信息化觀察網(wǎng)

從2019年政府將區(qū)塊鏈定義為核心技術(shù)自主創(chuàng)新重要突破口，到2020年發(fā)改委將區(qū)塊鏈納入新基建范疇，再到“十四五”規(guī)劃中把區(qū)塊鏈劃為數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)，一系列政策都為區(qū)塊鏈?zhǔn)袌?chǎng)發(fā)展提供了積極的引導(dǎo)信號(hào)，是區(qū)塊鏈技術(shù)從項(xiàng)目試點(diǎn)走向商業(yè)推廣階段的強(qiáng)心劑。

但區(qū)塊鏈技術(shù)是一把雙刃劍，潛藏了多方面的風(fēng)險(xiǎn)，比如區(qū)塊鏈系統(tǒng)自身的安全問(wèn)題越來(lái)越突出，數(shù)據(jù)泄漏、資金損失和系統(tǒng)運(yùn)行故障等安全事件層出不窮。不法分子利用區(qū)塊鏈匿名、無(wú)國(guó)界的特點(diǎn)開展洗錢、犯罪資金轉(zhuǎn)移、繞開外匯管制等非法活動(dòng)，對(duì)經(jīng)濟(jì)和社會(huì)造成惡劣影響，給監(jiān)管帶來(lái)巨大挑戰(zhàn)。而安全是整個(gè)區(qū)塊鏈行業(yè)的基石，是區(qū)塊鏈行業(yè)的剛需。我們有幸邀請(qǐng)到成都鏈安科技有限公司（以下簡(jiǎn)稱“成都鏈安”）創(chuàng)始人&CEO楊霞，為我們分享成都鏈安守護(hù)區(qū)塊鏈生態(tài)安全的企業(yè)故事。

成都鏈安科技有限公司創(chuàng)始人&CEO楊霞

信息化觀察網(wǎng)：我們知道成都鏈安在區(qū)塊鏈安全行業(yè)有著很高的建樹，請(qǐng)您簡(jiǎn)單介紹一下成都鏈安？

楊霞：好的，成都鏈安是一家致力于區(qū)塊鏈安全生態(tài)建設(shè)的全球領(lǐng)先區(qū)塊鏈安全公司，也是最早將形式化驗(yàn)證技術(shù)應(yīng)用到區(qū)塊鏈安全的公司，總部位于四川成都。公司由電子科技大學(xué)教授聯(lián)合創(chuàng)立，團(tuán)隊(duì)成員均來(lái)自從事信息安全行業(yè)多年的國(guó)內(nèi)外知名院校教授、博士后、博士以及知名企業(yè)精英，現(xiàn)有團(tuán)隊(duì)成員近200人，技術(shù)人員占比超過(guò)85%。已在北京、深圳、杭州、海南等多地設(shè)有分公司和辦事處。

目前我們已與公安、工信部、中國(guó)通信院、網(wǎng)信辦等執(zhí)法監(jiān)管機(jī)構(gòu)，以及包括螞蟻鏈、騰訊區(qū)塊鏈、微眾銀行、萬(wàn)向區(qū)塊鏈、布比等國(guó)內(nèi)外頭部區(qū)塊鏈企業(yè)建立了深度合作；為全球2000多份智能合約、100多個(gè)區(qū)塊鏈平臺(tái)和落地應(yīng)用系統(tǒng)提供了安全審計(jì)與防御部署服務(wù)；為上千家執(zhí)法單位提供了虛擬貨幣犯罪案件前、中、后期全鏈條打擊技術(shù)支持服務(wù)，成功協(xié)助破獲案件總涉案金額數(shù)百億。

信息化觀察網(wǎng)：在您看來(lái)，區(qū)塊鏈安全風(fēng)險(xiǎn)主要包括哪些呢？

楊霞：這個(gè)風(fēng)險(xiǎn)主要包含兩個(gè)方面，一個(gè)是系統(tǒng)自身的危險(xiǎn)，比如代碼安全風(fēng)險(xiǎn)、運(yùn)營(yíng)過(guò)程中的安全風(fēng)險(xiǎn)等等。在區(qū)塊鏈領(lǐng)域，同樣能夠受到傳統(tǒng)的DDoS攻擊、網(wǎng)絡(luò)釣魚、域名攻擊等，而鏈平臺(tái)安全則包括共識(shí)安全、賬戶安全、簽名安全、P2P安全等。智能合約作為以區(qū)塊鏈系統(tǒng)為平臺(tái)的可執(zhí)行腳本，更加容易遭受到攻擊。

另外一個(gè)就是金融安全風(fēng)險(xiǎn)，不法分子利用區(qū)塊鏈匿名、無(wú)國(guó)界的特點(diǎn)開展洗錢、資金轉(zhuǎn)移、繞開外匯管制等非法活動(dòng)，對(duì)經(jīng)濟(jì)和社會(huì)造成嚴(yán)重影響，給監(jiān)管帶來(lái)巨大挑戰(zhàn)。

信息化觀察網(wǎng)：一般來(lái)說(shuō)區(qū)塊鏈安全研究方向主要包括哪些方面呢？

楊霞：業(yè)內(nèi)對(duì)于區(qū)塊鏈安全方面的研究集中于三個(gè)方面，一是區(qū)塊鏈安全標(biāo)準(zhǔn)研究，二是區(qū)塊鏈全生命周期安全研究，三是區(qū)塊鏈監(jiān)管。

區(qū)塊鏈安全標(biāo)準(zhǔn)研究，包括系統(tǒng)級(jí)區(qū)塊鏈安全體系，是從數(shù)據(jù)安全、共識(shí)安全、隱私保護(hù)、智能合約安全和內(nèi)容安全等方面推動(dòng)區(qū)塊鏈安全標(biāo)準(zhǔn)化，為區(qū)塊鏈開發(fā)、運(yùn)營(yíng)、管理和使用等提供指導(dǎo)。

區(qū)塊鏈的整個(gè)生命周期主要分為研發(fā)和運(yùn)行兩個(gè)階段，設(shè)計(jì)開發(fā)階段包括提供安全輔助工具，進(jìn)行漏洞檢測(cè)和脆弱性評(píng)估。對(duì)區(qū)塊鏈平臺(tái)、智能合約等進(jìn)行漏洞掃描，發(fā)現(xiàn)并及時(shí)修復(fù)漏洞，確保交付安全的區(qū)塊鏈系統(tǒng)。系統(tǒng)運(yùn)行階段則按照縱深防護(hù)的理念，依靠異常檢測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)異常行為。典型的檢測(cè)機(jī)制包括運(yùn)營(yíng)監(jiān)控、安全態(tài)勢(shì)感知和線上合約安全掃描等。

區(qū)塊鏈監(jiān)管方面，我們主要研究借助區(qū)塊鏈技術(shù)進(jìn)行的新型涉網(wǎng)犯罪打擊，從而協(xié)助監(jiān)管部門共同凈化網(wǎng)絡(luò)環(huán)境、凈化社會(huì)環(huán)境。

信息化觀察網(wǎng)：作為全球最早一批也是中國(guó)最頭部的專門從事區(qū)塊鏈安全的公司，成都鏈安在鏈上安全方面是如何操作的？

楊霞：成都鏈安自成立起就一直致力于區(qū)塊鏈安全賽道，自主研發(fā)的“鏈必安”一站式區(qū)塊鏈安全服務(wù)平臺(tái)，涵蓋“六大安全產(chǎn)品”、“六大安全服務(wù)”，可為執(zhí)法監(jiān)管機(jī)構(gòu)、金融機(jī)構(gòu)、區(qū)塊鏈企業(yè)等提供安全審計(jì)、安全防護(hù)、安全檢測(cè)、安全監(jiān)管、安全預(yù)警、安全咨詢等全方位安全服務(wù)，提供區(qū)塊鏈系統(tǒng)“研發(fā)-運(yùn)行-監(jiān)管”全生命周期的安全保障解決方案。

安全產(chǎn)品包括：虛擬貨幣案件智能研判平臺(tái)、智能合約形式化驗(yàn)證平臺(tái)、區(qū)塊鏈檢測(cè)平臺(tái)、區(qū)塊鏈安全態(tài)勢(shì)感知平臺(tái)、區(qū)塊鏈安全輿情平臺(tái)、智能合約安全開發(fā)IDE。

安全服務(wù)包括：智能合約安全審計(jì)服務(wù)、鏈平臺(tái)安全檢測(cè)服務(wù)、虛擬資產(chǎn)追蹤溯源和調(diào)查取證服務(wù)、安全輿情服務(wù)、安全咨詢服務(wù)、安全應(yīng)急響應(yīng)服務(wù)。

信息化觀察網(wǎng)：眾所周知，安全問(wèn)題已成為制約區(qū)塊鏈技術(shù)發(fā)展的重要因素，而聯(lián)盟鏈的安全威脅同樣不容忽視，聯(lián)盟鏈上的智能合約安全檢測(cè)方法有哪些呢？

楊霞：在開發(fā)階段和上線前，確保合約的安全性和邏輯正確性是很重要的，因此需要采用相應(yīng)安全檢測(cè)來(lái)滿足安全性需求。

針對(duì)智能合約的代碼安全性，可以使用自動(dòng)化/半自動(dòng)化安全檢測(cè)來(lái)掃描合約代碼，尋找代碼中的安全缺陷。目前常見的檢測(cè)方法可分為靜態(tài)掃描、動(dòng)態(tài)掃描以及形式化驗(yàn)證。

形式化驗(yàn)證技術(shù)是除了靜態(tài)和動(dòng)態(tài)掃描以外，另一種智能合約正確性與否的驗(yàn)證方法。作為一種數(shù)學(xué)方法，形式化驗(yàn)證可以有效確定一個(gè)程序的代碼是否正確。此處“正確”的意思是，程序的運(yùn)行結(jié)果符合預(yù)期。值得一提的是，“形式化驗(yàn)證技術(shù)”也是成都鏈安的核心技術(shù)之一。

信息化觀察網(wǎng)：“形式化驗(yàn)證技術(shù)”作為成都鏈安的核心技術(shù)，可以簡(jiǎn)單介紹一下嗎？除了形式化驗(yàn)證技術(shù)，成都鏈安還有哪些核心技術(shù)？

楊霞：形式化驗(yàn)證作為代碼安全最高嚴(yán)苛的方法之一，其效果已經(jīng)在航空航天，軍事等領(lǐng)域得到了驗(yàn)證。在當(dāng)前區(qū)塊鏈以及智能合約的安全業(yè)務(wù)里，形式化驗(yàn)證正在凸顯著巨大的潛力。這種基于「數(shù)學(xué)推理」的驗(yàn)證方法，一方面能夠精確證明代碼是否存在安全漏洞，同時(shí)能有效解決傳統(tǒng)技術(shù)如測(cè)試等對(duì)人經(jīng)驗(yàn)的嚴(yán)重依賴和無(wú)法窮舉的問(wèn)題。

我們是全球最早將此技術(shù)應(yīng)用于智能合約安全審計(jì)的區(qū)塊鏈安全公司，同時(shí)，成都鏈安團(tuán)隊(duì)采用形式化驗(yàn)證，模糊測(cè)試等多重技術(shù)作為核心技術(shù)，研發(fā)了面向智能合約的高度自動(dòng)化的安全檢測(cè)工具：智能合約形式化驗(yàn)證平臺(tái)，其工具的自動(dòng)化檢測(cè)精度高達(dá)97%，可以“一鍵式”自動(dòng)檢測(cè)智能合約的幾百種安全問(wèn)題、自動(dòng)發(fā)現(xiàn)智能合約中存在的已知、未知漏洞及業(yè)務(wù)邏輯問(wèn)題，并給出專業(yè)的修復(fù)建議。在精確定位風(fēng)險(xiǎn)代碼位置的同時(shí)給出修改建議，幫助開發(fā)者提高智能合約的安全能力。

同時(shí)，我們依托網(wǎng)絡(luò)安全、人工智能、區(qū)塊鏈大數(shù)據(jù)等多種技術(shù)打造“自主創(chuàng)新、自主可控”的全鏈條、一體化解決方案，服務(wù)于整個(gè)區(qū)塊鏈生態(tài)。我們既是全球區(qū)塊鏈安全生態(tài)的貢獻(xiàn)者，也是全球區(qū)塊鏈生態(tài)的引領(lǐng)者。

信息化觀察網(wǎng)：上面我們提到聯(lián)盟鏈的安全威脅同樣不容忽視，聯(lián)盟鏈面臨哪些安全問(wèn)題？

楊霞：聯(lián)盟鏈安全問(wèn)題時(shí)刻都存在，面臨的安全挑戰(zhàn)十分嚴(yán)峻。目前聯(lián)盟鏈的發(fā)展還處于初期階段，聯(lián)盟鏈生態(tài)安全體系還并不夠強(qiáng)大，大量風(fēng)險(xiǎn)都還是未知數(shù)，若被攻擊者盯上，結(jié)果將十分嚴(yán)重。

聯(lián)盟鏈安全是行業(yè)發(fā)展的重中之重，引起了行業(yè)的極大重視。2021年9月，由公安部第一研究所、中國(guó)科學(xué)院信息工程研究所等單位聯(lián)合發(fā)布了團(tuán)隊(duì)標(biāo)準(zhǔn)《聯(lián)盟區(qū)塊鏈安全技術(shù)要求》，該標(biāo)準(zhǔn)主要闡述了聯(lián)盟區(qū)塊鏈安全體系結(jié)構(gòu)，主要也提出了聯(lián)盟區(qū)塊鏈系統(tǒng)安全、聯(lián)盟區(qū)塊鏈安全體系建設(shè)、聯(lián)盟區(qū)塊鏈監(jiān)管審計(jì)安全以及聯(lián)盟區(qū)塊鏈運(yùn)行環(huán)境安全評(píng)估規(guī)則。其中聯(lián)盟區(qū)塊鏈監(jiān)管審計(jì)安全主要包括：自身審計(jì)、第三方審計(jì)以及第三方監(jiān)管。

所以，在這樣的背景下，聯(lián)盟鏈上線前的安全審計(jì)工作就顯得尤為重要了，需要將所有未知的安全風(fēng)險(xiǎn)扼殺在搖籃之中，避免因?yàn)閳D一時(shí)的便利導(dǎo)致無(wú)法承受的結(jié)果。

信息化觀察網(wǎng)：在行業(yè)領(lǐng)域內(nèi)，成都鏈安目前獲得了哪些榮譽(yù)和獎(jiǎng)項(xiàng)呢？未來(lái)還有哪些愿景呢？

楊霞：公司已獲前海母基金、聯(lián)想創(chuàng)投、復(fù)星高科、成創(chuàng)投、任子行等知名機(jī)構(gòu)的多輪投資。是工信部“網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目”單位、CNVD國(guó)家區(qū)塊鏈安全漏洞平臺(tái)技術(shù)支持單位、中國(guó)信通院區(qū)塊鏈安全檢測(cè)的主要技術(shù)合作單位、中央網(wǎng)信辦“國(guó)家區(qū)塊鏈創(chuàng)新應(yīng)用試點(diǎn)”參與單位、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心“區(qū)塊鏈安全技術(shù)檢測(cè)中心”的主要技術(shù)合作單位、四川省區(qū)塊鏈安全工程技術(shù)研究中心依托單位、四川省區(qū)塊鏈基礎(chǔ)設(shè)施—蜀信鏈安全檢測(cè)和準(zhǔn)入測(cè)試支撐單位。并作為中國(guó)信通院可信區(qū)塊鏈聯(lián)盟理事單位和安全組副組長(zhǎng)、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)成員單位、中國(guó)物流與采購(gòu)聯(lián)合會(huì)區(qū)塊鏈應(yīng)用分會(huì)常務(wù)理事單位、北京金融科技產(chǎn)業(yè)聯(lián)盟會(huì)員單位、四川省區(qū)塊鏈協(xié)會(huì)理事單位、四川省互聯(lián)網(wǎng)行業(yè)聯(lián)合會(huì)副會(huì)長(zhǎng)單位等多個(gè)區(qū)塊鏈相關(guān)行業(yè)協(xié)會(huì)成員。參與了多項(xiàng)國(guó)家級(jí)區(qū)塊鏈安全技術(shù)標(biāo)準(zhǔn)和白皮書的撰寫，承擔(dān)了多項(xiàng)國(guó)家級(jí)、省部級(jí)項(xiàng)目，依托技術(shù)優(yōu)勢(shì)現(xiàn)已申請(qǐng)軟件發(fā)明專利和軟件著作權(quán)30多項(xiàng)。

基于對(duì)公司實(shí)力和行業(yè)認(rèn)可，公司榮獲成都市新經(jīng)濟(jì)“雙百工程”重點(diǎn)培育企業(yè)、全國(guó)硬科技企業(yè)之星TOP100榜單、中國(guó)產(chǎn)業(yè)區(qū)塊鏈優(yōu)秀案例（2021年度）、2020中國(guó)區(qū)塊鏈企業(yè)百?gòu)?qiáng)企業(yè)、2020金熊貓全球區(qū)塊鏈創(chuàng)新創(chuàng)業(yè)大賽一等獎(jiǎng)、2020四川省區(qū)塊鏈優(yōu)秀企業(yè)、2020中國(guó)區(qū)塊鏈技術(shù)創(chuàng)新典型企業(yè)、2020首屆人民網(wǎng)內(nèi)容科技創(chuàng)新創(chuàng)業(yè)大賽全國(guó)總決賽“創(chuàng)業(yè)人氣獎(jiǎng)”、中國(guó)區(qū)塊鏈安全領(lǐng)軍企業(yè)等諸多榮譽(yù)。

但是，路漫漫其修遠(yuǎn)兮，吾將上下而求索，我們將繼續(xù)努力，以“讓區(qū)塊鏈生態(tài)更安全”為使命，以“成為全球第一的區(qū)塊鏈安全公司”為愿景，不斷打造區(qū)塊鏈安全監(jiān)管技術(shù)和安全保障體系，為區(qū)塊鏈生態(tài)的安全發(fā)展保駕護(hù)航。