PeckShield创始人蒋旭宪:安全是区块链的基石

区块链从业者有安全误区?区块链投资者个人安全如何防范?

1998年互联网浪潮席卷而来,“地球村”的预言成了现实。2008年移动互联网兴起,智能手机让每个人的生活都变得更加便利,仿佛动动手指就能解决衣食住行。如果说十年是一次技术大变革的周期,那么当移动互联还方兴未艾时,属于下一个十年的技术就已经来临了。2018年,区块链行业骤然火热起来,也吸引了传统领域的领袖加入,蒋旭宪便是其中之一。

2018年上半年,已经辞去360安全首席科学家职务开始创业的蒋旭宪在朋友的推荐下,看了很多区块链白皮书,他在接受PANews专访时坦言,一开始自己看不惯币圈的玩法,后来被底层公链代码所吸引才决定全力转型做区块链安全领域,成立了区块链数据与安全服务商PeckShield。

“区块链本身是为了解决用户之间的相互信任问题,没有安全,怎么谈信任。”在蒋旭宪看来,安全就是区块链的核心,也是刚需。而且整个区块链生态是比较复杂的,任何环节都可能有安全问题。

PeckShield创始人蒋旭宪:安全是区块链的基石

伴随着每一次区块链技术的进步,安全事件也在不断发生和演进,蒋旭宪也将2018年视为区块链安全的元年。这一年,PeckShield团队先后通报了以太坊BEC、SMT、EDU等智能合约层面的漏洞,此后在EOS主网上线后披露了一系列EOS DApp遭遇的交易回滚攻击、随机数攻击、假转账通知攻击等等安全事件。

蒋旭宪认为:“好多人可能以为安全只是在代码层面,这其实算是一个误区,我觉得安全最终肯定是基于大数据的安全。”正是基于这样的前瞻性判断,蒋旭宪将PeckShield定位为区块链数据与安全服务商,他希望PeckShield在基于代码层面的理解之上,还能配合后台大数据的分析整理,以此来打通所有维度,把安全发现和预警输送给生态中的各个环节。

面对已经来临的行业寒冬,蒋旭宪反而认为这是好事情,币圈的冷静让踏实做事的人能更踏实地做事,他说:“越是在寒冬越能看出我们是在做事情的,我们也在持续开放一些能力给合作伙伴,我希望对这个生态的发展也有帮助。”蒋旭宪在公司被同事称为“蒋教授”,因为他也是美国北卡州立大学终身教授,技术输出,帮助生态,也成为蒋教授的愿景。

以下为专访实录精选:

PANews:PeckShield创始团队阵容堪称豪华,您是怎样接触区块链行业的?您当时创立PeckShield的初衷和愿景是什么?

蒋旭宪:我完全错过了PC互联网时代,等到了移动互联网发展的时候,我是在360安全的产品下参与其中的。当时我们团队通报了很多安卓系统的漏洞,甚至最早的那一批安卓木马几乎都是我们发现的,如今PeckShield团队里好几个同事都有超过100个安卓CVE漏洞的经验。在这个过程中,我观察了国内移动互联网的变化,国内的变化大于美国。所以遇到下一波技术——区块链的时候,就想自己参与进去。

2017年七八月份,我离开360正式开始创业,但当时不是做区块链。那时候区块链正是火热的时候,出现很多ICO项目。受周围好多朋友的鼓动,我看了很多白皮书,但一开始看不惯币圈的玩法,后来看底层公链的代码被吸引进去才决定全力转型做这个领域。2018年PeckShield发现了以太坊智能合约的一系列问题,通报了BEC、SMT、EDU等智能合约层面的漏洞,下半年也发现不少EOS上的全问题。

区块链这个行业是非常有趣的,可以跟互联网巨头站在同一起跑线去玩,而且也是每十年一次技术革新的开始。从技术层面上来讲,这绝对是一个很大的革新,接下来几年可能会慢慢落地。在这个领域,安全是核心,也是刚需,所以我们也希望在其中贡献一份力量,参与到整个区块链生态中。

PANews:您觉得现在区块链行业的安全保护程度如何?

蒋旭宪:现在区块链是在研究设施还不完善的情况下就放在公链上做相关检验了,从这个角度来理解,这个技术还处于早期。整个区块链生态是比较复杂的,任何环节都可能有安全问题。从最近关注比较多的DApp的安全问题来看,包括攻击者手段在内的安全事件要素的形态还属于早期发展阶段,远远还没涉及到深层次的安全漏洞,比如黑客通过定位智能合约的逻辑来攻击等。现在比较多发的随机数、交易回滚攻击处于黑盒子就能测出来的阶段,但接下来这种攻防少不了。

区块链不是一个全新的技术,只是一些已知的技术重新有机整合。所以有很多安全问题存在跟传统互联网安全问题相结合的地方,这个结合的地方会出现一些新的独特视角。但同时区块链安全问题有意思的地方在于,因为区块链有相对的隐私性,那些勒索软件就会利用这一特性来让自己变得无法被追踪,这个问题随着区块链的普及也会产生新的攻防。但这以前是不存在的,以后会越来越多。

PANews:区块链安全领域方面,您认为主要有哪些竞争对手?PeckShield优势在哪里?

蒋旭宪:我不大愿意直接谈这个问题,因为现在还是行业早期,各个团队的定位、侧重点、包括以前的背景、优势都不一样。PeckShield的定位是立足于整个区块链生态,通过大数据把各个维度打通,然后通过我们在安全领域的技术能力,把我们的发现和预警输出给生态的各个环节,这样我们可以伴随生态的发展一起往前走。

比如对这轮的DApp开发者,我希望我们的发现能帮助DApp的开发者少踩以前的坑。(2018年)上半年可能过几天就出一个安全公司,下半年会沉寂很多。因为没有好的商业模式,或者因为融资不顺利,我相信很多团队会慢慢开始转型。但我们会坚定地走下去,我们希望用数据服务来赋能各个相关的垂直行业,包括开发者、媒体、行情分析、量化团队等。

PANews:数据作为PeckShield的优势,建立之初也是为了提供安全方面的服务吗?

蒋旭宪:是为了安全。好多人可能以为安全是在代码层面的,其实这算是一个误区,我觉得安全最终肯定是基于大数据的安全。有了前面代码层面的理解,再加上后台大数据的分析整理,能让我们更敏锐的感知到哪个环节出问题,哪个环节比较健康。这有助于我们发现下一步的方向,更好地服务整个生态。这是我们跟国内外一些安全公司很不一样的地方——基于大数据分析去做安全发现。

最近很多DApp的漏洞都是我们率先发现的,这主要是我们的团队既有安全的敏锐度,有代码层面深挖的安全能力,又选对了观察的方向,从大数据的角度去看。而且我们有时候也不是专门去找漏洞,我们在监测链上交易数据的时候发现异常了,认为可能存在攻击,那就会做实时预警。

PANews:之前360爆出EOS的漏洞引起市场恐慌,EOS大跌,PeckShield现在发现漏洞的话是怎么样一个通报流程?现在项目方或者交易所对我们这样的安全公司是一个什么样的态度?

蒋旭宪:一般逻辑是这样的,在PeckShield态势感知平台上感知到的脆弱合约里发现威胁比较大的漏洞,而且攻击还没发生,我们会主动联系项目方。但是项目方的应急响应机制或者后台接口都没有或者不公开,这点我也经常呼吁项目方应该制定应急响应。如果攻击已经发生了,我们也会直接发声。例如EOS上受攻击的DApp,如果攻击已经发生了,我们就实时通报媒体,提示大家已经发生了。如果还没发生,我们会主动联系项目方。现在很多项目方在攻击发生以后都没感知到,通报漏洞以后他们会主动联系我们寻求安全帮助。

PANews:除了安全审计外,我们现在会为项目方提供哪些服务?

蒋旭宪:我们最近也在思考能不能把我们后台开发的风控系统,以某种方式为开发者服务,一方面让开发者更好地收到预警,另一方面也让开发者在预警发生时能有效地、更好地保护他们的数字资产。我们确实思考了很长时间,准备把实时预警的能力,以及我们内部做的DAppShield安全盾全部开放给开发者,看看怎么能更好地服务这些开发者。但我也希望这以一种共赢的方式来做这种事情。

PANews:通过包括PeckShield在内的安全机构的发声,2018年下半年大家的安全意识是不是比上半年有所提升?

蒋旭宪:我认为2018年是区块链安全的元年。上半年安全事件确实暴露的比较多,从智能合约爆发到下半年DApp爆发,每次爆发中安全事件都是少不了的。从某种角度上来说这个行业的从业者也慢慢意识到安全的重要性了。

我觉得区块链从业者有个误区,因为区块链本身包含了各种加密、哈希、不可逆、数据不可篡改等概念,就以为区块链天然就是安全的,其实安全也是区块链的刚需。区块链本身是为了解决用户之间的相互信任问题,没了安全,怎么谈信任。

PANews:其实对个人而言可能对安全事件的感知会弱一点,很多人意识不到受到攻击,但并不代表这些安全事件不存在。8月份的时候PeckShield发现很多用户存在私钥注册不规范导致的安全事件。那么对个人用户而言,有什么好的建议或者方法去防范这些安全风险吗?

蒋旭宪:个人还是主要从钱包、助记词、密码的角度去防范。首先安全意识要强一点。比如今年3月币安被攻击以后出现很多钓鱼网站,个人要谨防自己的私钥被偷了。另外对助记词要保持敏感,保存的时候别被偷了。个人尽量选择在大的、有安全品牌的交易所上交易,下载App也尽量用正规的渠道,不要从第三方链接上随便下载下来就用。也可以用冷钱包,因为每一笔交易都需要物理上的确认,会安全一点。

PANews:PeckShield在2018年上半年获得了高榕资本的数千万元天使投资。目前有进行新一轮的融资吗?我们目前盈利模式是怎样的?

蒋旭宪:目前来说,有资本方(感兴趣)我们也愿意跟他们接触,但不是以融资为目的,我们想要跟他们了解一下资方对行业的理解。

寒冬可能大家日子都不太好过,目前来说我们都还好,我们想继续深入做下去,营收主要是合约审计。前几年我们打算就打好基础,肯定要按照互联网的玩法先做,打出品牌和实力。通过这样的方式也希望给以后的合作找到一些机会,比如现在给DApp的开发者提供安全服务,包括预警等,虽然现在都是免费的,但这里面我希望能走出一个新的模式。因为我们提供的安全服务能使开发者免受损失,我觉得他们未来是有意愿付费的。

PANews:2019年甚至更远的未来PeckShield的安全生态建设会有怎样的规划呢?

蒋旭宪:我们还是有耐心地陪着生态一块儿往前走,但更希望在这个过程中能找出一条跟行业里的合作伙伴共赢的模式,这也是我们一直在思考的地方。越是在寒冬越能看出我们是在做事情的,我们也在持续开放一些能力给合作伙伴,希望对这个生态的发展有帮助。寒冬也不是坏事情,可以让行业纯净很多,踏实做事的人还是在踏实做事,反而是币圈冷静了很多,这是好事情。我个人是挺认可和看好这个行业的未来。

生成图片
8

发表评论

PeckShield创始人蒋旭宪:安全是区块链的基石

星期三 2019-01-23 22:58:13

1998年互联网浪潮席卷而来,“地球村”的预言成了现实。2008年移动互联网兴起,智能手机让每个人的生活都变得更加便利,仿佛动动手指就能解决衣食住行。如果说十年是一次技术大变革的周期,那么当移动互联还方兴未艾时,属于下一个十年的技术就已经来临了。2018年,区块链行业骤然火热起来,也吸引了传统领域的领袖加入,蒋旭宪便是其中之一。

2018年上半年,已经辞去360安全首席科学家职务开始创业的蒋旭宪在朋友的推荐下,看了很多区块链白皮书,他在接受PANews专访时坦言,一开始自己看不惯币圈的玩法,后来被底层公链代码所吸引才决定全力转型做区块链安全领域,成立了区块链数据与安全服务商PeckShield。

“区块链本身是为了解决用户之间的相互信任问题,没有安全,怎么谈信任。”在蒋旭宪看来,安全就是区块链的核心,也是刚需。而且整个区块链生态是比较复杂的,任何环节都可能有安全问题。

PeckShield创始人蒋旭宪:安全是区块链的基石

伴随着每一次区块链技术的进步,安全事件也在不断发生和演进,蒋旭宪也将2018年视为区块链安全的元年。这一年,PeckShield团队先后通报了以太坊BEC、SMT、EDU等智能合约层面的漏洞,此后在EOS主网上线后披露了一系列EOS DApp遭遇的交易回滚攻击、随机数攻击、假转账通知攻击等等安全事件。

蒋旭宪认为:“好多人可能以为安全只是在代码层面,这其实算是一个误区,我觉得安全最终肯定是基于大数据的安全。”正是基于这样的前瞻性判断,蒋旭宪将PeckShield定位为区块链数据与安全服务商,他希望PeckShield在基于代码层面的理解之上,还能配合后台大数据的分析整理,以此来打通所有维度,把安全发现和预警输送给生态中的各个环节。

面对已经来临的行业寒冬,蒋旭宪反而认为这是好事情,币圈的冷静让踏实做事的人能更踏实地做事,他说:“越是在寒冬越能看出我们是在做事情的,我们也在持续开放一些能力给合作伙伴,我希望对这个生态的发展也有帮助。”蒋旭宪在公司被同事称为“蒋教授”,因为他也是美国北卡州立大学终身教授,技术输出,帮助生态,也成为蒋教授的愿景。

以下为专访实录精选:

PANews:PeckShield创始团队阵容堪称豪华,您是怎样接触区块链行业的?您当时创立PeckShield的初衷和愿景是什么?

蒋旭宪:我完全错过了PC互联网时代,等到了移动互联网发展的时候,我是在360安全的产品下参与其中的。当时我们团队通报了很多安卓系统的漏洞,甚至最早的那一批安卓木马几乎都是我们发现的,如今PeckShield团队里好几个同事都有超过100个安卓CVE漏洞的经验。在这个过程中,我观察了国内移动互联网的变化,国内的变化大于美国。所以遇到下一波技术——区块链的时候,就想自己参与进去。

2017年七八月份,我离开360正式开始创业,但当时不是做区块链。那时候区块链正是火热的时候,出现很多ICO项目。受周围好多朋友的鼓动,我看了很多白皮书,但一开始看不惯币圈的玩法,后来看底层公链的代码被吸引进去才决定全力转型做这个领域。2018年PeckShield发现了以太坊智能合约的一系列问题,通报了BEC、SMT、EDU等智能合约层面的漏洞,下半年也发现不少EOS上的全问题。

区块链这个行业是非常有趣的,可以跟互联网巨头站在同一起跑线去玩,而且也是每十年一次技术革新的开始。从技术层面上来讲,这绝对是一个很大的革新,接下来几年可能会慢慢落地。在这个领域,安全是核心,也是刚需,所以我们也希望在其中贡献一份力量,参与到整个区块链生态中。

PANews:您觉得现在区块链行业的安全保护程度如何?

蒋旭宪:现在区块链是在研究设施还不完善的情况下就放在公链上做相关检验了,从这个角度来理解,这个技术还处于早期。整个区块链生态是比较复杂的,任何环节都可能有安全问题。从最近关注比较多的DApp的安全问题来看,包括攻击者手段在内的安全事件要素的形态还属于早期发展阶段,远远还没涉及到深层次的安全漏洞,比如黑客通过定位智能合约的逻辑来攻击等。现在比较多发的随机数、交易回滚攻击处于黑盒子就能测出来的阶段,但接下来这种攻防少不了。

区块链不是一个全新的技术,只是一些已知的技术重新有机整合。所以有很多安全问题存在跟传统互联网安全问题相结合的地方,这个结合的地方会出现一些新的独特视角。但同时区块链安全问题有意思的地方在于,因为区块链有相对的隐私性,那些勒索软件就会利用这一特性来让自己变得无法被追踪,这个问题随着区块链的普及也会产生新的攻防。但这以前是不存在的,以后会越来越多。

PANews:区块链安全领域方面,您认为主要有哪些竞争对手?PeckShield优势在哪里?

蒋旭宪:我不大愿意直接谈这个问题,因为现在还是行业早期,各个团队的定位、侧重点、包括以前的背景、优势都不一样。PeckShield的定位是立足于整个区块链生态,通过大数据把各个维度打通,然后通过我们在安全领域的技术能力,把我们的发现和预警输出给生态的各个环节,这样我们可以伴随生态的发展一起往前走。

比如对这轮的DApp开发者,我希望我们的发现能帮助DApp的开发者少踩以前的坑。(2018年)上半年可能过几天就出一个安全公司,下半年会沉寂很多。因为没有好的商业模式,或者因为融资不顺利,我相信很多团队会慢慢开始转型。但我们会坚定地走下去,我们希望用数据服务来赋能各个相关的垂直行业,包括开发者、媒体、行情分析、量化团队等。

PANews:数据作为PeckShield的优势,建立之初也是为了提供安全方面的服务吗?

蒋旭宪:是为了安全。好多人可能以为安全是在代码层面的,其实这算是一个误区,我觉得安全最终肯定是基于大数据的安全。有了前面代码层面的理解,再加上后台大数据的分析整理,能让我们更敏锐的感知到哪个环节出问题,哪个环节比较健康。这有助于我们发现下一步的方向,更好地服务整个生态。这是我们跟国内外一些安全公司很不一样的地方——基于大数据分析去做安全发现。

最近很多DApp的漏洞都是我们率先发现的,这主要是我们的团队既有安全的敏锐度,有代码层面深挖的安全能力,又选对了观察的方向,从大数据的角度去看。而且我们有时候也不是专门去找漏洞,我们在监测链上交易数据的时候发现异常了,认为可能存在攻击,那就会做实时预警。

PANews:之前360爆出EOS的漏洞引起市场恐慌,EOS大跌,PeckShield现在发现漏洞的话是怎么样一个通报流程?现在项目方或者交易所对我们这样的安全公司是一个什么样的态度?

蒋旭宪:一般逻辑是这样的,在PeckShield态势感知平台上感知到的脆弱合约里发现威胁比较大的漏洞,而且攻击还没发生,我们会主动联系项目方。但是项目方的应急响应机制或者后台接口都没有或者不公开,这点我也经常呼吁项目方应该制定应急响应。如果攻击已经发生了,我们也会直接发声。例如EOS上受攻击的DApp,如果攻击已经发生了,我们就实时通报媒体,提示大家已经发生了。如果还没发生,我们会主动联系项目方。现在很多项目方在攻击发生以后都没感知到,通报漏洞以后他们会主动联系我们寻求安全帮助。

PANews:除了安全审计外,我们现在会为项目方提供哪些服务?

蒋旭宪:我们最近也在思考能不能把我们后台开发的风控系统,以某种方式为开发者服务,一方面让开发者更好地收到预警,另一方面也让开发者在预警发生时能有效地、更好地保护他们的数字资产。我们确实思考了很长时间,准备把实时预警的能力,以及我们内部做的DAppShield安全盾全部开放给开发者,看看怎么能更好地服务这些开发者。但我也希望这以一种共赢的方式来做这种事情。

PANews:通过包括PeckShield在内的安全机构的发声,2018年下半年大家的安全意识是不是比上半年有所提升?

蒋旭宪:我认为2018年是区块链安全的元年。上半年安全事件确实暴露的比较多,从智能合约爆发到下半年DApp爆发,每次爆发中安全事件都是少不了的。从某种角度上来说这个行业的从业者也慢慢意识到安全的重要性了。

我觉得区块链从业者有个误区,因为区块链本身包含了各种加密、哈希、不可逆、数据不可篡改等概念,就以为区块链天然就是安全的,其实安全也是区块链的刚需。区块链本身是为了解决用户之间的相互信任问题,没了安全,怎么谈信任。

PANews:其实对个人而言可能对安全事件的感知会弱一点,很多人意识不到受到攻击,但并不代表这些安全事件不存在。8月份的时候PeckShield发现很多用户存在私钥注册不规范导致的安全事件。那么对个人用户而言,有什么好的建议或者方法去防范这些安全风险吗?

蒋旭宪:个人还是主要从钱包、助记词、密码的角度去防范。首先安全意识要强一点。比如今年3月币安被攻击以后出现很多钓鱼网站,个人要谨防自己的私钥被偷了。另外对助记词要保持敏感,保存的时候别被偷了。个人尽量选择在大的、有安全品牌的交易所上交易,下载App也尽量用正规的渠道,不要从第三方链接上随便下载下来就用。也可以用冷钱包,因为每一笔交易都需要物理上的确认,会安全一点。

PANews:PeckShield在2018年上半年获得了高榕资本的数千万元天使投资。目前有进行新一轮的融资吗?我们目前盈利模式是怎样的?

蒋旭宪:目前来说,有资本方(感兴趣)我们也愿意跟他们接触,但不是以融资为目的,我们想要跟他们了解一下资方对行业的理解。

寒冬可能大家日子都不太好过,目前来说我们都还好,我们想继续深入做下去,营收主要是合约审计。前几年我们打算就打好基础,肯定要按照互联网的玩法先做,打出品牌和实力。通过这样的方式也希望给以后的合作找到一些机会,比如现在给DApp的开发者提供安全服务,包括预警等,虽然现在都是免费的,但这里面我希望能走出一个新的模式。因为我们提供的安全服务能使开发者免受损失,我觉得他们未来是有意愿付费的。

PANews:2019年甚至更远的未来PeckShield的安全生态建设会有怎样的规划呢?

蒋旭宪:我们还是有耐心地陪着生态一块儿往前走,但更希望在这个过程中能找出一条跟行业里的合作伙伴共赢的模式,这也是我们一直在思考的地方。越是在寒冬越能看出我们是在做事情的,我们也在持续开放一些能力给合作伙伴,希望对这个生态的发展有帮助。寒冬也不是坏事情,可以让行业纯净很多,踏实做事的人还是在踏实做事,反而是币圈冷静了很多,这是好事情。我个人是挺认可和看好这个行业的未来。