在区块链的创业圈,人们对青年才俊偶像派、改变世界理想派以及发达致富现实派从来不陌生,他们有的是新人,有的是老兵,通常都怀着高尚的「比特币信仰」和对自己能力的自信粉墨登场。然而在这样一个舞台上,有一波人的发声最少,却不容忽视,那就是脚踏实地实力派。
这类创业者往往是技术出身,经历过完整的自我提升和技术验证的阶段,并且从自己所擅长的方向找到了与区块链结合的落脚点,并以此为基础开展区块链业务。往往一出手就是大手笔。
蒋旭宪可以说是实力派的典型缩影:2001年出国就读于美国普渡(Purdue)大学,主攻系统安全,2006年博士毕业后先后在美国乔治梅森大学和北卡州立大学任教,并取得终身教职。2013年加入奇虎360成为首席科学家,是最早发现Android恶意木马的人之一。2018年成立了区块链安全公司PeckShield,这个成立不到一年只有20多人的团队,先后发现了BEC、SMT、EDU等多个重大的智能合约安全漏洞以及EOS的主网映射问题和高危账户漏洞,并获得数千万级别的天使轮融资。
那么,这位实力派创业者有着怎样的人生经历?又是怎样与区块链结缘?对于区块链安全又有哪些思考和忠告?本期人物志就带你走近蒋旭宪,听他聊聊自己的人生和PeckShield背后的故事。
“区块链,不符合我的性格”
区块链大本营:请谈谈自己以往的经历。
蒋旭宪:2001年出国,赴美读书,2006年博士毕业,一直研究计算机系统安全,包括恶意木马入侵检测和预防等。毕业后在美国高校任教,当时正是国内PC互联网发展崛起的时候,百度、360、网易等巨头开始壮大。如果把现在互联网的发展分为PC互联网、移动互联网和区块链的话,我是完美错过了PC互联网时代。不过当时在学术界做安全也是蛮high的,因为安全一直是我感兴趣的方向。
区块链大本营:错过了PC互联网却赶上了移动互联网也不错,能讲讲这个过程吗?
蒋旭宪:当时我在高校任教,在递交tenure材料后,开始随自己性子展开一个全新的研究方向,也是Android系统的安全漏洞问题。我从Android 1.0版本(2008年)就开始介入了,当时发现了不少Android的安全问题,包括系统本身和底层内核的安全漏洞,还有各大移动应用分发市场发现的恶意木马。后来有业界安全人士说,我在美国高校的研究团队在2012年定义了整个移动恶意木马的元年。
另外,我们把研究发现的全部移动恶意木马以基因库的方式,给全球各大安全公司和科研机构共享,到目前为止,应该有400多家公司和教育机构应用了我们的数据集。
蒋旭宪开放的Android恶意木马基因库
区块链大本营:所以接着就到企业里继续研究这块了?
蒋旭宪:是的。因为当时觉得360是大家认可的最大的互联网安全公司,然后就借着360的平台,开始接触移动互联网。在360的时候,我主要负责移动端的核心安全能力,包括整个Android系统和厂商手机终端的安全漏洞,核心安全能力会输送给内部的各个业务线。然后我们还做了一个“加固保”,针对移动端发现的安全漏洞和风险,给移动开发者提供免费的加固服务,这个产品的用户量也是蛮大的,每天的活跃覆盖设备都是过亿。可以这么说,我是从学校出来之后,在360才算是真正理解了国内的移动互联网业务吧。
区块链大本营:听说你并不是一下子就接受区块链的,中间发生了什么?
蒋旭宪:我在360做了四年半的时候想出来创业,在找方向的时候了解到区块链。不过当时整个行业鱼龙混杂,有很多声音和泡沫,感觉很浮躁。老实说,我看到这个情况后,觉得区块链不符合我的性格,所以就没再关注。后来随着区块链的声音越来越大,我就看了一些项目的白皮书,通过top-down的方式理解区块链,当时还是感觉很不靠谱。
最后是采取了bottom-up的方法,我开始静下心来仔细看了几个比较代表性的加密货币的代码,包括比特币和以太坊,从底层开始看,然后往上走。然后一看就完全看进去了,所以就all in区块链,也是专注自己感兴趣的方向—安全。因为区块链解决的就是信任问题,如果安全没做好,信任问题根本无从谈起。
区块链大本营:一般来说,人思维的转变是一个渐进的过程,你从不看好到all in,这个过程中经历了哪些思考?
蒋旭宪:这个转变是蛮有意思的。刚开始看白皮书我是真的提不起兴趣,是硬逼着自己看了100多个白皮书,不过真正打动我的地方,不是白皮书,而是下面的主链,特别是比特币和以太坊为代表的这些。看了主链的代码后我有以下两点思考。
第一,主链的设计,让我第一次觉得创业公司跟那些互联网巨头有可能在同一个起跑线,巨头的优势或商业模式,甚至有可能会成为他们的障碍。
第二,我本身是程序理工男嘛,我从以太坊的设计中看出code is law来,我觉得这是给理工男的绝佳机会。
基于以上两点,我觉得区块链值得all in玩一把。
区块链大本营:如果用几个关键词来形容自己,你会用哪几个?
蒋旭宪:我认为是专注、创新、激情
“变化是永恒的”
区块链大本营:请简单介绍一下PeckShield现在的团队情况。
蒋旭宪:现在我们团队大概20多个人,大部分都是技术人员。整体来说,团队具有前瞻性的全球化国际视野,包括我个人在内,很多成员或者是在国外拿到博士,或者是在国内一线互联网公司有过多年经验,算是将学术界的前瞻性研究和产业界解决实际问题的能力做了一个融合吧。
区块链大本营:在区块链安全业务中,你们遇到过哪些技术挑战?
蒋旭宪:我认为最大的挑战在于比黑客更早的发现安全问题,实现起来技术难度很大。另一个难点在于发现安全问题之后的应急响应。我发现区块链安全应急响应的环节应该做成7x24安全服务。这个问题可能不是技术性问题,但我觉得这也是我们面临的挑战。
区块链大本营:现在「斜杠」这个词很流行,形容一个人有很多身份或属性。如果用这个标准看,你无疑也具备很强的「斜杠属性」,你的身份包括开发者、科学家、创业者、教育工作者等,你是如何在这种多身份下保持平衡的?
蒋旭宪:这是个很好的问题。我觉得我不可能同时把所有角色做好。比如从高校到企业这个决定就相当于放弃了高校教育工作者的身份,但因为在高校研究本来就是做系统安全的,所以到企业后这种转变难度倒是不大。而从企业到创业,我依赖的是技术人员的那种第一手感知,我觉得我还是倾向于技术人员这一定位的,这一定位有助于我对行业发展的判断。然后在企业的人员管理上这个肯定不是我的强项,不过因为自己之前的背景和对行业发展的判断上的优势,可以互为补充。
区块链大本营:从企业出来创业,你最大的体会或感受是什么?
蒋旭宪:最大的感受就是变化是永恒的。人们常说「币圈一日人间一年」,有很多数据和信息,你需要不断去判断下一步的走向,然后做出调整。这是我感受比较深的一块。
这跟大公司的环境不太一样。在大公司里工作是相对生活在舒适区里面,然后做些成熟的业务或有些科研属性的东西。但在区块链领域创业,市场动态的捕捉还是蛮关键的。因为在区块链中,不断会有新的东西冒出来,包括游戏规则、玩法,还有生态中各个环节的变化。还是那句话,变化是永恒的。
区块链大本营:你怎么看待目前区块链安全领域的其他公司?目前在安全领域的公司定位上有哪些区别?
蒋旭宪:因为现在区块链行业还处在早期,区块链安全也是如此,现在说各个公司形成了自己的定位还为时尚早。不过可以看到行业内不同公司的切入点,大概有以下几种:
- 链上数据分析和安全预警;
- 形式化验证和机器证明;
- 情报共享;
- 传统互联网转型。
当然,新的安全方向和公司也会不停的冒出来。
当我们在谈论区块链安全,我们到底在谈论什么?
区块链大本营:我们现在所谈的「区块链安全」这个概念,跟PC互联网和移动互联网时代谈到的安全,本质上有哪些不同?
蒋旭宪:这也是我们最近在不断反思的一个问题,就是从PC时代到区块链时代,安全的概念有没有发生变化?
在PC时代,更多的可能是主机安全和网站服务器的安全。最开始的时候服务器各端口都是打开的,现在服务器的大部分不必要的端口都会关掉,这是一种安全方面的发展。
到了移动互联网时代,在上述基础上又多了一些非常独特的安全场景,比如在数据的隐私保护上。因为手机里有各种传感器,包括GPS、通讯录、录音、运动数据等。所以欧盟有个GDPR法案(《通用数据保护条例》(General Data Protection Regulation,简称GDPR)),就是针对移动互联网的个人数据的隐私保护提出来的。
而区块链又是一个非常独特的不一样时代,因为它相当于把用户的数字资产或者是钱直接放到了链上,所以在安全和隐私保护上跟前者都不一样,可以说是提出了更高的要求。
一方面是一旦发生安全问题,造成的后果相当严重,比如之前的美链BEC的漏洞,被爆出后整个近70亿市值断崖式下跌。
而另一方面是数字资产本身也有隐私保护上的需求, 但同时这会带来另一个新问题。比如去年的WannaCry大行其道,它利用数字资产隐私保护的匿名性控制加密了好多数据,然后做了一个勒索软件,直接进行比特币或其他币种的勒索。这在以前是不太可能实现的。这一点带来的威胁也是非常值得思考的。
区块链大本营:这样看来,安全是否会成为阻碍区块链发展的一个因素?
蒋旭宪:是的。这里我想说一下,互联网的思维模式,包括产品的快速迭代和小步快跑,这一思维在区块链行业不仅不适用,而且有害。相反,更多的应该是从开始的时候就把安全考虑进去。如果能做到,我并不认为安全是区块链发展的阻碍,只是说整个生态的要求已经不一样了。
区块链大本营:你认为区块链安全的发展,会经历哪几个阶段?
蒋旭宪:按照我的理解,我认为会经历三个阶段。
第一个阶段是无知阶段,就是大家都意识不到安全问题的存在。比如去年下半年ICO特别疯狂,甚至包括某些基于POW的小公链存在51%算力攻击,但大家都忽视了。
第二个阶段是唤醒阶段。唤醒最多的肯定是项目方,他们被唤醒了;你看现在各大交易所和项目方的智能合约还是时常被攻击或曝出安全漏洞,这也提醒我们正处在这个阶段。
第三个阶段就是警觉阶段。区块链相关企业会主动意识到安全问题的重要性, 主动的去找安全解决方案。当然,安全问题最好还是由专业的安全公司来提供服务,帮助主链的设计、审计项目方的智能合约、和提升交易所和矿池的安全等。
区块链大本营:现在很多人有种恐惧,就是很担心安全会变成一个「道高一尺魔高一丈」的状态,修复一个漏洞,就会迎来一个新的攻击,你怎么看?
蒋旭宪:我认为这样的看法过于悲观。安全的提升少不了攻防的阶段,在安全的很多领域中,包括漏洞的挖掘、利用和预防,本质上来说都是攻防问题。我认为我们现在正在往好的方向走,大家不该因为安全问题对区块链失去信心,因为区块链本身是要建立共识和信任机制,而安全问题是基石。安全问题的曝光和解决,也会推动行业的进步。
被忽略的攻击重灾区
区块链安全:从安全角度,你怎么看待如今的两大主链以太坊和EOS?
蒋旭宪:如果我们看一下以太坊的发展历程,应该是在2016年4、5月份到10月份之间,遭受了影响比较大的安全攻击。一个就是TheDao智能合约的安全漏洞,引起了整个以太坊的硬分叉;之后在2016年的7、8月份,又发生了所谓的以太坊主链的拒绝服务攻击。我认为主要是那个时候以太坊gas的设计还不是很完备,有人可以用很低的成本创建成百上千链上的以太坊账号,引起巨大的资源浪费。其间社区也推出了包括EIP150和Spurious Dragon等基于硬分叉的解决方案。
整个过程花了以太坊核心团队和社区大约5个月的实践才走出这种低谷。我认为这个过程考验了整个社区的核心开发团队,对它的长远发展有很大的帮助,证明了这个平台在安全事故发生的时候有自愈能力。包括基金会、核心开发成员、社区等各个环节,是有生命力的。
而EOS刚刚建成,公开暴露的问题可能相对还比较少。我们在4月中旬也分析过EOS,它本身有主网映射过低的问题,这也是反映出了EOS的社群里面,有EOS token的用户参与度可能不高。 这在EOS主网上线后投票不积极也是得到了验证。
在社区治理方式上EOS采用的是DPoS机制,但这个机制是否有效,我认为还有待观察。另外,之前EOS漏洞的Bounty Program,开始的时期是每个高危漏洞1万美元,但现在降到100美元。这也从一个侧面反映出EOS团队对于安全的态度,应该引起思考。
区块链大本营:你之前说区块链的安全问题已渗透到各个环节,不过现在被爆出来的经常是合约漏洞,除合约之外,还有哪些安全问题的高发区?
蒋旭宪:我们把这个问题分为横向和纵向来看。
横向包括:
- 交易所;
- 矿池;
- 钱包;
- 合约;
- 分布式应用。
这些环节里智能合约爆出的问题比较多,包括BEC、EDU等。交易所每半年不到的时间就会有一次大的攻击被曝出来,矿池的问题大多来自51%攻击,比如比特黄金。由于现在很多链开始从PoW向PoS或DPoS转型,过去用于挖矿的那些矿机就没有了用武之地,有些算力租用服务可能会被用来做别的用途,比如51%攻击。所以我预计,横向维度里的安全问题会更多发。
纵向维度包括:
- 基础设施;
- 数据层;
- 网络层;
- 共识层;
- 激励层;
- 合约层;
- 业务层。
现在75%的攻击来自于合约层和业务层。但是如果往更底层看,比如共识和算法攻击,包括P2P网络节点和加密算法,这些问题会影响整个生态。比如最近曝出的以太坊「致命报文」漏洞,攻击者通过发送一个恶意报文即可向有漏洞geth节点发动攻击,可瞬间导致以太坊三分之二的节点停摆。
区块链大本营:面对这样的情况,开发者应该怎么做?
蒋旭宪:开发者看到这么多不安全因素可能会觉得无所适从,其实也没那么复杂。首先是在项目推进的时候,要重视上链前安全审计的必要性,俗话说磨刀不误砍柴工嘛;其次也要做好应急响应计划;最后,如果可以,尽量要基于大的公链去做。
最新热文:
- 20行代码,带你了解未来颠覆性的工作模式
- 80万年薪挖不来一个区块链工程师的背后,传统IT人转型意愿高达80%,转型潮却远未到来...
- 以太坊爆发空前燃料危机,交易费高达5862个ETH,罪魁祸首竟是FCoin!
- 两年洗钱80亿,交易所是黑客洗钱幕后推手还是受害者?