文｜Ray

(資料圖片僅供參考)

編輯｜真梓

36氪獲悉，聚焦區塊鏈架構安全的「BlockSec」近日已完成天使+輪融資。本輪融資由綠洲資本和經緯創投共同領投，Mirana Ventures （Bybit投資合伙人）、CoinSummer和YM Capital跟投，融資金額將近5000萬人民幣。

從行業來看，同傳統銀行業一樣，區塊鏈世界的基本單位也是一個個有著不同余額的賬戶，用戶可以在不同賬戶間手動進行轉賬交易。而隨著ETH等新型區塊鏈技術的普及，智能合約這種通過執行開源代碼自動化進行轉賬交易的技術，也受到開發者和用戶的廣泛關注。智能合約具備去中心化的特性，因而會更受一些用戶信賴，比如對于三個人共享的某個公用賬戶，智能合約可以規定至少要三個人中的兩個人簽名同意，才能將公用賬戶中的錢轉出，而確認簽名的這一步，是通過運行代碼自動執行的，不需要依賴諸如銀行的第三方進行。

但另一方面，智能合約本身的安全性需要開發者們高度重視。因為智能合約的開源特性，黑客同樣可以看到智能合約的代碼，如果代碼中有漏洞，黑客將進行攻擊從而獲利。因此，圍繞這一方向的區塊鏈安全公司也應運而生。36氪近日接觸到的BlockSec，正是一家區塊鏈安全公司，當前業務主要圍繞智能合約安全展開。

談及智能合約安全，BlockSec聯合創始人周亞金表示，以智能合約的上鏈部署時間為劃分點，部署前BlockSec提供智能合約的代碼審計服務，而部署之后，則會進行區塊鏈數據的實時監控，一旦發現攻擊行為，則會進行相應的攻擊阻斷與追損。

對于智能合約的代碼審計，周亞金介紹當前業界也有不同達成目標的方式。其中的一種手段是形式化驗證（formal verification），這種方式會事先定義好安全規則，之后證明客戶的代碼符合這些規則，從而避免違反這些規則的安全漏洞。但另一方面，BlockSec發現，很多安全漏洞是與智能合約的具體業務場景有關，僅保證代碼的正確性并不能保證整個智能合約的安全性。所以在具體操作中，BlockSec會通過"攻"的思路進行代碼審計，具體技術包括Fuzzing（模糊測試）等。在落地中，由于DeFi和傳統安全的差異，BlockSec會在自動化理解DeFi語義等方面提供獨特技術，保證Fuzzing的精準性。

在代碼審計之后，通常客戶會根據BlockSec公司的建議，進行多輪的代碼修改與再審計，在達到安全標準后，智能合約會被部署到區塊鏈中。此時，智能合約的代碼將對所有人可見并被用戶執行。與此同時，BlockSec將會監控那些待定交易（pending transaction），如果發現有疑似黑客攻擊的交易，就會進行攻擊阻斷。此時，BlockSec會向區塊鏈世界申請執行一筆避險交易，把智能合約地址中的余額轉到另一個安全的地址中，以此來防止黑客盜取資金。對于客戶來講，這時就會上演“生死時速”，如果黑客的交易先被執行，那么資金可能就會歸黑客所有。BlockSec會采取相應的技術手段，一方面盡早發現攻擊行為，另一方面加速避險交易的執行速度，來保證客戶資金安全。在最壞的情況下，用戶的資金已經被轉給黑客后，BlockSec公司的追損服務，通過分析鏈上數據，追蹤黑客的資金鏈，如果發現黑客的資金流向交易所，BlockSec公司會迅速與警方、與相應的交易所平臺進行協商，提供證據，并爭取凍結黑客資金，從而追回損失。

公司介紹，BlockSec的攻擊阻斷系統已經成功阻斷了數次黑客攻擊。比如此前Saddle Finance遭受黑客攻擊之時，BlockSec發出預警并成功阻斷該攻擊。截止目前，BlockSec已經為包括Saddle、HomeDao等多個項目方挽回了超過500萬美元的資產。

談到收費模式，周亞金表示，代碼審計的部分通常是根據項目大小，按次收費。而智能合約部署后，數據監控的部分則會采取訂閱制，比如按年收費。而對于追損服務，在訂閱制之外，同時會根據追回金額的多少，按百分點收取費用。從創立開始，BlockSec就已經實現了盈利。

針對市場前景與市場的成長速度，周亞金表示，智能合約依然處于高速發展的階段，智能合約的數量與體量也會越來越大，因此對審計服務的需求也會更多。在智能合約的整個生命周期中，會有多次修改與升級，因此也需要多次審計。此外，一些項目方也會邀請多家審計公司對同一份代碼進行審計，從而最大程度保證安全性。目前專注智能合約安全審計和區塊鏈安全服務的公司還有Certik等。而數據監控與追損服務，也會隨著交易數與交易量的增加，變得更有挑戰與更具市場前景。DappRadar發布報告稱，在2022年第一季度，活躍的區塊鏈分布式應用（Dapp）的地址數達到了238萬個，與此同時，在這一季度被盜取的資金量高達12億美元。這也體現了Dapp對安全性的切實需求。

團隊方面，BlockSec兩位聯合創始人——周亞?博?與吳磊博?，都于美國北卡州??學取得博?學位，目前分別是浙江大學的教授與副教授。兩人自2018年起，在學術界進行了多年區塊鏈安全研究。此外，兩人也曾擔任奇?360?級安全研究員。整體來看，BlockSec的團隊成員，不僅來自計算機領域，同時也有金融、數學等不同背景的專家，他們會針對具體的業務場景進行人工分析，其科研背景可以緊跟業界前沿動態，也可以從金融、數學等多角度，在鏈上與鏈下同時為客戶提供更為全面的安全服務。

談及融資后公司下一步的打算，周亞金提到，公司團隊正在持續擴張中。當前，BlockSec看重候選人對新興事物的好奇心，有區塊鏈或者安全產品實際開發經歷。技術方面，希望候選人具備一定的安全或區塊鏈領域背景。未來，公司也計劃將業務擴大，將新的安全技術轉換成產品提供給客戶，為區塊鏈提供安全基礎架構。

關于投資：

綠洲資本表示：“數字化滲透、新技術迭代、系統復雜化所帶來的信息安全問題，催生了新一代的安全服務商。BlockSec團隊扎實的科研背景，對產業和市場需求的洞悉，為下一代互聯網安全體系提供了獨特的視角和解決方案。綠洲期待與全球化視野的BlockSec一同開拓企服數據與個人數字資產安全的全新領域。”

——————

注：36氪正在關注該領域，歡迎相關從業者添加作者Ray（WeChat：raylazy）和真梓（WeChat：315159284）交流。