区块链安全标准研究,包括系统级区块链安全体系,是从数据安全、共识安全、隐私保护、智能合约安全和内容安全等方面推动区块链安全标准化,为区块链开发、运营、管理和使用等提供指导。

从2019年政府将区块链定义为核心技术自主创新重要突破口,到2020年发改委将区块链纳入新基建范畴,再到“十四五”规划中把区块链划为数字经济重点产业,一系列政策都为区块链市场发展提供了积极的引导信号,是区块链技术从项目试点走向商业推广阶段的强心剂。

但区块链技术是一把双刃剑,潜藏了多方面的风险,比如区块链系统自身的安全问题越来越突出,数据泄漏、资金损失和系统运行故障等安全事件层出不穷。不法分子利用区块链匿名、无国界的特点开展洗钱、犯罪资金转移、绕开外汇管制等非法活动,对经济和社会造成恶劣影响,给监管带来巨大挑战。而安全是整个区块链行业的基石,是区块链行业的刚需。我们有幸邀请到成都链安科技有限公司(以下简称“成都链安”)创始人&CEO杨霞,为我们分享成都链安守护区块链生态安全的企业故事。

成都链安科技有限公司创始人&CEO杨霞

信息化观察网:我们知道成都链安在区块链安全行业有着很高的建树,请您简单介绍一下成都链安?

杨霞:好的,成都链安是一家致力于区块链安全生态建设的全球领先区块链安全公司,也是最早将形式化验证技术应用到区块链安全的公司,总部位于四川成都。公司由电子科技大学教授联合创立,团队成员均来自从事信息安全行业多年的国内外知名院校教授、博士后、博士以及知名企业精英,现有团队成员近200人,技术人员占比超过85%。已在北京、深圳、杭州、海南等多地设有分公司和办事处。

目前我们已与公安、工信部、中国通信院、网信办等执法监管机构,以及包括蚂蚁链、腾讯区块链、微众银行、万向区块链、布比等国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务;为上千家执法单位提供了虚拟货币犯罪案件前、中、后期全链条打击技术支持服务,成功协助破获案件总涉案金额数百亿。

信息化观察网:在您看来,区块链安全风险主要包括哪些呢?

杨霞:这个风险主要包含两个方面,一个是系统自身的危险,比如代码安全风险、运营过程中的安全风险等等。在区块链领域,同样能够受到传统的DDoS攻击、网络钓鱼、域名攻击等,而链平台安全则包括共识安全、账户安全、签名安全、P2P安全等。智能合约作为以区块链系统为平台的可执行脚本,更加容易遭受到攻击。

另外一个就是金融安全风险,不法分子利用区块链匿名、无国界的特点开展洗钱、资金转移、绕开外汇管制等非法活动,对经济和社会造成严重影响,给监管带来巨大挑战。

信息化观察网:一般来说区块链安全研究方向主要包括哪些方面呢?

杨霞:业内对于区块链安全方面的研究集中于三个方面,一是区块链安全标准研究,二是区块链全生命周期安全研究,三是区块链监管。

区块链安全标准研究,包括系统级区块链安全体系,是从数据安全、共识安全、隐私保护、智能合约安全和内容安全等方面推动区块链安全标准化,为区块链开发、运营、管理和使用等提供指导。

区块链的整个生命周期主要分为研发和运行两个阶段,设计开发阶段包括提供安全辅助工具,进行漏洞检测和脆弱性评估。对区块链平台、智能合约等进行漏洞扫描,发现并及时修复漏洞,确保交付安全的区块链系统。系统运行阶段则按照纵深防护的理念,依靠异常检测机制,及时发现异常行为。典型的检测机制包括运营监控、安全态势感知和线上合约安全扫描等。

区块链监管方面,我们主要研究借助区块链技术进行的新型涉网犯罪打击,从而协助监管部门共同净化网络环境、净化社会环境。

信息化观察网:作为全球最早一批也是中国最头部的专门从事区块链安全的公司,成都链安在链上安全方面是如何操作的?

杨霞:成都链安自成立起就一直致力于区块链安全赛道,自主研发的“链必安”一站式区块链安全服务平台,涵盖“六大安全产品”、“六大安全服务”,可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全检测、安全监管、安全预警、安全咨询等全方位安全服务,提供区块链系统“研发-运行-监管”全生命周期的安全保障解决方案。

安全产品包括:虚拟货币案件智能研判平台、智能合约形式化验证平台、区块链检测平台、区块链安全态势感知平台、区块链安全舆情平台、智能合约安全开发IDE。

安全服务包括:智能合约安全审计服务、链平台安全检测服务、虚拟资产追踪溯源和调查取证服务、安全舆情服务、安全咨询服务、安全应急响应服务。

信息化观察网:众所周知,安全问题已成为制约区块链技术发展的重要因素,而联盟链的安全威胁同样不容忽视,联盟链上的智能合约安全检测方法有哪些呢?

杨霞:在开发阶段和上线前,确保合约的安全性和逻辑正确性是很重要的,因此需要采用相应安全检测来满足安全性需求。

针对智能合约的代码安全性,可以使用自动化/半自动化安全检测来扫描合约代码,寻找代码中的安全缺陷。目前常见的检测方法可分为静态扫描、动态扫描以及形式化验证。

形式化验证技术是除了静态和动态扫描以外,另一种智能合约正确性与否的验证方法。作为一种数学方法,形式化验证可以有效确定一个程序的代码是否正确。此处“正确”的意思是,程序的运行结果符合预期。值得一提的是,“形式化验证技术”也是成都链安的核心技术之一。

信息化观察网:“形式化验证技术”作为成都链安的核心技术,可以简单介绍一下吗?除了形式化验证技术,成都链安还有哪些核心技术?

杨霞:形式化验证作为代码安全最高严苛的方法之一,其效果已经在航空航天,军事等领域得到了验证。在当前区块链以及智能合约的安全业务里,形式化验证正在凸显着巨大的潜力。这种基于「数学推理」的验证方法,一方面能够精确证明代码是否存在安全漏洞,同时能有效解决传统技术如测试等对人经验的严重依赖和无法穷举的问题。

我们是全球最早将此技术应用于智能合约安全审计的区块链安全公司,同时,成都链安团队采用形式化验证,模糊测试等多重技术作为核心技术,研发了面向智能合约的高度自动化的安全检测工具:智能合约形式化验证平台,其工具的自动化检测精度高达97%,可以“一键式”自动检测智能合约的几百种安全问题、自动发现智能合约中存在的已知、未知漏洞及业务逻辑问题,并给出专业的修复建议。在精确定位风险代码位置的同时给出修改建议,帮助开发者提高智能合约的安全能力。

同时,我们依托网络安全、人工智能、区块链大数据等多种技术打造“自主创新、自主可控”的全链条、一体化解决方案,服务于整个区块链生态。我们既是全球区块链安全生态的贡献者,也是全球区块链生态的引领者。

信息化观察网:上面我们提到联盟链的安全威胁同样不容忽视,联盟链面临哪些安全问题?

杨霞:联盟链安全问题时刻都存在,面临的安全挑战十分严峻。目前联盟链的发展还处于初期阶段,联盟链生态安全体系还并不够强大,大量风险都还是未知数,若被攻击者盯上,结果将十分严重。

联盟链安全是行业发展的重中之重,引起了行业的极大重视。2021年9月,由公安部第一研究所、中国科学院信息工程研究所等单位联合发布了团队标准《联盟区块链安全技术要求》,该标准主要阐述了联盟区块链安全体系结构,主要也提出了联盟区块链系统安全、联盟区块链安全体系建设、联盟区块链监管审计安全以及联盟区块链运行环境安全评估规则。其中联盟区块链监管审计安全主要包括:自身审计、第三方审计以及第三方监管。

所以,在这样的背景下,联盟链上线前的安全审计工作就显得尤为重要了,需要将所有未知的安全风险扼杀在摇篮之中,避免因为图一时的便利导致无法承受的结果。

信息化观察网:在行业领域内,成都链安目前获得了哪些荣誉和奖项呢?未来还有哪些愿景呢?

杨霞:公司已获前海母基金、联想创投、复星高科、成创投、任子行等知名机构的多轮投资。是工信部“网络安全技术应用试点示范项目”单位、CNVD国家区块链安全漏洞平台技术支持单位、中国信通院区块链安全检测的主要技术合作单位、中央网信办“国家区块链创新应用试点”参与单位、国家互联网应急中心“区块链安全技术检测中心”的主要技术合作单位、四川省区块链安全工程技术研究中心依托单位、四川省区块链基础设施—蜀信链安全检测和准入测试支撑单位。并作为中国信通院可信区块链联盟理事单位和安全组副组长、全国信息安全标准化技术委员会成员单位、中国物流与采购联合会区块链应用分会常务理事单位、北京金融科技产业联盟会员单位、四川省区块链协会理事单位、四川省互联网行业联合会副会长单位等多个区块链相关行业协会成员。参与了多项国家级区块链安全技术标准和白皮书的撰写,承担了多项国家级、省部级项目,依托技术优势现已申请软件发明专利和软件著作权30多项。

基于对公司实力和行业认可,公司荣获成都市新经济“双百工程”重点培育企业、全国硬科技企业之星TOP100榜单、中国产业区块链优秀案例(2021年度)、2020中国区块链企业百强企业、2020金熊猫全球区块链创新创业大赛一等奖、2020四川省区块链优秀企业、2020中国区块链技术创新典型企业、2020首届人民网内容科技创新创业大赛全国总决赛“创业人气奖”、中国区块链安全领军企业等诸多荣誉。

但是,路漫漫其修远兮,吾将上下而求索,我们将继续努力,以“让区块链生态更安全”为使命,以“成为全球第一的区块链安全公司”为愿景,不断打造区块链安全监管技术和安全保障体系,为区块链生态的安全发展保驾护航。