【时点对话】第84期:时艳强对话杨霞
对话时间:6月12日20:00
微信社群:布洛克-北京-668
对话嘉宾:
杨霞
成都链安科技CEO&创始人
电子科技大学副教授
时艳强
布洛克财经创始人
全球高校区块链爱好者联盟主席
开场
时艳强:各位布洛克人,大家晚上好! 欢迎大家来到领先的区块链社群媒体【布洛克财经】,与3000+社群1000000+布洛克人一起参与【时点对话】节目,探讨区块链和数字货币。本期是布洛克财经【时点对话】第84期,主题:打造智能合约安全验证平台;嘉宾:杨霞。
杨霞 成都链安科技CEO&创始人,电子科技大学副教授,最早从事区块链形式化验证的专家,成功研制了全球第一个面向多个区块链的形式化验证平台VaaS。从事安全关键软件形式化验证技术多年,长期为多家军事单位提供安全关键软件的形式化验证服务,并同时为航天科工、30所、华为等公司研制嵌入式安全关键软件系统,主持国家核高基、装发重大软件课题等近10项国家课题。CC国际安全标准成员、CCF区块链专委会委员。曾担任2家公司的创始人。发表学术论文30多篇,申请20多项专利。让我们掌声有请今天的角儿:杨教授。
【时点对话·第一问】
时艳强:杨教授是电子科技大学的副教授,您从大学教授一直到成为链安科技的创始人,这样的跨越还是很少见的,能给大家分享一下这段经历吗?您认为这一路走来您最大的收获是什么?您是在什么契机下进入区块链行业的?
杨霞:各位【布洛克财经】的朋友,大家好!回答布洛克财经【时点对话】第一问。各位朋友大家晚上好,非常荣幸有机会和大家做一些分享。我一直有一个创业梦,也在不断的尝试创业,而且这已经是第三次了。目前情况来看,高校老师创业并不少见,万众创新,大众创业。我们的技术服务于社会,也算是响应国家的号召。这一路走来收获很多,最大的收获就是在科研成果转化过程中,我得到了成长,并且将我的成果真正服务于社会,感觉很开心,也从中得到自己价值的体现。
我为什么进入这个行业?实际上是从2016年到系统安全漏洞开始,我就关注区块链安全,并且尝试将我研究的形式验证方法应用于区块链安全保障中,实验结果表明我们的方法是非常有效的。比如,我们通过形式化验证方法,在证明一个捐赠类智能合约时,发现“unchecked-send” bug。2017年9月应邀以演讲嘉宾身份参加万向组织的第三届全球区块链大会,在大会上我讲述了“智能合约形式化验证”,并引起了轰动和广泛关注。于是,我发现这个工作是非常有趣而且有意义的,因此我将此工作坚持下来了。后来我们拿到分布式资本的天使投资,成立成都链安科技有限公司,专门从事区块链安全技术的研发。
【时点对话·第二问】
时艳强:链安科技是专注于区块链安全领域的技术型公司,您创建链安科技的初衷是什么?链安科技的VaaS平台支持EOS、ETH的区块链形式化验证,那么VaaS是如何进行安全验证的?具体的商业模式是怎样的?现在VaaS进展到了哪个阶段?
杨霞:回答布洛克财经【时点对话】第二问。我创建成都链安科技的初衷,是希望用我的成果为区块链生态做好安全服务,重点在于解决智能合约所面临的安全问题,我们经过一年半左右的研究实现了自动化的智能合约安全验证平台VaaS,目前该平台支持EOS和以太坊的智能合约的安全审计,VaaS也作为全球第一个支持EOS的智能合约验证平台。我们采用形式验证的方法为智能合约提供“军事级”的安全审计,并且我们还研发了“一键式”自动化智能合约安全审计工具,可精确定位到有风险的代码位置和风险原因,有效的查找合约的常见漏洞,显著提高合约安全性。我们就相关研究成果申请五项软件发明专利。在合约的安全审计方面,我们采用VaaS平台自动化审计工具加人工复核的方式,减少人工参与度,让审计更准确、更高效。此外,我们为用户提供定制化的智能合约设计、开发、审计一条龙服务,为用户提供更安全的智能合约,让区块链更安全,是我们的目标。
【时点对话·第三问】
时艳强:现在越来越多的极客圈技术团队涌入区块链安全领域,同行竞争加剧,未来整个行业的安全性会越来越高,链安科技的优势在哪里?安全领域的市场是否会受冲击?未来链安科技会朝什么方向发展?
杨霞:回答布洛克财经【时点对话】第三问。我们的优势主要在以下三个方面,第一,我们专注只做智能合约的安全。第二,我们在技术上有优势,我们采用了严格的形式化验证的方法,为智能合约提供更加完备的安全审计。第三,我们率先研制了自动化的智能合约安全验证工具VaaS,在智能合约的审计过程中,我们通过自动化工具VaaS和人工结合的方法比全人工的安全审计方式更准确、更高效。
关于未来整个行业的安全性,有越来越多团队加入这个行业,可能市场上也会受到一些冲击。但我觉得只要有核心竞争力,就不怕竞争。随着区块链的项目不断落地,我相信未来的市场是非常巨大的,前景也是非常好的。未来成都链安科技将继续专注于智能合约安全审计和安全的智能合约定制化开发,为用户提供开发验证一条龙服务。当然,未来我们也不排除开展区块链其他相关安全服务,希望大家多多支持。
【时点对话·第四问】
时艳强:目前以太坊智能合约还不完善,存在一些安全漏洞,您能给大家具体讲一些例子吗?对于智能合约的安全漏洞,VaaS平台更倾向于事后修补还是事前预防?现在都取得了哪些成就?
杨霞:回答布洛克财经【时点对话】第四问。关于智能合约存在的安全问题,特别是以太坊平台存在的最常见的就是整形溢出漏洞。这个漏洞看着简单,但实际上带来非常大的损失,比如BEC合约、SMT、EDU等漏洞都是由它引起的。还有可重入攻击、拒绝服务攻击等多种安全的漏洞和bugs。对于这些漏洞,我们的VaaS平台可以“一键式”自动检查出来,这是我们的优势,我们自动化的合约审计方式提高了效率和准确度。此外,我们人工的方式的复核也保证了审计的质量。对于安全漏洞,我们认为必须采用事先预防的方式,因为智能合约的特性与其他程序不一样,它一旦部署,将无法修改。因此我强烈建议每个智能合约在部署之前进行严格的安全审计,从而提高安全性、减少被攻击可能,以此来保护我们的财产。
【时点对话·第五问】
时艳强:据您了解,现在项目方、交易所在设计自己的智能合约时,是否会有一些关于安全的设计方案? 都有哪些安全设计方案? 其所设计方案的具体机制是怎样的?
杨霞:回答布洛克财经【时点对话】第五问。关于这个问题,我了解的不是太多,可能有些项目方和交易所在设计自己合约的时候,也会考虑安全的设计方案,比如使用safemath这样的安全库。同时,交易所对上交易平台的智能合约要求非常严格的,比如,各大交易所都要求发币合约上交易所之前必须经过专业的合约安全审计,并且提供安全审计报告。我们公司作为多个交易所推荐的安全审计公司之一,已经为大量的合约(超过200份合约)进行了安全审计,帮大家把好技术关,做好合约的安全保护。
【时点对话·第六问】
时艳强:一些交易所在对外界保证其安全性时会宣称其大部分加密货币都存放在不联网的冷钱包里。从技术角度看,您认为冷钱包的优势在哪里?就像“打败泡面的不是同行,而是外卖”,冷钱包的发展和完善是否会和VaaS平台形成某些方面的竞争?
杨霞:回答布洛克财经【时点对话】第六问。从技术上来讲,冷钱包是作为一种非联网的设备、存储钱包的匙钥,它相比热钱包更安全。在用户在使用冷钱包的时候,外界一般无法通过网络访问到其存储匙钥的位置。因此,可以尽量的避免黑客攻击或者是中木马病毒等情况造成的意外。冷钱包的发展,不会对VaaS平台形成竞争,因为我们的关注点不一样,我们关注的是智能合约的安全。
【时点对话·第七问】
时艳强:截止上周末,加密货币市场的总市值下跌达420亿美元,18年比特币的下滑幅度已超过50%。一些人认为,这是因为韩国交易所Coinrail遭到了黑客攻击,也有人表示这是对中国交易平台禁令的持续担忧。您认为未来加密货币市场应做出哪些改善?加密货币的价值到底在哪里?
杨霞:回答布洛克财经【时点对话】第七问。这个问题有些大,所以我只能谈谈我个人的一些观点。比如,对未来的加密货币市场,国家为什么要出台相应的禁令?我个人观点,主要原因是加密货币市场上对币的关注远大于对区块链技术本身的关注。未来的加密货币市场关注点应该有所调整,从对币的热度转换到对区块链技术的实际应用中去,将此技术大量的用到各行各业中才是区块链的发展之道,因为区块链是个好技术,它给我们带来的不只是币的价值,而应该更多的是这个行业的应用落地。
对于数字货币来讲,最大的好处就是支付结算方便、便宜。因为它交易成本低、快速、便于流通,支付过程不依赖于第三方机构,我觉得这是它最大的价值所在。
【时点对话·传承问】
时艳强:杨教授作为深耕区块链的早期参与者,应该接触过很多圈内人士,其中是否有您欣赏和佩服的从业者,为什么?【布洛克财经】目前覆盖11个国家200个城市3000个社群节点用户100万,希望通过【时点对话】邀请更多的大咖来社群分享区块链和数字货币,以推动整个行业进一步的发展,如果杨教授引荐两位嘉宾,您会引荐谁来做客【布洛克财经】进行分享?
杨霞:回答布洛克财经【时点对话】传承问。在区块链行业中,我进来也有段时间了,认识了不少的朋友,最欣赏佩服的从业者是踏踏实实的将区块链技术应用于实际项目中的朋友们。如果让我推荐两位嘉宾,我觉得区块链的先驱,如万象集团的肖风、区块链铅笔的创始人龚明、分布式资本的沈波等,还有其他行业的朋友,比如趣链等,他们都是将区块链技术落地的代表。
【时点对话•提问一】
时艳强:区块链行业的爆发引来许多人的关注和参与,有的人奔着区块链技术而去,有些人则是看到了虚拟货币的疯狂上涨,那么杨教授您怎么看待这一现象?您认为普通大众应该如何看待区块链行业?
杨霞:回答布洛克财经【时点对话】提问一。我进入区块链行业是因为对这个技术看好,而不是对虚拟货币看好。就我个人来讲,我并没有参与任何虚拟货币的投资,可能在这个圈子中,我是属于一个另类。别人问我为什么不买币?我说对币没什么兴趣,我的兴趣点就在区块链技术本身。我现在最大的兴趣就是如何用我的技术让区块链更安全,让区块链更加安全是我的目标。对于普通大众,我是建议把关注点更多的放在一些区块链行业应用中。包括我看到国外很多人都是重点在关注区块链应用的落地,如何让区块技术来更好的为我们服务。我希望普通大众尽可能的多去关注区块链行业本身,而不是关注虚拟币,不希望更多的人成为被割的“韭菜”。我们也都是小老百姓,赚钱也不容易,被当成韭菜割掉的都是你的血汗钱。
【时点对话•提问二】
时艳强:区块链行业的项目每天都会出现很多,但是水平参差不齐,能够做到应用落地的并不是很多,您认为一个区块链项目能够落地应该具备哪些条件?
杨霞:回答布洛克财经【时点对话】提问二。区块链项目落地首先看要是否是真正有应用需求,不要是为了区块链应用而去开发区块链应用,我觉得那没什么意思。你的项目本身和区块链一定的关联性,也可用区块链技术让你的应用做得更好、更方便、更安全,这样的应用是可以的。一方面是应用的需求,另外一方面就是技术上的条件,当前来讲区块链行业的人才是比较紧缺的,对于技术条件方面,也存在人才缺口的问题。但是,随着越来越多人对技术的关注,我觉得这个问题应该很快就会解决。所以我觉得区块链应用将非常迅速地出现在我们国家的各行各业中。
(感谢杨霞的分享,也感谢每一位布洛克人支持)