区块链时代,智能合约的安全性被无限放大,一行代码的漏洞就能导致千万美元的损失。统计数据显示,2011年-2018年间,智能合约安全事件损失金额达12.4亿美元,占该期间区块链安全事件总损失金额的1/3。
2018年3月,一家想要保证智能合约100%正确的安全服务公司「Beosin成都链安」,携带一种被应用在军事、航空航天等领域的小众、高门槛的验证方式「形式化验证」杀入区块链领域。Beosin成都链安创始人杨霞表示,形式化验证并非很神秘,归根结底,它是利用数学之美为计算机系统做安全防护的一种严格、有效的方法。
如今Beosin成都链安正式迎来了它的一周岁,针对智能合约的安全问题,Beosin成都链安成功研发了全球首个同时支持ETH、EOS、Fabric、TRON等多个区块链平台的高度自动化智能合约形式化验证平台,实现了「一键式」的形式化验证,用数学的手段证明代码,给智能合约提供军事化级别的安全保护。
Beosin成都链安是杨霞的第四次创业,作为一名连续创业者,她对区块链行业的未来和安全需求表达了充分的信心:「区块链跟其他互联网产业不一样,它的安全需求更大,而且它更刚需,无论是链上交易也罢,数字资产也罢,用户数据也罢,这些都不能出现安全问题,如果出现问题后果是非常严重的。」
Beosin成都链安创始人杨霞
Beosin:SnarkJS 0.6.11及之前的版本中存在严重漏洞:金色财经报道,Beosin 安全研究人员在 SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,SnarkJS 是一款用于构建零知识证明的开源 JavaScript 库,广泛应用于 zk-SNARK 技术的实现和优化。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞还处于修复测试中。Beosin提醒所有使用了SnarkJS库的项目方,在SnarkJS 库这个漏洞还没完全修复时,一定要注意安全风险。[2023/5/18 15:11:20]
在Beosin成都链安成立一周年之际,杨霞接受了链闻的专访,分享了她对区块链安全和形式化验证的深度观察和思考。以下是本次采访实录:
Q=链闻ChainNewsA=杨霞,Beosin成都链安联合创始人,电子科技大学副教授
Q:您从何时开始关注到区块链,能否讲一讲你深入区块链领域的过程?
A:对区块链这个概念的了解,是来源于我身边的一些朋友,他们有人从14年、15年就开始在区块链领域工作,也给陆续我讲区块链方面的知识和动态。但是我当时还没有真正的把目标转向区块链,因为我本来一直在安全领域做研究,所以我更关注的是安全。16年的时候,以太坊TheDAO系统安全漏洞的的发生直接导致了7000万美元的损失,可以说是这个漏洞把我的目光吸引过来。
Web3区块链安全公司Beosin与阿里云达成战略合作:金色财经报道,近日,Web3区块链安全公司Beosin宣布与阿里云(Alibaba Cloud)达成战略合作,为Web3客户提供一站式的安全与合规解决方案。同时,Beosin的智能合约审计服务、链平台检测服务、安全咨询和应急响应服务已正式上线阿里云市场。[2023/4/25 14:25:07]
从那个时候开始我思考能否尝试用形式化验证的方法避免这些漏洞的发生,尤其是我之前一直给军事等比较关键的领域做形式化验证,对于形式化验证有足够的信赖。因为TheDAO的安全事件让我感觉到在区块链领域安全问题非常大,一次漏洞就丢那么多钱,说明风险太高。作为安全领域的从业者和研究者,我需要不断的找寻新的对安全有需求的领域进行探索,所以我是从16年开始,真正深入区块链安全领域进行实践。
注:TheDAO事件是区块链历史上的著名事件,由于智能合约的漏洞造成资金被黑客转移。2016年5月初,以太坊社区的一些成员宣布了「TheDAO」的诞生。它是作为以太坊区块链上的一种智能合约而被建造的。编码框架是由Slock开源开发的。?2016年6月17日,一名黑客在编码上发现了漏洞,使得他可以从TheDao上抽走资金。在攻击的头几个小时,360万的以太被转出,在当时价值相当于七千万美元。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
Q:能否分享一下成立Beosin成都链安的过程?初衷和愿景是什么?
Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]
A:成立Beosin成都链安的过程是进行了很多探索的,在形式化验证这个领域创业是一个很艰难的事,它是比较冷门、门槛比较高、比较小众的一个领域。因为门槛高,所以形式化验证对于传统互联网的安全,实际上发展空间并不大。但是在军事这些非常关键的领域,形式化验证已经被频繁的应用。所以对我而言,我首要思考的是从原来的应用领域,把应用的目标转向区块链,我当时第一个要考虑的问题就是用形式化验证的方法能在区块链领域做什么,然后是怎么做?
动态 | BEOS 技术白皮书发布:据引力观察报消息,BM父亲 Stan Larimer 发起的区块链项目 BEOS 的技术白皮书于3天前发布。BEOS是一条中间链,用于比特股和EOS主网之间产生交互,带来更大的EOS生态。[2019/2/2]
当时可选择的区块链网络不多,基于对这个问题的思考,我们就在以太坊上面,对以太坊的智能合约进行形式化验证的尝试。当时智能合约同样也不多,我记得很清楚,我们当时找了一个IBM官方的捐赠合约,然后用人工的方法对其进行形式化的描述,而后进行形式化的建模,进而去证明整个流程。当时通过这份合约的形式化验证,我们的确发现了以太坊有一个机制漏洞——send函数没有返回值。如果用户习惯不好,实际上这是不安全的。这算是我们通过形式化验证发现以太坊智能合约的第一个安全问题,也证明这个方法是有效的。
Beosin成都链安技术团队与Vitalik就形式化验证进行交流
但是这个过程中有一个问题,验证这样一个几百行代码的合约,我们就花了一周多的时间。?这说明通过用人工的方式去做效率太低了。通过人工建模,然后再去发现问题,这个过程太费时间,用这种方法做产业化服务显然是不行的,得尽可能提高它的自动化能力。因为我们先尝试的是通过人工进行形式化的建模,那么我当时就想能不能不用人工建模,而制作一个工具自动对代码进行建模,进而转换成形式化的语言描述,证明部分再用人工参与。
确定了这个方向,我们就朝这个目标走,也就是半自动化的目标。到目前为止,我们已经经历了从全人工化到半自动化到现在大部分自动化的三个阶段,当半自动化功能出来之后,其实我们大部分的产品原型也陆续完备,时间也就到了2017年底,完成这些准备之后,分布式资本对我们进行了投资,2018年3月正式成立了Beosin成都链安。
Q:获得投资的过程顺利吗?能否介绍一下Beosin成都链安的创始团队,国内是否对标的项目和团队?
A:很顺利,实际上在17年9月份的时候,万向组织了第三届区块链全球峰会,当时峰会邀请我去做了「智能合约及形式化验证」的主题分享。当时在演讲结束后反响特别好,这套方法得到了比较广泛的认可。
目前在国内区块链行业,我们还暂时没有看到特别能够跟我们对标的公司或者团队。我的联合创始人郭文生老师也是做形式化验证的学者,我们原来是两个不同的门派,所以Beosin成都链安相当于把两套方法结合起来提供安全服务,加上自动化能力、安全检测能力和先发优势,目前还没有明确的竞争对手。
Q:走完了从全人工化到半自动化到大部分自动化三个阶段之后,2019年的目标和计划是什么?
A:因为公司成立刚好满一年了,在这一年中,我们推出了基于形式化验证的VaaS平台,它是Beosin成都链安创立时就规划的一个高门槛的产品,这个产品我们已经做到全球最顶级,精确度和准确率都是全球最高。在形式化验证的基础上,2019年我们计划做更多的区块链安全产品,同时我们的安全服务也将进化为全生态的,市场也将朝全球化发展,区块链本来就是个全球化的产物。
例如我们前段时间刚刚发布了面向EOS的线上智能合约开发平台,我们为什么做这个事情?因为在做形式化验证的过程中,我们发现其实有些问题是由于编程人员的规范不够,或者编程人员的意识不够,或者能力不够,或者有的是习惯不好,因此我们觉得有必要做一个专业的开发平台。基于形式化验证这套服务发展服务和产品生态,这就是我们2019年的目标。
Q:如何看待过去一段时间区块链的安全形势和区块链安全领域的变化?,区块链安全是否有了长足的进步?
A:还是有很大的进步。至少2016年的时候还没有多少人关注区块链安全,我们应该算全球最早一批把形式化验证用到区块链来的团队,所以在我们做的时候根本没有任何路子可寻,都不知道该怎么做,全是自己硬着头皮一步步走过来的。到17年的时候,行情开始火热,慢慢有人在关注区块链安全了,到2018年的时候也成立了多家区块链安全公司,但现在好多公司可能都没有声音了,能够坚持下来也就只有几家。
现在毕竟是行情的低谷期,这很正常,因为区块链行业仍是很早期的产物。但是对于区块链的发展我是长期有信心的。区块链跟其他互联网产业不一样,它的安全需求更大,而且它更刚需,无论是链上交易也罢,数字资产也罢,用户数据也罢,这些都不能出现安全问题,如果出现问题后果是非常严重的。
Q:在安全服务领域,道德是值得讨论的一个话题,从事安全服务,是否需要更高的道德约束?能否讲讲您的理解?
A:这个问题的确是好多安全公司需要面对的问题,所以我也想提一下,这就是我们公司和其他安全服务公司不太一样的地方,其实Beosin成都链安的定位是以防为主,不是以攻为主。形式化验证是一个很好的防的方法,形式化验证这套方法的目的是让系统的的代码真的安全,更安全的代码,意味着更少被攻击的可能性。
形式化验证是做盾的,就好像我们原来在航空、航天、军事领域用形式化验证让系统更坚固,让代码更安全,尽可能减少漏洞。Beosin成都链安是一个以防为主的公司,这是我们跟其他的安全服务公司不太一样的地方,我们重点关注的是如何提升系统自身的安全能力和系统自身的健壮能力。这一点跟其他的白帽黑帽团队是不一样的,的确,白和黑或者白和灰,这是一念之间,这里面有太多的诱惑了,我们防的就是黑,是通过系统自身的安全角度去防黑。
我们把这叫做从根本上出发,从开发源头解决问题,包括我刚提到的EOS线上智能合约开发平台,我们的目的就是为开发者提供一个好用的开发平台,对开发流程进行保护,然后再进行安全检测。包括区块链安全态势感知系统、安全事件的预警报警、风控和反等等都是希望从系统自身的健壮性出发解决问题。
Q:Beosin成都链安有行业榜样吗?不局限于区块链领域,为什么?
A:其实在Beosin成都链安成立之初就想做区块链的360,当然是不是360这种模式或者360的发展路线我们还不确定。实际上我们的第一个形式化验证平台就是免费的。我们面向普通用户toC都是免费的,而面对企业选择做定制化的服务,这是互联网公司一种成熟的发展模式。
本文来源于非小号媒体平台:
链闻看天下
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627158.html
EOS柚子
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
起底龙网被窃案背后的数字交易所大盗Lazarus
下一篇:
Beosin成都链安发布在线BOS-IDE免费版本,同时支持BOS智能合约在线编辑、编译、运行调试、部署
近日,金雅拓发布了全球范围内公共数据泄露事件严重程度指数,共涵盖945次事件,导致45亿条信息泄露.
1900/1/1 0:00:00Gate.io发布安卓手机APP2.4.7新版.下载地址:https://www.gateio.co/mobileapp手机扫码下载:本次版本2.4.7更新内容:1.新增账单功能.
1900/1/1 0:00:00昨日,美国版权署网站上公布了备受争议的BitcoinSV的主导者CraigWright申请注册比特币白皮书以及早期比特币代码的版权的消息.
1900/1/1 0:00:00尊敬的ZT用户:为了满足ZT用户交易需求,ZT.COM结合了众多用户及项目方的意见反馈。为了给用户提供更多优质的项目,促进行业的健康发展和生态发展.
1900/1/1 0:00:00作者:慢雾安全团队文章来源:慢雾科技0概述说到智能合约漏洞,第一时间映入脑海的可能都是算法溢出,call()函数滥用,假充值等漏洞,毕竟这是在很多智能合约上都有实例,并且危害等级也是比较高的.
1900/1/1 0:00:00??RatingProfile?评级概要主要优势ReserveProtocol旨在建立一个分散式的稳定通证和支付系统,立足于稳定通证风口,市场前景较广阔;发展计划清晰.
1900/1/1 0:00:00