Trustlook区块链负责人王亚治:区块链安全有“机”可乘 | 金色财经独家专访

浪花财经浪花财经 人物 2019年2月28日
1.60W 0
近日,硅谷安全公司Trustlook与公链DxChain达成了合作关系。未来,凭借多年来在安全领域的沉淀,Trustlook将为DxChain提供安全服务,进行安全攻防测试,保障DxChain用户的资产安全。

近日,硅谷安全公司Trustlook与公链DxChain达成了合作关系。未来,凭借多年来在安全领域的沉淀,Trustlook将为DxChain提供安全服务,进行安全攻防测试,保障DxChain用户的资产安全。

作为一家传统安全公司,Trustlook也以DxChain为入口,正式切入区块链安全领域。然而在这一新生领域,Trustlook的机会能有几何?

试水区块链

以太坊作为开源社区,最重要的精神之一就是代码开放,然而Trutslook在2018年年底做的最新的调查显示,全网有大约有200万被创建和部署的智能合约,其中80%都是以二进制制形式的机器语言存在。

机器语言的一种计算机能直接识别和执行的一种机器指令,在智能合约中,业界称为二进制的EVM代码。也就是说,在目前的状况下,社区里的开发者如果对某一份智能合约产生了兴趣,想要去了解它的功能甚至查找漏洞,只能够接触到二进制代码,对于大部分程序员而言,这是较大的障碍。

相对于传统计算机社区早已拥有了比较成熟的反汇编工具,区块链社区内并没有较好的帮助程序员们读取二进制代码的工具。虽然从2017年开始,有一些项目开始做反汇编的研究,从测试结果来说,效果并不是很理想——目前仅仅能够反汇编例如“HelloWorld”的简单指令。

毫无疑问,区块链以太坊社区需要一个真正可用的反汇编工具,尤其是能够精准地反编译智能合约代码的工具。

Trustlook是全球领先的人工智能安全公司,多年来为移动和IOT安全提供坚实的防护,2019年1月9日,发布了基于二进制智能合约反编译开放平台Smart Contract Insight,能够反编译全网的二进制合约代码,将其还原成高级语言,如Solidity,帮助开发者以及审计人员更好地理解智能合约。

在Trustlook区块链负责人王亚治看来,此次和DxChain合作是水到渠成的事情。

DxChain作为硅谷的区块链存储创业公司,其核心理念是让个人用户能够分享他们的闲置硬盘,从而形成低价格云存储网络,而个人用户在分享行为中获得激励,激励资金将会通过智能合约计算和发放到个人用户手中。

但区块链行业越来越成为黑客攻击的头号目标,2018年全球区块链领域发生近百起安全事件,损失超20亿美元。毫无疑问,在这样的环境下,DxChain也必须在安全方面与业界能力领先的公司加强合作,以确保平台用户的安全。
据Trustlook区块链技术负责人王亚治介绍,对于DxChain来说,Trustlook的反汇编平台就像一个辅助工具。具体到安全审计方面,基于Trustlook开发的工具能够大大节约审计时间,对于智能合约里的逻辑和安全问题也能更好的理解。除此之外,态势感知、监控等安全服务也会逐步上线。

嗅到商机

其实早在步入区块链领域之前,Trustlook就已经在代码安全审计领域扎根多年。团队成员多有从事安全工作十年以上经验,客户有高通、华为等大公司。

源于Trustlook对区块链技术本身的看好。“在传统互联网行业,我们挖掘漏洞,很多的时候找到了问题,就是给厂商写一份审计的结果,让他们改正代码的错误之类的”,王亚治介绍,区块链不一样,一旦产生安全隐患,对企业和用户都会直接造成财产损失,所以相对于传统的安全来说,区块链公司普遍更重视安全问题。 

身处硅谷,Trustlook关注到区块链要比很多人要早。去年夏天,Trustlook也已成立了区块链部门。却到如今才正式加入,王亚治对此的解释是:“我们进来,需要解决区块链整个生态的安全问题,要把所有的环节都考虑到,最终才能形成一个完全安全的闭环,所以我们也是做了大量的准备和研究,才正式加入。

王亚治认为,整个生态的安全,需要兼顾到方方面面,不管哪个环节出现问题,都有可能导致生态瘫痪,而区块链是新兴技术,很多知识是以往不曾涉及的。

“区块链独有的问题,比如双花攻击这些,它是区块链派生的新事物。只能不断的调整跟进、完善,一个新技术出来要经过很多年的沉淀才能够定型成熟。”王亚治说。

但智能合约是区块链代码的重中之重,于是,以智能合约审计为切入点成了Trustlook进入区块链行业的路径,“我们只要把智能合约的特性提取出来,再把之前在传统行业代码审计方面的经验带入。我相信,我们能很快的切入到区块链行业当中。然后以代码审计为突破口,我们可以慢慢地加入形式化验证,和对整个生态安全的事件的感知系统。”说到未来的规划,王亚治信心满满。

自动化验证不能完成所有事情

王亚治的人生轨迹中,大部分时光是和网络安全相关的。

他接触形式化验证的时间要比区块链诞生的时间早。所谓形式化自动验证,在王亚治眼里就是用一种数学方法代替人为来判断逻辑错误。这些逻辑错误在人写的过程中不能够发掘的,但是运用数学方法的某种运算能够找到这些漏洞,能够得到验证。

那么将这项技术应用到区块链当中,会产生什么反应?

王亚治表示,区块链的数字特性决定了其是和财产相关的产物,任何非正常逻辑的数字变动都有可能导致财产损失。“但是形式化自动验证有一个问题,必须确保编程语言本身是可以完全一对一映射到一个数学模型上,才能够确保验证的事物是正确的。如果语言本身没法逆向成一个真的数学表达,验证就无法完成。例如,返回验证时,数学模型并不固定,验证就容易出现各种各样的问题”,王亚治认为,形式化验证在区块链行业目前还是有一定的局限性。

“形式化验证,可能会找出一些人忽略的问题,但是他并不能找到所有的问题。”王亚治说。

在这种情况下,人工审核的作用就显现出来。这也是Trustlook加入区块链的一大优势。“我们的团队基本上都有超过15年代码、漏洞审计的经验。形式化验证在很多时候能够加速审计过程,使工作效率提高。可是其实有很多逻辑问题,包括需要考虑到整个生态设计的时候,完全自动化的形式化验证,可能会有一些误报或者是漏报,所以这时还是要加入人工审批。我们团队在这方面恰恰很有经验,有很多基础问题是可以相互借鉴的。”王亚治称。

从传统安全领域跨到区块链,Trustlook完成了很多传统企业的所不敢进行的“尝试”。而此时试水区块链,在众多垂直领域安全公司的围攻中,Trustlook能否后来者居上?

“我们的确没有进入的特别早。有一些公司在这方面也取得很好的进展了,但这毕竟是一个新领域,所以我觉得还不算太晚,并且这个技术的积累也是需要一段时间。我们会调整好心态,做好长期作战的准备,希望能够更快的打开局面”,王亚治说。

生成图片
3
DxChain(1)区块链技术(1061)安全问题(6)

相关文章

发表评论

Trustlook区块链负责人王亚治:区块链安全有“机”可乘 | 金色财经独家专访

星期四 2019-02-28 12:29:04

近日,硅谷安全公司Trustlook与公链DxChain达成了合作关系。未来,凭借多年来在安全领域的沉淀,Trustlook将为DxChain提供安全服务,进行安全攻防测试,保障DxChain用户的资产安全。

作为一家传统安全公司,Trustlook也以DxChain为入口,正式切入区块链安全领域。然而在这一新生领域,Trustlook的机会能有几何?

试水区块链

以太坊作为开源社区,最重要的精神之一就是代码开放,然而Trutslook在2018年年底做的最新的调查显示,全网有大约有200万被创建和部署的智能合约,其中80%都是以二进制制形式的机器语言存在。

机器语言的一种计算机能直接识别和执行的一种机器指令,在智能合约中,业界称为二进制的EVM代码。也就是说,在目前的状况下,社区里的开发者如果对某一份智能合约产生了兴趣,想要去了解它的功能甚至查找漏洞,只能够接触到二进制代码,对于大部分程序员而言,这是较大的障碍。

相对于传统计算机社区早已拥有了比较成熟的反汇编工具,区块链社区内并没有较好的帮助程序员们读取二进制代码的工具。虽然从2017年开始,有一些项目开始做反汇编的研究,从测试结果来说,效果并不是很理想——目前仅仅能够反汇编例如“HelloWorld”的简单指令。

毫无疑问,区块链以太坊社区需要一个真正可用的反汇编工具,尤其是能够精准地反编译智能合约代码的工具。

Trustlook是全球领先的人工智能安全公司,多年来为移动和IOT安全提供坚实的防护,2019年1月9日,发布了基于二进制智能合约反编译开放平台Smart Contract Insight,能够反编译全网的二进制合约代码,将其还原成高级语言,如Solidity,帮助开发者以及审计人员更好地理解智能合约。

在Trustlook区块链负责人王亚治看来,此次和DxChain合作是水到渠成的事情。

DxChain作为硅谷的区块链存储创业公司,其核心理念是让个人用户能够分享他们的闲置硬盘,从而形成低价格云存储网络,而个人用户在分享行为中获得激励,激励资金将会通过智能合约计算和发放到个人用户手中。

但区块链行业越来越成为黑客攻击的头号目标,2018年全球区块链领域发生近百起安全事件,损失超20亿美元。毫无疑问,在这样的环境下,DxChain也必须在安全方面与业界能力领先的公司加强合作,以确保平台用户的安全。
据Trustlook区块链技术负责人王亚治介绍,对于DxChain来说,Trustlook的反汇编平台就像一个辅助工具。具体到安全审计方面,基于Trustlook开发的工具能够大大节约审计时间,对于智能合约里的逻辑和安全问题也能更好的理解。除此之外,态势感知、监控等安全服务也会逐步上线。

嗅到商机

其实早在步入区块链领域之前,Trustlook就已经在代码安全审计领域扎根多年。团队成员多有从事安全工作十年以上经验,客户有高通、华为等大公司。

源于Trustlook对区块链技术本身的看好。“在传统互联网行业,我们挖掘漏洞,很多的时候找到了问题,就是给厂商写一份审计的结果,让他们改正代码的错误之类的”,王亚治介绍,区块链不一样,一旦产生安全隐患,对企业和用户都会直接造成财产损失,所以相对于传统的安全来说,区块链公司普遍更重视安全问题。 

身处硅谷,Trustlook关注到区块链要比很多人要早。去年夏天,Trustlook也已成立了区块链部门。却到如今才正式加入,王亚治对此的解释是:“我们进来,需要解决区块链整个生态的安全问题,要把所有的环节都考虑到,最终才能形成一个完全安全的闭环,所以我们也是做了大量的准备和研究,才正式加入。

王亚治认为,整个生态的安全,需要兼顾到方方面面,不管哪个环节出现问题,都有可能导致生态瘫痪,而区块链是新兴技术,很多知识是以往不曾涉及的。

“区块链独有的问题,比如双花攻击这些,它是区块链派生的新事物。只能不断的调整跟进、完善,一个新技术出来要经过很多年的沉淀才能够定型成熟。”王亚治说。

但智能合约是区块链代码的重中之重,于是,以智能合约审计为切入点成了Trustlook进入区块链行业的路径,“我们只要把智能合约的特性提取出来,再把之前在传统行业代码审计方面的经验带入。我相信,我们能很快的切入到区块链行业当中。然后以代码审计为突破口,我们可以慢慢地加入形式化验证,和对整个生态安全的事件的感知系统。”说到未来的规划,王亚治信心满满。

自动化验证不能完成所有事情

王亚治的人生轨迹中,大部分时光是和网络安全相关的。

他接触形式化验证的时间要比区块链诞生的时间早。所谓形式化自动验证,在王亚治眼里就是用一种数学方法代替人为来判断逻辑错误。这些逻辑错误在人写的过程中不能够发掘的,但是运用数学方法的某种运算能够找到这些漏洞,能够得到验证。

那么将这项技术应用到区块链当中,会产生什么反应?

王亚治表示,区块链的数字特性决定了其是和财产相关的产物,任何非正常逻辑的数字变动都有可能导致财产损失。“但是形式化自动验证有一个问题,必须确保编程语言本身是可以完全一对一映射到一个数学模型上,才能够确保验证的事物是正确的。如果语言本身没法逆向成一个真的数学表达,验证就无法完成。例如,返回验证时,数学模型并不固定,验证就容易出现各种各样的问题”,王亚治认为,形式化验证在区块链行业目前还是有一定的局限性。

“形式化验证,可能会找出一些人忽略的问题,但是他并不能找到所有的问题。”王亚治说。

在这种情况下,人工审核的作用就显现出来。这也是Trustlook加入区块链的一大优势。“我们的团队基本上都有超过15年代码、漏洞审计的经验。形式化验证在很多时候能够加速审计过程,使工作效率提高。可是其实有很多逻辑问题,包括需要考虑到整个生态设计的时候,完全自动化的形式化验证,可能会有一些误报或者是漏报,所以这时还是要加入人工审批。我们团队在这方面恰恰很有经验,有很多基础问题是可以相互借鉴的。”王亚治称。

从传统安全领域跨到区块链,Trustlook完成了很多传统企业的所不敢进行的“尝试”。而此时试水区块链,在众多垂直领域安全公司的围攻中,Trustlook能否后来者居上?

“我们的确没有进入的特别早。有一些公司在这方面也取得很好的进展了,但这毕竟是一个新领域,所以我觉得还不算太晚,并且这个技术的积累也是需要一段时间。我们会调整好心态,做好长期作战的准备,希望能够更快的打开局面”,王亚治说。