知道創(chuàng)宇智能合約審計(jì)助力打造更好更安全的區(qū)塊鏈生態(tài)

近期，自主發(fā)幣廠商層出不窮，同時(shí)因安全問題造成巨大損失的案例也不在少數(shù)。規(guī)劃安全工作，凈化區(qū)塊鏈?zhǔn)袌?chǎng)迫在眉睫。作為一家致力于互聯(lián)網(wǎng)安全的企業(yè)，知道創(chuàng)宇一直在為區(qū)塊鏈安全貢獻(xiàn)一己之力。 

日前，知道創(chuàng)宇承辦了中國區(qū)塊鏈安全高峰論壇，與政府單位、安全企業(yè)、區(qū)塊鏈相關(guān)機(jī)構(gòu)及媒體共商區(qū)塊鏈行業(yè)的安全健康發(fā)展之道。今年以來，知道創(chuàng)宇也與多家數(shù)字貨幣交易平臺(tái)達(dá)成戰(zhàn)略合作協(xié)議，把控智能合約安全，為區(qū)塊鏈生態(tài)安全助力。 

今天，小編特意采訪到了知道創(chuàng)宇安全服務(wù)部高級(jí)安全顧問沈瑞，沈瑞表示智能合約審計(jì)安全不容小覷，知道創(chuàng)宇也會(huì)以專業(yè)的能力為各發(fā)幣商提供合約審計(jì)服務(wù)。以下為部分對(duì)話實(shí)錄：

小編：最近區(qū)塊鏈很火，你怎么看待這個(gè)行業(yè)？ 

沈瑞：區(qū)塊鏈可能是除了人工智能和物聯(lián)網(wǎng)之外“最落地”的一個(gè)新興技術(shù)，它具有去中心化的優(yōu)勢(shì)以及安全問題層出不窮的明顯短板。說實(shí)話，區(qū)塊鏈行業(yè)門檻比較低，項(xiàng)目方技術(shù)水平層次不齊，并且普遍缺乏相應(yīng)的安全防護(hù)手段。有些大型的區(qū)塊鏈公司，可能對(duì)安全也不是很了解。從以往的經(jīng)驗(yàn)看，這個(gè)行業(yè)不出事則已，一旦爆發(fā)安全問題，損失將是非常慘重的。 

最近知道創(chuàng)宇也聯(lián)合中國技術(shù)市場(chǎng)協(xié)會(huì)舉辦了中國區(qū)塊鏈安全高峰論壇，就是為了讓大了解并重視區(qū)塊鏈所面臨的安全風(fēng)險(xiǎn)，共同探討適合行業(yè)安全健康發(fā)展的途徑。知道創(chuàng)宇希望能夠和行業(yè)中的勇于創(chuàng)新、探索的先行者們，一起攜手創(chuàng)造更安全的區(qū)塊鏈行業(yè)生態(tài)。 

現(xiàn)在很多大型交易所也開始聯(lián)合安全公司，對(duì)在其平臺(tái)發(fā)幣的項(xiàng)目進(jìn)行安全審核把控，這在很大程度上凈化了區(qū)塊鏈?zhǔn)袌?chǎng)。知道創(chuàng)宇在今年就與多家交易平臺(tái)達(dá)成了戰(zhàn)略合作，確保上線其平臺(tái)的智能合約項(xiàng)目的安全。在一定程度上，安全審核工作削弱了乘虛而入的發(fā)幣方，維護(hù)了平臺(tái)及投資人的安全。 

小編：那什么是智能合約呢？ 

沈瑞：通俗的講，智能合約就是一段100-500行的代碼，被部署在分享的、復(fù)制的賬本上，它可以維持自己的狀態(tài)，控制自己的資產(chǎn)，對(duì)接收到的外界信息或者資產(chǎn)進(jìn)行回應(yīng)。在智能合約里，開發(fā)者可以基于以太坊的技術(shù)，實(shí)現(xiàn)發(fā)幣、限定發(fā)幣總額、鎖倉等各種業(yè)務(wù)功能。在基于以太坊的代幣以及基于ERC20協(xié)議開發(fā)的應(yīng)用中，最主要的就是智能合約的開發(fā)。 

小編：智能合約對(duì)于區(qū)塊鏈的意義是什么？ 

沈瑞：區(qū)塊鏈行業(yè)現(xiàn)在非?；鸨瞧陂g爆出的安全事故也是有增無減的，主要就集中在安全平臺(tái)、智能合約等方面。大家都知道區(qū)塊鏈技術(shù)其實(shí)就是一種使得交易記錄完全公開化、同時(shí)無法被修改的一種技術(shù)手段，那智能合約就相當(dāng)于一個(gè)無法改變的、公平的中間人，它定義了整個(gè)交易過程中的所有邏輯規(guī)則，是非常核心的一個(gè)環(huán)節(jié)。 

也正因?yàn)橹悄芎霞s的代碼在發(fā)布后是無法修改的，所以在發(fā)布前確保它的安全性是非常必要的，知道創(chuàng)宇也是在區(qū)塊鏈發(fā)展的關(guān)鍵節(jié)點(diǎn)上，加入了維護(hù)區(qū)塊鏈安全的行列。確保智能合約的安全其實(shí)也就是保障投資人的利益以及維護(hù)交易平臺(tái)的聲譽(yù)。 

小編：智能合約到底會(huì)面臨什么安全風(fēng)險(xiǎn)？ 

沈瑞：目前智能合約面臨的主要風(fēng)險(xiǎn)有幾大類，比如隱私泄漏、交易的溢出與異常、拒絕服務(wù)攻擊，遭受該類型攻擊的智能合約可能永遠(yuǎn)無法恢復(fù)正常工作狀態(tài)，危害是很致命的；還有此前知名的Parity Wallet智能合約存在的訪問控制缺陷等等。并且在以太坊中，有89%的智能合約代碼都或多或少都存在安全漏洞或隱患，這是一個(gè)非常驚人的調(diào)查結(jié)果，對(duì)社區(qū)而言也是一個(gè)巨大的風(fēng)險(xiǎn)因素。 

典型的智能合約安全問題導(dǎo)致代幣發(fā)行失敗事件已經(jīng)很多了，比如Bitfinex發(fā)現(xiàn)的安全漏洞導(dǎo)致了每位用戶的賬戶平均損失36%；以及黑客利用智能合約存在的漏洞攻擊The Dao，造成價(jià)值逾5000萬美元的損失；ETH市場(chǎng)價(jià)格從記錄高位21.50美元跌至15.28美元。 

現(xiàn)在的黑客攻擊還有很多復(fù)雜型的、配合金融手段來進(jìn)行的，這些攻擊會(huì)造成發(fā)幣企業(yè)更嚴(yán)重的損失，所以智能合約的安全性非常重要。而隨著智能合約的增多以及未來大規(guī)模的發(fā)展，相信對(duì)合約代碼的審計(jì)也將會(huì)變成一個(gè)專門的領(lǐng)域，并且是不能夠、也不應(yīng)該被忽視的。 

小編：針對(duì)智能合約，知道創(chuàng)宇能夠提供什么安全服務(wù)呢？ 

沈瑞：知道創(chuàng)宇是一家已經(jīng)成立11年的安全公司，對(duì)區(qū)塊鏈行業(yè)涉足頗深。同時(shí)也與行業(yè)龍頭企業(yè)有非常深入的安全合作。針對(duì)目前主流的以太坊應(yīng)用，知道創(chuàng)宇可以提供專業(yè)、權(quán)威的智能合約審計(jì)服務(wù)。 

作為第一批與頭部交易所達(dá)成戰(zhàn)略合作的安全廠商，知道創(chuàng)宇有規(guī)范的文檔，豐富行業(yè)經(jīng)驗(yàn)的工程師儲(chǔ)備，同時(shí)也成功交付了很多智能合約審計(jì)項(xiàng)目。從合約的函數(shù)可見性審核、合約限制繞過審核、調(diào)用棧耗盡審核到拒絕服務(wù)審核等等，智能合約所有可能面臨的安全風(fēng)險(xiǎn)，都已實(shí)現(xiàn)全覆蓋。知道創(chuàng)宇智能合約審計(jì)服務(wù)可以幫助發(fā)幣廠商規(guī)避因合約安全問題導(dǎo)致的財(cái)產(chǎn)損失，為各類以太坊應(yīng)用保駕護(hù)航。 

小編：對(duì)于智能合約審計(jì)這一塊，知道創(chuàng)宇的優(yōu)勢(shì)是什么？ 

沈瑞：近幾年，知道創(chuàng)宇與多家區(qū)塊鏈行業(yè)企業(yè)展開深入合作，在交易所、智能合約、礦池、礦機(jī)、錢包等多個(gè)行業(yè)領(lǐng)域?yàn)樾袠I(yè)內(nèi)用戶提供整體解決方案，得到了客戶的廣泛認(rèn)可。而在此過程中，也成長出了一支對(duì)區(qū)塊鏈安全有深入認(rèn)知的安全團(tuán)隊(duì)。在今年4月份，正是這支團(tuán)隊(duì)，開始為區(qū)塊鏈行業(yè)客戶提供智能合約審計(jì)服務(wù)，前期團(tuán)隊(duì)預(yù)研過百余種智能合約應(yīng)用，熟悉各種智能合約的代碼編寫規(guī)律，能夠精準(zhǔn)發(fā)現(xiàn)代碼級(jí)別漏洞。同時(shí)知道創(chuàng)宇與幾家大型交易所達(dá)成了戰(zhàn)略合作協(xié)議，共同確保區(qū)塊鏈行業(yè)客戶的安全。