文| Carol 編輯| Tong 來源| PANews
1998年互聯網浪潮席捲而來,“地球村”的預言成了現實。 2008年移動互聯網興起,智能手機讓每個人的生活都變得更加便利,彷彿動動手指就能解決衣食住行。如果說十年是一次技術大變革的周期,那麼當移動互聯還方興未艾時,屬於下一個十年的技術就已經來臨了。 2018年,區塊鏈行業驟然火熱起來,也吸引了傳統領域的領袖加入,蔣旭憲便是其中之一。
2018年上半年,已經辭去360安全首席科學家職務開始創業的蔣旭憲在朋友的推薦下,看了很多區塊鏈白皮書,他在接受PANews專訪時坦言,一開始自己看不慣幣圈的玩法,後來被底層公鏈代碼所吸引才決定全力轉型做區塊鏈安全領域,成立了區塊鏈數據與安全服務商PeckShield。
“區塊鏈本身是為了解決用戶之間的相互信任問題,沒有安全,怎麼談信任。”在蔣旭憲看來,安全就是區塊鏈的核心,也是剛需。而且整個區塊鏈生態是比較複雜的,任何環節都可能有安全問題。
伴隨著每一次區塊鏈技術的進步,安全事件也在不斷發生和演進,蔣旭憲也將2018年視為區塊鏈安全的元年。這一年,PeckShield團隊先後通報了以太坊BEC、SMT、EDU等智能合約層面的漏洞,此後在EOS主網上線後披露了一系列EOS DApp遭遇的交易回滾攻擊、隨機數攻擊、假轉賬通知攻擊等等安全事件。
蔣旭憲認為:“好多人可能以為安全只是在代碼層面,這其實算是一個誤區,我覺得安全最終肯定是基於大數據的安全。”正是基於這樣的前瞻性判斷,蔣旭憲將PeckShield定位為區塊鏈數據與安全服務商,他希望PeckShield在基於代碼層面的理解之上,還能配合後台大數據的分析整理,以此來打通所有維度,把安全發現和預警輸送給生態中的各個環節。
面對已經來臨的行業寒冬,蔣旭憲反而認為這是好事情,幣圈的冷靜讓踏實做事的人能更踏實地做事,他說:“越是在寒冬越能看出我們是在做事情的,我們也在持續開放一些能力給合作夥伴,我希望對這個生態的發展也有幫助。”蔣旭憲在公司被同事稱為“蔣教授”,因為他也是美國北卡州立大學終身教授,技術輸出,幫助生態,也成為蔣教授的願景。
以下為專訪實錄精選:
PANews:PeckShield創始團隊陣容堪稱豪華,您是怎樣接觸區塊鏈行業的?您當時創立PeckShield的初衷和願景是什麼?
蔣旭憲:我完全錯過了PC互聯網時代,等到了移動互聯網發展的時候,我是在360安全的產品下參與其中的。當時我們團隊通報了很多安卓系統的漏洞,甚至最早的那一批安卓木馬幾乎都是我們發現的,如今PeckShield團隊裡好幾個同事都有超過100個安卓CVE漏洞的經驗。在這個過程中,我觀察了國內移動互聯網的變化,國內的變化大於美國。所以遇到下一波技術——區塊鏈的時候,就想自己參與進去。
2017年七八月份,我離開360正式開始創業,但當時不是做區塊鏈。那時候區塊鏈正是火熱的時候,出現很多ICO項目。受周圍好多朋友的鼓動,我看了很多白皮書,但一開始看不慣幣圈的玩法,後來看底層公鏈的代碼被吸引進去才決定全力轉型做這個領域。 2018年PeckShield發現了以太坊智能合約的一系列問題,通報了BEC、SMT、EDU等智能合約層面的漏洞,下半年也發現不少EOS上的全問題。
區塊鏈這個行業是非常有趣的,可以跟互聯網巨頭站在同一起跑線去玩,而且也是每十年一次技術革新的開始。從技術層面上來講,這絕對是一個很大的革新,接下來幾年可能會慢慢落地。在這個領域,安全是核心,也是剛需,所以我們也希望在其中貢獻一份力量,參與到整個區塊鏈生態中。
PANews:您覺得現在區塊鏈行業的安全保護程度如何?
蔣旭憲:現在區塊鍊是在研究設施還不完善的情況下就放在公鏈上做相關檢驗了,從這個角度來理解,這個技術還處於早期。整個區塊鏈生態是比較複雜的,任何環節都可能有安全問題。從最近關注比較多的DApp的安全問題來看,包括攻擊者手段在內的安全事件要素的形態還屬於早期發展階段,遠遠還沒涉及到深層次的安全漏洞,比如黑客通過定位智能合約的邏輯來攻擊等。現在比較多發的隨機數、交易回滾攻擊處於黑盒子就能測出來的階段,但接下來這種攻防少不了。
區塊鏈不是一個全新的技術,只是一些已知的技術重新有機整合。所以有很多安全問題存在跟傳統互聯網安全問題相結合的地方,這個結合的地方會出現一些新的獨特視角。但同時區塊鏈安全問題有意思的地方在於,因為區塊鏈有相對的隱私性,那些勒索軟件就會利用這一特性來讓自己變得無法被追踪,這個問題隨著區塊鏈的普及也會產生新的攻防。但這以前是不存在的,以後會越來越多。
PANews:區塊鏈安全領域方面,您認為主要有哪些競爭對手? PeckShield優勢在哪裡?
蔣旭憲:我不大願意直接談這個問題,因為現在還是行業早期,各個團隊的定位、側重點、包括以前的背景、優勢都不一樣。 PeckShield的定位是立足於整個區塊鏈生態,通過大數據把各個維度打通,然後通過我們在安全領域的技術能力,把我們的發現和預警輸出給生態的各個環節,這樣我們可以伴隨生態的發展一起往前走。
比如對這輪的DApp開發者,我希望我們的發現能幫助DApp的開發者少踩以前的坑。 (2018年)上半年可能過幾天就出一個安全公司,下半年會沉寂很多。因為沒有好的商業模式,或者因為融資不順利,我相信很多團隊會慢慢開始轉型。但我們會堅定地走下去,我們希望用數據服務來賦能各個相關的垂直行業,包括開發者、媒體、行情分析、量化團隊等。
PANews:數據作為PeckShield的優勢,建立之初也是為了提供安全方面的服務嗎?
蔣旭憲:是為了安全。好多人可能以為安全是在代碼層面的,其實這算是一個誤區,我覺得安全最終肯定是基於大數據的安全。有了前面代碼層面的理解,再加上後台大數據的分析整理,能讓我們更敏銳的感知到哪個環節出問題,哪個環節比較健康。這有助於我們發現下一步的方向,更好地服務整個生態。這是我們跟國內外一些安全公司很不一樣的地方——基於大數據分析去做安全發現。
最近很多DApp的漏洞都是我們率先發現的,這主要是我們的團隊既有安全的敏銳度,有代碼層面深挖的安全能力,又選對了觀察的方向,從大數據的角度去看。而且我們有時候也不是專門去找漏洞,我們在監測鏈上交易數據的時候發現異常了,認為可能存在攻擊,那就會做實時預警。
PANews:之前360爆出EOS的漏洞引起市場恐慌,EOS大跌,PeckShield現在發現漏洞的話是怎麼樣一個通報流程?現在項目方或者交易所對我們這樣的安全公司是一個什麼樣的態度?
蔣旭憲:一般邏輯是這樣的,在PeckShield態勢感知平台上感知到的脆弱合約裡發現威脅比較大的漏洞,而且攻擊還沒發生,我們會主動聯繫項目方。但是項目方的應急響應機製或者後台接口都沒有或者不公開,這點我也經常呼籲項目方應該制定應急響應。如果攻擊已經發生了,我們也會直接發聲。例如EOS上受攻擊的DApp,如果攻擊已經發生了,我們就實時通報媒體,提示大家已經發生了。如果還沒發生,我們會主動聯繫項目方。現在很多項目方在攻擊發生以後都沒感知到,通報漏洞以後他們會主動聯繫我們尋求安全幫助。
PANews:除了安全審計外,我們現在會為項目方提供哪些服務?
蔣旭憲:我們最近也在思考能不能把我們後台開發的風控系統,以某種方式為開發者服務,一方面讓開發者更好地收到預警,另一方面也讓開發者在預警發生時能有效地、更好地保護他們的數字資產。我們確實思考了很長時間,準備把實時預警的能力,以及我們內部做的DAppShield安全盾全部開放給開發者,看看怎麼能更好地服務這些開發者。但我也希望這以一種共贏的方式來做這種事情。
PANews:通過包括PeckShield在內的安全機構的發聲,2018年下半年大家的安全意識是不是比上半年有所提升?
蔣旭憲:我認為2018年是區塊鏈安全的元年。上半年安全事件確實暴露的比較多,從智能合約爆發到下半年DApp爆發,每次爆發中安全事件都是少不了的。從某種角度上來說這個行業的從業者也慢慢意識到安全的重要性了。
我覺得區塊鏈從業者有個誤區,因為區塊鏈本身包含了各種加密、哈希、不可逆、數據不可篡改等概念,就以為區塊鏈天然就是安全的,其實安全也是區塊鏈的剛需。區塊鏈本身是為了解決用戶之間的相互信任問題,沒了安全,怎麼談信任。
PANews:其實對個人而言可能對安全事件的感知會弱一點,很多人意識不到受到攻擊,但並不代表這些安全事件不存在。 8月份的時候PeckShield發現很多用戶存在私鑰註冊不規範導致的安全事件。那麼對個人用戶而言,有什麼好的建議或者方法去防範這些安全風險嗎?
蔣旭憲:個人還是主要從錢包、助記詞、密碼的角度去防範。首先安全意識要強一點。比如今年3月幣安被攻擊以後出現很多釣魚網站,個人要謹防自己的私鑰被偷了。另外對助記詞要保持敏感,保存的時候別被偷了。個人盡量選擇在大的、有安全品牌的交易所上交易,下載App也盡量用正規的渠道,不要從第三方鏈接上隨便下載下來就用。也可以用冷錢包,因為每一筆交易都需要物理上的確認,會安全一點。
PANews:PeckShield在2018年上半年獲得了高榕資本的數千萬元天使投資。目前有進行新一輪的融資嗎?我們目前盈利模式是怎樣的?
蔣旭憲:目前來說,有資本方(感興趣)我們也願意跟他們接觸,但不是以融資為目的,我們想要跟他們了解一下資方對行業的理解。
寒冬可能大家日子都不太好過,目前來說我們都還好,我們想繼續深入做下去,營收主要是合約審計。前幾年我們打算就打好基礎,肯定要按照互聯網的玩法先做,打出品牌和實力。通過這樣的方式也希望給以後的合作找到一些機會,比如現在給DApp的開發者提供安全服務,包括預警等,雖然現在都是免費的,但這裡面我希望能走出一個新的模式。因為我們提供的安全服務能使開發者免受損失,我覺得他們未來是有意願付費的。
PANews:2019年甚至更遠的未來PeckShield的安全生態建設會有怎樣的規劃呢?
蔣旭憲:我們還是有耐心地陪著生態一塊兒往前走,但更希望在這個過程中能找出一條跟行業裡的合作夥伴共贏的模式,這也是我們一直在思考的地方。越是在寒冬越能看出我們是在做事情的,我們也在持續開放一些能力給合作夥伴,希望對這個生態的發展有幫助。寒冬也不是壞事情,可以讓行業純淨很多,踏實做事的人還是在踏實做事,反而是幣圈冷靜了很多,這是好事情。我個人是挺認可和看好這個行業的未來。