TTE:智能合约审计是区块链行业安全运作的清道夫

圈内一天,圈外一年。随着区块链平台及各种应用的落地,智能合约(SmartContract)涉及的金额呈指数级增长。一直以来,智能合约的安全问题都是投资者和开发者共同关注的焦点。据报道,仅在2020年,在122起区块链黑客攻击事件中,已经导致了38亿美金的的损失。

智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议,允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约做为电子合约、去中心化仲裁和合约间交互的一个结合,会产生大量的资金往来。如果出现重大漏洞,资产损失将不可避免,甚至项目会就此彻底失去用户信任。因此,DApp需要更严谨的测试和审计。

以太坊扩容项目 Matter Labs 为 Curve 推出首个 zkSync 二层智能合约测试网:以太坊扩容项目 Matter Labs 为稳定币兑换平台 Curve 推出首个 zkSync 二层智能合约测试网「Zinc Alef」。Matter Labs 现已引入 Zinc 编程语言和对 SNARK 友好的 Zinc VM (虚拟机),并为以太坊实施了递归 PLONK 证明验证。目前,必须使用 Zinc 编程语言来编写 Zinc VM 智能合约。zkSync 二层网络中的所有合约都将能够以与以太坊主网上完全相同的方式互相调用。目前,测试网功能齐全,用户可编写智能合约并将其部署至测试网,然后对此进行本地测试,并生成智能合约执行的零知识证明。每笔交易都将导致 zkSync 测试网上的真实代币发生转移,也会反映至区块浏览器和钱包中。不过,Zinc VM 尚未集成至 zkSync core 中,Zinc 编程语言中的一些重要功能也可能会丢失。Matter Labs 将根据社区的要求优先开发该功能。另外,Matter Labs 正在与其他团队合作开发通用的以太坊二层签名标准,这将提升围绕二层合约进行交互的用户体验。此前报道,今年 6 月份,Matter Labs 在以太坊主网部署了 Layer 2 扩展工具 zkSync。[2020/10/10]

形式化验证是指用数学方法去证明系统无Bug。在以前更多见于硬件设计领域。因为硬件设计周期长,一旦生产出来就很难改动。如果直接用一台机器去做各种试验,成本是很高的。但是如果用数学去构建一台虚拟机去验证,可以做到论证充分,同时又没有太高的成本。这个过程叫做数学论证建模,也就是我们说的形式化验证。我们最近研究了一些保护我们智能合约的专业机构与项目:

YAM2.0智能合约已通过PeckShield安全审计:8月19日, 区块链安全公司PeckShield(派盾)正式宣布完成了对YAM2.0智能合约的安全审计。YAM 2.0将对YAM 1.0合约进行系统迁移工作,同时持币用户可以进行1:1的映射,为其挖矿产品的上线做必要准备工作。

PeckShield表示,经过数天的严密安全审计,我们发现YAMv2迁移合约的整体设计清晰,逻辑缜密,代码简练有效。

注:此前,备受关注的YAM1.0曾因一行代码漏洞,致使项目服务搁浅,并造成治理合约中的75万枚yCRV代币被永久锁定,而其项目代币YAM二级市场价格也在数分钟内跌落99%以上。[2020/8/19]

Penta CEO David Ritter针对EOS重大漏洞表示:智能合约虚拟机与宿主机的安全隔离至关重要:Penta公链(PNT)CEO David Ritter针对EOS被曝出的堪称“史诗级漏洞”的智能合约虚拟机安全问题表示,智能合约虚拟机是区块链平台承载商业的核心,智能合约虚拟机与宿主机的安全隔离至关重要,设计时需要考虑:

1.智能合约运行环境要容器化、沙盒化,尽量与操作系统隔离;

2.智能合约语言要采用DSL,而非通用语言,如采用函数式语言;

3.智能合约虚拟机设计要简洁明了,避免引入复杂繁琐的功能;

4.对智能合约的复杂度要有限制,递归调用、多重嵌套循环等过于复杂的合约应拒绝执行。[2018/5/29]

智能合约审计项目/公司一览

软件避免出bug的方法是测试,测试代码中其实会模拟一些输入和输出情况来保证逻辑通顺。如今DeFi正在飞速发展,相比之下,形式化验证就是加强化测试,用数学论证,保证逻辑通畅。在区块链领域,代码即法律,代码控制着我们的数字身份,控制着我们智能合约中的资金。但是智能合约要避免被黑客攻击,其安全审计又是如何进行的呢?

如今,区块链虽然仍处于早期,但其快速的发展,已经引起了越来越多的社会关注,黑客是其中一个群体。为了避免黑客事件的发生,交易所、钱包、项目方等都在智能合约安全上加大投入。围绕着智能合约安全的周边生态建设也成为投资热点。与此同时,开发人员也开始了对智能合约程序逻辑无误的探索,从源头改进形式化验证的核心,即提升数学逻辑的准确性,以求建立更为高效的区块链基础。目前OCaml、Haskell、?ternity等数学模型论证函数式编程语言已逐渐应用于区块链世界,使一些分布式分类账协议和智能合约很大程度上获得可扩展性、稳定性和容错性。在我们看来,数学逻辑论证是就是守卫DeFi或是整个区块链行业安全运作的清道夫,未来随着区块链加密行业的逐步发展和完善,数学逻辑论证将或成为其中关键。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:580ms