鏈安科技創始人楊霞：無懼熊市，安全在任何時候都是剛需_區塊鏈

「干得好，小伙子！」楊霞拍著研發組同學的肩膀，高興地說道。今年11月6日，她創辦的Beosin完成了智能合約形式化驗證平臺VaaS2.0的研發，把行業內智能合約審計的準確度提高到95%以上。

統計數據顯示，2011年~2018年間，智能合約安全事件損失金額達12.4億美元，占該期間區塊鏈安全事件總損失金額的1/3。2016年下半年，楊霞便從智能合約安全入手，采用形式化驗證方法解決區塊鏈安全問題。此前，形式化驗證多用于安全系數要求較高的航空、航天等關鍵領域。

歷時近2年，楊霞帶領團隊發布VaaS平臺。用戶只需把公鏈的合約代碼導入VaaS自動驗證平臺，點擊「開始審計」按鈕，平臺便會審查智能合約的漏洞，審查結果可精確到代碼所在的具體某行，提醒用戶存在安全隱患。

目前，Beosin已與Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原鏈等國內40多家區塊鏈行業公司建立長期戰略合作。截至11月末，公司已完成超500份智能合約的審計工作，實現收支平衡。

成都鏈安：ApolloX 項目方因簽名系統缺陷被攻擊，損失約160萬美元:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，ApolloX 項目遭受攻擊，根據成都鏈安技術團隊分析，發現ApolloX簽名系統存在缺陷，攻擊者利用簽名系統缺陷生成了255個簽名，總共從合約中提取了53,946,802$APX，價值約160萬美元，目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前，ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元，閃跌約60%。[2022/6/9 4:11:35]

今年11月初，該公司獲得了界石資本和盤古創富的數百萬美元天使輪投資，資金主要用于全生態區塊鏈安全產品的開發和全球化市場布局。

注：楊霞承諾文中數據無誤，為內容真實性負責。鉛筆道作客觀真實記錄，已備份速記錄音。

18年的「安全啄木鳥」

區塊鏈安全公司CertiK完成8800萬美元融資 TigerGlobal等領投:金色財經消息，區塊鏈安全公司CertiK完成8800萬美元融資，估值達到20億美元，此次融資由Insight Partners、Tiger Global和Advent International領投，高盛、 Sequoia Capital和Lightspeed Venture Partners等參投。

這筆資金將用于構建新產品和Web3世界的一站式安全平臺。迄今為止，CertiK共籌集到2.3億美元。（TechCrunch）[2022/4/7 14:10:53]

安全，一直是楊霞職業生涯的關鍵詞。前18年是面向安全關鍵嵌入式系統，后3年則是區塊鏈安全。

讀書期間，楊霞是名副其實的學霸，一路被保送讀到博士。畢業后，她一邊在大學任教，一邊在系統安全領域從事研究和創業。這期間，楊霞從事形式化驗證、內核安全、移動設備安全、TEE等安全技術研究長達18年,擔任CC國際安全標準成員、CCF區塊鏈專委會委員、CCF形式化驗證專委會委員，發表學術論文30多篇，申請專利20多項。同時，她還圍繞安全領域進行了3次創業。

動態 | 區塊鏈安全工具平臺望岳推出XRP假充值攻擊測試功能:區塊鏈安全工具平臺望岳推出XRP假充值攻擊測試功能，用戶在提交一個激活的交易所充值地址和校驗 MEMO 后，該功能將為該地址充值 1 萬 XRP 進行測試。該XRP的漏洞是一個官方早就披露過的問題，但是經過望岳團隊測試，依舊有至少 12 家交易平臺存在該假充值漏洞。該平臺目前由匿名團隊發布。[2020/1/21]

她所做的形式化驗證，就是用數學和邏輯學的方法對代碼的安全屬性進行證明或證偽，通過判斷代碼問題，從而證明這個代碼的實現是否能滿足用戶需求。這種方法相較傳統審計代碼方法具有更高效、更安全的特點，多用于對安全系數要求較高的航空、航天等關鍵領域。

楊霞稱自己是「安全啄木鳥」。在她看來，做安全研究就像是啄木鳥，要不斷地找出bug解決它，保障系統安全，「這個過程就像是啄木鳥要不斷啄蟲子，才能讓樹木健康一樣。」

2015年下半年，區塊鏈項目大量涌現的同時，也出現不少安全問題。2016年6月，黑客利用TheDAO項目的智能合約安全漏洞，導致項目方損失約5000萬美元資產。當時，「TheDAO」事件被認為是最大的以太坊智能合約漏洞事件。

聲音 | 人民日報：推動區塊鏈安全有序發展:11月5日，人民網董事長、黨委書記、總裁葉蓁蓁在人民日報刊文“推動區塊鏈安全有序發展（新論）”。文章表示，區塊鏈技術應用已延伸到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等多個領域，我們既要高度重視其發展、也要高度重視其管理。面對區塊鏈這一新事物，需要觀察跟蹤其發展，建立規則體系、推動行業自律，依法治網、有序發展。確保區塊鏈技術造福全社會，前提就是要管好用好區塊鏈。習近平總書記指出，相關部門及其負責領導同志要注意區塊鏈技術發展現狀和趨勢，提高運用和管理區塊鏈技術能力。對于領導干部來說，既要會用，也要善管。在運用中學會管理，同時在管理中更好運用，才能使區塊鏈技術在建設網絡強國、發展數字經濟、助力經濟社會發展等方面發揮更大作用。[2019/11/5]

「TheDAO」事件后，早已入局區塊鏈的朋友們問起楊霞，可不可以用形式化驗證的方法進行區塊鏈安全的防護？這使楊霞意識到區塊鏈安全問題已經成為一個普遍現象，安全問題將影響區塊鏈行業的發展。她對區塊鏈安全開始產生興趣。

聲音 | 騰訊安全：古老的DDoS攻擊仍是威脅區塊鏈安全的最大隱患:騰訊安全近日發布《2018上半年區塊鏈安全報告》，報告顯示，在諸多安全問題中，古老的DDoS攻擊仍十分普遍。據悉，DDoS攻擊對區塊鏈生態安全產生普遍威脅自互聯網誕生起DDoS攻擊就已存在并作為一種經典的攻擊方法延續至今，并隨著網絡技術和互聯網基礎設施的不斷提升，衍生出了更多難以應付的攻擊手段。簡單來說，DDoS攻擊就是在某一時刻，向目標服務器發送遠超出常規的大量通訊請求，造成目標服務器資源瞬間消耗殆盡，無法提供正常服務。DDoS攻擊的意圖也十分明確：變相獲取對手流量或直接敲詐對手錢財。[2018/8/24]

于是，2016年下半年，楊霞便從航空、航天安全轉向了區塊鏈安全研究。通常來說，區塊鏈安全問題主要包括共識機制安全、智能合約安全、錢包安全和交易平臺安全等方面。

對于Beosin為何選擇智能合約安全方向，楊霞解釋說，智能合約安全事件在區塊鏈安全中影響比較嚴重，由它導致的損失占總損失金額的近1/3；另外，形式化驗證是個復雜的過程，代碼量太大的話會使驗證周期變得很長，剛好智能合約的代碼量都不大，這使得用形式化驗證進行安全審計非常可行。

智能合約安全事件損失金額約占總損失金額的1/3

目前，針對智能合約的安全驗證主要有兩種。一種是滲透測試，另一種是形式化驗證。滲透測試只能測出某些已知Bug，未知的Bug顯示不出來。形式化驗證則通過數學推理進行，可保證一定不存在指定屬性的安全問題，或者一定存在指定安全屬性的問題。

建VaaS平臺

從安全級別最高的軍工方向「降級」到區塊鏈方向，雖然后者在安全程序上趨向于簡單，但楊霞在這條路上走得也并非一帆風順。

事實上，直到2017年上半年，楊霞都是帶著學生采用人工建模的方式進行驗證。在近一年的研究中，她發現，形式化驗證在審計智能合約安全上確有成效，但人工建模代價大、效率低，人工參與對人員的素質要求很高，形式化驗證方面的人才很緊缺。

于是，2017年下半年，楊霞決定向自動化方向發展，降低人工成本的同時，減少人為誤判，提高形式化驗證的準確度。約1年后，今年5月，Beosin發布了智能合約形式化驗證平臺VaaS1.0，可同時支持EOS和ETH的智能合約形式化驗證。

VaaS的5項技術優勢

VaaS是一個智能合約安全驗證平臺，主要來檢驗智能合約的安全屬性和功能正確性，功能正確性是指智能合約的代碼實踐符合用戶的預期功能需求。

在使用上，用戶只需把公鏈的合約代碼導入VaaS自動驗證工具，點擊「開始審計」按鈕，工具就會開始審查智能合約的漏洞，并且精確到代碼的哪一行存在常規安全隱患。不過，對于復雜的功能邏輯的正確性驗證則需要部分人工的參與。

VaaS1.0的安全檢測準確度達80%以上，但楊霞并不滿意。「誤報率是我們非常頭疼的問題。我們需要盡可能提高精確度，降低誤報率。」于是，楊霞和團隊緊接著就開始了VaaS2.0的研發。

11月，Beosin發布VaaS2.0，其安全檢測準確度可達95%以上。楊霞自信地說，「有些客戶的智能合約在其他平臺上檢測沒有問題，在我們的平臺上卻被檢測出了漏洞。這種情況已經至少發生了5次了。」

當前，國內外從事VaaS形式化驗證平臺研發的有四家公司，包括Beosin、Certik、Securify.ch和RuntimeVerification。楊霞認為，相較于其他三家，Beosin的特色在于能夠提供除ETH、EOS之外的多個區塊鏈平臺的驗證工具，且準確率較高。

截至目前，Beosin已經與國內40多家區塊鏈行業公司，如Huobi、OKEx和KuCoin等建立長期戰略合作，其用戶包括了交易所、項目方、公鏈及所有區塊鏈從業者、開發者等。另外，Beosin的核心業務包括安全審計和定制化應用開發兩方面。其中，安全方面包括智能合約安全審計、智能合約開發審計一條龍、錢包安全加固與審計、DApp安全加固與審計、區塊鏈平臺安全檢測、交易所安全檢測、企業級安全服務等。

楊霞介紹，作為一家區塊鏈安全服務商，Beosin的盈利點主要有兩個，分別是安全審計的服務費和應用開發的開發費用。截至11月末，Beosin已審計超過500份智能合約，實現了收支平衡。

今年3月，Beosin獲得了分布式資本的種子輪融資。11月，楊霞團隊又獲得界石資本、盤古創富數百萬美元天使輪融資，資金主要用于全生態區塊鏈安全的產品開發和全球化市場布局。

對于現在持續的熊市，楊霞則認為，安全在任何時候都是剛需。「熊市只是相對于幣圈市場來講，但市場上除了發幣合約還有落地應用合約。未來，隨著落地應用越來越多，智能合約的數量肯定會爆發性增長，項目方也會越來越重視合約的安全。」

本文來源于非小號媒體平臺：

Beosin成都鏈安

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627100.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

利用比特幣回款，橫掃全球銀行的黑客組織「Carbanak」

下一篇：

再提Mt.Gox，糟糕的「里程碑事件」正提升區塊鏈世界的安全意識

Tags：區塊鏈EOSSINDDOS區塊鏈專業就業前景Neos CreditsFSINUddos幣挖礦

波場