文|Ray
(相关资料图)
编辑|真梓
36氪获悉,聚焦区块链架构安全的「BlockSec」近日已完成天使+轮融资。本轮融资由绿洲资本和经纬创投共同领投,Mirana Ventures (Bybit投资合伙人)、CoinSummer和YM Capital跟投,融资金额将近5000万人民币。
从行业来看,同传统银行业一样,区块链世界的基本单位也是一个个有着不同余额的账户,用户可以在不同账户间手动进行转账交易。而随着ETH等新型区块链技术的普及,智能合约这种通过执行开源代码自动化进行转账交易的技术,也受到开发者和用户的广泛关注。智能合约具备去中心化的特性,因而会更受一些用户信赖,比如对于三个人共享的某个公用账户,智能合约可以规定至少要三个人中的两个人签名同意,才能将公用账户中的钱转出,而确认签名的这一步,是通过运行代码自动执行的,不需要依赖诸如银行的第三方进行。
但另一方面,智能合约本身的安全性需要开发者们高度重视。因为智能合约的开源特性,黑客同样可以看到智能合约的代码,如果代码中有漏洞,黑客将进行攻击从而获利。因此,围绕这一方向的区块链安全公司也应运而生。36氪近日接触到的BlockSec,正是一家区块链安全公司,当前业务主要围绕智能合约安全展开。
谈及智能合约安全,BlockSec联合创始人周亚金表示,以智能合约的上链部署时间为划分点,部署前BlockSec提供智能合约的代码审计服务,而部署之后,则会进行区块链数据的实时监控,一旦发现攻击行为,则会进行相应的攻击阻断与追损。
对于智能合约的代码审计,周亚金介绍当前业界也有不同达成目标的方式。其中的一种手段是形式化验证(formal verification),这种方式会事先定义好安全规则,之后证明客户的代码符合这些规则,从而避免违反这些规则的安全漏洞。但另一方面,BlockSec发现,很多安全漏洞是与智能合约的具体业务场景有关,仅保证代码的正确性并不能保证整个智能合约的安全性。所以在具体操作中,BlockSec会通过"攻"的思路进行代码审计,具体技术包括Fuzzing(模糊测试)等。在落地中,由于DeFi和传统安全的差异,BlockSec会在自动化理解DeFi语义等方面提供独特技术,保证Fuzzing的精准性。
在代码审计之后,通常客户会根据BlockSec公司的建议,进行多轮的代码修改与再审计,在达到安全标准后,智能合约会被部署到区块链中。此时,智能合约的代码将对所有人可见并被用户执行。与此同时,BlockSec将会监控那些待定交易(pending transaction),如果发现有疑似黑客攻击的交易,就会进行攻击阻断。此时,BlockSec会向区块链世界申请执行一笔避险交易,把智能合约地址中的余额转到另一个安全的地址中,以此来防止黑客盗取资金。对于客户来讲,这时就会上演“生死时速”,如果黑客的交易先被执行,那么资金可能就会归黑客所有。BlockSec会采取相应的技术手段,一方面尽早发现攻击行为,另一方面加速避险交易的执行速度,来保证客户资金安全。在最坏的情况下,用户的资金已经被转给黑客后,BlockSec公司的追损服务,通过分析链上数据,追踪黑客的资金链,如果发现黑客的资金流向交易所,BlockSec公司会迅速与警方、与相应的交易所平台进行协商,提供证据,并争取冻结黑客资金,从而追回损失。
公司介绍,BlockSec的攻击阻断系统已经成功阻断了数次黑客攻击。比如此前Saddle Finance遭受黑客攻击之时,BlockSec发出预警并成功阻断该攻击。截止目前,BlockSec已经为包括Saddle、HomeDao等多个项目方挽回了超过500万美元的资产。
谈到收费模式,周亚金表示,代码审计的部分通常是根据项目大小,按次收费。而智能合约部署后,数据监控的部分则会采取订阅制,比如按年收费。而对于追损服务,在订阅制之外,同时会根据追回金额的多少,按百分点收取费用。从创立开始,BlockSec就已经实现了盈利。
针对市场前景与市场的成长速度,周亚金表示,智能合约依然处于高速发展的阶段,智能合约的数量与体量也会越来越大,因此对审计服务的需求也会更多。在智能合约的整个生命周期中,会有多次修改与升级,因此也需要多次审计。此外,一些项目方也会邀请多家审计公司对同一份代码进行审计,从而最大程度保证安全性。目前专注智能合约安全审计和区块链安全服务的公司还有Certik等。而数据监控与追损服务,也会随着交易数与交易量的增加,变得更有挑战与更具市场前景。DappRadar发布报告称,在2022年第一季度,活跃的区块链分布式应用(Dapp)的地址数达到了238万个,与此同时,在这一季度被盗取的资金量高达12亿美元。这也体现了Dapp对安全性的切实需求。
团队方面,BlockSec两位联合创始人——周亚⾦博⼠与吴磊博⼠,都于美国北卡州⽴⼤学取得博⼠学位,目前分别是浙江大学的教授与副教授。两人自2018年起,在学术界进行了多年区块链安全研究。此外,两人也曾担任奇⻁360⾼级安全研究员。整体来看,BlockSec的团队成员,不仅来自计算机领域,同时也有金融、数学等不同背景的专家,他们会针对具体的业务场景进行人工分析,其科研背景可以紧跟业界前沿动态,也可以从金融、数学等多角度,在链上与链下同时为客户提供更为全面的安全服务。
谈及融资后公司下一步的打算,周亚金提到,公司团队正在持续扩张中。当前,BlockSec看重候选人对新兴事物的好奇心,有区块链或者安全产品实际开发经历。技术方面,希望候选人具备一定的安全或区块链领域背景。未来,公司也计划将业务扩大,将新的安全技术转换成产品提供给客户,为区块链提供安全基础架构。
关于投资:
绿洲资本表示:“数字化渗透、新技术迭代、系统复杂化所带来的信息安全问题,催生了新一代的安全服务商。BlockSec团队扎实的科研背景,对产业和市场需求的洞悉,为下一代互联网安全体系提供了独特的视角和解决方案。绿洲期待与全球化视野的BlockSec一同开拓企服数据与个人数字资产安全的全新领域。”
——————
注:36氪正在关注该领域,欢迎相关从业者添加作者Ray(WeChat:raylazy)和真梓(WeChat:315159284)交流。