根据《2018年区块链行业应用研究报告》显示,IDC、Tractica、美国银行等机构都看好区块链产业的未来潜力,预计其市场规模到2020年将达到几十亿甚至几百亿美元。
尽管区块链的市场规模不断扩大,但在安全方面还处于起步阶段,通过分析以往发生在区块链行业的安全事件得知,区块链安全威胁越来越严重。从2011年到2018年,安全事件(智能合约为主要安全隐患)已经导致区块链领域损失超过30亿美元,按照历史的攻击趋势,以后此类攻击事件会越来越严重。
数据来源:BCSEC,截止2018年12月
一、MeshSec正式上线
面对如此具有挑战性的安全风险,如何保障智能合约的安全性成为了一个热议的话题。在此背景下,杭州趣链科技有限公司(以下简称“趣链科技”)自主研发的区块链安全服务平台——MeshSec正式上线(网址:http://sec.hyperchain.cn,点击文末阅读原文也可立即体验)。
作为面向广大区块链开发者一站式的安全服务平台,MeshSec通过静态分析、形式化验证等手段进行合约安全漏洞的检测,分析当前合约的潜在威胁并提出合理的解决方案。MeshSec具有多种合约检测、全方位安全服务、公测版本免费面向区块链开发者等特点。
其核心优势涵盖了业务层到基础网络层:1.业务层安全审计与防御方案;2.合约层开发审计一条龙;3.基础网络层链安全审计。
二、智能合约解决方案
目前,MeshSec向开发者提供的智能合约安全服务主要包括静态分析、形式验证以及专家安全审计服务等。
1.静态分析
基于丰富的漏洞库,对智能合约等区块链业务代码进行漏洞扫描,杜绝已知错误。
智能合约部署之后的更新和升级非常困难,所以在智能合约部署之前对其进行静态分析,检测并发现智能合约中的漏洞,可以最大限度的保证智能合约部署之后的安全。MeshSec静态分析使用全自动化漏洞扫描技术,对智能合约进行全面检测:
2.形式验证
形式规范用相对精确的数学的形式化语言来描述程序的功能,以此作为形式验证的根据,而形式验证用于验证程序是否满足形式规范所述的要求。SML形式规范和形式验证工具是本产品独创核心技术,具有专利保护。
在形式验证界面,点击形式验证按钮,可以进行自动验证;开发者编写智能合约和SML形式规范;形式验证以智能编辑界面的形式展示,如下:
形式验证的主要有遵从“行为接口规范”的形式规范语言、支持大部分智能合约语法以及秒级验证速度(平均0.6秒每千字符)等特性。
3.专家安全审计服务
MeshSec采用静态分析、形式化验证、人工检测、模拟攻击等全方位的专家安全审计策略,可有效防止代码逻辑漏洞和安全漏洞,确保智能合约程序的安全性。
4.其他功能
除了静态分析和形式验证之外,MeshSec还具有编译、格式化、设置、项目管理等功能。
相比于其他安全服务平台,MeshSec的技术及经验成果更加显著。MeshSec目前已经获得“一种基于配置信息自动生成区块链智能合约的方法”、“一种形式验证Solidity智能合约方法“等专利软著。
此外,MeshSec研发团队还主导了深圳证券交易所区块链安全研究课题“使用形式验证和静态分析技术并采购、部署”。该课题旨在解决区块链技术在证券期货行业应用中所面临的数据安全、隐私保护和智能合约等方面的技术难点,并将结合证券期货行业业务特点,在证券发行、证券交易和资金结算等方面,对区块链底层实现提出适应性的优化和改造需求,以打造适用于行业的区块链应用平台,减少行业重复投入,推动区块链技术在证券行业中的应用落地。
针对区块链安全,MeshSec研发团队参与了中国信通院《区块链安全白皮书(1.0版)》的编写,对区块链安全提供了一些对策和建议,期望在安全领域为区块链技术和产业应用的健康持续发展尽一份力。
三、全方位保障智能合约安全
项目负责人张丁文表示:未来,MeshSec研发团队将会持续增强智能合约开发环境、提供专业的安全分析报告、颁发安全检测证书等;持续进行技术创新,提高合约安全性、降低合约检测成本、打造一套完整的综合防护体系,全方位保障智能合约安全。