“智能合约的安全级别主要取决于两个因素:内部风险和外部风险。其中内部风险主要表现为合约自身的逻辑复杂度,外部风险主要表现为合约与第三方合约的交互程度。”
两段历史
2020年8月,以太坊刚刚公布了Eth2.0信标链测试网的质押合约地址,整个加密货币行业开始热议“Eth2.0信标链是否会带动一次新的staking业务以及DeFi发展”。
此时,在以太坊魔术师论坛里,一篇名为《以太坊2.0抵押协议的修改提议》文章出现了,文中提议:以太坊2.0的抵押方式可以通过新型稳定币抵押并发放荣誉NFT来调整,以增加抵押者的抵押动机和规避流动风险。
这篇文章的作者分别是,周朝晖、张华、谭粤飞。
这一提议得到了社区开发者的热烈讨论,巧合的是,负责以太坊EIP审核的MicahZoltu详细分析了文章,并看到了文章中关于利用以太坊存储链上图片的改进提案EIP-2569,从此,以太坊ERC协议层中便多了一个图像存储协议ERC-2569。
经济日报:央行数字货币未来可期:金色财经报道,数字货币正成为全球金融发展的大趋势。截至目前,已有110多个国家和地区在不同程度上开展了央行数字货币相关工作。与传统支付相比,央行推行数字货币的好处显而易见。首先,能够降低成本、提高效率。其次,提升普惠金融水平。再次,提升货币政策效用。对于中国而言,未来数字人民币发展可以大力发挥国家背书、央行发行等核心竞争优势。(经济日报)[2022/2/28 10:20:16]
时间退回到2019年7月,在北京举办的以太坊开发者大会上,谭粤飞在周朝晖老师的介绍下结识了张华,通过沟通,发现了张华对各个流行的区块链系统都有深刻的理解并精通各种区块链系统中智能合约和DApp的开发。
三人志同道合。随后在周朝晖老师的带领下一同创建了DAO项目DAIsm,而DAIsm就是上文Eth2.0信标链文章的主要提议者。在DAIsm,三人在周老师的带领下完成了各类的智能合约以及DeFi、DApp的开发。
一个起点
ERC-2569是周朝晖老师提出,张华和谭粤飞深度参与的。这是一个提议利用SVG图像格式在以太坊上存储图像文件的EIP协议,而这个协议因为其创新特性,最终成为了ERC协议。
经济日报:长沙开展以“5G+人工智能+区块链”为特征的企业智能化改造:12月9日,经济日报刊文称,长沙工程机械行业目前存在主机强、配套弱,有平台、缺人才,有链条、缺协同的短板。面对新一轮的竞争“制高点”,长沙紧扣技术创新关键词,鼓励龙头企业抢抓产业数字化、数字产业化和新基建赋予的机遇,开展以“5G+人工智能+区块链”为主要特征的企业智能化改造,推动互联网、大数据等新一代信息技术与工程机械产业深度融合,持续提升产业智能化生产水平。在龙头企业引领下,形成产业链上下游共同创新的局面,最终实现技术自立。[2020/12/9 14:38:49]
该协议可以将SVG图片永久存储在以太坊上,为同质化通证和非同质化通证中涉及的图标、图片存储提出了链上存储的解决方案。这是第一个由境内的团队创建并被以太坊收录的标准。
因为很早就开始接触并共同参与以太坊相关项目的深度开发。在合作过程中,谭粤飞和张华对彼此都有了很深的了解和认同,并因此形成了密切的合作关系,构建了这个团队的雏形。
声音 | 经济日报:积极推进区块链等与实体经济深度融合:2月22日,经济日报刊文“高级化+现代化推动制造业高质量发展”。文章表示,要提升产业链融合水平。智能化引领产业链融合创新,加速传统制造业数字化转型,加快优化智能制造产业生态,以产业链智能化、高端化转型升级拓展制造业换道超车的机遇和空间。密切关注区块链技术发展趋势,积极推进区块链、互联网、大数据、人工智能等与实体经济深度融合,推动产业链供应链在组织、平台、业态、模式及至市场、服务等的突破式、重构式创新。[2020/2/22]
自此,两人开始密切关注以太坊生态的各种动向,深入研究以太坊的各种技术,尤其是Solidity和Vyper开发及智能合约安全技术。
此后,两人还继续参与了一批DeFi项目的设计、构架及编码,对DEX、DAO、借贷、稳定币等合约的架构、实现、常见问题等都有丰富的经验。
值得一提的是,在2019年当Vyper语言刚兴起时,两人就开始用Vyper语言进行实践,并在深圳大学的区块链课程上向学生们介绍了Vyper语言。这在以太坊社区乃至加密货币社区里都是少有的实践。
声音 | 经济日报评论:多家上市公司因“涉链”被问询:5月30日,针对“近日多家上市公司因涉及区块链业务收到监管函”一事,经济日报发表评论称,去年上半年不少上市公司就发布公告称要进军区块链。结果,业务进展没多少,多家“涉链”上市公司就迎来了一轮股价上涨。不过,涨得快跌得也快。随后不久,多家公司股价冲高回落,留下一地鸡毛。因此,交易所对“区块链”谨慎不无道理。整体看,监管部门针对区块链的问询主要集中在区块链技术的营业收入情况以及对主营业务的影响方面。从回复情况看,大多上市公司还处于探索起步阶段,缺乏相应的应用场景,也未产生营业收入,对公司业绩影响也具有较大不确定性。因此,投资者要谨慎看待所谓“涉链”概念。[2019/5/30]
2020年6月Compound发行治理通证掀起DeFi大潮后,两人敏锐地关注到DeFi应用的崛起会对业界尤其是安全领域带来巨大的挑战。因此便开始深入研究各个流行DeFi项目的源代码,跟踪每一次DeFi领域的重大事故,分析事故的原因,找到应对的解决方案,并在这个过程中积累了丰富的经验。
比特币矿企Marathon Digital二季度开采707个比特币 持有量增加到10,055 枚:金色财经消息,比特币矿企Marathon Digital (MARA) 第二季度产出707枚比特币,比一年前的第二季度增长了 8%,但低于第一季度开采的 1,259 个。原因是“运营障碍”,包括维护问题和为该公司的Hardin、MT 钻机供电的发电厂的严重风暴,以及德克萨斯州近30,000 台已安装矿机的供电持续延迟。
此外,Marathon自2020年10月以来一直没有售出比特币,现其持有的比特币已增至10055枚,公允市值为1.989亿美元。(Coindesk)[2022/7/8 1:59:13]
这些过往,成为了灵踪安全的起点。
从技术极客向审计者的角色转变
在DeFi不断发展的今天及未来,安全事故发生的频率必定越来越高,这在原本只是“技术爱好者”的两位看来是一个难得的契机,终于可以把自己的经验及技能付诸于项目了。
基于既有经验,他们为零踪安全设计了这样的审计过程。
据谭粤飞介绍,灵踪安全目前的主要审查技术包括两部分:
一是用自研发的系统工具对合约进行标准化审查;
二是工程师根据项目白皮书及描述对代码编写的逻辑和一些常见的风险进行审查。
工具的自动审查主要审查常见的代码漏洞;人工复审主要从逻辑层面分析代码的实现是否符合白皮书或项目简介中介绍的逻辑,以及代码实现的运行结果是否符合项目期望的结果。
在灵踪安全团队看来,智能合约的安全级别主要取决于两个因素:内部风险和外部风险。其中内部风险主要表现为合约自身的逻辑复杂度;外部风险主要表现为合约与第三方合约的交互程度。
“如果合约自身的逻辑复杂则牵涉的代码实现就复杂,需要理清的逻辑就繁杂,这里面就不可避免的会出现疏漏之处和潜藏的问题,这也就预示着合约本身的内部风险较大。如果合约与第三方合约交互频繁并且交互的合约众多,则引入的外部风险的可能性就较大。”谭粤飞解释到。
所以安全机构审查逻辑时会根据项目本身的运行机制核对代码的实现逻辑,以及审查代码的实现逻辑是否匹配项目期望的逻辑?能否达到项目预期的结果?是否会出现意料之外的行进路线?
这需要对代码实现有深刻的理解以及与项目团队的密切沟通。
审计的世界
谭粤飞对金色财经记者解释到:“现在DeFi乐高游戏堆叠得越来越复杂、合约的内部实现也越来越复杂、本合约与外部合约相互之间的关联和交互越来越紧密、频繁,就此合约的安全风险问题就会越来越突出,比如近日发生的YearnFinance由于内部价格的逻辑问题而被攻击就是一个典型。”
因此,对于代码审查技术,灵踪团队认为,无论是用工具审查还是人工审查,归根到底都可以归结为专业和严谨。“这两方面一个是技术上的保证,另一个是态度上的保证。”
此外,从项目方来或交易所的角度来看,决定项目安全级别的根本要素来源于专业度、态度以及团队的初衷。
从灵踪安全的角度出发,目前对安全审计的概述就是:递进审核,全面覆盖。
从智能合约的设计来看,绝大部分DeFi合约出问题都出在资产转移、价格计算和权限控制上,因此可以从这些方面入手向上延展,找到这条路径上可能存在的薄弱环节加以防范。例如对闪电贷攻击的防范方法,要从预言机、账户授权上找寻方法。
专业和态度是安全的第一保障
“如果我们只是本着把项目的代码审完,提出对方在意的问题,而不为项目方更深远的考虑,机械的工作,是无法体现优势的。”谭粤飞说到,所以灵踪安全团队一直秉承着为项目方多想一步的态度。
对于灵踪安全来说,进入这个行业最大的优势就是对以太坊的了解、对智能合约的熟悉和对各类安全事故的精研以及理解。
灵踪安全团队描述到,因为技术的进步,早期出现的一些合约设计问题已经出现较少了,但重要的是对代码细节的打磨,例如对比Uniswap和其他DEX的代码,就能发现Uniswap在代码的编写上尤为细致,而大部分DEX代码则较为粗糙。
此外,项目方团队要尤其注意授权的设计。如果从代码审计的角度上看,有高级权限的存在会留下“后门”被操控的风险,但如果项目可以有效的通过去中心化治理来管理高级权限,例如将高级权限转交给DAO或多签钱包来则是可行的。
因此,在这个过程里不仅要有专业经验,还要有多样化的理解,例如上文提到的“高级权限”这些漏洞不仅是从代码去看,还要通过团队未来的规划去评定。
谭粤飞还表示:“如果团队的初衷是为用户奉上一份有价值的产品和服务,一定会像珍宝一样珍视自己的代码,小心地呵护它,在此基础上如果团队还有专业的积累和经验的沉淀就能主动避开各种常见的隐患和潜藏的问题,最后团队的严谨态度是对合约最后的把关。有了严谨的态度,团队对自己的产品一定会慎之又慎,反复打磨。”
灵踪安全的未来
DeFi发展迅猛,安全审计的市场还远达不到饱和。近来Heco大热,灵踪安全也在积极研究Heco和其链上的各种项目,并对TVL巨大的众多项目与业界同仁、Heco官方进行了深入探讨,积累了相当多的经验,以此,已为服务Heco上的项目团队打下坚实的基础。
在不断吸引人才的基础上,灵踪安全将布局所有对区块链生态有利的安全审计业务。但在DeFi火热的当下,团队的主要精力仍会聚焦于项目服务上,确保项目的合约安全和用户的资产安全,为中国领跑全球贡献自己的力量。
安全是金融发展的绝对前提,更是加密货币发展的绝对前提。2020年,整个DeFi赛道完成了数十倍的体量增长。DeFi等应用顺利发展实现的同时,更是代码安全的体现。留给灵踪安全的,是加密货币未来的星辰大海。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。