文｜Ray

(資料圖片僅供參考)

編輯｜真梓

36氪獲悉，聚焦區(qū)塊鏈架構(gòu)安全的「BlockSec」近日已完成天使+輪融資。本輪融資由綠洲資本和經(jīng)緯創(chuàng)投共同領(lǐng)投，Mirana Ventures （Bybit投資合伙人）、CoinSummer和YM Capital跟投，融資金額將近5000萬(wàn)人民幣。

從行業(yè)來(lái)看，同傳統(tǒng)銀行業(yè)一樣，區(qū)塊鏈?zhǔn)澜绲幕締挝灰彩且粋€(gè)個(gè)有著不同余額的賬戶(hù)，用戶(hù)可以在不同賬戶(hù)間手動(dòng)進(jìn)行轉(zhuǎn)賬交易。而隨著ETH等新型區(qū)塊鏈技術(shù)的普及，智能合約這種通過(guò)執(zhí)行開(kāi)源代碼自動(dòng)化進(jìn)行轉(zhuǎn)賬交易的技術(shù)，也受到開(kāi)發(fā)者和用戶(hù)的廣泛關(guān)注。智能合約具備去中心化的特性，因而會(huì)更受一些用戶(hù)信賴(lài)，比如對(duì)于三個(gè)人共享的某個(gè)公用賬戶(hù)，智能合約可以規(guī)定至少要三個(gè)人中的兩個(gè)人簽名同意，才能將公用賬戶(hù)中的錢(qián)轉(zhuǎn)出，而確認(rèn)簽名的這一步，是通過(guò)運(yùn)行代碼自動(dòng)執(zhí)行的，不需要依賴(lài)諸如銀行的第三方進(jìn)行。

但另一方面，智能合約本身的安全性需要開(kāi)發(fā)者們高度重視。因?yàn)橹悄芎霞s的開(kāi)源特性，黑客同樣可以看到智能合約的代碼，如果代碼中有漏洞，黑客將進(jìn)行攻擊從而獲利。因此，圍繞這一方向的區(qū)塊鏈安全公司也應(yīng)運(yùn)而生。36氪近日接觸到的BlockSec，正是一家區(qū)塊鏈安全公司，當(dāng)前業(yè)務(wù)主要圍繞智能合約安全展開(kāi)。

談及智能合約安全，BlockSec聯(lián)合創(chuàng)始人周亞金表示，以智能合約的上鏈部署時(shí)間為劃分點(diǎn)，部署前BlockSec提供智能合約的代碼審計(jì)服務(wù)，而部署之后，則會(huì)進(jìn)行區(qū)塊鏈數(shù)據(jù)的實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)攻擊行為，則會(huì)進(jìn)行相應(yīng)的攻擊阻斷與追損。

對(duì)于智能合約的代碼審計(jì)，周亞金介紹當(dāng)前業(yè)界也有不同達(dá)成目標(biāo)的方式。其中的一種手段是形式化驗(yàn)證（formal verification），這種方式會(huì)事先定義好安全規(guī)則，之后證明客戶(hù)的代碼符合這些規(guī)則，從而避免違反這些規(guī)則的安全漏洞。但另一方面，BlockSec發(fā)現(xiàn)，很多安全漏洞是與智能合約的具體業(yè)務(wù)場(chǎng)景有關(guān)，僅保證代碼的正確性并不能保證整個(gè)智能合約的安全性。所以在具體操作中，BlockSec會(huì)通過(guò)"攻"的思路進(jìn)行代碼審計(jì)，具體技術(shù)包括Fuzzing（模糊測(cè)試）等。在落地中，由于DeFi和傳統(tǒng)安全的差異，BlockSec會(huì)在自動(dòng)化理解DeFi語(yǔ)義等方面提供獨(dú)特技術(shù)，保證Fuzzing的精準(zhǔn)性。

在代碼審計(jì)之后，通?？蛻?hù)會(huì)根據(jù)BlockSec公司的建議，進(jìn)行多輪的代碼修改與再審計(jì)，在達(dá)到安全標(biāo)準(zhǔn)后，智能合約會(huì)被部署到區(qū)塊鏈中。此時(shí)，智能合約的代碼將對(duì)所有人可見(jiàn)并被用戶(hù)執(zhí)行。與此同時(shí)，BlockSec將會(huì)監(jiān)控那些待定交易（pending transaction），如果發(fā)現(xiàn)有疑似黑客攻擊的交易，就會(huì)進(jìn)行攻擊阻斷。此時(shí)，BlockSec會(huì)向區(qū)塊鏈?zhǔn)澜缟暾?qǐng)執(zhí)行一筆避險(xiǎn)交易，把智能合約地址中的余額轉(zhuǎn)到另一個(gè)安全的地址中，以此來(lái)防止黑客盜取資金。對(duì)于客戶(hù)來(lái)講，這時(shí)就會(huì)上演“生死時(shí)速”，如果黑客的交易先被執(zhí)行，那么資金可能就會(huì)歸黑客所有。BlockSec會(huì)采取相應(yīng)的技術(shù)手段，一方面盡早發(fā)現(xiàn)攻擊行為，另一方面加速避險(xiǎn)交易的執(zhí)行速度，來(lái)保證客戶(hù)資金安全。在最壞的情況下，用戶(hù)的資金已經(jīng)被轉(zhuǎn)給黑客后，BlockSec公司的追損服務(wù)，通過(guò)分析鏈上數(shù)據(jù)，追蹤黑客的資金鏈，如果發(fā)現(xiàn)黑客的資金流向交易所，BlockSec公司會(huì)迅速與警方、與相應(yīng)的交易所平臺(tái)進(jìn)行協(xié)商，提供證據(jù)，并爭(zhēng)取凍結(jié)黑客資金，從而追回?fù)p失。

公司介紹，BlockSec的攻擊阻斷系統(tǒng)已經(jīng)成功阻斷了數(shù)次黑客攻擊。比如此前Saddle Finance遭受黑客攻擊之時(shí)，BlockSec發(fā)出預(yù)警并成功阻斷該攻擊。截止目前，BlockSec已經(jīng)為包括Saddle、HomeDao等多個(gè)項(xiàng)目方挽回了超過(guò)500萬(wàn)美元的資產(chǎn)。

談到收費(fèi)模式，周亞金表示，代碼審計(jì)的部分通常是根據(jù)項(xiàng)目大小，按次收費(fèi)。而智能合約部署后，數(shù)據(jù)監(jiān)控的部分則會(huì)采取訂閱制，比如按年收費(fèi)。而對(duì)于追損服務(wù)，在訂閱制之外，同時(shí)會(huì)根據(jù)追回金額的多少，按百分點(diǎn)收取費(fèi)用。從創(chuàng)立開(kāi)始，BlockSec就已經(jīng)實(shí)現(xiàn)了盈利。

針對(duì)市場(chǎng)前景與市場(chǎng)的成長(zhǎng)速度，周亞金表示，智能合約依然處于高速發(fā)展的階段，智能合約的數(shù)量與體量也會(huì)越來(lái)越大，因此對(duì)審計(jì)服務(wù)的需求也會(huì)更多。在智能合約的整個(gè)生命周期中，會(huì)有多次修改與升級(jí)，因此也需要多次審計(jì)。此外，一些項(xiàng)目方也會(huì)邀請(qǐng)多家審計(jì)公司對(duì)同一份代碼進(jìn)行審計(jì)，從而最大程度保證安全性。目前專(zhuān)注智能合約安全審計(jì)和區(qū)塊鏈安全服務(wù)的公司還有Certik等。而數(shù)據(jù)監(jiān)控與追損服務(wù)，也會(huì)隨著交易數(shù)與交易量的增加，變得更有挑戰(zhàn)與更具市場(chǎng)前景。DappRadar發(fā)布報(bào)告稱(chēng)，在2022年第一季度，活躍的區(qū)塊鏈分布式應(yīng)用（Dapp）的地址數(shù)達(dá)到了238萬(wàn)個(gè)，與此同時(shí)，在這一季度被盜取的資金量高達(dá)12億美元。這也體現(xiàn)了Dapp對(duì)安全性的切實(shí)需求。

團(tuán)隊(duì)方面，BlockSec兩位聯(lián)合創(chuàng)始人——周亞?博?與吳磊博?，都于美國(guó)北卡州??學(xué)取得博?學(xué)位，目前分別是浙江大學(xué)的教授與副教授。兩人自2018年起，在學(xué)術(shù)界進(jìn)行了多年區(qū)塊鏈安全研究。此外，兩人也曾擔(dān)任奇?360?級(jí)安全研究員。整體來(lái)看，BlockSec的團(tuán)隊(duì)成員，不僅來(lái)自計(jì)算機(jī)領(lǐng)域，同時(shí)也有金融、數(shù)學(xué)等不同背景的專(zhuān)家，他們會(huì)針對(duì)具體的業(yè)務(wù)場(chǎng)景進(jìn)行人工分析，其科研背景可以緊跟業(yè)界前沿動(dòng)態(tài)，也可以從金融、數(shù)學(xué)等多角度，在鏈上與鏈下同時(shí)為客戶(hù)提供更為全面的安全服務(wù)。

談及融資后公司下一步的打算，周亞金提到，公司團(tuán)隊(duì)正在持續(xù)擴(kuò)張中。當(dāng)前，BlockSec看重候選人對(duì)新興事物的好奇心，有區(qū)塊鏈或者安全產(chǎn)品實(shí)際開(kāi)發(fā)經(jīng)歷。技術(shù)方面，希望候選人具備一定的安全或區(qū)塊鏈領(lǐng)域背景。未來(lái)，公司也計(jì)劃將業(yè)務(wù)擴(kuò)大，將新的安全技術(shù)轉(zhuǎn)換成產(chǎn)品提供給客戶(hù)，為區(qū)塊鏈提供安全基礎(chǔ)架構(gòu)。

關(guān)于投資：

綠洲資本表示：“數(shù)字化滲透、新技術(shù)迭代、系統(tǒng)復(fù)雜化所帶來(lái)的信息安全問(wèn)題，催生了新一代的安全服務(wù)商。BlockSec團(tuán)隊(duì)扎實(shí)的科研背景，對(duì)產(chǎn)業(yè)和市場(chǎng)需求的洞悉，為下一代互聯(lián)網(wǎng)安全體系提供了獨(dú)特的視角和解決方案。綠洲期待與全球化視野的BlockSec一同開(kāi)拓企服數(shù)據(jù)與個(gè)人數(shù)字資產(chǎn)安全的全新領(lǐng)域。”

——————

注：36氪正在關(guān)注該領(lǐng)域，歡迎相關(guān)從業(yè)者添加作者Ray（WeChat：raylazy）和真梓（WeChat：315159284）交流。