文｜Ray

(資料圖片僅供參考)

編輯｜真梓

36氪獲悉，聚焦區(qū)塊鏈架構(gòu)安全的「BlockSec」近日已完成天使+輪融資。本輪融資由綠洲資本和經(jīng)緯創(chuàng)投共同領(lǐng)投，Mirana Ventures （Bybit投資合伙人）、CoinSummer和YM Capital跟投，融資金額將近5000萬人民幣。

從行業(yè)來看，同傳統(tǒng)銀行業(yè)一樣，區(qū)塊鏈?zhǔn)澜绲幕締挝灰彩且粋€個有著不同余額的賬戶，用戶可以在不同賬戶間手動進(jìn)行轉(zhuǎn)賬交易。而隨著ETH等新型區(qū)塊鏈技術(shù)的普及，智能合約這種通過執(zhí)行開源代碼自動化進(jìn)行轉(zhuǎn)賬交易的技術(shù)，也受到開發(fā)者和用戶的廣泛關(guān)注。智能合約具備去中心化的特性，因而會更受一些用戶信賴，比如對于三個人共享的某個公用賬戶，智能合約可以規(guī)定至少要三個人中的兩個人簽名同意，才能將公用賬戶中的錢轉(zhuǎn)出，而確認(rèn)簽名的這一步，是通過運行代碼自動執(zhí)行的，不需要依賴諸如銀行的第三方進(jìn)行。

但另一方面，智能合約本身的安全性需要開發(fā)者們高度重視。因為智能合約的開源特性，黑客同樣可以看到智能合約的代碼，如果代碼中有漏洞，黑客將進(jìn)行攻擊從而獲利。因此，圍繞這一方向的區(qū)塊鏈安全公司也應(yīng)運而生。36氪近日接觸到的BlockSec，正是一家區(qū)塊鏈安全公司，當(dāng)前業(yè)務(wù)主要圍繞智能合約安全展開。

談及智能合約安全，BlockSec聯(lián)合創(chuàng)始人周亞金表示，以智能合約的上鏈部署時間為劃分點，部署前BlockSec提供智能合約的代碼審計服務(wù)，而部署之后，則會進(jìn)行區(qū)塊鏈數(shù)據(jù)的實時監(jiān)控，一旦發(fā)現(xiàn)攻擊行為，則會進(jìn)行相應(yīng)的攻擊阻斷與追損。

對于智能合約的代碼審計，周亞金介紹當(dāng)前業(yè)界也有不同達(dá)成目標(biāo)的方式。其中的一種手段是形式化驗證（formal verification），這種方式會事先定義好安全規(guī)則，之后證明客戶的代碼符合這些規(guī)則，從而避免違反這些規(guī)則的安全漏洞。但另一方面，BlockSec發(fā)現(xiàn)，很多安全漏洞是與智能合約的具體業(yè)務(wù)場景有關(guān)，僅保證代碼的正確性并不能保證整個智能合約的安全性。所以在具體操作中，BlockSec會通過"攻"的思路進(jìn)行代碼審計，具體技術(shù)包括Fuzzing（模糊測試）等。在落地中，由于DeFi和傳統(tǒng)安全的差異，BlockSec會在自動化理解DeFi語義等方面提供獨特技術(shù)，保證Fuzzing的精準(zhǔn)性。

在代碼審計之后，通常客戶會根據(jù)BlockSec公司的建議，進(jìn)行多輪的代碼修改與再審計，在達(dá)到安全標(biāo)準(zhǔn)后，智能合約會被部署到區(qū)塊鏈中。此時，智能合約的代碼將對所有人可見并被用戶執(zhí)行。與此同時，BlockSec將會監(jiān)控那些待定交易（pending transaction），如果發(fā)現(xiàn)有疑似黑客攻擊的交易，就會進(jìn)行攻擊阻斷。此時，BlockSec會向區(qū)塊鏈?zhǔn)澜缟暾垐?zhí)行一筆避險交易，把智能合約地址中的余額轉(zhuǎn)到另一個安全的地址中，以此來防止黑客盜取資金。對于客戶來講，這時就會上演“生死時速”，如果黑客的交易先被執(zhí)行，那么資金可能就會歸黑客所有。BlockSec會采取相應(yīng)的技術(shù)手段，一方面盡早發(fā)現(xiàn)攻擊行為，另一方面加速避險交易的執(zhí)行速度，來保證客戶資金安全。在最壞的情況下，用戶的資金已經(jīng)被轉(zhuǎn)給黑客后，BlockSec公司的追損服務(wù)，通過分析鏈上數(shù)據(jù)，追蹤黑客的資金鏈，如果發(fā)現(xiàn)黑客的資金流向交易所，BlockSec公司會迅速與警方、與相應(yīng)的交易所平臺進(jìn)行協(xié)商，提供證據(jù)，并爭取凍結(jié)黑客資金，從而追回?fù)p失。

公司介紹，BlockSec的攻擊阻斷系統(tǒng)已經(jīng)成功阻斷了數(shù)次黑客攻擊。比如此前Saddle Finance遭受黑客攻擊之時，BlockSec發(fā)出預(yù)警并成功阻斷該攻擊。截止目前，BlockSec已經(jīng)為包括Saddle、HomeDao等多個項目方挽回了超過500萬美元的資產(chǎn)。

談到收費模式，周亞金表示，代碼審計的部分通常是根據(jù)項目大小，按次收費。而智能合約部署后，數(shù)據(jù)監(jiān)控的部分則會采取訂閱制，比如按年收費。而對于追損服務(wù)，在訂閱制之外，同時會根據(jù)追回金額的多少，按百分點收取費用。從創(chuàng)立開始，BlockSec就已經(jīng)實現(xiàn)了盈利。

針對市場前景與市場的成長速度，周亞金表示，智能合約依然處于高速發(fā)展的階段，智能合約的數(shù)量與體量也會越來越大，因此對審計服務(wù)的需求也會更多。在智能合約的整個生命周期中，會有多次修改與升級，因此也需要多次審計。此外，一些項目方也會邀請多家審計公司對同一份代碼進(jìn)行審計，從而最大程度保證安全性。目前專注智能合約安全審計和區(qū)塊鏈安全服務(wù)的公司還有Certik等。而數(shù)據(jù)監(jiān)控與追損服務(wù)，也會隨著交易數(shù)與交易量的增加，變得更有挑戰(zhàn)與更具市場前景。DappRadar發(fā)布報告稱，在2022年第一季度，活躍的區(qū)塊鏈分布式應(yīng)用（Dapp）的地址數(shù)達(dá)到了238萬個，與此同時，在這一季度被盜取的資金量高達(dá)12億美元。這也體現(xiàn)了Dapp對安全性的切實需求。

團(tuán)隊方面，BlockSec兩位聯(lián)合創(chuàng)始人——周亞?博?與吳磊博?，都于美國北卡州??學(xué)取得博?學(xué)位，目前分別是浙江大學(xué)的教授與副教授。兩人自2018年起，在學(xué)術(shù)界進(jìn)行了多年區(qū)塊鏈安全研究。此外，兩人也曾擔(dān)任奇?360?級安全研究員。整體來看，BlockSec的團(tuán)隊成員，不僅來自計算機(jī)領(lǐng)域，同時也有金融、數(shù)學(xué)等不同背景的專家，他們會針對具體的業(yè)務(wù)場景進(jìn)行人工分析，其科研背景可以緊跟業(yè)界前沿動態(tài)，也可以從金融、數(shù)學(xué)等多角度，在鏈上與鏈下同時為客戶提供更為全面的安全服務(wù)。

談及融資后公司下一步的打算，周亞金提到，公司團(tuán)隊正在持續(xù)擴(kuò)張中。當(dāng)前，BlockSec看重候選人對新興事物的好奇心，有區(qū)塊鏈或者安全產(chǎn)品實際開發(fā)經(jīng)歷。技術(shù)方面，希望候選人具備一定的安全或區(qū)塊鏈領(lǐng)域背景。未來，公司也計劃將業(yè)務(wù)擴(kuò)大，將新的安全技術(shù)轉(zhuǎn)換成產(chǎn)品提供給客戶，為區(qū)塊鏈提供安全基礎(chǔ)架構(gòu)。

關(guān)于投資：

綠洲資本表示：“數(shù)字化滲透、新技術(shù)迭代、系統(tǒng)復(fù)雜化所帶來的信息安全問題，催生了新一代的安全服務(wù)商。BlockSec團(tuán)隊扎實的科研背景，對產(chǎn)業(yè)和市場需求的洞悉，為下一代互聯(lián)網(wǎng)安全體系提供了獨特的視角和解決方案。綠洲期待與全球化視野的BlockSec一同開拓企服數(shù)據(jù)與個人數(shù)字資產(chǎn)安全的全新領(lǐng)域?！?/p>

——————

注：36氪正在關(guān)注該領(lǐng)域，歡迎相關(guān)從業(yè)者添加作者Ray（WeChat：raylazy）和真梓（WeChat：315159284）交流。