知道创宇智能合约审计助力打造更好更安全的区块链生态
近期,自主发币厂商层出不穷,同时因安全问题造成巨大损失的案例也不在少数。规划安全工作,净化 区块链 市场迫在眉睫。作为一家致力于 互联网 安全的企业,知道创宇一直在为区块链安全贡献一己之力。
日前,知道创宇承办了中国区块链安全高峰论坛,与政府单位、安全企业、区块链相关机构及 媒体 共商区块链行业的安全健康发展之道。今年以来,知道创宇也与多家数字货币交易平台达成战略合作协议,把控智能合约安全,为区块链生态安全助力。
今天,小编特意采访到了知道创宇安全服务部高级安全顾问沈瑞,沈瑞表示智能合约审计安全不容小觑,知道创宇也会以专业的能力为各发币商提供合约审计服务。以下为部分对话实录:
小编:最近区块链很火,你怎么看待这个行业?
沈瑞:区块链可能是除了人工智能和物联网之外“最落地”的一个新兴技术,它具有去中心化的优势以及安全问题层出不穷的明显短板。说实话,区块链行业门槛比较低,项目方技术水平层次不齐,并且普遍缺乏相应的安全防护手段。有些大型的区块链公司,可能对安全也不是很了解。从以往的经验看,这个行业不出事则已,一旦爆发安全问题,损失将是非常惨重的。
最近知道创宇也联合中国技术市场协会举办了中国区块链安全高峰论坛,就是为了让大了解并重视区块链所面临的安全风险,共同探讨适合行业安全健康发展的途径。知道创宇希望能够和行业中的勇于创新、探索的先行者们,一起携手创造更安全的区块链行业生态。
现在很多大型交易所也开始联合安全公司,对在其平台发币的项目进行安全审核把控,这在很大程度上净化了区块链市场。知道创宇在今年就与多家交易平台达成了战略合作,确保上线其平台的智能合约项目的安全。在一定程度上,安全审核工作削弱了乘虚而入的发币方,维护了平台及 投资 人的安全。
小编:那什么是智能合约呢?
沈瑞:通俗的讲,智能合约就是一段100-500行的代码,被部署在分享的、复制的账本上,它可以维持自己的状态,控制自己的资产,对接收到的外界信息或者资产进行回应。在智能合约里,开发者可以基于以太坊的技术,实现发币、限定发币总额、锁仓等各种业务功能。在基于以太坊的代币以及基于ERC20协议开发的应用中,最主要的就是智能合约的开发。
小编:智能合约对于区块链的意义是什么?
沈瑞:区块链行业现在非常火爆,但是期间爆出的安全事故也是有增无减的,主要就集中在安全平台、智能合约等方面。大家都知道区块链技术其实就是一种使得交易记录完全公开化、同时无法被修改的一种技术手段,那智能合约就相当于一个无法改变的、公平的中间人,它定义了整个交易过程中的所有逻辑规则,是非常核心的一个环节。
也正因为智能合约的代码在发布后是无法修改的,所以在发布前确保它的安全性是非常必要的,知道创宇也是在区块链发展的关键节点上,加入了维护区块链安全的行列。确保智能合约的安全其实也就是保障投资人的利益以及维护交易平台的声誉。
小编:智能合约到底会面临什么安全风险?
沈瑞:目前智能合约面临的主要风险有几大类,比如隐私泄漏、交易的溢出与异常、拒绝服务攻击,遭受该类型攻击的智能合约可能永远无法恢复正常工作状态,危害是很致命的;还有此前知名的Parity Wallet智能合约存在的访问控制缺陷等等。并且在以太坊中,有89%的智能合约代码都或多或少都存在安全漏洞或隐患,这是一个非常惊人的调查结果,对社区而言也是一个巨大的风险因素。
典型的智能合约安全问题导致代币发行失败事件已经很多了,比如Bitfinex发现的安全漏洞导致了每位用户的账户平均损失36%;以及黑客利用智能合约存在的漏洞攻击The Dao,造成价值逾5000万美元的损失;ETH市场价格从记录高位21.50美元跌至15.28美元。
现在的黑客攻击还有很多复杂型的、配合 金融 手段来进行的,这些攻击会造成发币企业更严重的损失,所以智能合约的安全性非常重要。而随着智能合约的增多以及未来大规模的发展,相信对合约代码的审计也将会变成一个专门的领域,并且是不能够、也不应该被忽视的。
小编:针对智能合约,知道创宇能够提供什么安全服务呢?
沈瑞:知道创宇是一家已经成立11年的安全公司,对区块链行业涉足颇深。同时也与行业龙头企业有非常深入的安全合作。针对目前主流的以太坊应用,知道创宇可以提供专业、权威的智能合约审计服务。
作为第一批与头部交易所达成战略合作的安全厂商,知道创宇有规范的文档,丰富行业经验的工程师储备,同时也成功交付了很多智能合约审计项目。从合约的函数可见性审核、合约限制绕过审核、调用栈耗尽审核到拒绝服务审核等等,智能合约所有可能面临的安全风险,都已实现全覆盖。知道创宇智能合约审计服务可以帮助发币厂商规避因合约安全问题导致的财产损失,为各类以太坊应用保驾护航。
小编:对于智能合约审计这一块,知道创宇的优势是什么?
沈瑞:近几年,知道创宇与多家区块链行业企业展开深入合作,在交易所、智能合约、矿池、矿机、钱包等多个行业领域为行业内用户提供整体解决方案,得到了客户的广泛认可。而在此过程中,也成长出了一支对区块链安全有深入认知的安全团队。在今年4月份,正是这支团队,开始为区块链行业客户提供智能合约审计服务,前期团队预研过百余种智能合约应用,熟悉各种智能合约的代码编写规律,能够精准发现代码级别漏洞。同时知道创宇与几家大型交易所达成了战略合作协议,共同确保区块链行业客户的安全。