安全才是区块链的未来
在区块链野蛮生长的此时此刻,人们虽期待著去中间机构的新模式,但是在那个未来到达以前,我们回头来看区块链技术里,那一行行的代码,是不是能够担任如此重要的角色,是不是这些代码跟架构,能够保护人类社会已经非常岌岌可危的信任?
而今天,我们将与链安这家专门做区块链安全的公司对谈,让大家对于安全有更深一层的认识,对于想要找区块链安全公司合作的机构,也可以从这边多了解一些,帮助大家做些判断。
(成都链安科技简介:致力于区块链智能合约提供专业的安全审计服务)
Q1. 请问一下链安审计的项目包含什么呢?通常审计是一次性的,还是定期性的呢?
链安:审计的项目包含已知的典型漏洞(如:整型溢出),编码规范,业务逻辑的正确性等。从商业角度来说,审计是一次性的,每次审计都要缴纳费用。从安全角度来说,审计是定期性的,每当有新的漏洞被爆出,都需要再次进行审计检查。
Q2. ETH的智能合约完全不包含人力审核吗?
链安:人工参与程度低,只需要对 Vaas 平台的审计结果进行简单的复合,这样也是为了最大限度的保证结果的有效性。
Q3. 通常开发团队会在什么阶段开始跟你们合作呢?
链安:我们提供整个流程的安全解决方案,开发团队从立项起就可以和我们合作。开发前期我们能根据开发团队的业务需求给出开发建议,开发完成后我们能进行专业完备的安全审计。
Q4. 如果要和链安合作,通常你们会希望开发团队做好什么准备呢?
链安:安全审计要保证完备性,需要开发团队提供较为完备的说明文档,便于我们了解业务类型和安全需求,从而提高审计效率。
Q5. 在Vaas做审核之前,会对代码进行分类审核吗?会怎么分类(标签)呢?
链安:会。分类审核能提高审核效率和 Vaas平台审核结果的完备性与有效性。分类标签由合约的业务类型确定,如:ERC20代币合约,赌博游戏合约等
Q6. 你们如何建立区块链代码 / 合约安全的数据库?标准是什么?数据库现在的规模多大呢?
链安:我们会同步主链上的数据,然后根据活跃程度(近期有没有交易)对合约代码进行分级,并把它们按照业务类型进行分类,作为我们的样本数据库。我们会对收集到的确定了漏洞情况的合约按漏洞特征和危害程度进行分类保存,作为我们的安全数据库,用来测试与训练 Vaas平台。(这些收集过程是持续进行的。)
Q7. github上面比较找不到你们的资料,能给我们多一点代码的资讯吗?
链安:近期我们将会开源vaas自动化工具的代码,敬请期待。
Q8. 链安未来的发展方向会是审计平台?还是合约代工厂?或是教学平台呢?还是链安也会开发自己的dapp呢?…大家都很好奇这个: )
链安:我们将建立区块链全生态,链平台,合约开发, Dapp、安全审计等。
Q9. 链安科技后期除了利用 VaaS 平台对外做智能合约安全审计,还会有什么新的业务?
链安:我们除了使用自身研发的“一键式”形式化验证VaaS平台,为项目方提供智能合约安全审计服务外,还将针对项目方区块链平台专门定制化研发自动形式化验证平台VaaS-XXX,以提高其智能合约和底层链平台的安全性。
Q10. 链安跟其他的安全平台的差异在哪里呢?例如 Certik
链安:在安全审计这个领域,审计的自动化程度和审计结果的可靠性通常是矛盾的,我们的 Vaas 平台平衡了这两点。比如相对于 certik,Vaas平台的自动化程度更高,同时审计结果的可靠性也有保障。而且我们采用的方法不仅仅是形式化验证,而是综合了多种方法,并对每种方法的检测结果进行交叉验证,保证了完备性和可靠性。
Q11. 你们对于一般用户使用钱包或是dapps在安全上有什么建议吗?
链安:区块链领域的身份认证和信息有效性由非对称加密的密码学手段保证。私钥相当于银行卡加密码,所以用户一定要保护好自己的私钥。
-
如果拥有大量的代币资产,最好使用冷钱包,让私钥只暴露在没有网络的封闭环境里。
-
对没有大机构背书的小平台出品的钱包和dapp,一定不要上传自己的私钥。
-
如果要进行转账等行为,一定要再三确认对方的地址,避免失误。
Q12. 最后再请教一下,在区块链安全这个领域上,请问一下 观念是更重要的,还是代码是更重要的?
链安:它们都重要,都是保证安全的重要组成部分。非要分个先后的话,观念是第一位的。作为开发者首先要对区块链领域的安全风险有清晰的认识,这样才能保证在代码编写时能小心谨慎,仔细推敲可能出现的问题。开发者在编码完成后也要有对代码进行测试和安全审计的意识,所谓 “当局者迷”,这个过程最好由第三方专业的团队来进行。 有了这些观念,然后谨慎的完成这些流程,就能最大化的保证安全。
本次报导,感谢链安的专业团队与我们的对话,让我们对合约审计与众多链安的服务有了大幅度的了解,相信在许多区块链安全从业人员的投入下,未来的智能合约,会能够和我们现在相信的支付宝信用卡一样,被广泛安心的使用。
