安全才是區塊鍊的未來

在區塊鍊野蠻生長的此時此刻，人們雖期待著去中間機構的新模式，但是在那個未來到達以前，我們回頭來看區塊鍊技術裡，那一行行的代碼，是不是能夠擔任如此重要的角色，是不是這些代碼跟架構，能夠保護人類社會已經非常岌岌可危的信任？

而今天，我們将與鍊安這家專門做區塊鍊安全的公司對談，讓大家對于安全有更深一層的認識，對于想要找區塊鍊安全公司合作的機構，也可以從這邊多了解一些，幫助大家做些判斷。

（成都鍊安科技簡介：緻力于區塊鍊智能合約提供專業的安全審計服務）

Q1. 請問一下鍊安審計的項目包含什麼呢？通常審計是一次性的，還是定期性的呢？

鍊安：審計的項目包含已知的典型漏洞（如：整型溢出），編碼規範，業務邏輯的正确性等。從商業角度來說，審計是一次性的，每次審計都要繳納費用。從安全角度來說，審計是定期性的，每當有新的漏洞被爆出，都需要再次進行審計檢查。

Q2. ETH的智能合約完全不包含人力稽核嗎？

鍊安：人工參與程度低，隻需要對 Vaas 平台的審計結果進行簡單的複合，這樣也是為了最大限度的保證結果的有效性。

Q3. 通常開發團隊會在什麼階段開始跟你們合作呢？

鍊安：我們提供整個流程的安全解決方案，開發團隊從立項起就可以和我們合作。開發前期我們能根據開發團隊的業務需求給出開發建議，開發完成後我們能進行專業完備的安全審計。

Q4. 如果要和鍊安合作，通常你們會希望開發團隊做好什麼準備呢？

鍊安：安全審計要保證完備性，需要開發團隊提供較為完備的說明文檔，便于我們了解業務類型和安全需求，進而提高審計效率。

Q5. 在Vaas做稽核之前，會對代碼進行分類稽核嗎？會怎麼分類（标簽）呢？

鍊安：會。分類稽核能提高稽核效率和 Vaas平台稽核結果的完備性與有效性。分類标簽由合約的業務類型确定，如：ERC20代币合約，賭博遊戲合約等

Q6. 你們如何建立區塊鍊代碼 / 合約安全的資料庫？标準是什麼？資料庫現在的規模多大呢？

鍊安：我們會同步主鍊上的資料，然後根據活躍程度（近期有沒有交易）對合約代碼進行分級，并把它們按照業務類型進行分類，作為我們的樣本資料庫。我們會對收集到的确定了漏洞情況的合約按漏洞特征和危害程度進行分類儲存，作為我們的安全資料庫，用來測試與訓練 Vaas平台。（這些收集過程是持續進行的。）

Q7. github上面比較找不到你們的資料，能給我們多一點代碼的資訊嗎？

鍊安：近期我們将會開源vaas自動化工具的代碼，敬請期待。

Q8. 鍊安未來的發展方向會是審計平台？還是合約代工廠？或是教學平台呢？還是鍊安也會開發自己的dapp呢？…大家都很好奇這個: )

鍊安：我們将建立區塊鍊全生态，鍊平台，合約開發， Dapp、安全審計等。

Q9. 鍊安科技後期除了利用 VaaS 平台對外做智能合約安全審計，還會有什麼新的業務？

鍊安：我們除了使用自身研發的“一鍵式”形式化驗證VaaS平台，為項目方提供智能合約安全審計服務外，還将針對項目方區塊鍊平台專門定制化研發自動形式化驗證平台VaaS-XXX，以提高其智能合約和底層鍊平台的安全性。

Q10. 鍊安跟其他的安全平台的差異在哪裡呢？例如 Certik

鍊安：在安全審計這個領域，審計的自動化程度和審計結果的可靠性通常是沖突的，我們的 Vaas 平台平衡了這兩點。比如相對于 certik，Vaas平台的自動化程度更高，同時審計結果的可靠性也有保障。而且我們采用的方法不僅僅是形式化驗證，而是綜合了多種方法，并對每種方法的檢測結果進行交叉驗證，保證了完備性和可靠性。

Q11. 你們對于一般使用者使用錢包或是dapps在安全上有什麼建議嗎？

鍊安：區塊鍊領域的身份認證和資訊有效性由非對稱加密的密碼學手段保證。私鑰相當于銀行卡加密碼，是以使用者一定要保護好自己的私鑰。

• 如果擁有大量的代币資産，最好使用冷錢包，讓私鑰隻暴露在沒有網絡的封閉環境裡。
• 對沒有大機構背書的小平台出品的錢包和dapp，一定不要上傳自己的私鑰。
• 如果要進行轉賬等行為，一定要再三确認對方的位址，避免失誤。

Q12. 最後再請教一下，在區塊鍊安全這個領域上，請問一下 觀念是更重要的，還是代碼是更重要的？

鍊安：它們都重要，都是保證安全的重要組成部分。非要分個先後的話，觀念是第一位的。作為開發者首先要對區塊鍊領域的安全風險有清晰的認識，這樣才能保證在代碼編寫時能小心謹慎，仔細推敲可能出現的問題。開發者在編碼完成後也要有對代碼進行測試和安全審計的意識，所謂 “當局者迷”，這個過程最好由第三方專業的團隊來進行。 有了這些觀念，然後謹慎的完成這些流程，就能最大化的保證安全。

本次報導，感謝鍊安的專業團隊與我們的對話，讓我們對合約審計與衆多鍊安的服務有了大幅度的了解，相信在許多區塊鍊安全從業人員的投入下，未來的智能合約，會能夠和我們現在相信的支付寶信用卡一樣，被廣泛安心的使用。