研究和開發方法，使區塊鏈交易更加安全，并減少其財務和環境成本。（Globe News Wire）[2021/11/3 6:30:06]

注：楊霞承諾文中數據無誤，為內容真實性負責。鉛筆道作客觀真實記錄，已備份速記錄音。

18年的「安全啄木鳥」

安全，一直是楊霞職業生涯的關鍵詞。前18年是面向安全關鍵嵌入式系統，后3年則是區塊鏈安全。

讀書期間，楊霞是名副其實的學霸，一路被保送讀到博士。畢業后，她一邊在大學任教，一邊在系統安全領域從事研究和創業。這期間，楊霞從事形式化驗證、內核安全、移動設備安全、TEE等安全技術研究長達18年,擔任CC國際安全標準成員、CCF區塊鏈專委會委員、CCF形式化驗證專委會委員，發表學術論文30多篇，申請專利20多項。同時，她還圍繞安全領域進行了3次創業。

以太坊聯合創始人：信標鏈安全性對ETH 2.0至關重要:7月17日，以太坊聯合創始人、ConsenSys創始人Joseph Lubin發推稱，信標鏈的安全性對ETH 2.0的成功和ETH 2.0第一階段的順利推出至關重要。Joseph Lubin還表示，ConsenSys正想辦法為信標鏈生態系統作為努力和貢獻。而據Joseph Lubin的說法，ConsenSys正和ethstatus等團隊一起對信標鏈的安全性作出評估。[2020/7/17]

她所做的形式化驗證，就是用數學和邏輯學的方法對代碼的安全屬性進行證明或證偽，通過判斷代碼問題，從而證明這個代碼的實現是否能滿足用戶需求。這種方法相較傳統審計代碼方法具有更高效、更安全的特點，多用于對安全系數要求較高的航空、航天等關鍵領域。

楊霞稱自己是「安全啄木鳥」。在她看來，做安全研究就像是啄木鳥，要不斷地找出bug解決它，保障系統安全，「這個過程就像是啄木鳥要不斷啄蟲子，才能讓樹木健康一樣。」

動態 | 特雷德韋委員會將在2020年發布區塊鏈安全指南:金色財經報道，特雷德韋委員會（Treadway Commission）將為使用區塊鏈技術的公司發布指南。該指南將在2020年發布，以對供應鏈管理和金融服務中的區塊鏈使用加強控制。據悉，特雷德韋委員會成立于1985年，旨在為私營部門的公司治理和風險管理提供建議。其建議是可選的，可用來提供“合理的安全性”。[2019/12/28]

2015年下半年，區塊鏈項目大量涌現的同時，也出現不少安全問題。2016年6月，黑客利用TheDAO項目的智能合約安全漏洞，導致項目方損失約5000萬美元資產。當時，「TheDAO」事件被認為是最大的以太坊智能合約漏洞事件。

「TheDAO」事件后，早已入局區塊鏈的朋友們問起楊霞，可不可以用形式化驗證的方法進行區塊鏈安全的防護？這使楊霞意識到區塊鏈安全問題已經成為一個普遍現象，安全問題將影響區塊鏈行業的發展。她對區塊鏈安全開始產生興趣。

于是，2016年下半年，楊霞便從航空、航天安全轉向了區塊鏈安全研究。通常來說，區塊鏈安全問題主要包括共識機制安全、智能合約安全、錢包安全和交易平臺安全等方面。

金色獨家 數字彗星創始人張東誼：“黑盒加白盒”分析區塊鏈安全:金色財經獨家專訪，針對近期熱議的安全問題， 數字彗星創始人張東誼指出應該用“黑盒加白盒”分析一個項目或者系統的安全性，具體針對不同的項目要有不同的策略。

其中一種是黑盒分析，主要根據項目暴露的接口來測試輸入數據而產生是否正確的輸出信息，如果程序崩潰或者返回異常結果則需要進行下一步詳細分析原因，如果程序內部本身設計有問題則可能需要通過逆向手段通過反匯編分析業務模塊是否有問題；另外一種是白盒分析，主要了解程序內部邏輯結構、對所有邏輯路徑進行測試，檢查是否存在邏輯漏洞、緩沖區溢出漏洞、數組溢出、整數溢出、重入漏洞、處理外部調用錯誤、交易順序依賴、時間戳依賴、條件競爭、權限控制等漏洞。[2018/6/18]

對于Beosin為何選擇智能合約安全方向，楊霞解釋說，智能合約安全事件在區塊鏈安全中影響比較嚴重，由它導致的損失占總損失金額的近1/3；另外，形式化驗證是個復雜的過程，代碼量太大的話會使驗證周期變得很長，剛好智能合約的代碼量都不大，這使得用形式化驗證進行安全審計非常可行。

智能合約安全事件損失金額約占總損失金額的1/3

目前，針對智能合約的安全驗證主要有兩種。一種是滲透測試，另一種是形式化驗證。滲透測試只能測出某些已知Bug，未知的Bug顯示不出來。形式化驗證則通過數學推理進行，可保證一定不存在指定屬性的安全問題，或者一定存在指定安全屬性的問題。

建VaaS平臺

從安全級別最高的軍工方向「降級」到區塊鏈方向，雖然后者在安全程序上趨向于簡單，但楊霞在這條路上走得也并非一帆風順。

事實上，直到2017年上半年，楊霞都是帶著學生采用人工建模的方式進行驗證。在近一年的研究中，她發現，形式化驗證在審計智能合約安全上確有成效，但人工建模代價大、效率低，人工參與對人員的素質要求很高，形式化驗證方面的人才很緊缺。

于是，2017年下半年，楊霞決定向自動化方向發展，降低人工成本的同時，減少人為誤判，提高形式化驗證的準確度。約1年后，今年5月，Beosin發布了智能合約形式化驗證平臺VaaS1.0，可同時支持EOS和ETH的智能合約形式化驗證。

VaaS的5項技術優勢

VaaS是一個智能合約安全驗證平臺，主要來檢驗智能合約的安全屬性和功能正確性，功能正確性是指智能合約的代碼實踐符合用戶的預期功能需求。

在使用上，用戶只需把公鏈的合約代碼導入VaaS自動驗證工具，點擊「開始審計」按鈕，工具就會開始審查智能合約的漏洞，并且精確到代碼的哪一行存在常規安全隱患。不過，對于復雜的功能邏輯的正確性驗證則需要部分人工的參與。

VaaS1.0的安全檢測準確度達80%以上，但楊霞并不滿意。「誤報率是我們非常頭疼的問題。我們需要盡可能提高精確度，降低誤報率。」于是，楊霞和團隊緊接著就開始了VaaS2.0的研發。

11月，Beosin發布VaaS2.0，其安全檢測準確度可達95%以上。楊霞自信地說，「有些客戶的智能合約在其他平臺上檢測沒有問題，在我們的平臺上卻被檢測出了漏洞。這種情況已經至少發生了5次了。」

當前，國內外從事VaaS形式化驗證平臺研發的有四家公司，包括Beosin、Certik、Securify.ch和RuntimeVerification。楊霞認為，相較于其他三家，Beosin的特色在于能夠提供除ETH、EOS之外的多個區塊鏈平臺的驗證工具，且準確率較高。

截至目前，Beosin已經與國內40多家區塊鏈行業公司，如Huobi、OKEx和KuCoin等建立長期戰略合作，其用戶包括了交易所、項目方、公鏈及所有區塊鏈從業者、開發者等。另外，Beosin的核心業務包括安全審計和定制化應用開發兩方面。其中，安全方面包括智能合約安全審計、智能合約開發審計一條龍、錢包安全加固與審計、DApp安全加固與審計、區塊鏈平臺安全檢測、交易所安全檢測、企業級安全服務等。

楊霞介紹，作為一家區塊鏈安全服務商，Beosin的盈利點主要有兩個，分別是安全審計的服務費和應用開發的開發費用。截至11月末，Beosin已審計超過500份智能合約，實現了收支平衡。

今年3月，Beosin獲得了分布式資本的種子輪融資。11月，楊霞團隊又獲得界石資本、盤古創富數百萬美元天使輪融資，資金主要用于全生態區塊鏈安全的產品開發和全球化市場布局。

對于現在持續的熊市，楊霞則認為，安全在任何時候都是剛需。「熊市只是相對于幣圈市場來講，但市場上除了發幣合約還有落地應用合約。未來，隨著落地應用越來越多，智能合約的數量肯定會爆發性增長，項目方也會越來越重視合約的安全。」

本文來源于非小號媒體平臺：

Beosin成都鏈安

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627100.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

利用比特幣回款，橫掃全球銀行的黑客組織「Carbanak」

下一篇：

再提Mt.Gox，糟糕的「里程碑事件」正提升區塊鏈世界的安全意識

Tags：區塊鏈EOSSINETH區塊鏈工程專業學什么女生NEOSSINXTetherBlack

Fil