12月19日至20日,由腾讯发起,面向全球开发者与技术爱好者的年度盛会——2020 Techo Park开发者大会在北京成功举办。大会致力于开发者的能力成长和实践创新,邀请了200多位海内外专家就人工智能、区块链、多媒体等前沿技术进行了交流和探讨。
在大会的“数字文明的信任框架”分论坛上,围绕区块链技术话题,众多行业专家、学者欢聚一堂,带来了精彩纷呈的主题演讲。成都链安CTO郭文生教授重点针对区块链安全技术,通过行云流水的语言表达,为在场嘉宾奉献了一场难以忘怀的技术分享。
安全形势严峻
在区块链技术得到国家层面的重视并鼓励大力创新发展的时代背景下,成都链安扎根区块链安全赛道,致力于区块链安全生态建设。
就当前区块链整体安全环境而言,郭文生认为,从区块链自身的技术漏洞和安全事件来看,随着区块链应用的普及,相关公开漏洞会越来越多,同时,数据泄漏、资金损失和系统运行故障等事件将会频繁发生。
郭文生表示,如此严峻的形势主要是由行业相关标准规范不足、安全监管面临挑战、技术安全问题众多以及安全服务能力不足四个方面共同造成。而在技术架构的安全风险层面,从底层、中间协议层到应用服务层均存在诸多安全风险,如设备安全、网络攻击、数据泄露;智能合约开发漏洞、业务逻辑设计问题;私钥丢失、账户被盗、应用软件漏洞等。
针对上述问题,郭文生提出,应将区块链安全标准研究、智能合约安全形式化验证、链平台安全检测、隐私保护、数据治理以及认证和身份管理等方面作为核心思路,进行研究和技术推动。
智能合约安全
区块链智能合约作为一项创新技术应用,与现行普通合同相比,智能合约具有能够对约束双方的一系列行为规则进行智能编码。同时,双方的权力和义务明确且不可中途更改,合约到期后系统自动执行结果,不受第三方干预等优势。
然而,随着DeFi的应用热潮,智能合约所暴露出的安全问题令人堪忧。郭文生认为,其核心安全问题点有四个,分别是代码语言安全问题、合约执行引发的安全问题、系统机制导致的安全问题以及业务本身的安全问题。
在智能合约中,任意错误都有可能导致数据和财产的损失且传统测试难以发现罕见错误。面对这样的高安全要求,郭文生指出,智能合约需要超越测试,走向形式化推理。如此一来,可明确代码意图,证明程序行为,提供输入空间的完整覆盖,并且超出单独测试所能提供的保障范围。
据郭文生介绍,由成都链安自主研发的链必安 Beosin-VaaS智能合约自动形式化验证平台,使用了业界领先的形式化验证技术,能够快速发现链上智能合约的各类漏洞及风险,为智能合约提供“军事级”的安全检测和验证,检测准确率高达97%以上。
同时,平台能够自动检测智能合约的10大项32小项常规安全漏洞及功能逻辑缺陷,精确定位风险代码位置并给出修改建议,是全球首套同时支持多种联盟链平台的安全检测工具,包括FISCO-BCOS、Hyperledger-Fabric、蚂蚁BaaS等。
链平台安全
除了智能合约,各类区块链平台的安全同样需要高度重视。郭文生指出,在当前区块链平台的安全方面,主要包括共识、交易、账户、PRC、端点以及合规、架构、应急响应等问题,其中涉及诸多细部内容。
基于此,根据行业标准、安全服务经验以及漏洞原理综合形成的测试脚本、攻击脚本以及黑盒、灰盒、白盒的多层次安全审计与检测成为了有效的解决方案。
作为成都链安的核心安全产品,链必安 Beosin-Scan区块链检测平台能够针对链平台的功能、安全、性能,进行多维度、全方位的一站式检测,并通过项目流程规范化管理,检测全流程可视化、检测项目模板化等适配多种业务场景,可为区块链平台节点通信、存储、共识和权限管理等各层面的安全性提供有力保障。
最后,郭文生表示,区块链技术正处于早期探索阶段,由黑客攻击、安全漏洞等引发的巨额损失频繁出现。
在这样的背景下,成都链安将砥砺前行,不遗余力为区块链企业提供安全审计、虚拟资产追溯与AML反洗钱、安全防护、威胁情报、安全咨询和应急等全方位的安全服务与支持,竭力守护区块链系统从研发、运行到监管合规的整体安全。
来源:freebuf.com 2020-12-21 18:47:11 by: 成都链安科技有限公司
请登录后发表评论
注册