SIN:Beosin 成都鏈安一周歲：利用數學之美，讓區塊鏈世界更健壯_Business boss chain

區塊鏈時代，智能合約的安全性被無限放大，一行代碼的漏洞就能導致千萬美元的損失。統計數據顯示，2011年-2018年間，智能合約安全事件損失金額達12.4億美元，占該期間區塊鏈安全事件總損失金額的1/3。

2018年3月，一家想要保證智能合約100%正確的安全服務公司「Beosin成都鏈安」，攜帶一種被應用在軍事、航空航天等領域的小眾、高門檻的驗證方式「形式化驗證」殺入區塊鏈領域。Beosin成都鏈安創始人楊霞表示，形式化驗證并非很神秘，歸根結底，它是利用數學之美為計算機系統做安全防護的一種嚴格、有效的方法。

如今Beosin成都鏈安正式迎來了它的一周歲，針對智能合約的安全問題，Beosin成都鏈安成功研發了全球首個同時支持ETH、EOS、Fabric、TRON等多個區塊鏈平臺的高度自動化智能合約形式化驗證平臺，實現了「一鍵式」的形式化驗證，用數學的手段證明代碼，給智能合約提供軍事化級別的安全保護。

Beosin成都鏈安是楊霞的第四次創業，作為一名連續創業者，她對區塊鏈行業的未來和安全需求表達了充分的信心：「區塊鏈跟其他互聯網產業不一樣，它的安全需求更大，而且它更剛需，無論是鏈上交易也罷，數字資產也罷，用戶數據也罷，這些都不能出現安全問題，如果出現問題后果是非常嚴重的。」

Beosin成都鏈安創始人楊霞

Beosin發現Move VM嚴重級別漏洞:金色財經報道，近日，區塊鏈安全公司Beosin發現Move VM嚴重級別漏洞。Beosin安全研究團隊在Move虛擬機中發現了一個沒有限制遞歸調用深度而導致的棧溢出漏洞，這個漏洞可以導致整個網絡崩潰（total network shutdown），還會讓新的validator節點無法加入到網絡中，甚至有可能導致硬分叉（hard fork）。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影響。目前該漏洞已被官方修復。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修復了此漏洞。[2023/6/15 21:37:59]

在Beosin成都鏈安成立一周年之際，楊霞接受了鏈聞的專訪，分享了她對區塊鏈安全和形式化驗證的深度觀察和思考。以下是本次采訪實錄：

Q=鏈聞ChainNewsA=楊霞，Beosin成都鏈安聯合創始人，電子科技大學副教授

Q：您從何時開始關注到區塊鏈，能否講一講你深入區塊鏈領域的過程？

A：對區塊鏈這個概念的了解，是來源于我身邊的一些朋友，他們有人從14年、15年就開始在區塊鏈領域工作，也給陸續我講區塊鏈方面的知識和動態。但是我當時還沒有真正的把目標轉向區塊鏈，因為我本來一直在安全領域做研究，所以我更關注的是安全。16年的時候，以太坊TheDAO系統安全漏洞的的發生直接導致了7000萬美元的損失，可以說是這個漏洞把我的目光吸引過來。

Beosin：SnarkJS 0.6.11及之前的版本中存在嚴重漏洞:金色財經報道，Beosin 安全研究人員在 SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞，SnarkJS 是一款用于構建零知識證明的開源 JavaScript 庫，廣泛應用于 zk-SNARK 技術的實現和優化。Beosin在提了這個漏洞以后，第一時間聯系項目方并協助修復，目前該漏洞還處于修復測試中。Beosin提醒所有使用了SnarkJS庫的項目方，在SnarkJS 庫這個漏洞還沒完全修復時，一定要注意安全風險。[2023/5/18 15:11:20]

從那個時候開始我思考能否嘗試用形式化驗證的方法避免這些漏洞的發生，尤其是我之前一直給軍事等比較關鍵的領域做形式化驗證，對于形式化驗證有足夠的信賴。因為TheDAO的安全事件讓我感覺到在區塊鏈領域安全問題非常大，一次漏洞就丟那么多錢，說明風險太高。作為安全領域的從業者和研究者，我需要不斷的找尋新的對安全有需求的領域進行探索，所以我是從16年開始，真正深入區塊鏈安全領域進行實踐。

注：TheDAO事件是區塊鏈歷史上的著名事件，由于智能合約的漏洞造成資金被黑客轉移。2016年5月初，以太坊社區的一些成員宣布了「TheDAO」的誕生。它是作為以太坊區塊鏈上的一種智能合約而被建造的。編碼框架是由Slock開源開發的。?2016年6月17日，一名黑客在編碼上發現了漏洞，使得他可以從TheDao上抽走資金。在攻擊的頭幾個小時，360萬的以太被轉出，在當時價值相當于七千萬美元。

Beosin：sDAO項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的sDAO項目遭受漏洞攻擊，Beosin分析發現由于sDAO合約的業務邏輯錯誤導致，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/21 7:53:09]

Q：能否分享一下成立Beosin成都鏈安的過程？初衷和愿景是什么？

A：成立Beosin成都鏈安的過程是進行了很多探索的，在形式化驗證這個領域創業是一個很艱難的事，它是比較冷門、門檻比較高、比較小眾的一個領域。因為門檻高，所以形式化驗證對于傳統互聯網的安全，實際上發展空間并不大。但是在軍事這些非常關鍵的領域，形式化驗證已經被頻繁的應用。所以對我而言，我首要思考的是從原來的應用領域，把應用的目標轉向區塊鏈，我當時第一個要考慮的問題就是用形式化驗證的方法能在區塊鏈領域做什么，然后是怎么做？

Beosin：黑地址FTX Accounts Drainer已對大額資產進行兌換轉移跨鏈等操作:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止2022年11月15日，黑地址FTX Accounts Drainer(0x59AB...32b)已對大額資產進行兌換轉移跨鏈等操作。

目前大部分資金位于賬戶FTX Accounts Drainer的ETH平臺，約228,523 個ETH($288,934,108)和8,184 個PAXG($14,395,174)。BSC平臺約108,454 個BNB($29,962,644) 和1,685,309 個DAI($1,686,562) 。

其他部分資金位于ETH上的FTX Accounts Drainer 2賬戶上，約1999.4 個PAXG($3,516,404)，FTX Accounts Drainer 3賬戶上約499 個PAXG($878,114)，FTX Accounts Drainer 4賬戶上約499 個PAXG($878,114)，其它鏈上的資產目前尚無異動，Beosin Trace將持續對黑地址異動進行監控。[2022/11/16 13:09:37]

當時可選擇的區塊鏈網絡不多，基于對這個問題的思考，我們就在以太坊上面，對以太坊的智能合約進行形式化驗證的嘗試。當時智能合約同樣也不多，我記得很清楚，我們當時找了一個IBM官方的捐贈合約，然后用人工的方法對其進行形式化的描述，而后進行形式化的建模，進而去證明整個流程。當時通過這份合約的形式化驗證，我們的確發現了以太坊有一個機制漏洞——send函數沒有返回值。如果用戶習慣不好，實際上這是不安全的。這算是我們通過形式化驗證發現以太坊智能合約的第一個安全問題，也證明這個方法是有效的。

區塊鏈安全公司Beosin宣布完成近2000萬美元A輪戰略融資:金色財經報道，區塊鏈核心安全服務廠商Beosin宣布完成近2000萬美元戰略融資，投資人為知名產業方，多家老股東跟投。Beosin是一家全球領先的區塊鏈安全公司，其核心業務包括智能合約安全審計，區塊鏈項目安全風險監控、預警與阻斷，被盜虛擬資產追回，KYT/AML等“一站式”安全產品+服務解決方案，目前已為全球2000多個區塊鏈企業服務，保護客戶資產高達5000多億美元。新資金將用于區塊鏈安全新技術研發，生態建設和全球市場布局。[2022/11/3 12:12:23]

Beosin成都鏈安技術團隊與Vitalik就形式化驗證進行交流

但是這個過程中有一個問題，驗證這樣一個幾百行代碼的合約，我們就花了一周多的時間。?這說明通過用人工的方式去做效率太低了。通過人工建模，然后再去發現問題，這個過程太費時間，用這種方法做產業化服務顯然是不行的，得盡可能提高它的自動化能力。因為我們先嘗試的是通過人工進行形式化的建模，那么我當時就想能不能不用人工建模，而制作一個工具自動對代碼進行建模，進而轉換成形式化的語言描述，證明部分再用人工參與。

確定了這個方向，我們就朝這個目標走，也就是半自動化的目標。到目前為止，我們已經經歷了從全人工化到半自動化到現在大部分自動化的三個階段，當半自動化功能出來之后，其實我們大部分的產品原型也陸續完備，時間也就到了2017年底，完成這些準備之后，分布式資本對我們進行了投資，2018年3月正式成立了Beosin成都鏈安。

Q：獲得投資的過程順利嗎？能否介紹一下Beosin成都鏈安的創始團隊，國內是否對標的項目和團隊？

A：很順利，實際上在17年9月份的時候，萬向組織了第三屆區塊鏈全球峰會，當時峰會邀請我去做了「智能合約及形式化驗證」的主題分享。當時在演講結束后反響特別好，這套方法得到了比較廣泛的認可。

目前在國內區塊鏈行業，我們還暫時沒有看到特別能夠跟我們對標的公司或者團隊。我的聯合創始人郭文生老師也是做形式化驗證的學者，我們原來是兩個不同的門派，所以Beosin成都鏈安相當于把兩套方法結合起來提供安全服務，加上自動化能力、安全檢測能力和先發優勢，目前還沒有明確的競爭對手。

Q：走完了從全人工化到半自動化到大部分自動化三個階段之后，2019年的目標和計劃是什么？

A：因為公司成立剛好滿一年了，在這一年中，我們推出了基于形式化驗證的VaaS平臺，它是Beosin成都鏈安創立時就規劃的一個高門檻的產品，這個產品我們已經做到全球最頂級，精確度和準確率都是全球最高。在形式化驗證的基礎上，2019年我們計劃做更多的區塊鏈安全產品，同時我們的安全服務也將進化為全生態的，市場也將朝全球化發展，區塊鏈本來就是個全球化的產物。

例如我們前段時間剛剛發布了面向EOS的線上智能合約開發平臺，我們為什么做這個事情？因為在做形式化驗證的過程中，我們發現其實有些問題是由于編程人員的規范不夠，或者編程人員的意識不夠，或者能力不夠，或者有的是習慣不好，因此我們覺得有必要做一個專業的開發平臺。基于形式化驗證這套服務發展服務和產品生態，這就是我們2019年的目標。

Q：如何看待過去一段時間區塊鏈的安全形勢和區塊鏈安全領域的變化？，區塊鏈安全是否有了長足的進步？

A：還是有很大的進步。至少2016年的時候還沒有多少人關注區塊鏈安全，我們應該算全球最早一批把形式化驗證用到區塊鏈來的團隊，所以在我們做的時候根本沒有任何路子可尋，都不知道該怎么做，全是自己硬著頭皮一步步走過來的。到17年的時候，行情開始火熱，慢慢有人在關注區塊鏈安全了，到2018年的時候也成立了多家區塊鏈安全公司，但現在好多公司可能都沒有聲音了，能夠堅持下來也就只有幾家。

現在畢竟是行情的低谷期，這很正常，因為區塊鏈行業仍是很早期的產物。但是對于區塊鏈的發展我是長期有信心的。區塊鏈跟其他互聯網產業不一樣，它的安全需求更大，而且它更剛需，無論是鏈上交易也罷，數字資產也罷，用戶數據也罷，這些都不能出現安全問題，如果出現問題后果是非常嚴重的。

Q：在安全服務領域，道德是值得討論的一個話題，從事安全服務，是否需要更高的道德約束？能否講講您的理解？

A：這個問題的確是好多安全公司需要面對的問題，所以我也想提一下，這就是我們公司和其他安全服務公司不太一樣的地方，其實Beosin成都鏈安的定位是以防為主，不是以攻為主。形式化驗證是一個很好的防的方法，形式化驗證這套方法的目的是讓系統的的代碼真的安全，更安全的代碼，意味著更少被攻擊的可能性。

形式化驗證是做盾的，就好像我們原來在航空、航天、軍事領域用形式化驗證讓系統更堅固，讓代碼更安全，盡可能減少漏洞。Beosin成都鏈安是一個以防為主的公司，這是我們跟其他的安全服務公司不太一樣的地方，我們重點關注的是如何提升系統自身的安全能力和系統自身的健壯能力。這一點跟其他的白帽黑帽團隊是不一樣的，的確，白和黑或者白和灰，這是一念之間，這里面有太多的誘惑了，我們防的就是黑，是通過系統自身的安全角度去防黑。

我們把這叫做從根本上出發，從開發源頭解決問題，包括我剛提到的EOS線上智能合約開發平臺，我們的目的就是為開發者提供一個好用的開發平臺，對開發流程進行保護，然后再進行安全檢測。包括區塊鏈安全態勢感知系統、安全事件的預警報警、風控和反洗錢等等都是希望從系統自身的健壯性出發解決問題。

Q：Beosin成都鏈安有行業榜樣嗎？不局限于區塊鏈領域，為什么？

A：其實在Beosin成都鏈安成立之初就想做區塊鏈的360，當然是不是360這種模式或者360的發展路線我們還不確定。實際上我們的第一個形式化驗證平臺就是免費的。我們面向普通用戶toC都是免費的，而面對企業選擇做定制化的服務，這是互聯網公司一種成熟的發展模式。

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627158.html

EOS柚子

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

起底龍網被竊案背后的數字交易所大盜Lazarus

下一篇：

Beosin成都鏈安發布在線BOS-IDE免費版本，同時支持BOS智能合約在線編輯、編譯、運行調試、部署

Tags：區塊鏈EOSSINAIN如何做區塊鏈EOS柚子幣官網Business boss chainSkychain

以太坊交易