瓦力哇哩第14期直播访谈|对话成都链安Adrian

瓦力财经是国内领先的区块链信息服务商，追求全面、快速、专业准确的资讯与数据服务，为区块链创新者提供交流平台。我们以社区论坛为基础阵地，让资讯为瞭望灯塔，聚集区块链技术和应用的弄潮儿。目前已发展成集资讯内容、线下活动、培训、孵化器、区块链技术落地服务于一体的生态体平台。

瓦力哇哩直播访谈是瓦力财经旗下一档对话区块链行业大咖的尖端思想、感受前沿趋势的访谈栏目，并且与数十家区块链媒体平台达成战略合作。 瓦力社区为瓦力哇哩直播访谈提供40万社区用户的流量支持，可以给访谈嘉宾带来更好的媒体宣传。

本期为瓦力哇哩直播访谈第14期，邀请到的嘉宾为成都链安安全组负责人Adrian。本期直播访谈的主题是：畅聊区块链安全，解密冷门“形式化验证”

以下为采访实录：

（在不改变原意的情况下，稍有删节）

主持人：第一问，能否先给粉丝朋友们介绍一下成都链安以及你们正在做的事呢？

Adrian：成都链安科技，全球最早专门从事区块链安全的公司，由联想创投，复星国际，分布式资本等知名企业和创投战略投资，电子科技大学杨霞教授，郭文生教授，高子扬博士联合创立。

作为全球最早将形式化验证技术应用到区块链安全领域的团队，率先研发了全球领先的智能合约自动形式化验证平台VaaS，并基于此，建立了“一站式”区块链安全平台，为区块链企业提供安全审计（包括：底层链平台，智能合约，交易所平台，钱包，DAPP等）、资产追溯、隐私保护、安全咨询、威胁情报、安全防护等全方位的安全服务与支持。申请软件发明专利和著作权15项。

公司通过对全球近1000份智能合约和DAPP、几十家公链、联盟链、钱包（万向区块链，蚂蚁区块链，微众区块链、Neo、ONT、Celer等知平台）、近100家交易所（火币、OK等）的安全审计与防御部署，已经在区块链领域积累了丰富的安全攻防经验。

参与多个工信部组织的区块链安全标准的制定，入选工信部《2018区块链白皮书》，中国信通院可信区块链计划理事单位、区块链技术与数据安全工信部重点实验室理事单位，四川省区块链协会理事单位，荣获 “2018，2019中国区块链企业百强榜”，“2018，2019年度最专业安全服务机构”，“2019中国区块链安全领军企业”，“2019最佳区块链数据安全团队”等多项荣誉。申请软件发明专利和著作权15项。

让区块链更安全，是成都链安的使命和努力方向！

主持人：第二问，成都链安一直专注于区块链安全领域，目前区块链安全的行业发展感觉还处于早期，能否给大家讲讲现在的发展情况？区块链安全和互联网安全又有哪些不同？

Adrian：科技是一把双刃剑，有利也有弊，数字资产也不例外。技术本身的特性和缺陷，加上监管的滞后与不足，金融风险如影随形，安全问题不断暴露出来，金融案件如期而至。数字资产成为了洗钱、恐怖融资、金融诈骗、非法集资等涉众型经济犯罪的重要工具，各种数字货币非法犯罪案件愈演愈烈。

在2019年数字资产犯罪案件中，美国占比为28%为全球最多，欧洲占24%，其后为中国占比18%。通过数据统计，从2019年1月至2019年12月中旬，全球约发生超万次数字资产黑客事件，我国发生的与数字资产相关刑事案件多达2000件。

2019年全球数字资产犯罪案件类型包括黑客攻击盗币、诈骗、非法集资、洗钱、暗网非法交易等，总计损失超60亿美元，网络犯罪和暗网交易类涉案金额大体相当，项目方跑路类涉案金额是前二者的2倍还多，其中由于系统漏洞对区块链造成的损失超过10亿美元。

数字资产非法犯罪案例不仅从未停止，并且2019年犯罪手段层出不穷，勒索软件、资金盘跑路模式花样新翻，犯罪团伙来源广泛，犯罪案件数量、犯罪活动涉及总金额呈递增趋势。

跟传统互联网安全相比，区块链面临更大的安全压力。区块链的典型特征就是数据不可篡改性，如果出现安全漏洞，后果很难消除，需要付出非常大的代价。比如以太坊的安全漏洞，最终就导致其产生了硬分叉。其次是区块链智能合约必须开源才能达成信任，源码公开、虚拟机以及编译器都是公开的，一旦有安全漏洞，很容易被发觉。综合考虑，这两点给区块链的安全性带来了更高的要求。

主持人：第三问，根据了解，链安旗下主打安全产品有 VaaS 形式化验证和AML平台，您能否用简单的语句和案例给大家诠释一下分别这些产品的运作机制是怎么样的？

Adrian：Beosin-VaaS“一键式”智能合约自动形式化验证工具，可精确定位到有风险的代码位置并指出风险原因，有效的检测智能合约常规安全漏洞、安全属性和功能正确性，精确度高达95%以上，为智能合约代码提供“军事级”的安全验证。

什么是形式化验证？

形式化验证是用逻辑来验证程序的可靠性，就是把一段程序用逻辑的方法证明一遍，证明它能得到预期的结果，没有bug。具体而言的步骤就是：第一步，对智能合约或其他程序要完成的功能进行形式化的描述；第二步，对代码进行形式化建模；第三步，通过对代码模型检测证明代码的功能实现与合约的设计目标一致。

形式化验证相比传统的自动检测有什么优势？

传统的自动化检测，主要是以模糊测试为主。模糊测试的基本原理是通过大量的测试用例进行测试，在测试过程中发现系统的异常情况。这种测试方法一个最基本的问题就是无法做到路径的全覆盖，只能通过提高测试的次数，消耗更多的时间来做到更高的覆盖率，对于那些只有在少数特定状态下才会出现的问题是较难通过模糊测试来发现的。而形式化验证是通过数学方法进行逻辑证明来验证问题的，是可以做到路径的完全覆盖的，可以更加全面的发现问题。

为什么需要用形式化的方式来验证合约安全？

形式化验证之前主要应用在硬件领域上。主要原因就是硬件设计周期长，成本高，一旦生产出来就很难改动了。例如一个CPU设计如果已经开始投入生产了，那么再出了问题就是大事，修复成本将会非常高，所以对安全有非常高的要求。而现在区块链上的合约有一个和传统软件较大的区别就是部署成功后很难修改，而且很多公链如以太坊，上面的合约是开源的，这样合约中的隐藏问题更容易被黑客等不法分子发现，从而被攻击。由于现在的区块链合约很多都涉到个人资产，所以受到攻击会造成大量的财产损失。比如现在已经发生的著名的The DAO安全漏洞，最终导致5000万美元的损失。基于这些情况，我们可以看出合约同样有着很高的安全需求，这也是为什么我们需要采用形式化验证的方法来保证合约的安全。

Beosin-AML是反洗钱合规和调查取证系统

Beosin-AML是一款数字资产调查取证和反洗钱合规系统。系统在海量地址标签库的基础上，自动对交易做风险评分，识别风险交易，有效帮助虚拟资产服务提供商（VASP）监测交易风险、履行反洗钱合规义务；帮助金融监管部门监督VASP合规流程执行情况；帮助执法部门快速收集虚拟资产犯罪案件证据，快速定位资产流向，为找到犯罪嫌疑人的真实身份，为受害者追回被盗虚拟资产提供帮助。

产品核心优势：完善的风险评分机制。Beosin-AML拥有完善的持续性风险评分机制，通过对虚拟资产交易的持续监测和风险评估，不仅输出用户及地址的风险评分，还输出每一笔交易的风险评分，让用户全方位地评估交易风险。

支持多种主流链平台：Beosin-AML支持多种主流链平台，包括BTC、ETH、USDT等。

拥有多类别的海量地址标签库：成都链安安全研究实验室通过多年的积累，收集了大量的地址标签库，总数达到了7000万余条，为输出更准确的风险评估结果提供情报支持。

智能行为分析能力：Beosin-AML基于人工智能技术的行为分析引擎，可对某用户链上所有的交易行为进行持续性分析。并且用户方的风控人员可以利用分析引擎对AML系统的可疑交易告警进行分析，第一时间发现相关的高危用户。

主持人： 第四问，Beosin-VaaS测试工具的主要优势是什么？

Adrian：现在VaaS的自动形式化验证工具支持以太坊，EOS，蚂蚁BaaS、FiscoBcos、Fabric等多种平台，仅以太坊平台就含有5大类共27个检测项。检测的范围覆盖代码规范检测、函数调用检测、溢出检测、异常可达状态检测等多个方面。可以简单方便的帮助用户检测自己的合约安全。

主持人：第五问，Beosin-VaaS测试工具是否可以检测到区块链业务的逻辑漏洞？

Adrian：对于计算机来说，它是无法自己理解用户编写的合约逻辑的。这个也很好理解，比如在测试过程中执行到一行代码是a=b+1，但实际上我们希望合约在这里执行的逻辑是a=c+1，但是由于编写失误错写成了a=b+1。这种问题对于人来说只要能理解业务逻辑，是比较容易发现的。但在计算机眼中，他是无法理解b+1和c+1的区别的，所以在检测的过程中，这种隐藏的逻辑问题是无法被直接检测出来的。为了解决这个问题，我们的工具采用了两种方案综合检测。一是对于已有行业标准的合约，如ERC20代币合约，因为行业标准的制订，对于合约内的业务逻辑也是有标准的定义的，所以我们将这部分业务逻辑加入了检测标准之中，所有与行业标准不符合的逻辑实现均会告警；另一方面，我们也支持用户自己在代码中加入对业务逻辑的描述，之后再由工具进行检测，这样在检测的过程中就可以实现对业务逻辑漏洞的检测了。

主持人：第六问，成都链安公司除了Beosin-VaaS测试工具以外，还有哪些产品呢？

Adrian：我们还开发出了Beosin“一站式”区块链安全平台，为区块链生态提供从开发、安全检测到运行时安全监控和管理的全套安全产品，包括：

Beosin-AML反洗钱合规和调查取证系统

可视化的数字资产反洗钱、KYT合规与链上数据追溯、调查分析系统。系统在海量地址标签库的基础上，自动对交易做风险评分，识别风险交易。有效帮助虚拟资产服务商（VASP）监测交易风险、执行反洗钱合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助。

Beosin-Eagle Eye区块链安全态势感知平台

面对区块链特有的交易风险和安全威胁推出的态势感知和安全管控平台。以区块链上数据收集、关联分析挖掘为核心，实时监测链上资产的交易情况和区块链生态中的安全漏洞、安全威胁和交易风险，提供安全和运营方面的全面保障。

Beosin-Firewall防火墙

面向链上交易风险的新型防火墙系统。采用了自主设计的高效运行机制，不降低用户合约的运行效率，满足部分用户对高频交易合约的安全防护需求；拥有丰富的恶意地址库，严格过滤来自黑客攻击、羊毛党、钓鱼、诈骗等的恶意交易行为；接入所需嵌入代码少，更加简便易行。有效避免实现嵌入用户合约代码过深带来额外漏洞风险的问题。

Beosin-OSINT威胁情报系统

根据用户画像，为区块链企业提供威胁事件实时预警服务，精准推送与用户高度相关的威胁情报。情报数据以STIX、TAXII、Cybox等国际通用标准推送。

Beosin-IDE全流程部署工具

一套智能合约集成开发环境，支持多个编译器版本,支持主网、测试网等多种EOS、BOS节点部署运行，内置安全检测模块帮助开发者提高漏洞风险意识。

主持人：第七问， Beosin-OSINT （威胁情报系统）, 通过大数据+人工智能来抓取区块链相关情报并推送，具体来说如何判定哪些是“有威胁的”呢？以及在这个过程中，如何兼顾用户隐私问题？

Adrian：OSINT依据大数据+人工智能抓取区块链来进行敏感关键字抓取及匹配，是不会对用户的隐私问题造成影响，大家不用担心。

主持人： 第八问，除了区块链本身的安全，大家最关心的可能还是链上这些数字资产的安全。如何保证资金安全？出问题后大众该如何应对 ?

Adrian：链上资产安全的话主要是用户资金要做好自身钱包私钥的保管，避免以任何方式进行泄露。从技术层面上讲的话，主要还是要做好链上智能合约的审计，防止一些代码的风险漏洞，被黑客利用导致资金损失，必要时可以找到我们成都链安做智能合约审计。如果资金被盗的话，可以向执法部门进行报案，有关执法部门可以通过一些技术手段对资金路径的转移进行调查取证，破获资金被盗案件，找到嫌疑人，追回被盗资金。

社群成员A：巨鲸丢币事件带给我们的深层次启示？普通人如何安全应对自己的加密数字货币资产的安全性？

Adrian：对于不选择将资金存储在大交易所的用户来说，私钥的保护和个人信息的保护就是重中之重，最简单也易实行的安全手段是环境分割，比如建立专门用于操作资金转移或者交易的一套系统，包括手机，邮箱等，将生活和交易分隔开，用于操作交易所的手机环境应保证纯净，不安装任何不必要的应用，不用于通信，聊天，娱乐等与交易无关的活动，私钥和助记词的保管则建议使用原始但有效的纸张记录的方式，避免使用截图，截屏等形式通过网络传输。

社群成员B：智能合约验证中为什么最终采用的是定理证明，而少采用模型检测呢？

Adrian：我不知道你这个结论是在哪里看到的，但是我们的VaaS工具主要采用的就是模型检测的方法。因为模型检测更方便自动化的实现而定理证明对测试人员有很高的要求。

更多精彩预告，请关注公众号瓦力哇哩WALI

—-

编译者/作者：瓦力社区

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。