《火訊琅琊榜》經歷了前三期的沉澱,本期迎來了純鏈圈、頂級陣容的訪談。巨頭雲集,蓄勢待發。
第四期第三場
易歡歡、朱江×楊文玉
前言
你以為只有狼人殺有平安夜嗎?不,今晚註定是一次區塊鏈版的“平安夜”。
10月18日,火訊琅琊榜第四期第三場,邀請到了獵豹移動區塊鏈安全中心首席科學家、白帽安全專家楊文玉,帶來一場關於“安全”的討論。
本場的邀請嘉賓——楊文玉,有著多年的安全研發經驗,專注於區塊鏈安全領域,對以太坊節點、智慧合約自動化檢測技術、去中心化交易平臺都有深入研究。
提到交易安全問題,楊文玉提出了很多中肯的建議。她表示:“交易所作為虛擬貨幣市場中的流量聚焦點,應該更加重視安全建設。”對於交易所如何保障自身的安全,她認為,如果從交易所自身的角度出發,應該在產品的設計流程中考慮到安全問題,如嚴格的許可權控制,網路安全裝置的部署等。
“有效保障海量智慧合約安全的最好的方法是降低人工審計複雜度,採用智慧合約自動化審計”,楊文玉說,不過現在它處於一個很不成熟的階段。相較於人工審計的耗時長和可能會導致的審計結果的偏差,自動化檢測快且質量一致。但是自動化檢測技術當前還存在誤報高、漏報高、系統不穩定等缺點,要完全取代人工審計還需要很長一段時間的發展。
談到獵豹為何會選擇切入“人工智慧+區塊鏈專案”,楊文玉用“烏卡時代”進行了闡述。烏卡時代形容了當前環境的易變性、不確定性、錯綜複雜性和模糊性。而在烏卡時代,整個行業都會加速融合,無數資訊不斷湧現。“如果我們固步自封守著原有的東西,就很容易陷入“深井病”的困頓局面。”楊文玉表示,未來,獵豹在區塊鏈方向的佈局重點還是會放在安全方面。此外,也會探索將 AI 和機器學習技術運用到區塊鏈方向,比如提供智慧的專案評級服務。
精華摘要
1、我引用下我們傅老闆在一次內部周例會上的分享吧。那次他聊到《賦能》這本書,書裡有個關鍵詞叫 VUCA 烏卡時代。烏卡時代形容了當前環境的易變性、不確定性、錯綜複雜性和模糊性。而在烏卡時代,整個行業都會加速融合,無數資訊不斷湧現,如果我們固步自封守著原有的東西,就很容易陷入“深井病”的困頓局面。
2、相比傳統網際網路安全,區塊鏈安全更需要安全從業者站在更高的系統層面去思考問題、更快速地去學習新的技術理論。
3、零知識證明距離真正的商業化產品化應用還有兩個方面的問題要解決:①setup預備階段的去中心化程度 ② 證明的大小和時間。
4、使用者在使用數字錢包的時候,私鑰的自行保管和記錄的使用者體驗分數很低,私鑰經常面臨著遺忘、丟失的情況。這是整個體系中最容易忽略也最為棘手的問題。
5、挖礦木馬更為隱秘,不容易被發現。它往往隱藏在後臺,長時間持續地進行挖礦計算,從而使得攻擊者獲得大量的挖礦回報。挖礦木馬的傳播、感染方式有兩種:透過殭屍網路,透過網頁。
6、有效保障海量智慧合約的安全最好的方法是降低人工審計複雜度,採用智慧合約自動化審計,不過現在它處於一個很不成熟的階段。
以下是訪談實錄
▼
火訊財經主編趙一丹:大家晚上好!【火訊琅琊榜第四期·巨頭揚帆】第三場馬上開啟!
今晚為我們分享的嘉賓是:獵豹移動區塊鏈安全中心首席科學家、白帽安全專家楊文玉。
楊文玉有多年安全研發經驗,專注於區塊鏈安全領域,對以太坊節點、智慧合約自動化檢測技術、去中心化交易平臺有深入研究。
期待兩位兩位閣主今晚與嘉賓碰撞出的思想火花!
Q1
閣主易歡歡:從 PC 時代到移動網際網路再到AI機器人,獵豹移動不斷探索自己新的邊界,工具、遊戲、機器人、投資,“四輪驅動”。如今,從移動安全數字資產錢包 SafeWallet 到人工智慧+區塊鏈專案“智慧鏈(AI BlockChain)”,其實我們可以看到獵豹移動也一直在擁抱區塊鏈,並專注進行有實際需求和落地場景的區塊鏈應用的探索。獵豹為什麼會選擇切入“人工智慧+區塊鏈專案”?你認為人工智慧+區塊鏈兩者是如何相互賦能的?
嘉賓楊文玉:哇,這個問題格局有點大,我想想。
說獵豹的方向選取,我引用下我們傅老闆在一次內部周例會上的分享吧。那次他聊到《賦能》這本書,書裡有個關鍵詞叫 VUCA 烏卡時代。
烏卡時代形容了當前環境的易變性、不確定性、錯綜複雜性和模糊性。而在烏卡時代,整個行業都會加速融合,無數資訊不斷湧現,如果我們固步自封守著原有的東西,就很容易陷入“深井病”的困頓局面。
今天這種局面,已經不是以前流量紅利時代靠著單一產品就可以開拓一片天地的時代了。專業技能過時的越來越快,資訊融合多樣化,行業邊界越來越模糊,人人都在強調進化,而進化的基礎是要有開放的心態和跨界的思維。所以,為了進化,尋求第二條曲線,在思維模型的進化基礎上,獵豹選擇了投入人工智慧、區塊鏈等新領域。
也像之前所談到的,人工智慧更像是生產力的發展,而區塊鏈是生產關係的變革,所以我們選擇了 AI +區塊鏈的路徑。
像現在發展起來的一些區塊鏈專案、通證體系,都是突出每個人在這個社羣、這個系統裡面的貢獻,並且得到相應的回報,這種關係也促使每個人都要去維護這個生態的良性發展。
正如生產力和生產關係不可分割一樣,區塊鏈和人工智慧也相互賦能,調動所有參與方使用者的積極性,維護著人工智慧產業的健康發展。
閣主易歡歡:回答的非常棒。生產力和生產關係是相互作用的、不可分割的、相互賦能的。
Q2
閣主易歡歡:下一個問題,請問楊總,獵豹準備下一步在區塊鏈上如何佈局呢?會著重探索哪些應用場景呢?
嘉賓楊文玉:目前在區塊鏈方向我們重點還是在安全方面,像之前講的,我們重點在於向交易所提供完整的安全解決方案。因為交易所作為整個生態重要的一環,它的安全問題不能得以保障,其實是阻礙整個生態的發展的,比如頻繁爆發的交易所被盜問題,會讓很多人開始質疑整個區塊鏈行業,這是十分不好的現象。
除此之外,我們也不斷地探索將 AI 和機器學習技術運用到區塊鏈方向。比如提供智慧的專案評級服務,幫助投資者更早地發現優秀的區塊鏈專案。目前的規劃是這些,當然,也在不斷地嘗試 探索,向大家學習。
閣主易歡歡:智慧專案評級服務挺有意思的,能具體說一下嗎?我相信如果引入人工智慧專案評級的話,將會更加公平,促進整個區塊鏈行業的良幣驅除劣幣。
嘉賓楊文玉:傳統的人工評級其實面臨著一個巨大的問題,就是區塊鏈專案是實時更新的,傳統評級的時效性難以保證。
而我們團隊中有很多自然語言處理的專家、大資料專家,我們從專案白皮書、社交輿論分析、 github 程式碼提交頻率、創始團隊社交關係分析等多個維度來對專案進行評分。
這種自動化評分可以保證實時性,只要專案有變動,我們能第一時間獲知。比如,專案程式碼更新,專案技術團隊變化等,這些現象都能第一時間反饋給投資者。
我們的口號也是淨化幣圈,結合安全、評級,希望能夠促進整個區塊鏈行業的良幣驅除劣幣。
閣主易歡歡:好的。
Q3
閣主易歡歡:我接著請教下一個問題。
楊總是白帽安全專家。曾有專業人士曾經一語道出了這個行業的悲哀:“安全白帽子的價值一直以來被嚴重低估,致使駭客攻擊獲取的回報遠遠高於白帽子。造成區塊鏈安全領域,更多人願意選擇當駭客,而不是維護正義的白帽子。” Roy Li 在參加火訊琅琊榜第三期訪談時也提到過:“全球比特幣排行榜,中本聰後面三名都是駭客。”你覺得安全白帽價值被嚴重低估的情況未來有希望被改善嗎?哪些措施會有助於解決攻守利益失衡的問題?
嘉賓楊文玉:記得上週末和朋友聊天時候,他感嘆做安全最好的境界就是做到0,做到誰都無法感受到。如果突然有一天出現了安全問題,那你做的成果就直接是-1。
這很形象的描述了當前安全從業者的一些現狀,也確實會帶來一些價值失衡的體驗。這種現象不是因為區塊鏈產生而產生的,其實在過去,大量的黑產灰產也盛行,高昂的收益報酬也是會吸引一批白帽子的。
但是,這又可以說是每個安全從業者的信仰問題。(有點大~)哈哈,我熟悉的大多數安全從業者其實心裡都有著自己的底線,知道哪些應該做,哪些是絕對不能碰的東西。相較於非法收益獲利,我看到的更多的是,我們會因為拿到某個安全平臺獎勵的 T 恤等周邊、徽章感到很高興。
相反,區塊鏈的出現,我認為已經些許改善了這種失衡問題。特別是在發展的初期,區塊鏈各項技術和標準並不完善,安全事件頻出,會讓安全白帽子有參與感和成就感。很多安全廠商結合區塊鏈理念推出了眾測賞金計劃,提高對每一次安全防禦的精神獎勵,提高對安全行業的認可,重視安全。不斷地激勵和認可,可以讓大多數白帽子堅守自己的底線的。有所為,有所不為嘛。
Q4
閣主易歡歡:是的,安全白帽有所為,有所不為,那就引出我想請教的下一個問題:
安信證券出具的一份區塊鏈安全報告顯示:2012-2016年我國網路安全行業的市場規模保持20%以上的增速,2016年我國網路安全行業市場規模已經達到495.8億元,近五年的複合增長率為22.6%,而目前區塊鏈市場僅僅數字貨幣資產就達到6000億美元,價值網際網路時代的安全之戰似乎剛剛拉開帷幕。你認為區塊鏈領域的安全攻防將成為下一個風口嗎?縱觀現在做區塊鏈安全的人,大部分是原來做網際網路安全的。相比網際網路安全,區塊鏈安全有什麼不一樣的地方嗎?
嘉賓楊文玉:安全和防禦其實是相互依賴的,因為如果沒有攻擊,安全的意義也會削弱。
目前處於行業初期,存在大量的安全問題,攻擊的門檻並沒有傳統安全攻擊那樣高,並且攻擊獲益也很大。在這種環境下,安全會被高度、持續地重視和投入。
相比傳統網際網路安全,區塊鏈安全更需要安全從業者站在更高的系統層面去思考問題、更快速地去學習新的技術理論。要做到先攻擊者一步,這其實是對安全從業者的一個極大的挑戰。
閣主易歡歡:區塊鏈行業正是野蠻生長的初期階段,安全問題的確愈發突出,但哪裡有問題,哪裡比較亂,哪裡就有大機會,哪裡就有相應需求。在安全領域,希望更多像楊總一樣的白帽安全專家不畏挑戰,終究是魔高一尺,道高一丈。
嘉賓楊文玉:過獎過獎。 如果安全不作為,會導致惡性發展。
Q5
閣主易歡歡:下面我想請教些關於交易所安全方面的問題。
9月29日,幣安CEO趙長鵬發推特稱,幣安正在籌備去中心化交易平臺,該平臺將以BNB為平臺gas,並且不會控制使用者的資金,擬於今年末或明年初推出公測版本。你看好幣安這類中心化交易平臺做去中心化交易平臺嗎?你認為未來去中心化交易平臺會是中心化交易平臺的終結者嗎?
嘉賓楊文玉:我認為中心化平臺和去中心化平臺之間並沒有什麼不可逾越的鴻溝。因為目前人們對交易所最大的需求就是安全感,如果有更多知名廠商加入,並且提供激勵,我認為是可以產生一個正向的影響的。
就未來發展而言,區塊鏈去中心化的結構,其實就應該讓每筆資產都上鍊,理所當然的應該就是去中心化的平臺。
但是,由於當前發展還處於初期,去中心化的優勢還沒有完全體現,資金溯源技術也有待深入研究,並且當前區塊鏈的 tps 還有待提高等等。
在很長一段時間內,中心化平臺和去中心化平臺是會相互共存的,並不存在終結取締的關係。最終是個什麼共存關係,也要結合區塊鏈整體的發展節奏。
閣主易歡歡:的確,安全感是對交易所最大的需求。據外媒報道,大多數去中心化交易所並非真的“去中心化”。以Bancor為例,該平臺唯一的做市商就是它自己,這與“去中心化”的概念明顯衝突。也正因為該平臺單一的做市商模式,Bancor不得不解決其面臨的“去中心化流動性網路”問題,以及潛在的駭客攻擊風險。而此前為了應對駭客攻擊,Bancor緊急凍結了使用者資金,此舉也招致非議,因為平臺凍結使用者資金的行為是集中式/集權式(不同於“去中心化”)平臺的主要特徵。你覺得去中心化交易平臺面臨著哪些障礙?
嘉賓楊文玉:兩方面吧:1、交易tps,tps上不來,效率遠遠不及中心化交易所;2、出現安全問題之後的應對方案,比如攻擊溯源問題~ 還是需要回到給使用者提供安全感的核心,而不是因為去中心化,所以可以不去理會使用者可能面臨的安全問題。
閣主易歡歡:好的。
Q6
閣主易歡歡:我想請教下,在使用者的資料隱私保護方面,現有的零知識證明距離真正的商業化產品化應用還有哪些難點需要克服和解決的?
嘉賓楊文玉:也是兩個方面的問題:1、setup預備階段的去中心化程度。2、證明的大小和時間。
當前的 setup 階段都依賴於中心化或者非完全去中心化的組織來完成初始引數的設定,這其實不能做到理想狀態的完全資料隱私,還是依賴於第三方機構。
另外證明的大小和時間,可以給大家一張圖,摘自國內密碼學大佬和矩陣元聯合發表的0知識證明相關的論文。
可以看到,在 zcash 中使用到的證明時間接近2分鐘,證明大小288B, 他們調優到了時間8.7秒,但是大小擴充套件到了3616B。
這對於目前區塊大小有限的公鏈架構是無法接受的,會極大地限制每個塊的交易筆數。目前就這兩方面最主要的問題。
閣主易歡歡:明白了,中心化vs去中心化;大小vs時間;不同的取捨都將影響到最後真正商業化的落地成果,需要克服不少挑戰。
Q7
閣主易歡歡:再請教一個比較有意思的問題,在傳統市場被駭客黑了可以找法律,但是未來在數字貨幣市場可能會形成怎樣的執法約束機制呢?
嘉賓楊文玉:依賴第三方的裁決這種其實是一種慣性思維,也依賴於去中心化現在還在發展初期。
其實也不用說到未來,就說已經發生的事情,其實就可以初見區塊鏈世界執法約束的雛形。
近期 EOS 系統中出現的 dapp 安全問題,如 eosbet 幾經受到攻擊,eos 法庭也在積極討論、響應,尋找合理的解決方案。
未來數字貨幣市場會將權利去中心化,所有的決定並非是根據某個權威機構來制定執行,而是需要在社羣裡面透過討論、投票等一系列處理過程來最終判決,尊重每個參與者的意願。
閣主易歡歡:公平、民主、自治的精神,才是區塊鏈技術所努力追求的,感謝獵豹移動楊文玉總的精彩分享。我的訪談到此結束。
Q8
閣主朱江:非常高興迎來首位女嘉賓接受訪談,據我瞭解,獵豹移動女性技術專家不止一個,那就請你介紹一下,獵豹區塊鏈實驗室的整個團隊情況吧:團隊背景構成是怎樣的?目前團隊規模?區塊鏈安全涉及哪些領域?你們主要側重哪個領域的研究與服務?當前取得了哪些進展?
嘉賓楊文玉:大家好,我是來自獵豹移動區塊鏈中心的安全方向負責人楊文玉。
目前我們團隊共有50多人,有安全研究員、大資料、人工智慧和區塊鏈研發人員。團隊成員大多來源於金山安全團隊。
隨著區塊鏈的發展,我們在去年開始區塊鏈安全方向的研究和研發。
就區塊鏈安全方向而言,我們目前針對專案方、交易所提供全面的安全生態解決方案,如:智慧合約審計、dapp安全審計、錢包安全審計、公鏈安全審計、交易所業務安全審計。另外我們基於自己的大資料實時監控系統,實現了實時威脅情報感知,可以第一時間發現區塊鏈安全問題。
目前,我們合作方近50家,包含媒體、公鏈專案方、交易所、高校實驗室、安全合作伙伴等等。我們利用領先的技術和及時的情報分析能力,發現了多個合約、dapp的安全問題,並及時告知專案方和相關交易所,配合進行安全改進。我們也即將上線定製化的安全saas平臺,將我們的安全能力集中輸出到該平臺上,交易所、專案方可以一鍵接入,從而獲取自定義的安全服務以及及時的安全預警。
閣主朱江:4億使用者的基礎體量讓我們印象深刻,同為金山系的公司,為你們如此驕傲的戰績而驕傲。
Q9
閣主朱江:下一個問題,早在今年1月底,獵豹移動就推出了數字資產錢包,開始涉足區塊鏈行業。獵豹移動CEO傅盛曾表示,獵豹有80%的使用者來自海外,這些4億左右的海外使用者也急需區塊鏈的各種服務。獵豹將從最擅長的安全切入區塊鏈,幫助使用者保護數字資產。目前獵豹是如何保護使用者數字資產的呢?在這過程中有哪些比較棘手的問題?
嘉賓楊文玉:我們認為一個錢包是不是安全主要看它能否安全的管理和使用金鑰。
我們常用到助記詞。助記詞是明文私鑰的另一種表現形式,其目的是為了幫助使用者記憶複雜的私鑰,但是助記詞也並不是那麼容易記憶。
因此能否安全的管理助記詞也是區別錢包是否安全的重要條件。
閣主朱江:所以你們是怎麼做的呢?
嘉賓楊文玉:基於以上認知,我們的錢包產品在設計實現過程中全面考慮到了錢包可能在執行環境、網路傳輸、檔案儲存方式、應用自身、資料備份等方面的面臨的風險問題。
應用了三層安全防禦系統,分別從使用者行為安全,裝置安全和資產安全管理三個關鍵領域為使用者數字資產提供最大程度的保護,防止使用者數字資產丟失或被盜。
根據我們的調查,當前使用者在使用數字錢包的時候,私鑰的自行保管和記錄的使用者體驗分數很低,私鑰經常面臨著遺忘、丟失的情況。這是整個體系中最容易忽略也最為棘手的問題。
忽略是因為,是使用者自己導致金鑰的丟失,平臺完全可以推辭責任,所以很多廠商認為使用者記錄好助記詞即可。
閣主朱江:是的,我們都是自己負責。
嘉賓楊文玉:同時,正是由於助記詞是由使用者自行保管的,平臺其實僅能做極少的事情來防止其丟失。
我們推出了基於二維碼的私鑰備份功能,以取代複雜難以極易和儲存的助記詞和私人金鑰,同時也保證安全性。
閣主朱江:經過多年的教育,我們使用者本身也有責任保管好私鑰,你的意思是換成了二維碼嗎,具體有什麼特點,如何防止丟失呢?
嘉賓楊文玉:我們採用了一種新型的二維碼生成方式,運用了複雜的加密、編碼演算法。
Q10
閣主朱江:根據騰訊安全釋出的《2018上半年區塊鏈安全報告》,當前區塊鏈數字貨幣“熱”背後面臨三大網路安全威脅:勒索病毒、挖礦木馬以及攻擊交易所。其中挖礦病毒是2018年上半年傳播最廣的網路病毒。而挖礦熱度與幣種價格成正比。進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。而在2018年上半年,挖礦木馬較之前產生了一系列的變化。全能型挖礦木馬開始出現,上半年出現的“Arkei Stealer”木馬,集竊密、遠控、DDoS、挖礦、盜幣於一體,可謂木馬界“全能”;隱藏技術更強,與安全軟體對抗愈加激烈。你認為該如何應對挖礦木馬帶來的安全威脅?
嘉賓楊文玉:勒索病毒全球性攻擊使得人們開始關注基於加密貨幣的勒索病毒,相較而言,挖礦木馬則更為隱秘,不容易被發現。
木馬往往隱藏在後臺,長時間持續地進行挖礦計算,從而使得攻擊者獲得大量的挖礦回報。
挖礦木馬的傳播、感染方式有兩種:透過殭屍網路,透過網頁。一旦感染,會使得計算機使用率飆升,出現卡頓、宕機等現象。
從這裡出發,針對C端使用者,防禦挖礦木馬最有效的方式就是如果一旦出現了以上問題,及時使用安全軟體進行掃描。特別是企業級使用者,一定要重視系統的漏洞修復。
記得wannacry當時造成了大面積的影響,漏洞修復方案已經出來了,時隔一年還有企業沒有及時修復,導致感染了同樣攻擊方法的類似勒索病毒。所以我們應該從平時的習慣做起,重視安全,及時掃描,定期清理。
閣主朱江:wannacry大名鼎鼎,相信很多人都印象深刻,保護好個人電腦從及時更新病毒庫開始。
嘉賓楊文玉:我想朱總負責的雲業務,應該會有大量的這種防禦檢測機制吧。
閣主朱江:有的,我們也有專業的安全團隊,負責企業客戶的安全,但是與獵豹的區別是,我們關注的是主機安全。
這些主機部署在雲平臺之上,我們從主機建立之後就會對其進行相關的多項安全檢查,以確保系統安全,如果出現安全漏洞,我們也會及時通知和建議客戶進行修正。
嘉賓楊文玉:對,安全重要的一點就是及時通知,保證及時性。
Q11
閣主朱江:有資料顯示,近三年來,交易所被盜的損失約8. 64 億美元,而 2018 年上半年,由於安全問題引發的損失高達 5 億美元,超過了前兩年的總和。你認為交易所該怎樣有效保障自身安全?獵豹在維護交易所安全方面有哪些成果?
嘉賓楊文玉:這個問題問到我們核心業務了。獵豹區塊鏈安全中心致力於向交易所提供全面的安全解決方案。
交易所作為虛擬貨幣市場中的流量聚焦點,應該更加重視安全建設。從交易所自身的角度出發,應該在產品的設計流程中考慮到安全問題,如嚴格的許可權控制,網路安全裝置的部署等等。
從第三方安全服務廠商的角度而言,要保證交易所的安全,我們建議交易所定期採用第三方的安全測試服務,從攻擊者的角度出發審視自己平臺面臨的安全問題。回到我們的核心業務,我們即將開放一套面對交易所的,可定製化的安全服務平臺。
閣主朱江:能不能具體介紹一下有哪些特點?
嘉賓楊文玉:基於該平臺交易所可以實時監控自己上所專案的安全狀態。比如他想知道的幣價實時的波動,有沒有大起大落的專案,我們根據自己搭建的公鏈節點,監控實時的交易,透過威脅行為建模,可以實時判斷當前交易是否可能是攻擊交易。
另外,對於pow專案經常面對的,交易所也很頭疼的51%攻擊,我們即將推出算力監控平臺,做到攻擊預警。
結合我們對社群的瞭解,自然語言處理技術的積累,我們可以做到針對專案的社群輿情分析,使用者對該專案的情感態度分析,當前突發的安全問題預警。
閣主朱江:公鏈節點是指檢測物件的公鏈節點是吧?
嘉賓楊文玉:對。
Q12
閣主朱江:你曾說過,有效保障海量智慧合約的安全最好的方法是降低人工審計複雜度,採用智慧合約自動化審計,不過現在它處於一個很不成熟的階段。那麼智慧合約自動化審計存在哪些優勢和劣勢?針對這些問題你有想到哪些比較有效的解決措施了嗎?
嘉賓楊文玉:自動化檢測的優勢顯而易見,就是快且質量一致。
人工審計耗時長,且不同審計員的評判標準可能有稍微的差別,有時會導致審計結果的偏差。
但是自動化檢測技術當前還存在誤報高、漏報高、系統不穩定等缺點,要完全取代人工審計還需要很長一段時間的發展。漏報、誤報的解決方法最直觀的就是增加反饋。
測試樣本多,分析應對的case越多,準確率就會有所提升,這很像人工智慧裡面對於演算法的調優,不斷地增加學習樣本,來提供機器的精度。
所以,我們從當前我們已經檢測的近100萬個智慧合約專案中,挑選出來一些作為樣本,進行程式碼相似性聚合,不斷地去訓練我們自動化檢測的引擎。同時,我們還即將與以太坊著名廠商consensys進行合作,集合反饋,一起最佳化。
閣主朱江:哦?聚合是個專有名詞,能詳細說說嗎?
嘉賓楊文玉:就是在智慧合約專案中,往往它的程式碼相似程度是很高的。
我們首先對程式碼結構、方法進行分析,然後用機器學習的方法將程式碼分類,這樣可以避免我們的測試樣本落在同一型別中。同一類的合約,程式碼幾乎一致,他們其實應該看成一個測試樣本。聚合來提煉有效測試樣本。
閣主朱江:瞭解,目前市面上有幾個著名的形式化驗證的專案,比如Certik,請問與你們的智慧合約檢測方法有何不同?
嘉賓楊文玉:我們目前採用的是符號執行結合形式化驗證的方法來自動化檢測程式碼的漏洞。形式化驗證方法將程式碼轉化成一些中間形式,並最終形成邏輯表示式,放在驗證器中進行驗證。
特別是在一些未開源的程式碼中,我們透過對opcode的分析,可以看到大量的迴圈,這導致形式化驗證會出現路徑爆炸等一些棘手的問題,引起檢測失敗。
所以我們加入了符號執行,首先將程式碼解耦,形成一個個小的模組再去檢驗程式碼中的漏洞問題。
另外,我們最大的不同應該是檢測結果的表達方面。
閣主朱江:形式化驗證(Formal Verification)在安全領域是新的技術麼,之前用在哪些地方?為什麼最近突然火了起來?在區塊鏈專案的智慧合約安全性方面的作用有多大?
嘉賓楊文玉:不是新的技術,形式化驗證很早就被提出來了。之前一直用在航空航天、金融軟體等對安全性要求極高的環境中進行嚴格的邏輯校驗。
因為如果區塊鏈中發生了安全問題,可能直接涉及到大量的資金安全,所以安全要求比傳統的系統、軟體高很多,並且目前智慧合約的邏輯還比較簡單,不復雜,所以形式化驗證技術便被引入進來。
形式化驗證技術可以幫助審計員全面地發現問題。人工審計確實可能存在一些偏差,相互結合可以減少一部分的漏報。另外,當前智慧合約每天都在按千增加,人工沒法一個個地審計,所以形式化驗證自動技術還是能夠幫助我們大方面地瞭解當前合約的安全整體狀態。
閣主朱江:瞭解,介紹的非常詳細。儘管區塊鏈在最底層原理方面保障了其可靠性,但目前區塊鏈安全機制並不十分健全。攻擊者主要選擇保護相對薄弱的資料層、網路層、共識層、擴充套件層和業務層進行攻擊,每年因區塊鏈安全漏洞造成的損失高達數十億美元。從分析結果來看,攻擊事件大致可分為四類安全事件:共識機制、智慧合約、交易平臺和使用者自身。我們看到獵豹在各個方面都有自己的安全方案。
嘉賓楊文玉:對,努力為安全發展做點貢獻,也在不斷地探索,嘗試。
閣主朱江:謝謝楊文玉的分享,我的訪談到此結束。
閣主易歡歡:感謝楊文玉總精彩的分享,感謝朱江閣主精彩的訪談,獲益匪淺!
嘉賓楊文玉:謝謝。
火訊財經主編趙一丹:謝謝兩位閣主和今晚嘉賓楊文玉為我們帶來的“安全之夜”。
再次感謝大家收看本場火訊琅琊榜,感謝網易科技、鳳凰新聞、和訊、鏈得得、火星財經、核財經、金色財經、Blockchain No.1、bianews、鏈路財經、陀螺財經、區塊網、金牛財經、維特財經、幣頭條、一本區塊鏈、烯財經、杭鏈財經、區塊鏈財經圈、零度財經、巨鏈財經、牛吧發、牛金財經、韭菜之家的特約支援!
下面預告下一場訪談時間是明晚8點(10月18日),嘉賓是華為區塊鏈專家張小軍。
閣主:
朱江,金山雲區塊鏈業務負責人,計算機專業碩士研究生學歷,負責金山雲區塊鏈技術與遊戲行業融合的前瞻性應用研究和技術佈道,而後繼續開展與金融、醫療、文件存證和版權等相關領域的研究工作。2007年至2017年期間,任IBM全球雲端計算首席顧問並擁有Master Certified Architect by Open Group、DRII CBCP(Certified Business Continuity Plan)國際業務連續性管理專家、ITIL V3服務管理專家高階認證等多項國際認證。
朱江具有十餘年面向世界五百強企業的IT服務和管理經驗,從2013年起開始關注比特幣等虛擬貨幣的技術發展,2016年初作為IBM最早一批區塊鏈技術佈道師參與到包括銀行、保險、製造業、食品安全等多個領域的應用創新工作。今年3月加入金山雲,推出面向遊戲行業的金山雲KBaaS區塊鏈平臺,旨在打消遊戲廠商與區塊鏈融合的技術壁壘,並主持發起區塊鏈遊戲全生態“Project-X”計劃,匯聚區塊鏈遊戲數字發行平臺、區塊鏈遊戲引擎、區塊鏈安全、私鏈聯盟鏈公司和知名公鏈等眾多合作伙伴參與,旨在作為區塊鏈遊戲行業的催化劑,快速實現行業驗證技術、技術反哺行業的區塊鏈“千萬級”應用落地。
易歡歡,易股天下董事長。曾任申萬巨集源證券董事總經理,證券研究所執行所長。現任易股天下董事長,旗下有易選股,易鏈天下,易智科技等服務;上市公司亞聯發展執行董事。擔任一行三會及共青團中央網際網路專家委員。上市公司漢威集團、久其軟體董事,北京大學金融校友會副會長。曾任職Oracle、Google、Intel。中國資本市場網際網路金融、大資料、產業網際網路、雲端計算四次大潮的引領者。業界唯一:連續多年連續獲得證券業最高榮譽新財富、水晶球最佳分析師第一名。被騰訊新浪多次評為金融科技年度人物。
嘉賓:
楊文玉,獵豹區塊鏈安全中心首席科學家、白帽安全專家,多年安全研發經驗,專注於區塊鏈安全領域,對以太坊節點、智慧合約自動化檢測技術、去中心化交易平臺有深入研究。
本文內容來源火訊琅琊榜總群,如需轉載,務必註明出處。
