施彦强对话杨霞：智能合约的安全漏洞可能让你的资产瞬间归零

【时点对话】第84期：施彦强对话阳霞

对话时间：6月12日20:00

微信社区：Block-Beijing-668

对话嘉宾：

杨霞

成都连安科技CEO&创始人

电子科技大学副教授

施彦强

区块链创始人

全球高校区块链爱好者联盟主席

开口

施彦强：布洛克人大家晚上好！ 欢迎来到领先的区块链社交媒体【区块财经】，加入3000+社区和1,000,000+区块人参与【时点对话】节目，共同探讨区块链和数字货币。 本期为布洛克财经【时间点对话】第84期。 主题：搭建智能合约安全验证平台； 嘉宾：杨霞。

夏阳，成都联安科技CEO&创始人，电子科技大学副教授，最早从事区块链形式化验证的专家，成功开发出全球首个多链形式化验证平台VaaS。 从事安全关键软件形式化验证技术多年，长期为多家军队单位提供安全关键软件形式化验证服务。 近10项国家级高层次重大软件项目安装开发。 CC国际安全标准委员，CCF区块链专委会委员。 曾担任2家公司的创始人。 发表学术论文30余篇，申请专利20余项。 让我们为今天的人物：杨教授鼓掌。

【时间点对话·第一题】

史延强：杨教授是电子科技大学副教授。 从大学教授一跃成为联安科技的创始人，实属难得。 可以和你分享一下这段经历吗？ 你认为你一路走来最大的收获是什么？ 您进入区块链行业的机会是什么？

杨霞：【布洛克财经】的朋友们，你们好！ 回答布洛克财经的第一个问题【时间点对话】。 各位晚上好。 很荣幸有机会与大家分享。 我一直有一个创业的梦想，也在不断的尝试创业，这已经是第三次了。 从目前的情况来看，高校教师创业并不少见。 我们的技术服务于社会，也是响应国家的号召。 一路走来，我收获了很多。 最大的收获是在科研成果转化的过程中，我成长了，真正用自己的成果服务了社会。 我觉得很开心，也从中得到了自我价值的体现。

我为什么进入这个行业？ 其实从2016年到系统安全漏洞，我就一直在关注区块链安全，并尝试将自己研究的形式化验证方法应用到区块链安全保障中。 实验结果表明我们的方法是非常有效的。 例如，我们在通过形式化验证方法证明捐赠智能合约时发现了“unchecked-send”的错误。 2017年9月，受邀作为演讲嘉宾参加万向举办的第三届全球区块链大会。 在大会上，我讲了《智能合约的形式化验证》，引起轰动和广泛关注。 然后，我觉得这份工作很有趣也很有意义，所以我就坚持了这份工作。 后获得分布式资本天使投资，成立成都联安科技有限公司，专业从事区块链安全技术研发。

【时间点对话·第二题】

石艳强：连安科技是一家专注于区块链安全领域的科技型公司。 您创建连安科技的初衷是什么？ 链安科技的VaaS平台支持EOS和ETH区块链的形式化验证，那么VaaS是如何进行安全验证的呢？ 具体的商业模式是什么？ VaaS现在发展到什么阶段了？

杨霞：回答布洛克财经【时间点对话】的第二个问题。 我创建成都连安科技的初衷是用我的成果为区块链生态提供安全服务。 重点是解决智能合约面临的安全问题。 经过大约一年半的研究，我们已经实现了自动化的智能合约。 VaaS是一个安全验证平台，目前支持EOS和以太坊智能合约的安全审计。 VaaS也是全球首个支持EOS的智能合约验证平台。 我们采用形式化验证方式为智能合约提供“军工级”的安全审计，同时我们还开发了“一键式”自动化智能合约安全审计工具，可以准确定位风险代码位置和风险原因，有效发现常见漏洞在合同中并显着提高合同安全性。 相关研究成果已申请软件发明专利五项。 在合约安全审计方面，我们采用VaaS平台自动化审计工具加人工审核，减少人工参与，让审计更加精准高效。 此外，我们为用户提供定制化的智能合约设计、开发、审计一站式服务，为用户提供更安全的智能合约，让区块链更安全是我们的目标。

【时间点对话·第三题】

施彦强：现在越来越多的极客圈技术团队涌入区块链安全领域，同行竞争加剧，未来整个行业的安全性会越来越高。 链安科技有哪些优势？ 安防领域的市场会受到冲击吗？ 联安科技未来会往什么方向发展？

杨霞：回答布洛克财经的第三个问题【时间点对话】。 我们的优势主要体现在以下三个方面。 首先，我们只关注智能合约的安全性。 第二，我们有技术优势。 我们采用了严格的形式化验证方式，为智能合约提供更完善的安全审计。 三是率先研发自动化智能合约安全验证工具VaaS。 在智能合约的审计过程中，我们将自动化工具VaaS与人工相结合的方式比完全人工的安全审计方式更加准确高效。

对于未来整个行业的安全，越来越多的团队加入这个行业，市场也可能受到影响。 但是我觉得只要有核心竞争力，就不怕竞争。 随着区块链项目的不断落地，相信未来的市场会非常巨大，前景会非常好。 未来，成都连安科技将继续专注于智能合约安全审计和安全智能合约的定制化开发，为用户提供开发验证的一站式服务。 当然，我们不排除未来会开发其他区块链相关的安全服务，希望大家多多支持。

【时间点对话·第四题】

施彦强：目前以太坊智能合约还不完善，存在一些安全漏洞。 你能给我们举一些具体的例子吗？ 对于智能合约的安全漏洞，VaaS平台更倾向于修复还是事前预防？ 到目前为止，您取得了哪些成就？

杨霞：回答布洛克财经的第四个问题【时间点对话】。 关于智能合约中存在的安全问题，尤其是以太坊平台中最为常见的就是塑料溢出漏洞。 这个漏洞看似简单，其实带来的损失却很大，比如BEC合约、SMT、EDU等漏洞都是由它造成的。 还存在可重入攻击、拒绝服务攻击等各种安全漏洞和漏洞。 对于这些漏洞，我们的VaaS平台可以“一键式”自动查出，这是我们的优势。 我们的自动化合同审计方法提高了效率和准确性。 此外，我们的人工审核也保证了审核的质量。 对于安全漏洞，我们认为一定要未雨绸缪，因为智能合约的特性不同于其他程序，一旦部署就无法修改。 因此，我强烈建议每个智能合约在部署前都经过严格的安全审计，以提高安全性，减少被攻击的可能性，从而保护我们的财产。

【时间点对话·第五题】

施彦强：据您了解，项目方和交易所在设计自己的智能合约时，有没有一些安全设计方案？ 有哪些安全设计方案？ 设计方案的具体机制是什么？

杨霞：回答布洛克财经的第五个问题【时间点对话】。 我对这个问题了解不多。 一些项目方和交易所在设计自己的合约时可能也会考虑安全设计方案，比如使用safemath。 同时，交易所对交易平台的智能合约要求非常严格。 例如，各大交易所都要求发币合约在上交易所前必须经过专业的合约安全审计，并提供安全审计报告。 作为多家交易所推荐的安全审计公司之一，我司对大量合约（超过200个合约）进行了安全审计，帮助大家进行技术把关，保护合约安全。

【时间点对话·第六问】

施彦强：一些交易所在对外保证安全的时候，会声称自己的大部分加密货币都存放在不联网的冷钱包里。 从技术角度，您认为冷钱包的优势是什么？ 就像“打败方便面的不是同行以太坊智能合约最广泛的应用，而是外卖”，冷钱包的发展完善会不会与VaaS平台形成某种竞争？

杨霞：回答布洛克财经的第六题【时间点对话】。 从技术上讲，冷钱包是一种存储钱包密钥的非联网设备，比热钱包更安全。 用户在使用冷钱包时，外界一般无法通过网络访问密钥的存放位置。 从而尽可能避免黑客攻击或木马病毒引起的意外。 冷钱包的发展不会和VaaS平台竞争，因为我们的侧重点不一样，我们的侧重点是智能合约的安全。

【时间点对话·第七题】

施彦强：截至上周末，加密货币市场总市值缩水420亿美元，比特币18年跌幅超过50%。 一些人认为这是由于韩国交易所 Coinrail 遭到黑客攻击，而另一些人则认为这是由于对中国交易平台禁令的持续担忧。 您认为未来加密货币市场应该做出哪些改进？ 加密货币的价值在哪里？

杨霞：回答布洛克财经第七题【时间点对话】。 这个问题有点大，只能说说个人的一些看法。 比如国家为什么要对未来的加密货币市场出台相应的禁令？ 在我个人看来，主要原因是加密货币市场对币的关注多于区块链技术本身。 未来，加密货币市场的重心应该有所调整，从货币兑换的热情转向区块链技术的实际应用。 区块链的发展就是要在大量的行业中使用这种技术。 ，因为区块链是一个很好的技术，它带给我们的不仅仅是货币的价值，还有这个行业的应用。

对于数字货币来说，最大的优势就是支付结算方便，价格低廉。 因为它交易成本低，流通速度快、容易，支付过程不依赖第三方机构，我觉得这是它最大的价值。

【时间点对话·传承问题】

石彦强：作为区块链深耕的早期参与者，杨教授应该接触过很多圈内人士。 有没有哪位从业者是您钦佩和佩服的，为什么？ 【布洛克财经】目前覆盖11个国家200个城市3000个社区节点100万用户，希望通过【时间对话】邀请更多大咖在社区分享区块链和数字货币，促进整个行业的进一步发展，如果杨教授介绍两位嘉宾，你会推荐谁作为嘉宾【布洛克财经】来分享？

杨霞：回答布洛克财经【时间点对话】的传承问题。 在区块链行业以太坊智能合约最广泛的应用，我也混了一段时间，认识了很多朋友。 我最佩服的从业者，都是脚踏实地把区块链技术应用到实际项目中的朋友。 如果让我推荐两位嘉宾，我觉得是区块链的先行者，比如万象集团的肖峰，Blockchain Pencil的创始人龚明，分布式资本的沉波，还有其他行业的朋友，比如曲Chain等，他们都是区块链技术落地的代表。

【时间点对话•问题1】

施彦强：区块链行业的爆发，吸引了很多人的关注和参与。 有人对区块链技术趋之若鹜，有人目睹了虚拟货币的疯狂崛起。 那么，杨教授，您怎么看？ 一个现象？ 您认为大众应该如何看待区块链行业？

杨霞：回答布洛克财经【时间点对话】的问题1。 我进入区块链行业是看好这个技术，而不是看好虚拟货币。 就我而言，我没有参与任何虚拟货币投资。 或许在这个圈子里，我属于另类。 人们问我为什么不买硬币？ 我说我对币没有兴趣，我的兴趣在于区块链技术本身。 我现在最大的兴趣是如何用我的技术让区块链更安全，让区块链更安全是我的目标。 对于普通大众，我建议多关注一些区块链的行业应用。 包括我看到国外很多人都在关注区块链的应用落地，如何让区块链技术更好的为我们服务。 希望广大民众尽可能关注区块链行业本身，而不是虚拟货币，不希望更多的人成为被割掉的“韭菜”。 我们都是普通人，赚钱不容易。 像韭菜一样割掉的是你的血汗钱。

【时间点对话·问题2】

施彦强：区块链行业每天都有很多项目，但是水平参差不齐，能落地应用的不多。 您认为实施区块链项目应该具备哪些条件？

杨霞：回答布洛克财经【时间点对话】的问题2。 一个区块链项目落地，首先要看是否有真正的应用需求。 不要为了区块链应用而开发区块链应用。 我不认为那很有趣。 你的项目本身和区块链有一定的联系，你也可以利用区块链技术让你的应用更好、更方便、更安全。 这样的应用是可能的。 一方面是应用需求，另一方面是技术条件。 目前区块链行业人才比较匮乏，在技术条件方面也存在人才缺口。 不过随着关注技术的人越来越多，我觉得这个问题应该很快就能解决了。 所以我认为区块链应用会很快出现在我们国家的各行各业。

（感谢杨霞的分享，感谢每一位布鲁克人的支持）

——布洛克科技介绍——

【区块科技】是领先的区块链社交媒体，集新闻、新闻、行情、社区、项目于一体的综合服务平台。 全球首创“社交媒体”概念，7*24小时项目跟踪报道，秉承“客观、真实、深入”的理念，服务于全球区块链领域的创业者和投资人。

——布洛克科技·时间点对话·预告——

分享将在【布洛克财经】全国社区同步播出

进入社区参与

如果您还没有进入社区，请识别下方二维码