首發 | 區塊鏈安全何去何從？CertiK為你在線答疑_ERT

北京時間1月20日下午13:00，?CertiK與DuckDAO聯合舉辦AMA在線問答活動。

CertiK嘉賓——商務主管MarcoCalicchia、CertiKShield項目主管ConnieLam和產品經理AaronLeibowitz出席活動，共同探討區塊鏈安全應該何去何從。

嘉賓介紹：

1.?Limmy?——?DuckDAO社區代表

2.?ConnieLam——?CertiKShield項目主管

3.?AaronLeibowitz——?CertiK產品經理

4.?MarcoCalicchia——?CertiK商務主管

DuckDAO整理了一系列各位觀眾高質量的疑問，CertiK嘉賓為大家解答了疑問，并且分享了CertiK在區塊鏈安全領域內做出的努力和創新。

相信在屏幕前的大家也都有同樣的疑問，讓我們一起回顧本期?AMA問答活動?吧：

Limmy

我們都知道CertiK針對安全，開發了一系列的服務和產品。其中包括：CertiK預言機、CertiKShield、Skynet天網掃描系統、CertiKOS、CertiK虛擬機、DeepSEA語言及其編譯器。

可以為我們簡單介紹一下嗎？

ConnieLam

當然可以。

CertiK的去中心化安全預言機提供的安全分數可用于幫助用戶獲取安全情報，從而做出重要決策。

CertiKShield是一個基于會員資格的去中心化資產保障計劃，旨在為區塊鏈網絡上丟失或被盜的加密資產提供補償。

Skynet天網掃描系統作為一項CertiK獨立開發的最新安全工具，由靜態與動態雙重技術提供支持，并通過安全基元生成安全評分。

CertiKOS作為世界上第一個完全被驗證的并發式多核操作系統，被證明能夠完全抵御黑客攻擊。

CertiK虛擬機?(CVM)是由CertiKChain開發的智能合約平臺。可以公開智能合約和區塊鏈的安全信息，以動態方式確保區塊鏈和智能合約安全性，同時其可與以太坊虛擬機完全兼容。

DeepSEA是用于編寫可驗證智能合約的新語言，它是一種新型函數式編程語言。目前1.1版本的DeepSEA編譯器也已經正式發布。

Limmy

Beosin：Polygon鏈上LibertiVault合約遭遇攻擊:金色財經報道，據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Polygon鏈上LibertiVault合約遭遇攻擊，損失約123ETH和56,234USDT，價值約29萬美元。Beosin安全團隊正在追蹤資金流向。[2023/7/11 10:48:13]

CertiK已經對很多優秀的區塊鏈項目進行了審核。

那么如果用戶想要找到CertiK審核過的項目列表應該怎么做？CertiK審計的流程是怎樣的呢？

MarcoCalicchia

區塊鏈的核心本質之一是透明，我們的審計工作也完全貫徹這一點。

多數經過審計的項目可以在我們的安全排行榜門戶網站上進行查找：

https://certik.foundation/

CertiK的審計目標是審查項目代碼的實施情況，審核其總體設計和架構，研究其潛在的安全漏洞，發現可能危及項目的錯誤。

審核過程中特別注意以下幾個方面的考慮：

1.針對常見和不常見的攻擊載體測試智能合約。

2.評估代碼庫，以確保符合當前的最佳做法和行業標準。

3.確保合同邏輯符合客戶的規格和意圖。

4.將合同結構和執行情況與行業領軍企業發布的類似智能合約進行交叉對比。

5.對整個代碼庫進行徹底的逐行人工審查。

Limmy

我曾見過許多項目被審計過后，投資者一看到被審計就匆匆忙忙的投入項目。

但是我們都知道安全審計是一個持續的過程，那么在這個過程中，人工審計是否重要呢？

AaronLeibowitz

這是一個很好的問題。

人工審計是非常重要的。

許多漏洞都集中在業務邏輯的漏洞上，而這些信息是自動代碼審查無法捕捉到的。

一個優秀的審計過程必然需要理解業務邏輯并對代碼進行徹底的人工審計。

人工審計也是優秀安全審計師和普通審計師的最大區別。

Limmy

關于CertiK安全預言機，你們是直接與Chainlink這樣的去中心化預言機網絡競爭，還是有可能合作或是利用彼此的優勢？

Octopus Network推出2.0版本，計劃實現Restaking和NEAR IBC Port功能:4月17日消息，Near生態多鏈網絡Octopus Network推出2.0版本，計劃在第二季度推出NEAR IBCPort，實現與Cosmos鏈的連接，支持跨鏈資產轉移。在第三季度上線NEARRestaking，為Cosmos鏈提供共享安全服務。

此前報道，Octopus Network的40%核心團隊成員離職，團隊代幣激勵無限期暫停。該措施旨在讓Octopus Network度過加密冬天，團隊將以Near和IBC作為重點建設的戰略基石。[2023/4/17 14:07:54]

ConnieLam

我們先來看一下預言機是什么。

你可以把預言機看作是全球安全專家的共識。

他們分析和評估智能合約的源代碼，從而實現對合約安全性的審查。

MarcoCalicchia

簡單的對Chainlink和CertiK進行區分的話：

Chainlink是一個去中心化針對價格數據的預言機，而CertiK的的預言機是為安全服務的，它所體現的數據是安全洞察。

打個比方，對于電動轎車來說，大家都會選擇特斯拉，是因為豐田不做電動車嗎？

不是，只是因為特斯拉這個名字代表的就是電動轎車。

而CertiK同樣，作為以安全為核心的安全公司，安全體現在CertiK每一項業務的方方面面。

AaronLeibowitz

CertiK基金會的使命是通過推動采用可證明的安全軟件從而讓區塊鏈得到用戶的信任。

我們鼓勵所有期望為區塊鏈安全生態出力的人才加入CertiK團隊，一起為提高整個區塊鏈領域的安全標準而努力。

Limmy

當CertiK獲取安全數據時，是否有與其他大型專業審計公司合作的計劃，像普華永道、畢馬威等？

還是說這些實體參與這個領域還為時過早？

AaronLeibowitz

這個問題問得很好。

我們曾與四大公司之一進行過商談。

他們的審計部門當時還沒有為區塊鏈領域做好準備。

這些大型的審計公司目前依舊專注于機構及私人的金融狀況，但我們專注于去中心化世界。

zkSync呼吁開發者就其技術文檔提供改善反饋:9月25日消息，Layer2擴容項目zkSync官方發推稱，由于距離zkSync 2.0主網啟動的時間已越來越近，為了提供更好的開發支持，希望開發者們就其技術文檔的檢索便捷性、完整性、可讀性等多個方面提供全面的建議與反饋。[2022/9/25 7:19:45]

Limmy

CertiK領先于競爭對手的一些關鍵功能是什么？

平臺的競爭優勢是什么？

ConnieLam

CertiK的端到端安全和業內領先的安全技術為區塊鏈項目提供了唯一且全面的安全解決方案，出具的審計報告被大多數交易所所認可。

MarcoCalicchia

我們的三步流程可以全方位保護項目方的資產：

1.在部署前，針對項目進行全方位的審計。

2.在合約上鏈交互時，安全預言機為其提供動態監控。

3.以防任何意外發生，CertiKShield隨時可為項目提供靈活的保障。

Limmy

如何保持安全認證者內部的去中心化？

一個新的安全認證者可以由其他驗證者投票加入。同樣，也可以通過安全認證者的投票來移除一個安全認證者。

那么第一批安全認證者是如何被選中的？他們是CertiK基金會的一部分嗎？

AaronLeibowitz

安全認證者的權力下放將通過三種主要方法實現。

一、必須通過鏈上治理進行認證者投票及刪除。

這個過程中，認證者的投票權重是由股權價值決定的。這也保證了認證者不會偏離鏈的根本利益。

其次，在其他認證者一致同意的情況下，會根據認證者的能力和貢獻，以及鏈上的需求，進行認證者的刪除和添加。這可以保證各認證者之間的平衡。

第三，隨著形式化驗證技術的發展，以及與CertiKChain的整合。

安全治理將越來越多地被擴展引入，以補充甚至取代認證者的人工操作，可以大大提高認證者的工作質量和效率。

首批安全認證師是基金會根據該組織對基金會和產業鏈的參與度和貢獻度，以及未來可能做出的貢獻來選擇的。

他們中的一些人也可能同時擔任基金會董事會的職位。

Limmy

數據：9月迄今STEPN月活用戶量不足3萬，連續四個月呈下降趨勢:金色財經報道，據Dune Analytics數據顯示，9月迄今STEPN月活用戶量出現大幅下降，截至目前為27,850個。歷史數據顯示，STEPN月活用戶量最高出現在2022年5月，當月的月活用戶量為702,649個，但之后該指標每月都在走低。此外，本文撰寫時STEPN已鑄造的虛擬數字鞋數量為735,342雙，總用戶量為488,067個。[2022/9/12 13:24:28]

當CertiKShield會員因合約失誤而蒙受損失，想要獲得賠償時，需要提交一份理賠提案。

如果這個會員是非技術性的，在對這個損失發生的原因一無所知的情況下，怎么能提出有根據的索賠呢？會很容易被拒絕索賠嗎？

ConnieLam

CertiKShield并不要求會員提交理賠提案時詳細說明事故的起因，安全理事會的成員負責調查以確認造成損失的主要原因。

但理賠提案必須提出可以證明其損失的有力證據。

當然，在事件發生時，必須是在你所購買的CertiKShield時間期限內。

Limmy

能否詳細說明CertiKOS的創新？

今天有哪些人在使用CertiKOS，你認為這項技術將會對我們產生什么深遠的影響？

ConnieLam

CertiKOS最初是由我們的創始人在耶魯大學開發的。

目前它是世界上第一個，也是唯一一個通用并發操作系統和管理程序，它的安全性和正確性得到了完全的驗證。

CertiKOS從數學層面上保證了操作系統的無缺陷狀態和功能，使其免受基于軟件缺陷的攻擊。

它已經在自動駕駛汽車、無人機、認證驗證等學術、政府和商業場景中投入使用。

當然，它也一直運用于CertiKChain，并將能夠服務于其他區塊鏈。

如DeepSpec和并發認證抽象層，CertiKOS背后的方法論已經被廣泛采用。

它創造了許多認證系統軟件，如認證KVM管理程序、認證CPU固件、認證飛地、認證文件系統等。

當然，還有認證區塊鏈軟件。

這些都是真正的突破性技術，將引起世界計算基礎設施的可信度、安全性和動力的格局的飛躍式發展。

Limmy

韓國互聯網與安全局計劃在今年年底前制定NFT使用標準:7月19日消息，韓國互聯網與安全局(KISA)計劃在今年年底之前制定NFT使用標準。該機構的區塊鏈振興部門首席研究員Lee Kang-hyo在今日的區塊鏈Meetup會議上透露：我們正在制定一個包含NFT版權和使用范圍的標準提案，并計劃在年底前展示結果。在將真實內容數字化的過程中存在很多與版權相關的問題，我們計劃通過NFT標準草案來補充這部分內容。同時，KISA計劃將NFT標準擴展到以太坊和Klaytn等主網。（Token Post）[2022/7/19 2:23:22]

在幣安的私有網絡上分享你的項目對社區有什么影響？

CTK幣與CTKBEP20，這兩個網絡的成交量如何？

AaronLeibowitz

幣安社區為CertiK帶來了越來越多的優秀人才，促使更多的優秀項目與我們進行合作。

相當于CTK的BEP20增加了額外的一層靈活性、實用性和開放性，CTK暫時還做不到這一點。

Limmy

區塊鏈的開源、透明性，無意中創造了一個容易被惡意利用代碼的環境。

能否分享一下關鍵的bug和漏洞，以及我們在部署代碼時應該注意的事項。

AaronLeibowitz

我們在2020年發現的關鍵bug分為三類。

邏輯錯誤，閃電貸和項目方欺詐。

一、邏輯錯誤只是底層代碼中的缺陷。

這些錯誤出現會導致毀滅性的后果，盡管它未必是惡意設計的。最著名的例子可能就是去年的YAMfinance事件了。

二、閃電貸允許黑客在沒有任何初始資金的情況下初始化攻擊。

通過利用閃電貸，黑客通過操縱去中心化交易所的LP代幣價格來獲利，而LP代幣價格是通過價格預言機決定的。

三、項目方欺詐是最常見的。項目方可能會故意調用智能合約的顯性或隱性后門功能來獲利。

ConnieLam

因此，我們建議：

使用強大的、被廣泛采用的模板和第三方庫來構建項目，例如openzeppelin庫。

開發代碼時，必須使用本地環境。必須檢查并執行編譯器版本和單元測試。

在部署之前，代碼都應該進行良好而徹底的測試和注釋，從而提高代碼的質量。

在testnet上先用Remix、truffle或其他廣泛采用的部署環境部署代碼，將代碼遷移到mainnet之前，要極其謹慎地檢查testnet部署。

Limmy

智能合約審計主要是查找已知的漏洞，那么如何評估潛在或是新型漏洞的風險？?

有什么實用簡單的技巧和建議可以給社區以及投資者們？

大家在投資項目時，需要注意什么樣的警示？

MarcoCalicchia

要評估漏洞的風險，必須考慮多方面的因素，包括：

1.團隊背景

2.代碼質量——在測試項目時是否采用形式化驗證？

3.項目是否依靠價格預言機確定代幣價格？——項目的經濟模型的質量、設計和執行情況。

AaronLeibowitz

我補充一下，還需要警示：

1.合約所有人是否權限過大？

2.項目是否被允許修改委托合約的地址？

3.對合約所有者進行一個快速的背景調查——是否可以找到他們在鏈上的地址或是其他信息？

4.項目的流動資金是否在一定時間內安全鎖定？

5.項目的初始資金來源？

Limmy

今天的訪談告一段落。

現在我們將開放AMA，讓各位觀眾看看是否有問題想要詢問CertiK團隊。

觀眾問答

Limmy

接下來是各位觀眾的時間。

@S4dew4

預言機網絡在使用時一般都有集中式瓶頸。

CertiK的去中心化預言機網絡是否也有集中式瓶頸？

AaronLeibowitz

正如我們上面談到的鏈式治理與強大的、去中心化的安全工程師相結合，讓我們避免了本來會面臨的集中式瓶頸。

?@Idee01

CertiK是幣安智能鏈上唯一的保險項目。

如何評價幣安生態圈對項目發展的貢獻？

在支持下，CertiK能否成為世界頂級的審計公司？

MarcoCalicchia

我們的目標必然是成為安全領域的佼佼者。

幣安實驗室的支持使得我們生態系統和項目的發展具備了更大的優勢。

@Zidan30

CertiK的網絡、社區、合作關系等拓展戰略是什么？

如何確保CertiK基金會在未來2到5年及以后的時間里，保持頂級平臺的地位，并與競爭對手保持同步？

MarcoCalicchia

目前，我們正在投入大量的時間來建設我們的去中心化社區、資金池，維護與各類企業的合作關系。

我們在發展步伐上一定會與競爭對手保持一致甚至更加超前。

我們計劃開發并組建強大的去中心化解決方案，從而引領區塊鏈安全建設。

@QuyenCao93

CTK的必要性是什么？

CTK對于CertiK來說，它的主要作用是什么？

AaronLeibowitz

CTK作為CertiKChain的原生代幣，可以用于支付審計、參與社區治理和所有鏈上活動。

關于這個問題，可以在白皮書中找到詳細解答。

@ineed688btc

CertiK有什么即將到來的重大更新嗎？

AaronLeibowitz

大家可以通過關注CertiK的官方媒體平臺賬號，來及時獲取最新更新消息。

@jlaudybell

用戶在使用CertiK服務之前需要進行KYC嗎?

MarcoCalicchia

為了讓用戶的注冊過程更加順利，我們目前沒有KYC。

@kartika84

目前區塊鏈上的智能合約開發面臨哪些問題，CertiK如何解決這些問題？

雙節點和跨鏈的區別是什么？

AaronLeibowitz

CertiK為不同的安全問題提供多種解決方案。

例如DeepSEA作為一種可證明的安全語言，在處理智能合約相關問題時，是一個非常好的解決方案。

而關于跨鏈部分，我們目前正在為該領域制定一些互操作性的安全解決方案。

@Idee01

CertiKShield為因黑客或漏洞造成的資金損失提供補償，補償資金從哪里來？

MarcoCalicchia

資金來自于CertiKShield的流動性提供者。他們質押CTK作為擔保，將資金注入CertiKShield。

流動性提供者在質押的同時可以獲得14%以上的年化收益，這會鼓勵他們持續不斷的為CertiKShield提供資金。

@aksakayak

能否提供一些關于CertiKShield的更多信息？

比如它是如何工作的，系統中需要包含哪些內容？

AaronLeibowitz

CertiKShield是一個去中心化的鏈上資金池，用于補償丟失或被盜的資產。在我們的微信公眾號，有關于CertiKShield工作原理的完整解釋。

@QuyenCao93

CertiK在2021年的計劃是什么？

MarcoCalicchia

2021年，CertiK將促使更多的區塊鏈項目使用更多的安全服務和工具，為提高整個區塊鏈生態的安全標準所作出努力。

同時，我們會和更多的業內領軍項目進行合作。

2021年，CertiK也將歡迎更多的優秀人才加入我們的團隊和社區，延續2020年的成功！

總結

在烽煙四起的加密領域，投資永遠需要規避風險。

CertiK團隊給大家提供以下幾點安全隱患防范建議，作為參考：?

首先，投資前評估自己的風險偏好和資金實力。切勿因項目火熱并且出新頻繁就在短時間內忽略自己對風險偏好的判斷以及對風險承受能力的評估。?

在投資前盡量做好項目的調研。

比如關注相關社區及媒體消息，是否有人對合約的安全性提出過質疑。兼聽不同來源的不同聲音，同時獨立思考、積極辨識消息的真實性。?

最直接的方法則是檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。

除審計以外，投資者們應學會使用安全預言機等實時安全檢測工具，做到對項目的安全情況了然于心。

最后，也需要關注項目是否購買了相關的保險計劃，評估項目的風險承受能力是否達到標準。

無論是對于投資者還是項目方。

謹慎，會在某一天給你滿意的答案。

來源：金色財經

Tags：ERTTIKcertikCERTnewlandpropertyTIK幣certik幣價

比特幣價格