我是顾荣辉,哥伦比亚大学计算机科学系助理教授,CertiK联合创始人。很多朋友曾问我这些问题——或许在座的很多人也经常被问起:
然而,由于一些程序漏洞,搭建这些区块链生态的代码是脆弱且难以被完全信赖的。
一旦漏洞被黑客所利用,所造成的不仅是数字资产的损失,更是信任的崩塌。对一个健康的去中心化社区的发展十分不利。
在过去的几年间,我们见到了很多黑客利用这些系统漏洞,价值十几亿以上美金的数字货币被盗。
那么,我们该怎样避免这些程序漏洞?有没有任何解决方案?比如说,是否可以寄希望于程序测试、白帽黑客?
Edsger Dijskstra曾说过:测试可以被用来证明漏洞的存在,但并不能证明程序不存在漏洞。
白帽黑客和程序测试方法确实非常有用,并且被行业所需要。然而遗憾的是,他们由于自身的局限性,无法满足区块链所有的安全需求。
根据 NSF 2016的报告显示,为了达到程序系统的绝对安全,形式化验证是唯一值得信赖的方法。
你们心里或许会有这个疑问:形式化验证的概念已经被提出了数十年之久。既然这么厉害,为什么这个方法还没有被广泛应用?为什么如今的代码中还是有这么多的程序漏洞?
2015年,耶鲁大学计算机科学系主任邵中教授和我提出了“深度规范”的概念,我们发现,形式化验证真正的瓶颈并不在“如何去证明”,而是在“如何更好地表达程序设计的意图(或规范)”。
“深度规范”最强大的地方是可以证明“复杂系统的正确性” ,这类系统在之前被认为是很难证明的。
利用这套技术,我们可以把一个复杂系统(并发的或者分布式的)进行分层、整合,实现完备的智能合约验证。
目前,“深度规范”的概念已经被广泛学习和讨论。除了耶鲁大学和哥伦比亚大学clash的背景音乐,还包括来自普林斯顿大学,宾夕法尼亚大学,麻省理工大学等高校的学者clash的背景音乐。已经举办了三次深度规范学术研讨会和两次暑期学校。
在2016年,我们利用“深度规范”实现了CertiKOS——世界第一个被完全验证了的并发式操作系统内核。这个系统已经被部署到了未来机器人Landshark等对安全要求非常高的领域,当时验收方请来了由谷歌工程师组成的黑客团队进行评测,其报告评价CertiKOS是“无懈可击”的clash的背景音乐。
在2017年,我们开始将这个技术运用到区块链领域中。软件安全公司CertiK应运而生。
上图是运用“深度规范”保护智能合约的例子:对于非常复杂的智能合约,(比如像我们的稳定币客户TrueUSD的合约)我们首先用标签的形式写下合约的规范,(部分规范也可以被自动生成)。之后,我们将将复杂的智能合约拆分为较小的可验证的模块,在不同的抽象层进行证明。最后,我们将经过证明的模块合并到一起,生成整个合约正确性的证书。
上图是CertiK如何检测到美链(BEC)的智能合约漏洞的例子。我们先用标签的方式把规范添加到智能合约中。一旦某个模块的验证失败,该模块的程序漏洞——也就是V神所说过的“程序实现与程序员意图之间的区别”——就能被检测出来。
同时,我们的技术也可以找到触发程序漏洞的方法,当所有程序漏洞被修复并通过验证后,CertiK即可生成智能合约“不存在漏洞”的证明。
我之前提到过,有些规范(或标签)是可以被自动生成的。这项技术叫做“智能标签”,由CertiK团队独立研发而成。
基于“智能标签”技术,CertiK在几个月之前发布了安全漏洞扫描引擎CASE。
CASE可以扫描已部署在区块链系统中的智能合约。通过智能标签技术生成合约规范,并对合约进行安全验证。
在最近一次耗时数小时的扫描中,我们发现,币值前500的智能合约中有超过50个智能合约存在安全漏洞,包括3种高危漏洞,2种中危漏洞,和11种低危漏洞,涉及到的总币值高达四千万美金。
从2018年五月开始,我们开始了和NEO的合作,共同为NEO的生态系统建立形式化验证平台,这个项目目前已经如期启动,并且预计会在今年陆续发布相关产品资料。
我们在大约一年前上线了代码安全验证服务。迄今,我们完成了超过160份代码安全审计,累计大约九万行代码。守护了价值超过12亿美金的数字资产。
一年来,我们的服务已经被区块链领域的主流机构所承认和采纳——CertiK是唯一同时被币安、火币、OKEx等全球主流交易所所认证的安全服务商,也是全球顶级公链平台如NEO、Wavesclash鞋、本体、ICON、Qtum、Quarkchain的安全合作伙伴。
同时,我们也为诸多业内知名项目如TrueUSD,Celer,IoTex等提供了安全审计、定制化安全防御、渗透测试等一站式安全解决方案。
现在让我们把目光放到一个新的研究项目上——DeepSEA Blockchain。
我们已经讨论了如何检测已部署合约的程序漏洞,而更加重要的问题是:我们是否可以从最开始直接开发出没有程序漏洞的,可完全被信赖的智能合约?
我们计划引入DeepSEA函数式编程语言,并为包括IBM超级账本、EVM等平台提供无漏洞的DeepSEA编译器。
同时,我们可以从DeepSEA源代码中将程序规范导入Coq证明辅助器,然后在Coq中对程序进行手动或者半自动证明。
DeepSEA Blockchain项目致力于构建跨平台的clasclash的背景音乐h鞋,可信赖的智能合约框架,由CertiK,哥伦比亚大学和耶鲁大学共同合作推进。我们已经获得了来自IBM、以太坊基金会和Qtum基金会的科研奖金,也诚挚地希望可以得到更多社区的支持,帮助我们将该框架理念发展到下一个阶段。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。举报投诉
技术不停记录所有关于人工智能(AI)或机器学习(ML)模型的决定,是朝着透明迈出的重要一步,透明是
。这些原则是围绕企业人工智能和模型开发标准构建的AI治理模型的核心,并由
工业自动化将是 2019 年物联网 (IoT) 支出最大的领域之一。那么,
,以及确保其工业物联网 (IIoT) 的最佳方式是什么? ) 系统是安全的:软件还是硬件?
技术正是起源于这样的网络社区组织。2008年11月1日,一个自称中本聪(Satoshi Nakamoto)的人在一个隐秘的密码学讨论组上贴出
彻底改变业务乃至组织运作方式的重大突破性技术,越来越受到政府和组织的重视,政府机构开始探索
关键技术进步、商业化落地应用和实体经济技术转型升级。通过技术与制度的高效融合,
。 例如,委托工作量证明(例如,比特币和以太坊)是一种投票系统,通过该系统,矿池可以确定哪些有效交易的子集可以包含在
机制,正在改变诸多行业的应用场景和运行规则,是未来发展数字经济、构建新型
机制 保证所有权、 交易等记录的 可信性、 可靠性及透明性 而物联网能够给
底层基础设施上,那是普通用户无需具体了解或考虑的底层架构,且可以正常工作。”
Chain Clash是一款全新的、免费的、移动优先的收藏和战斗游戏,由
提供支持。收集和训练各种化身战士,并与志同道合的人联手组成加密部落。与你的对手进行激烈的竞争,胜利并无可争辩地证明你的战队的力量!
技术应用于房地产行业并驱动整个行业发展。 据悉,REX的全球房源介绍分布式数据库RexIndexer于2016年设计并
,可以为任何人提供免费查阅服务,同时为注册用户提供准确,完整和可验证的房产数据。
不久的将来,越南、韩国和日本将会推出更多的产品。 这个名为Tada的应用是
优质内容聚合、开放自治社区、社群专属通证兑换、行业资源对接交换、项目孵化、投资辅助工具以及DAPP开发平台等综合服务。利用
面临的种种最大挑战提供了一套巧妙的单一解决方案。Devvio的技术为企业使用
Stuart Haber 和 W. Scott Stornetta 是第一批加密货币学家, 他们首次揭示了分布式分类账的概念。 然而,
2009年,Satoshi Nakamoto,一位不知名的程序员或程序员团队,通过
的平台。BeeChat以“即时通讯+钱包”为模式,以即时通讯软件为平台,搭建广告、手机游戏、电子商务、周边服务等多重服务,逐步构建完善的新兴市场网上
本文要介绍的Social Ecommerce Chain(以下简称SEC),是用于社交电商、P2P 电商、网红电商、内容电商等电商行业的
是分布式数据存储、点对点传输、共识机制clash的背景音乐,、加密算法等计算机技术的新型应用模式。所谓共识机制是
