轉(zhuǎn)自巴比特

原文作者：邱祥宇

智能合約允許在沒(méi)有第三方的情況下進(jìn)行可信交易，這些交易可追蹤且不可逆轉(zhuǎn)。那么智能合約程序存在哪些安全問(wèn)題？出了安全問(wèn)題，怎么辦？如何用形式化驗(yàn)證的方法給智能合約程序提供（軍事級(jí)）的安全驗(yàn)證，提高智能合約代碼的安全性？

5月30日晚間，螞蟻區(qū)塊鏈創(chuàng)新大賽安全合作伙伴、有著區(qū)塊鏈安全領(lǐng)域“女俠”稱號(hào)的成都鏈安科技創(chuàng)始人兼CEO楊霞，在大賽直播群中就以上問(wèn)題分享了解決方案，同時(shí)也分享了如何與螞蟻區(qū)塊鏈BaaS平臺(tái)共建安全生態(tài)。

數(shù)據(jù)顯示，2011年至2018年發(fā)生的安全事件造成的資金損失高達(dá)42億美元，其中由于智能合約安全事件造成的損失占據(jù)1/3，由此可以看出智能合約安全問(wèn)題的嚴(yán)重性。而隨著區(qū)塊鏈落地應(yīng)用的大量爆發(fā)，潛在的安全問(wèn)題更是不容忽視。

以以太坊為例，智能合約安全漏洞就有數(shù)十大類，30多小類。

智能合約的初衷是建立人與人之間的信任基礎(chǔ)，如果自身的安全性和功能的正確性得不到保障，這個(gè)程序就很難值得信任。如何有效解決智能合約的安全問(wèn)題，是行業(yè)值得深入探討的。

作為一家專門從事區(qū)塊鏈安全的公司，成都鏈安科技采用形式化驗(yàn)證的方法對(duì)智能合約安全進(jìn)行一鍵式安全檢測(cè)。

形式化驗(yàn)證，是根據(jù)某個(gè)或某些形式規(guī)范或?qū)傩?#xff0c;使用數(shù)學(xué)的方法證明其正確或非正確。它是一個(gè)系統(tǒng)化的過(guò)程，將使用數(shù)學(xué)推理來(lái)驗(yàn)證設(shè)計(jì)意圖（用戶功能需求）在實(shí)現(xiàn)（智能合約）中是否得以正確貫徹。

此前，形式化驗(yàn)證通常被用于對(duì)航空、航天、軍事控制系統(tǒng)的關(guān)鍵程序的功能正確性和安全性驗(yàn)證，以確保系統(tǒng)可以通過(guò)極其苛刻的安全級(jí)別認(rèn)證。由于區(qū)塊鏈系統(tǒng)涉及大量的資金交易，采用形式化驗(yàn)證技術(shù)為區(qū)塊鏈系統(tǒng)的代碼提供“軍事級(jí)”的安全檢測(cè)就顯得至關(guān)重要了。

在對(duì)代碼安全性檢測(cè)方面，與形式化驗(yàn)證對(duì)立的是“測(cè)試”。

測(cè)試的弊端是沒(méi)辦法窮舉，只能顯示已經(jīng)存在的bug，但永遠(yuǎn)不能證明bug一定不存在。形式化驗(yàn)證是通過(guò)數(shù)學(xué)推理的證明方法，能夠保證一定不存在指定屬性的安全問(wèn)題，并且能夠證明程序是否正確地滿足功能需求和設(shè)計(jì)目標(biāo)。

形式化驗(yàn)證通常分三個(gè)步驟：

第一步，對(duì)系統(tǒng)功能需求和設(shè)計(jì)建立形式化的規(guī)范； 第二步，對(duì)代碼實(shí)現(xiàn)進(jìn)行形式化的建模，包括對(duì)系統(tǒng)的狀態(tài)進(jìn)行形式化的描述，還有每個(gè)函數(shù)的功能要進(jìn)行描述，并且給出每一個(gè)功能所需要滿足的前后的條件； 第三步，通過(guò)定理輔助證明器，證明代碼實(shí)現(xiàn)是否正確滿足形式化規(guī)范，以此證明功能是否符合預(yù)期。

但實(shí)際上，這里邊有大量的人工參與，效率是非常低的，同時(shí)成本也是非常高的。

據(jù)楊霞透露，此前她在給軍事領(lǐng)域做形式化驗(yàn)證的時(shí)候是按照代碼行數(shù)收費(fèi)的，在給區(qū)塊鏈系統(tǒng)做形式化驗(yàn)證的時(shí)候，剛開(kāi)始用的是人工手段，驗(yàn)證一個(gè)600-700行的智能合約就花了一周左右的時(shí)間。

顯然，這樣做根本無(wú)法實(shí)現(xiàn)工程化的需要。為此，成都鏈安科技經(jīng)過(guò)近兩年的潛心研發(fā)，推出了自動(dòng)形式化驗(yàn)證平臺(tái)VaaS，能夠把代碼自動(dòng)進(jìn)行建模，自動(dòng)推理證明。

VaaS在驗(yàn)證智能合約的時(shí)候，分兩部分，一部分是安全屬性驗(yàn)證，一部分是功能正確性驗(yàn)證。

對(duì)安全屬性驗(yàn)證，首先把智能合約代碼自動(dòng)化進(jìn)行建模，然后對(duì)常規(guī)智能合約的安全漏洞建立模型。

對(duì)功能正確性驗(yàn)證，必需要人工參與，目前業(yè)界還達(dá)不到脫離人工參與的水平。VaaS在對(duì)工程正確性驗(yàn)證的部分，先對(duì)用戶的代碼和功能的描述進(jìn)行抽象，自動(dòng)化建模。之后再通過(guò)形式化驗(yàn)證專家進(jìn)行前置條件后置條件的定義，然后用輔助證明器去證明。

有了這兩個(gè)基礎(chǔ)之后，就能夠?qū)崿F(xiàn)一鍵式的自動(dòng)化形式化驗(yàn)證。

據(jù)楊霞介紹，VaaS是目前國(guó)際上最領(lǐng)先的形式化驗(yàn)證產(chǎn)品，可以支持以太坊、Fabric、BCOS、螞蟻BaaS等多個(gè)區(qū)塊鏈平臺(tái)，精確率可以達(dá)到95%以上。而且可以一鍵式自動(dòng)化精確定位出代碼的漏洞以及所在位置。

此外，成都鏈安科技還推出了鷹眼安全態(tài)勢(shì)感知系統(tǒng)（Beosin-Eagle Eye），采用大數(shù)據(jù)、人工智能的方法，為區(qū)塊鏈上的數(shù)據(jù)和資產(chǎn)提供安全實(shí)時(shí)預(yù)警和監(jiān)控，保護(hù)用戶的資產(chǎn)安全。 另外推出了智能合約開(kāi)發(fā)平臺(tái)（Beosin-IDE），為區(qū)塊鏈平臺(tái)定制化智能合約的開(kāi)發(fā)環(huán)境。

可以看出，成都鏈安科技從區(qū)塊鏈開(kāi)發(fā)、安全檢測(cè)到運(yùn)行時(shí)的安全監(jiān)控，構(gòu)筑了一體化的完整防護(hù)體系。

憑借在區(qū)塊鏈安全領(lǐng)域過(guò)硬的技術(shù)實(shí)力，成都鏈安科技贏得了大廠的青睞，螞蟻區(qū)塊鏈的專家禁不住盛贊：

“可以毫不夸張的說(shuō)，你們的安全產(chǎn)品的確是全球范圍內(nèi)最好的！”

成都鏈安科技也順利成為螞蟻區(qū)塊鏈創(chuàng)新大賽的安全合作伙伴，為螞蟻BaaS平臺(tái)定制智能合約自動(dòng)化形式驗(yàn)證的平臺(tái)，可以一鍵式檢測(cè)常規(guī)安全問(wèn)題，為螞蟻BaaS平臺(tái)的區(qū)塊鏈應(yīng)用程序提供深度的安全審計(jì)和服務(wù)。

據(jù)楊霞透露，這個(gè)新的平臺(tái)預(yù)計(jì)會(huì)在6月份開(kāi)發(fā)出來(lái)，并且入駐螞蟻BaaS平臺(tái)。

同時(shí)，在6月6日，成都鏈安科技參與協(xié)辦螞蟻區(qū)塊鏈創(chuàng)新大賽成都站Road Show（報(bào)名鏈接：活動(dòng)報(bào)名鏈接：https://www.huodongxing.com/event/3494458774400），歡迎各界對(duì)區(qū)塊鏈感興趣的朋友使用螞蟻BaaS平臺(tái)進(jìn)行區(qū)塊鏈的應(yīng)用開(kāi)發(fā)，可以掃描下面的二維碼進(jìn)群交流。

（釘釘掃碼進(jìn)入大賽群）

歡迎大家體驗(yàn)：

一、智能合約自動(dòng)形式化驗(yàn)證平臺(tái)VaaS精簡(jiǎn)版，準(zhǔn)確率達(dá)到95%以上

Beosin（成都鏈安科技）已向全球發(fā)布VaaS平臺(tái)，全球首個(gè)同時(shí)支持ETH、EOS、Fabric、ONT、TRON等多個(gè)區(qū)塊鏈平臺(tái)的智能合約形式化驗(yàn)證平臺(tái)，準(zhǔn)確率達(dá)到95%以上。

VaaS（精簡(jiǎn)版）系統(tǒng)為所有區(qū)塊鏈從業(yè)者提供方便而免費(fèi)的智能合約安全審計(jì)服務(wù)，對(duì)智能合約安全漏洞進(jìn)行形式化驗(yàn)證，從容應(yīng)對(duì)常規(guī)合約安全問(wèn)題。歡迎大家登陸官方網(wǎng)址體驗(yàn)：

官方網(wǎng)址：

https://beosin.com/vaas/index.html#/audit/ptsj

▲VaaS 精簡(jiǎn)版平臺(tái)

二、在線 Beosin-IDE 免費(fèi)版本

Beosin-IDE 是一款免費(fèi)的面向BOS、EOS區(qū)塊鏈平臺(tái)的智能合約在線集成開(kāi)發(fā)環(huán)境，可同時(shí)支持合約開(kāi)發(fā)、部署、測(cè)試和源碼調(diào)試等功能的在線區(qū)塊鏈應(yīng)用開(kāi)發(fā)集成環(huán)境。

歡迎大家免費(fèi)體驗(yàn)：通過(guò)瀏覽器訪問(wèn)

https://beosin.com/BEOSIN-IDE/index.html#/

（如下圖，推薦Chrome瀏覽器）。

▲Beosin EOS-IDE

Beosin官方發(fā)表正式聲明：

為了全球化市場(chǎng)戰(zhàn)略需要，公司發(fā)布全新英文品牌 “Beosin”。作為深耕區(qū)塊鏈安全領(lǐng)域的公司，“Beosin”力求為行業(yè)保駕護(hù)航，以打造區(qū)塊鏈全生態(tài)安全為宗旨，竭誠(chéng)為客戶提供包括智能合約安全審計(jì)、智能合約開(kāi)發(fā)審計(jì)一條龍、錢包安全審計(jì)、DApp安全加固與審計(jì)、區(qū)塊鏈平臺(tái)安全審計(jì)、交易所安全檢測(cè)、安全產(chǎn)品定制化服務(wù)、企業(yè)級(jí)安全服務(wù)等。但公司英文名稱更名并不涉及業(yè)務(wù)架構(gòu)或公司所有權(quán)變化。新品牌的Logo如下圖：

近期，有XX鏈安科技與成都鏈安科技重名，且Logo及宣傳語(yǔ)相似。成都鏈安科技是一家由分布式資本、界石資本、盤古創(chuàng)富投資的專門從事區(qū)塊鏈安全的公司，與其他XX鏈安科技無(wú)任何關(guān)聯(lián)。請(qǐng)大家認(rèn)準(zhǔn)成都鏈安科技唯一指定商標(biāo)品牌，謹(jǐn)防上當(dāng)受騙，一切消息以官網(wǎng)及官方公眾號(hào)為準(zhǔn)。

成都鏈安科技官方公眾號(hào)名稱：Beosin成都鏈安

成都鏈安科技官方網(wǎng)址：

www.lianantech.com

——Beosin

關(guān)于Beosin：

Beosin（成都鏈安）成立于2018年，公司位于四川省成都市，專注于區(qū)塊鏈生態(tài)安全。公司由楊霞和郭文生兩位教授共同創(chuàng)建，團(tuán)隊(duì)核心成員由來(lái)自海內(nèi)外知名高校和實(shí)驗(yàn)室留學(xué)經(jīng)歷的教授、博士后、博士及阿里、華為等知名企業(yè)精英組成。已獲得分布式資本、界石資本、盤古創(chuàng)富等著名投資機(jī)構(gòu)的兩輪股權(quán)投資。其核心技術(shù)為形式化驗(yàn)證，是全球最早一批將此技術(shù)應(yīng)用到區(qū)塊鏈安全領(lǐng)域的公司。

公司首批入選Etherscan智能合約審計(jì)推薦名單及普華永道創(chuàng)新加速器，榮獲全國(guó)首屆中小微企業(yè)SaaS應(yīng)用創(chuàng)新創(chuàng)業(yè)大賽冠軍，獲得OKEx最佳安全審計(jì)合作伙伴獎(jiǎng)等榮譽(yù)，參加工信部多項(xiàng)區(qū)塊鏈安全標(biāo)準(zhǔn)的撰寫，入選工信部“2018區(qū)塊鏈白皮書”，作為唯一安全公司入選“2018中國(guó)區(qū)塊鏈企業(yè)百?gòu)?qiáng)榜”，榮膺金色財(cái)經(jīng)“2018年度最專業(yè)安全服務(wù)機(jī)構(gòu)”、“2019中國(guó)區(qū)塊鏈安全領(lǐng)軍企業(yè)”稱號(hào)，榮獲火星財(cái)經(jīng)“最佳區(qū)塊鏈數(shù)據(jù)安全團(tuán)隊(duì)”獎(jiǎng)項(xiàng)，成為2019年區(qū)塊鏈技術(shù)與數(shù)據(jù)安全工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員單位。已與Huobi、OKEx、KuCoin、CoinBene、CoinTiger、ONT、Qtum、比原鏈、Wanchain、BOS、Scry、布比區(qū)塊鏈、云象區(qū)塊鏈、QuarkChain、麥子錢包、EOSPark等共計(jì)超過(guò)50家區(qū)塊鏈公司建立戰(zhàn)略合作關(guān)系，審計(jì)報(bào)告被國(guó)內(nèi)外各大知名交易所認(rèn)可，為助力本體智能合約安全發(fā)布形式化驗(yàn)證平臺(tái)VaaS-ONT。公司審計(jì)智能合約超500份，獨(dú)立發(fā)現(xiàn)區(qū)塊鏈安全漏洞幾十種，獲得行業(yè)及客戶的一致好評(píng)和認(rèn)可。讓區(qū)塊鏈生態(tài)更安全，是我們的美好愿景！

「Beosin」

作為Huobi、OKEx、KuCoin

CoinBene、CoinTiger等

著名交易所指定的合約審計(jì)公司。?

入選Etherscan智能合約安全審計(jì)名單。

歡迎聯(lián)系Beosin，了解智能合約安全審計(jì)

智能合約開(kāi)發(fā)審計(jì)一條龍

錢包安全審計(jì)

DApp安全加固與審計(jì)

區(qū)塊鏈平臺(tái)安全審計(jì)

交易所安全檢測(cè)

安全產(chǎn)品定制化服務(wù)

企業(yè)級(jí)安全服務(wù)

?·

電話：028-83262585

網(wǎng)站：www.lianantech.com

郵箱：vaas@lianantech.com

地址：成都市世紀(jì)城南路599號(hào)

天府軟件園D7座504室

官網(wǎng)：

https://www.lianantech.com

GitHub網(wǎng)址：

https://github.com/Lianantech/VCA

Facebook網(wǎng)址：

https://www.facebook.com/BeosinChengdu/

twitter網(wǎng)址：

https://twitter.com/Beosin_com

Telegram中文群：

https://t.me/LiananTech_cn

Telegram英文群：

https://t.me/LiananTech_en

微博：

https://weibo.com/u/6566884467

CSDN博客：

https://blog.csdn.net/CDLianan

知乎專欄：

??點(diǎn)擊了解更多

總結(jié)

以上是生活随笔為你收集整理的区块链女侠杨霞：为区块链代码提供军事级的安全检测丨蚂蚁区块链大赛成都站火热报名...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。