• 0

  • 549

“链接未来”可信区块链沙龙|成都链安云对话区块链应用技术分享

Beosin成都链安

成都链安科技有限公司,一家专注于区块链安全的公司

1个月前

随着“区块链+”应用场景的落地呈爆发增长态势,区块链未来高效和持续发展,离不开区块链生态的安全建设,面对当前形式下颇为严峻的区块链安全形势,如何保障区块链产业发展与区块链安全的发展同步进行,为“区块链+”产业创新做好保驾护航工作,是当下关注和解决的痛点所在。

2020年6月24日,由可信区块链推进计划主办的“链接未来”可信区块链沙龙在云端召开,本期沙龙以“区块链应用安全防护实践与技术分享”为主题,成都链安受邀参加了本次云上沙龙的区块链安全技术实践分享,成都链安安全部门经理岳亮亮从行业、技术、场景、安全生态等角度全面阐述了智能合约漏洞防护与安全测试实践,为参会企业们提供了新的价值思考和安全生态共建路径。

智能合约安全及漏洞防护分享

云端会上,成都链安安全部门经理岳亮亮首先向企业们分享了智能合约漏洞防护经验。

目前智能合约与区块链的结合,普遍被认为是区块链世界中一次里程碑式的升级,但智能合约技术发展也面临诸多挑战,如安全性问题。随着智能合约数量的增多,去中心化应用的推广,智能合约涉及的数字资产呈指数级别增长。相比传统软件,智能合约的安全问题更加棘手,现实情况也更加严峻。

总体来说,目前智能合约的主流架构是:系统合约(预编译合约) + 业务合约,而代码语言安全特性、合约执行所带来的安全性问题、系统机制导致的合约安全问题、业务安全问题都会威胁智能合约安全。

针对智能合约引起的安全问题,岳亮亮建议开发者能做到:

1.简化智能合约的设计,做到功能与安全的平衡

2.严格执行智能合约代码安全审计(自评/项目组review/三方审计)

3.强化对智能合约开发者的安全培训

4.在区块链应用落地上,需要逐步推进,从简单到复杂,在此过程中不断梳理合约与平台相关功能/安全属性

5.考虑DevSecOps(Development+Security+Operations)的思想

成都链安安全部门经理岳亮亮总结到,智能合约安全性问题的焦点在于智能合约代码的安全性,此外也存在运行环境和区块链平台的安全性问题,这些问题在区块链平台开发的过程中应当被考虑到。

为此,企业们应全方面做好智能合约安全审计并加强风控策略,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计。另外尽快将合约代码开源,让更多专业人士和技术团队参与进来,分析整理出易发生的意外事件,提升合约编写的安全性和功能准确性,防患于未然。

链平台漏洞频出

构筑安全堡垒势在必行

2020年联盟链、公链快速发展,行业欣欣向荣的同时,安全风险问题不容忽视,如何应对复杂的安全问题,保障联盟链、公链的清朗生态,对专业的安全团队提出挑战。

目前链平台安全主要包括了:共识安全、交易安全、合规、账户安全、端点安全、RPC安全等,相较于联盟链而言,公链安全问题更凸显,公链是匿名且无准入控制,作恶难以被发现,此外,公链应用发布没有审核,上链应用质量参差不齐,这也是公链漏洞较多的主要原因之一。

在当前链平台漏洞频出的严峻背景下,链平台深度安全检测势在必行,成都链安采用攻击测试+专家人工代码审计的方式对区块链平台进行深度的安全审计,审计方式为黑盒/灰盒/白盒,漏洞全面覆盖10大项39小项,目前成都链安已经完成24个链平台的深度安全检测,检测出30余个高危漏洞。

成都链安安全部门经理岳亮亮会上强调,区块链深度安全检测非常有必要,它是解决安全事件频发的区块链安全问题重要手段,深入到区块链应用底层代码,深入分析其功能实现,同时关联其业务场景,评估其在生产环境中的安全性。

成都链安不仅能对链平台进行安全检测,同时能基于形式化验证技术,采用VaaS(智能合约形式化验证工具)+人工审计的测试方式,对多个链平台的智能合约进行安全审计。

除了帮助企业、用户自动检测合约中的常规安全检测项以外,还提供了人工断言和属性验证两种需要人工参与的检测方式。针对各应用底层设计的不同,人工审计的方式同样适用于链平台的安全检测。链平台采用内部链平台攻防工具箱+人工审计的测试方式,可结合白盒代码审计,构建针对特定链的安全检测方案,有效保障链平台节点通信、存储、共识和权限管理等各个层面的安全性。

基于智能合约和链平台的深度审计与安全检测服务,成都链安将充分发挥产学研优势,打造“自主创新、自主可控”的区块链安全技术和保障体系,加速探索区块链安全深度测试技术,为区块链标准化应用、应用持续化发展保驾护航。

共同参与区块链安全生态建设

当前区块链与传统产业加快融合,已成为我国核心技术自主创新的重要突破口。习近平总书记在中央政治局第十八次集体学习时强调:“要加强对区块链技术的引导和规范”、“推动区块链安全有序发展”。区块链技术已广泛应用在数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域,作为构成我国信息化基础设施的一项重要技术,其安全能否得到保障影响到我国社会经济活动。

会上,成都链安安全部门经理岳亮亮呼吁更多区块链安全厂商、白帽子、区块链企业参与区块链安全生态建设,能在由国家互联网应急中心运营的区块链漏洞子库CNVD-BC(https://bc.cnvd.org.cn/)上提交漏洞,提高我国区块链漏洞和安全事件的发现、分析、预警,以及整体研究水平和应急处置能力,为我国区块链行业安全保障工作提供重要技术支撑和数据支持。

任何新技术发展初期都不会一帆风顺,在应对挑战中不断发展完善。未来,区块链的应用可能更多是向智能合约的方向发展,并会对产业的发展产生重大影响。特别是这次疫情给政府的治理能力带来了新的挑战,区块链作为一种新兴的互联网技术,将促进政府组织结构扁平化、治理及服务过程透明化,提高政府创新绩效,增强政务数据安全,建设智能化和可信任政府,智能合约技术在数据自动执行和相互验证方面将发挥关键作用。

区块链

549

相关文章推荐

未登录头像

暂无评论