區塊鏈，拒絕「蒙眼狂奔」的爆發

最新 06-06

引言：上周最重要的一件事便是EOS結束一年的ICO主網上線，然而就在主網上線前360公司宣布發現EOS史詩級漏洞，稱通過在EOS節點上遠程之星任意代碼，即可實施遠程攻擊，可直接控制和接管EOS上運行的所有節點。一時之間，市場大跌，之後360又開始公布與幣安、歐鏈合作事宜，且不說360的炒作做空之嫌，加密貨幣市場的安全一直飽受詬病。

無論各大交易所的盜幣、攻擊還是之前的BEC的ERC20智能合約的安全漏洞被攻擊市值歸零事件，安全一直是加密貨幣市場一個永恆的話題，而從事區塊鏈安全方面的公司也成為區塊鏈發展的守護者，今天我們也稍微梳理一下目前區塊鏈市場及安全類項目公司現狀。

—

區塊鏈安全市場概況

來自中國白帽匯的一份《區塊鏈產業安全分析報告》顯示，2011年到2018年4月份，全球範圍內因區塊鏈因安全事件造成的損失多達28.64億美元。值得注意的是，損失額度從2017年開始呈現出指數上升的趨勢，僅2018年以來，損失金額就高達19億美元。

過往重大安全事件一覽表

2018年5月，EDU、BAIC等合約出現重大漏洞被暫停交易

2018年4月，BEC、SMT等合約出現重大漏洞被暫停交易

2018年4月，以太坊錢包Myetherwallet遭DNS劫持

2018年2月，義大利加密貨幣交易所BitGrail宣布其價值1.7億美元的Nano幣被盜。

2018年1月，日本最大的比特幣交易所之一Coincheck遭黑客攻擊，5.3億美金被盜。

2017年12月，斯洛維尼亞加密挖礦網站Nicehash被盜約4700個比特幣，價值約6200萬美元。

2017年6月，韓國最大交易所Bithumb被盜數十億韓元，三萬用戶信息被泄露。

2016年8月，Bitfinex遭黑客攻擊，約12萬BTC被盜，損失達7500萬美元。

2016年1月，交易所Cryptsy被攻擊，1.3萬BTC以及30萬LTC被盜，損失達600萬美元，隨後該交易所關閉。

2015年2月，國內山寨幣交易平台比特兒宣布被盜7170個BTC。

2015年1月，全球知名的數字貨幣交易所Bitstamp被盜1.9萬枚比特幣。

2014年3月，美國數字貨幣交易所Poloniex被盜，損失12.3%的比特幣。

2014年2月，曾經世界第一的日本交易所Mt.Gox比特幣被盜，導致其最終被迫宣布破產。

安全問題按照對象來分可分為：

中心化對象：交易平台、礦場、在線錢包等。

去中心化對象：智能合約、共識機制、DApps等。

在安全問題中我們特別關注公鏈的安全、智能合約的安全這個層面。因為太多「一行代碼，打倒一種代幣」、「一個漏洞，摧毀一類智能合約」的事安全件。智能合約代碼漏洞層出不窮，這也是因為智能合約的一些特殊性：

不可逆性：智能合約一旦部署在區塊鏈上，源代碼是無法被修改的

代碼開源：公鏈及大多數區塊鏈項目的代碼都是開源的。開源只會讓黑客的攻擊易如反掌，但開源也是區塊鏈的精神。

成本高：如果將智能合約部署在區塊鏈上需要進行不斷的安全測試，資產的不斷轉換會是一筆很大的開銷。

思維設限：通常開發者會預想智能合約在哪些情況下會遭攻擊，再針對這些情景進行測試，但黑客往往在程序員預想之外的路徑進行下手。

所以對我們從事區塊鏈投資來說，很有必要對智能合約及公鏈共識機制層面代碼進行安全審計，這是我們進行數字資產投資的第一道安全保障。

—

區塊鏈安全審計公司

目前，在區塊鏈審計行業，我們注意到有幾家做得比較出色。

分別是：Zeppelin、Bokconsulting、Quantstamp、Certik。

Zeppelin（ZEP）

Zeppelin是一家區塊鏈審計市場低調的老牌技術公司。

Zeppelin是一個開源的、可重複使用和安全的基於Solidity語言智能合約框架，通過應用標準的、經過測試的、社區審核的代碼。

曾審計過一些耳熟能詳的明星項目：Golem、Storj、Blockchain capital、Brave、Augur、Cosmos、Omisego、Dfinity、Status、Simple等。

具體應用：

關鍵數據：

官網介紹有通證ZEP，但目前沒有看到具體的數據。

創始人：Demian Brener和Manuel Aráoz

更多信息：https://openzeppelin.org/

https://zeppelinos.org/

Bok Consulting

Bok Consulting Pty Ltd 是一家澳大利亞的低調的技術審計公司，成立於1998年。

Bok Consulting審計過: Bluzelle、Aion、Simple、Bluzelle、Oracle chain、Sentiment、Status、Oax、Aigang、Cindicator、OneLedger 、Sirin Labs等。

創始人Bok Khoo，活躍的區塊鏈技術大咖，Gitbub上

這家低調的安全公司也不可避免地吸引了眾多黑客前來切磋，創始人也在官網留言給這些好事者：

To whoever is trying to repeatedly login into this site with my account, please be aware that my password length is 43 characters long and contains 7 Unicode characters outside the standard ASCII range including ?, ? and ?. If you are trying to hack into this site, there is nothing of interest for you here. Go find somewhere else to play!

更多信息：https://www.bokconsulting.com.au

Quantstamp（QSP）

相比前面兩位低調的老牌安全審計公司，QSP因為ICO發行而名聲大噪，也被YC相中。

Quantstamp審計過：SALT、Request、QASH、Ink等，特別是ICO後大力發展業務，已完成100多項代碼審計合同。

QSP是一個針對智能合約安全性審查的系統協議。他們利用科技擴充了以太坊來確保所有智能合約的安全性。它是一個專門的網路，它將開發人員、投資者和用戶聯繫在一個透明的、可伸縮的審核過程中。通過對智能合同漏洞進行自動檢查，並自動獎勵識別bug的驗證者，該網路充當了透明的關鍵部分。

QSP允許向驗證者節點交付計算費用，並為查找定位漏洞提供了獎勵。QSP的宗旨，不單是提供代碼審計服務，而是建立一個平台，利用群體的力量去挖掘智能合約的安全漏洞，「簡單來說類似於智能合界的360」。通過自動化的智能合約安全審計程序及眾包安全專家，QSP能夠提高智能合約安全審查效率。隨著網路的發展，某種形式的智能合約驗證將是必要的。

Quantstamp協議依靠分散式的參與者網路來減輕劣跡者的影響，從而創造足夠的算力來管理網路。每位參與者將使用quantstamp協議令牌（QSP）來進行支付、接收或改進服務。

關鍵數據：

2017年11月22日發行，發行量10億，流通量7億，流通市值1億美金，市值排名第126位（2018.06.05）

創始團隊：CEO Richard Ma；CTO Steven Stewart

更多信息：https://quantstamp.com/

Certik

Certik 是一家用形式化驗證為智能合約和區塊鏈應用提供安全性服務的公司。Certik提出的形式化驗證（Formal Verification）就是：用邏輯語言來描述規範，通過嚴謹的數學推演來檢查給定的系統是否滿足要求。即，智能合約轉化為數學模型。