區塊鏈:區塊鏈生態安全 一場真槍實彈的戰爭

雖然程序漏洞的檢測和驗證已經引起業界的高度重視，但在區塊鏈行業內，安全問題仍舊頻繁發生。

據不完全統計，至少已有22家交易所被黑客成功攻擊，被盜次數達30余次，總共約1,000,000枚比特幣和8億美元的等值數字貨幣被黑客盜取。這其中，不但包括幣安、OKEx、Mt.Gox、Bitfinex、Bithumb等頭部交易所，還涉及了印度交易所Coinsecure、日本交易所Zaif、意大利交易所BitGrail等。

每一個漏洞，都將會成為黑客攻擊的機會，造成的損失也將不可估量。在目前區塊鏈技術蓬勃發展階段，區塊鏈的生態安全是一場真槍實彈的戰爭。而采用形式化驗證技術的CertiK在安全保護方面從不退讓，不僅僅是找出漏洞，更重要的是證明漏洞不存在。

加密貨幣守衛戰

中國人壽區塊鏈助推精準扶貧升級加力:4月8日，新華網刊文“扶貧助農新出路 中國人壽區塊鏈助推精準扶貧升級加力”。文章表示，中國人壽積極探索“金融扶貧保險先行”模式，以區塊鏈+扶貧為手段，用保險機制鏈接社會扶貧力量，惠及貧困家庭，以此形成了一套透明、高效的區塊鏈扶貧模式。區塊鏈技術把“頂梁柱”項目打造成了一本“公共賬簿”，通過采用區塊鏈技術框架實現承保數據實時對接，實現捐款人、公益機構、保險公司、受保人在內的所有項目參與方，共同“記賬”和監督，任何一方都無法篡改賬目。運用區塊鏈技術助力公益項目，是中國人壽區塊鏈技術的一個縮影。目前，中國人壽已將該技術應用于金融、保險、信用卡、企業年金等場景。未來，中國人壽將繼續深入推進“扶貧保”工程，充分發揮保險、投資、銀行等綜合金融優勢創新扶貧方法，進一步拓展“區塊鏈+公益+保險”扶貧模式，為助推脫貧攻堅決戰決勝提供國壽方案、注入國壽力量，用實際行動向中央交一份滿意的答卷。（新華網）[2020/4/9]

“目前區塊鏈數字資產基本都是采用智能合約來進行約束，但智能合約在安全方面存在問題具有不可逆性、代碼開源、高成本、思維受限幾個方面，因此讓區塊鏈上的數字資產很容易遭受黑客攻擊和掠奪。”CertiK中國區VP陳波錦表示，“區塊鏈生態安全其實比我們預想的更加脆弱，要進行全面性的防御和保護才能實現生態安全。”

聲音 | 青島金家嶺金融區管委會副主任：將加速集聚發展區塊鏈金融等新興業態:金色財經報道，青島金家嶺金融區管委會副主任褚衍坤表示，將進一步完善金融科技產業激勵政策，鼓勵支持金融機構實施金融科技創新工程，加速集聚發展智能投顧、大數據征信、區塊鏈金融等新興業態，引進集聚一批金融創新企業，推動青島金家嶺金融區成為全國領先、面向未來的金融科技中心。[2019/12/14]

根據陳波錦介紹，目前常見的盜幣手段主要有三大類：

1）以整數溢出為代表的代碼安全漏洞。這些通常是被寫代碼的人不小心引入的，可能會引起合約某些功能部件失效。最嚴重可能導致黑客攻擊，用戶丟幣，甚至黑客憑空造幣。 

聲音 | 網商銀行董事長：非常重視區塊鏈技術且已完成很多場景的落地應用:據澎湃新聞報道，螞蟻金服總裁、網商銀行董事長胡曉明表示非常重視區塊鏈技術，并稱：“我們在此之前已經做了長達幾年的研究和技術探索，積累了目前全球最多的專利，并且已經完成了很多場景的落地應用，對于Libra，我們覺得整個社會應該用開放和謹慎的態度去看待這個事情。”網商銀行行長金曉龍透露，上周網商銀行和成都市綜合企業擔保企業中心共同做了擔保憑證的區塊鏈，在擔保憑證區塊鏈的保障下，已經有企業獲得融資，另一個場景就是資產轉讓的環節里，通過區塊鏈技術，把大量隨借隨還的債權債務信息和合作機構進行同步。[2019/6/25]

2）智能合約權限控制。一般智能合約里面會設置一個擁有超級權限的管理員，這類合約的安全隱患比較大，因為一旦管理員的私鑰被盜用，很容易造成巨大的損失。

聲音 | 張勤：區塊鏈等技術可能給我們提供了很好的發展機遇:據證券時報網消息，“BAC2018區塊鏈應用大會”近日在清華大學舉行。十三屆全國政協常務委員、中國科學技術協會原副主席、國際核能院院士張勤表示，區塊鏈有望從技術層面解決可靠性、安全、不可篡改和信用的問題，使我們降低大量運作成本，加強人與人之間的互信。區塊鏈技術、人工智能都可能給我們提供了很好的發展機遇，但是一項新技術究竟能不能給我們產業、經濟和社會的發展帶來實際性促進作用，還需要對這些技術進行深入研究。[2018/11/28]

3）規范性問題。現在很多智能合約的實現并沒有統一規范，智能合約是以交互的方式進行多人合作。沒有一個規范的合約容易導致不同人對合約的行為產生誤解從而出現大量安全隱患。

正因為智能合約的不可更改性，黑客們不斷挖掘交易所可能存在的任何漏洞。如何保障你的加密貨幣的安全？CertiK的陳波錦給出了幾點建議：1）交易所和用戶重視安全信息，避免信息泄漏；2）智能合約一旦更改，務必進行二次審計，確保其安全性；3）解析目前的漏洞和威脅，從源頭上進行一定的技術防御，最大可能性降低黑客的可乘之機；4）無論是交易平臺還是數字貨幣本身，選擇可信的安全保護服務商。

聲音 | Ripple負責人：監管機構將對區塊鏈與數字貨幣一視同仁:據Cryptovest消息，Ripple亞太和中東監管關系負責人Sagar Sarbhai在近日接受采訪時表示，監管機構處理區塊鏈和加密貨幣的方法發生了重大轉變，開始整體考慮將數字貨幣視為與分布式賬本技術具有同等重要性。他表示，幾年前的說法是區塊鏈好但加密不好，但現在越來越多的監管機構和政策制定者開始試著將兩個空間整合在一起，認為不能在沒有飛機的情況下建造跑道。[2018/9/20]

從源頭上阻斷黑客之路，這無疑是一個非常大膽的想法。CertiK經過一年多時間的研發和論證，最終提出了完全可行并且可以落地的解決方案——“深度規范”的形式化驗證。該方法是采用數據邏輯來驗證程序的可靠性，在驗證的的過程中逆行代碼分層，對目標對象進行準確且無二異議的嚴格數學建模，描述以及推導與證明，證明它能得到預期的結果，沒有bug。

目前，CertiK在用形式化驗證技術審計智能合約方面已經相對成熟，不僅局限于solidity的以太坊智能合約語言，在其他多種語言環境下，也均有非常成功的案例。此外，CertiK與哥倫比亞和耶魯大學聯合研發并即將上線的DeepSea語言，可以幫助開發者編寫出更加安全高效的智能合約，并且確保通過函數式語言DeepSea設計的被完全驗證過的編譯器被編譯成bytecode的過程也是正確的。DeapSea也獲得了IBM，Qtum和以太坊基金會在科研和資金方面的支持，將很大程度上助力區塊鏈生態安全的建設。

據悉，一些知名的加密貨幣都采用了CertiK的形式化審計，其中包括BNB、OKUSD、TrueUSD、 NEO 、Qtum和QuarkChain等等，保護價值超過了44.9億美金資產。 

公鏈，一場關于效率和安全的博弈

目前，公鏈從大的方向看，有兩種類型：一種是構建“大而全”的底層公鏈；一種是著眼于某個特定行業的公鏈體系。

細分行業也好，“大而全”也罷，其本質還都是依存于區塊鏈這個體系而存在的，那它們就不得不面對效率和安全的問題。就市面上的大部分公鏈而言，依然是犧牲效率，保證整個系統的安全。

但是，360周鴻祎曾說過，任何系統都會產生漏洞，沒有攻不下的系統，只有沒發現的漏洞，所以區塊鏈行業的安全在未來仍然任重道遠。

鑒于此，CertiK通過對平臺上開發的智能合約和DApps進行形式化驗證來提供公鏈安全定制服務。

“我們的編程語言/形式驗證專家將分析您的平臺并為其語言設計數學模型。 一旦轉換為我們的數學模型，平臺上的DApps就可以像CertiK保護的任何其他DApps一樣受到保護。”陳波錦說。這也意味著，通過形式化驗證，平臺上DApps的正確性可通過機器檢查校樣進行驗證，或通過自動生成的反例進行反駁。交付實現無漏洞的DApps，從而實現生態系統安全。

此外，CertiK還開放了滲透測試服務，強化公鏈平臺的安全保護方案。

什么是滲透測試？陳波錦解釋，它是針對計算機系統的授權模擬攻擊，用于評估系統的安全性。執行測試以識別可能存在的漏洞，包括未授權方訪問系統的特征和數據的可能性，以及優點，使得能夠完成完整的風險評估。他舉例介紹，Web應用程序滲透測試是通過在內部或外部模擬未經授權的攻擊來訪問敏感數據的。網絡滲透幫助終端用戶發現黑客從因特網訪問數據的可能性，發現他們的電子郵件服務器的安全性，并且也了解網站托管站點和服務器的安全程度。

“滲透測試是一種預防控制方法，它給出了系統現有安全層的總體視圖。從安全保護角度來講，滲透測試更具預見性和安全性。”陳波錦介紹。

公鏈的安全與效率是不可能三角中的兩個互斥節點。而CertiK可以幫助公鏈項目更好的解決安全方面的問題，減輕項目方的負擔，讓項目方可以有更多的時間和精力去解決如何提升其運行效率，如何為開發者和用戶提供更好的體驗等其他方面的問題。

CertiK一路走來，始終把握市場的脈搏，為迎合國內區塊鏈行業的快速發展，CertiK已于今年初，在北京成立了中國區運營團隊，以便為國內的客戶，提供更方便快捷的服務和支持。另外，在技術人才方面，CertiK也迎來了形式化驗證頂尖技術專家倪兆中博士和多名來自美國知名互聯網公司的技術工程師的加入，大大加快了公司在業務與技術方面的發展。 

有了全方位的支持，陳波錦表示，CertiK將在今年進一步加大公司在區塊鏈安全技術方面的研發深度，完成DeepSea語言以及與其配套工具的開發。同時，利用自身優勢，用區塊鏈技術為傳統產業賦能，構建兩者之間溝通合作的橋梁，借助安全領域的合作，建立更加廣泛的合作關系。

Tags：區塊鏈ERTcertikCER區塊鏈工程專業學什么課程的Divert Financecertik幣價Influencers of the Metaverse

萊特幣價格