作者:@Windy34
编排:@黑羽小斗 @Coucou @满意my
1月,我们发表了 如何在钱包被盗后从黑客手里抢救 NFT?成为当月热文。正如文章所说,随着美联储不断加息缩表,市场活跃度持续低迷进入熊市,作为市场上仅剩的这些“流动性”也就是我们这些韭菜的钱包也成为了骗子们虎视眈眈的对象。为此,Buidler DAO 特地邀请了知名区块链安全公司 Beosin 的创始人/CEO Monica 教授来与我们一起探讨黑暗森林下的安全之道。
嘉宾
Monica
#Beosin 创始人&CEO
#全球知名大学副教授,博士后
#全球最早研究智能合约形式化验证技术的专家
Monica 教授:好的,大家好,很开心能接受 Buidler DAO 的采访,其实在投身区块链安全领域之前,我一直从事形式化验证、安全技术等方面的研究,我粗略算了一下,我从事形式化验证以及相关安全技术研究已⻓达20多年。
后来为什么我会聚焦在区块链的安全领域,并创办了Beosin,是因为看到了区块链安全的相关生态设施构建并不完善,尤其是由于智能合约而引发的安全事件更是频繁发生,当时我心里想的是,**这些安全问题如果不能得到解决,将会严重影响到区块链行业的发展。**而在寻找区块链安全技术解决方案的过程中,我发现形式化验证这一技术就能够很好地应用在区块链领域的智能合约安全问题当中,再加上自己对这项技术的了解,因此我在2016年便将形式化验证技术尝试应用到区块链领域。
瞄准突破口以后,Beosin 因此成立,并在创立初期就受到众多机构的投资,我们也从一个小团队,逐渐成长为现在将近两百人的团队。这些年来,我们一直深耕区块链安全领域,尽管整个行业变化很快,但我的理想和初心一直没变,作为一家有责任、有社会担当的区块链安全头部企业,我们想为整个区块链安全生态实实在在的贡献力量,使行业健康发展一直是我们坚持和努力的方向。
Monica 教授:目前,Beosin 的业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球2000多个区块链企业提供安全技术服务,审计智能合约超过3000份,包括知名的 Web3 项目PancakeSwap、Uniswap、DAI、OKSwap,所有这些合约都由 Beosin EagleEye 监控。KYT AML 正在为包括 Binance 在内的100多家机构服务。
Monica 教授:其实我们的角色可以理解成 Web3 生态的安全守护者。2023年,我们与区块链生态领域很多伙伴都在不断拓展和开展深度合作,比如近期我们正式成为 BNB Chain Kickstart Program 官方安全审计服务商,这是继与币安官方 AvengerDAO 达成安全合作伙伴关系后,双方进一步开展的深度合作。同时我们与 OKC(OKX Chain)建立战略合作伙伴关系,增强区块链生态系统的安全性,以及还有日本的企业 HashPort 深化战略合作,拓展日本 Web3 安全市场。今年我们也会和 Buidler DAO 这边继续开展合作,去年我们共同完成一些线上安全课程的培训,以及完成的行业报告研究,都取得不错的反响。
而就在今年2月初,我们的安全技术专家受邀参加由香港警务处网络安全及科技罪案调查科 (网罪科) 所举办的五天的虚拟资产调查课程,参加者包括香港警务处、廉政公署和香港海关的代表。Beosin 安全技术专家在此次培训课程中,在加密货币反洗钱、追踪、Web3 安全技术等方面进行专业且全面的分享, 并荣幸获得香港警务处(CSTCB)颁发的荣誉表彰。
Monica 教授:随着新公链 Aptos、Sui 的崛起,Move 作为面向资产编程的语言也吸引了越来越多的关注,相关公链上使用 Move 语言编写的项目也越来越多。除了对 Move 语言进行了深入研究,我们也推出针对 Move 智能合约的安全审计服务。
在这里,我需要提一下,Move 程序可能出现的漏洞点,包括比如:
开发者在使用Aptos、Sui,或者其他基于 Move 的blockchain 中独特的 Framework 进行开发时,应保持一定程度的安全意识,确保供应链安全。
函数权限问题。对于一些函数调用的权限要仔细划分,因为一些关键函数会涉及到治理,严重的会影响到资金安全,针对这种函数调用需要对调用者进行鉴权。
业务逻辑在设计和代码实现时,均需注意其中的逻辑问题。
关于 Move 系项目,在模块升级时需要注意根据合约升级政策,代码的所有者对升级权限有完全的控制权。代码的 owner 在初始部署后是不可改变的。部署者的地址在部署后永远拥有升级权限。
Monica 教授:形式化验证简单来说就是将各种可能出现的问题进行穷举。一般来说,传统意义上的验证手段,是无法把可能会出现的情况一一列举并进行验证的;但形式化验证则是可以穷举的,通过数学手段对代码建立数学模型,并证明是否存在任一可能的安全问题,最终尽可能地让区块链代码没有漏洞,以预防遭受黑客攻击。
但是在智能合约的安全审计中,形式化验证发挥了很大的作用。近年来,智能合约作为区块链核心构成要素之一,在多个领域得到了广泛的运用。随着智能合约的爆发式增长,智能合约安全问题引发的事件也越来越多,我在2016年开始将形式化验证技术尝试应用到区块链领域,看到 Web3 安全领域非常需要这项技术。
Monica 教授:是的,首先谢谢大家对 Beosin 安全产品的肯定,我可以为大家简单介绍一下,VaaS是 Beosin 研究团队开发出的一款智能合约形式化验证工具,能精确定位风险代码位置并给出修改建议,自动检测智能合约80余项的常规安全漏洞及功能逻辑缺陷,检测准确率高达97%以上。目前 VaaS 同时支持evm,wasm 的所有公链的智能合约的上百种常规安全漏洞和业务逻辑缺陷检测,帮助开发者提高智能合约的安全能力。现在这款产品的用户数量也很高,之前我们在新加坡等地的大学开展区块链安全课程时候,很多学生都发邮件来想咨询如何可以多次试用这款产品,因为 VaaS 对他们在写智能合约时方面帮助非常大。
其实对于目前的智能合约的人工审计,通常靠自身经验不断尝试枚举各项可能的输入条件,从而比对输出来判断是否存在漏洞;其存在的问题就是人工成本昂贵,测试时无法覆盖到所有的路径,测试具有一定的机械性、重复性、工作量往往较大。
但是在 Beosin 在审计规范性上,我们都是采用 VaaS 和专家结合的审计方式,Beosin 包含多个重要环节的审计步骤,例如自动化代码安全扫描与安全专家和形式化验证专家的人工审计结合。每一步均由2名以上的安全专家和形式化验证专家交叉操作,尽量避免因为人为因素导致的遗漏。
正是由于 Beosin 的安全专家加上形式化验证技术的实力,因此经过 Beosin 审计的上千份智能合约,目前从未发生因安全漏洞导致重大的被盗事件。
Monica 教授:从2022年 Beosin 发布的安全年报来看,整个区块链生态依然成为黑客攻击和诈骗犯罪滋生的温床,无论是安全事件数量还是造成的经济损失数量都非常巨大。多个项目遭到黑客攻击,所造成的巨额经济损失严重影响着区块链生态的安全和稳定。随着区块链技术的发展,越来越多的黑客攻击事件也不断的影响着行业的发展,因为一些智能合约代码的错误,导致被盗的案例比比皆是。Beosin 希望能帮助项目方/企业构建“一站式”的安全堡垒,在项目上线前的代码审计,项目运行时的安全风险监控、预警与阻断,以及虚拟货币被盗资产追回等,我们都能为项目方提供帮助。
Monica 教授:对接针对个人用户的安全事件也非常多,对于个人用户而言,一定要做好安全防范,如果不幸发生钱包被盗的情况,应该尽快将资产转移到其他钱包,如果被丢失钱包资产已经被转移,使用专业资金监控小程序,进行资金实时监控,第一时间了解资金状况,同时寻求专业人士的帮助,比如安全公司。目前各种钓鱼网站层出不穷,仅靠用户自己进行识别已经很难防范,因此建议用户在浏览器上安装防反钓鱼插件。这类插件可以识别出用户当前访问的 web3站点是否为钓鱼、诈骗等类型的恶意网站。
Monica 教授:2022年,全球加密市场发生了诸多大事件:加密总市值大幅缩水;Terra 崩盘、三箭资本 (3AC) 和 FTX 破产;Tornado Cash 遭受制裁;以太坊合并;新公链快速发展。在市值严重缩水的情况下,2022年黑客盗取资金却创下了新高。全年因各类攻击造成的总损失达到了36亿0384万美元,比2021年增加了约11.6亿美元。2022年全球 Web3 安全形势比以往都要严峻。总之2023年安全行业面临严峻挑战,这也将是我们安全公司继续为行业贡献更多力量的一年。
要真正程度上抑制黑客的猖獗活动,需要整个行业做出多方努力,包括以下方面:
快速制定和完善全球监管体系。真正有震慑力的,还是要对加密领域本身的犯罪行为诉诸法律制裁。目前已有一些国家的监管政策已初具雏形,预计2023年全球会有更多国家将监管政策体系化。
从源头对黑客攻击进行阻断。目前整个安全市场包括Beosin 已有一些成功阻断黑客攻击的案例,随着技术的逐渐成熟,2023年预计会有更多的黑客攻击在源头上被阻断。
被盗资金追回。项目方、用户、安全公司、交易所、监管机构需要多方合作,锁定黑客链上地址及更多身份信息。随着全球监管体系的完善,找回被盗资金将不再是小概率事件。
加强整个基础设施建设。2023可能会出现从基础设施层面解决行业安全的新技术或新项目。同时,现存的区块链头部项目方也会对自身安全进行系统优化。
项目方做好自身安全防护。部分项目开发匆忙、未经审计就上线是导致项目遭受攻击的一大原因。此外,合约安全、私钥/钱包安全、传统安全、甚至团队运营安全等,有一个薄弱的领域都可能让项目方造成巨大损失。对于项目方来说,需要一个解决方案能兼顾各方面的安全问题。明年预计会有更多成熟的项目方找到相对完善的解决方案。
新兴赛道的安全防护。在熊市的情况下,整个市场都在等待 Web3 的下一个叙事。2023年新兴赛道一旦刚开始流行,因为成熟度不完善、大量新项目方新用户涌入,必定会成为黑客的首要攻击目标。整个市场的安全从业者必须具备快速学习的能力,以应对市场不断变幻的新兴挑战。
个人用户安全意识的提升。明年的大趋势是降低普通用户进入 Web3 的门槛,面向新用户进行安全知识普及教育是非常有必要的。
更便捷有效的治理模式。个人用户遭遇资产被盗的情况,往往由于金额较小、信息零散、关注度低、报案无果等原因最终不了了之。目前已有一些 DAO 针对此类问题建立了初步的解决方式,预计明年会有更完善的体系出现。
更开放、共享的安全行业。正如上面所提到的,合约安全、私钥/钱包安全、传统安全、团队运营安全等方方面面都需要保障,而这需要整个安全行业的共同努力。
夜莺的歌声不必在殿堂,学者也可在 Web3 中 buidl 精彩。Scholar in Web3 是继 Women in Web3 后的全新专访企划,目前已进行了两期。欢迎联系 Windy34(vx:felix_lepus)与我们交流或推荐大咖资源,成功接洽采访后将给予惊喜福利。
公众号后台回复 Web3入门 即可领取 Web3 Buidler 养成计划 所有资料(下方链接)
课程特别推荐:
钱包被盗如何补救?一起学习从机器人手中挽救剩余资产
链接:
MOVE OVER HODL,
IT'S TIME TO BUIDL!
Buidler DAO 聚集技术、投研、运营等领域的 Web3 实干家,以 DAO 的方式组织内容输出和产品实践,建立 Web3 人才网络和项目加速器;以自身实践打造 SocialDAO 治理范式和 DAO Tools 解决方案。
内部五大公会共同协作:孵化、技术公会构建项目加速生态;投研、教育公会输出深度内容;运营公会负责社区治理与增长。