1、可以簡單介紹自己的職業經歷嗎?
我從小就熱愛計算機技術,1999年開始接觸和學習網際網路安全技術,到目前為止在這個也有超過十年的從業經驗了,之前主要是從事一線的反滲透和資料防護方面的工作,接觸區塊鏈的概念也比較早,2011年左右就挖過礦,炒過幣,也被期貨割過肉,算是國內較早接觸比特幣的人之一,從最開始只是興趣的狀態到最後相信區塊鏈行業的未來,我們也意識到區塊鏈行業發展的最大問題是安全問題,我和我的朋友們也開始投入到區塊鏈和數字貨幣安全之中;
2、 可以簡單介紹一下降維安全的團隊核心組成和構架嗎?
降維安全團隊的核心成員都算是安全行業的老兵了,包括商務和開發甚至大資料分析在內平均安全經驗在都在十年以上,每一個人的思維裡都流淌著安全的血液,也正是這種血液讓我們深刻得出區塊鏈安全要靠迴歸本質降維思考的思維模型;
目前團隊包括百度安全團隊早期創始人及烏雲平臺創始人,也包括來自360,看雪以及數美等其他一線安全團隊的核心技術成員;
3、 當前區塊鏈的安全問題集中體現在哪些方面?
區塊鏈搭建在數學和共識的基礎之上,核心思想是去中心化,安全模型與傳統的安全模型已經不同,長期來看安全風險也會得以以去中心化分散到個人節點上,所以安全的重點會在於DAPP以及公鏈,另外就是個人私鑰的安全保護,但短期我們覺得重點還在於一些中心化的問題上比較突出,主要問題在技術和意識上。
我們都知道,基於區塊鏈所執行的數字貨幣,是真正承載著價值的數字資產,中心化儲存機構,如交易所、中心化錢包等,儲存著大量使用者資產,這樣的機構是可以跟銀行做類比的。但是從技術投入,到人力投入上,中心化儲存機構的安全建設投入,要遠遠落後於銀行。另一方面,由於區塊鏈技術還屬於新興技術,沒有一個統一的標準,盲目發行各種鏈各種幣的技術團隊,技術參差不齊,非常容易出現技術上的漏洞。
使用者意識存在極大安全問題,這個事情好像說起來有點危言聳聽,但真實的情況是,絕大部分參與數字貨幣炒作的普通使用者,完全沒有任何區塊鏈、數字貨幣的基本知識儲備和概念。打個比方,我們拿出一張紙,寫上“降維幣 1億元”,然後讓使用者花1萬人民幣來買,恐怕使用者以為我們瘋了。但是在區塊鏈行業,這樣的瘋狂卻每天都在上演著。還有使用者把自己的私鑰、助記詞傳到網上或者被人輕易騙走,等等等等,這樣的例子層出不窮。
無論是技術層面還是意識層面,出現安全問題的本質根源都在於人,降維安全是想透過自己的技術和努力,幫助人們解決他們可能面臨的安全威脅,從而建設更好的區塊鏈安全生態;
4、 據降維官網,在智慧合約的審計上,降維安全實驗室開發了名為ASC(Autoaudit For Smart Contract)的審計輔助工具,可以簡單介紹一下ASC的亮點嗎?
區塊鏈世界程式碼即法律,對於區塊鏈來講合約的安全性不言而喻,按照降維安全的觀點,合約的安全性主要有兩方面,一方面是因為人無意犯下的錯誤,一方面是因為有意犯下的錯誤,前者主要是程式碼編寫過程中以及區塊鏈底層基礎設施不完善導致的安全風險,後者主要是合約編寫者本身就不懷好意導致的安全風險,這兩者都對區塊鏈安全生態產生極大的破壞,但程式碼性的缺陷較好判斷,由人惡意產生的風險卻不好直接定性。
與其他傳統的合約審計工具不同,我們研發的ASC系統最大的亮點是形式化驗證以及獨有的AI深度神經網路程式碼檢測雙層判定之後能夠快速對合約程式碼本身進行安全風險定性並且快速定位合約中存在安全缺陷的程式碼,其中AI深度神經網路程式碼檢測我們已經積累了幾十萬的合約程式碼和我們自有的風險程式碼特徵庫,當然對於合約程式碼安全但是合約本身存在惡意企圖的行為我們還會有專有安全審計師進行互動式複核,確保合約不止對專案方,而且對使用者和交易平臺都是安全的;
5、 當下交易所安全仍面臨嚴峻挑戰。繼4年前的Mt.Gox事件後,被盜事件頻發,近日日本交易所Zaif又宣佈被盜,您認為導致交易所安全問題最主要原因是什麼?未來可以有什麼防範升級措施?
交易所作為區塊鏈世界裡的一箇中心化的存在,對於駭客來說一旦攻擊成功就有巨大的收益,另外加上法律的不完善導致攻擊的成本極低,所以交易所天然就有著極高的安全風險。而交易所安全所面臨的問題其實我們剛剛也有簡單說過,歸根結底就是意識問題,存在僥倖心理導致在安全建設上投入不夠,傳統公司因為業務特點可以在有一定規模之後才去考慮安全方面的問題,但是作為交易所一上線就有大量的數字資產流入,所以在交易所籌備期間,就應該重視安全問題。
我們自身作為一家創業的區塊鏈安全公司,也非常清楚交易所在創立之初應該要更多的考慮業務考慮如何活下去,所以我們作為第三方為數字貨幣交易所定製了專業的整體安全解決方案,這套方案沉澱了我們自身和多家合作的交易所、交易所程式研發公司,多年的知識及經驗能夠幫助數字貨幣交易所規避安全風險,少踩、不踩重複的坑,安全健康的成長。
而將銀行級別甚至國防級別的安全建設方案和技術,改進應用到數字貨幣交易所行業,這就是觸手可及的未來,也是我們正在思考的事情;
6、 雖然區塊鏈具有匿名的特性,但目前區塊鏈上仍存在個人隱私安全的漏洞;但同時,又因為匿名性,帶來了出現問題後,解決難度增大的問題,您如何看待區塊鏈安全與隱私的關係?
我理解這個問題的出發點是因為區塊鏈的特性,一旦發生安全問題,導致損失難以追回。
從這個角度去看,實際上傳統金融領域的安全保障,依靠的並不是技術本身,而是完善的監管政策和強力的執法能力。隨著比特幣誕生的區塊鏈技術天生是排斥中心化的,但是這個去中心化並不是躲避金融和法律的監管,而是透過去中心化、公開透明的方式,透過數學演算法,更好的得到使用者監管。
所以從這個角度來看,安全和隱私並沒有任何矛盾。從技術上看,區塊鏈比傳統經濟更好的保障了使用者的安全性。因為匿名性而導致缺失的安全感,實際上是現階段對區塊鏈行業金融監管和法律保障的不到位,如果有一天,區塊鏈及數字貨幣行業,能作為現有經濟體系的一部分,得到政府的認可、金融機構的監管、法律的保障,使用者對安全和隱私的體驗會變得和現在完全不一樣。
7、 很多傳統安全巨頭,比如360、騰訊也進入了區塊鏈安全,您怎麼看待區塊鏈安全領域的競爭?以及降維是怎麼定位其核心競爭力的?
我們非常歡迎良性競爭,這個市場目前還很小,包括區塊鏈本身也是早期,如何更多的人參與進來才能讓整個區塊鏈生態,安全健康的成長。
降維安全秉持著“降維思考,知攻善防”的理念,我們知道真正的攻擊者是如何進行攻擊的,攻擊者最大的弱點在哪裡,將攻擊者拉入防守方的維度進行打擊,是我們和其他安全公司的最大區別。另外我們跟區塊鏈生態中的各型別合作伙伴,都有著良好的合作關係,比如交易所、錢包、礦池、系統開發商等等,非常清楚他們的痛點和遇到過的問題以及解決方案。技術上,我們的核心安全工程師,都是在網際網路安全行業從業10年以上的專業人才,從技能和經驗上,都有著豐富的積累。所以,安全文化和核心團隊是我們的核心競爭力。
8、 當前降維面臨的最大挑戰來自哪方面?市場?技術?資金?宣傳?
降維安全成立之後,儘管遇到很多坎坷但是相對成長還是比較快速的,如果要找一個點,我覺得是安全市場本身吧。
這裡有一個可類比的資料:2017年全世界網際網路公司,安全建設投入佔IT投入的平均值是13%,美國是16%,而中國是2%。由於這種市場氛圍,導致公司不太重視安全建設,或者不願意在安全建設上進行付費,而另外一方面客戶本身很多時候,是並不知道自己要面臨什麼樣的風險,需要什麼樣的服務和產品的。比如一家成立1年的交易所,看到我們的產品和服務會非常感興趣,因為他們在這一年的經營中,多多少少都會遇到過我們所要解決的那些問題,而另外一家剛剛成立的交易所,則可能對我們完全不感興趣,因為他們還未意識到我們可以解決的問題,將來會成為他們需要切實面對的問題,而這個代價會是非常昂貴的。
當然,這樣的情況與大的環境也有很大的關係,不能完全希望行業使用者天然就能夠非常主動關注安全,我們自己在安全上的宣傳和市場培育上也做的還很不夠。
9、 當前市場也已經歷了一段時間的熊市,瞭解到降維成立於今年6月,8月即獲得了鏈上產業基金數千萬人民幣的天使輪投資,可以說是“成立於熊市”,可以談談降維的市場規劃或者說目標嗎?
“企業家大多誕生於冬季”,首先感謝下這輪熊市的到來,可以讓我們有更多的時間和精力,將我們沉澱的經驗和技術落地轉化成在區塊鏈生態能有效創造價值的產品和服務。
降維安全的願景是“守護價值網際網路”,所以服務好區塊鏈生態企業,讓他們安全、健康的成長,就是降維安全最重要的市場規劃和目標,現階段我們主要在關注離資產較近的合約和中心化交易所較多,並且已經沉澱了較為成熟的產品和服務,我們後續在繼續沉澱的同時也會重點關注礦池和公鏈等基礎設施的安全。
10、 您可以從區塊鏈專案方的角度出發,給他們提供一些安全方面的建議嗎?
從安全形度講,區塊鏈專案的技術選型上,建議選擇成熟、使用者量大、經過時間驗證的技術,儘量使用有一定經驗的技術人員。
由於區塊鏈專案上鍊以後難以修改,所以要做好上線前的測試並且與第三方專業安全公司進行合作對程式碼的安全性進行審計和測試。
另外就是做好長期監控和出現問題後程式和資料進行更新的預案,當然還要盡最大努力保護好私鑰安全。
11、有一個說法是,或許可以用區塊鏈技術本身去解決區塊鏈安全問題,您認可這種說法嗎?
首先要清楚沒有任何一種技術或產品是可以解決所有問題的,這種想法很美好,但是就像沒有一種藥可以治癒世界上所有疾病一樣,區塊鏈技術並不能在安全領域“包治百病”,區塊鏈的去中心化從安全形度上講實際上是將中心化的安全風險去中心化的給到個人,如果使用者不能夠很好的使用區塊鏈做到基礎的安全,還是不能夠保護好個人的資產安全的,最典型的就是各種私鑰的丟失和駭客攻擊導致的安全事件,降維安全認為安全的本質在於“人”,用任何技術想一勞永逸的解決人的問題,目前看來應該是難以實現的。
當然區塊鏈技術可以在安全上,解決某一些中心化導致的問題,比如去中心化交易所的模式,基本解決了使用者資產、隱私資訊中心化儲存可能存在的駭客攻擊導致大量資料資產丟失的問題,或者使用區塊鏈技術來對駭客行為進行重塑也是一個潛在的方向;
降維安全是一個非常年輕的團隊,我們也在不斷的學習和進步希望從技術的革新和進步中得到啟發,如果有一天出現什麼新的技術能夠非常有效的解決區塊鏈安全的問題,降維非常願意和大家一起分享。
