以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

揭秘Fairyproof Tech:兩位以太坊實踐者的再次實踐_以太坊

Author:

Time:1900/1/1 0:00:00

“智能合約的安全級別主要取決于兩個因素:內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度,外部風險主要表現為合約與第三方合約的交互程度。”

2020年8月,以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址,整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。

此時,在以太坊魔術師論壇里,一篇名為《以太坊2.0抵押協議的修改提議》文章出現了,文中提議:以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整,以增加抵押者的抵押動機和規避流動風險。

這篇文章的作者分別是,周朝暉、張華、譚粵飛。

這一提議得到了社區開發者的熱烈討論,巧合的是,負責以太坊EIP審核的Micah Zoltu詳細分析了文章,并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569,從此,以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。

時間退回到2019年7月,在北京舉辦的以太坊開發者大會上,譚粵飛在周朝暉老師的介紹下結識了張華,通過溝通,發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。

LBank Labs宣布完成對Meme項目Saitama和PEPE 2.0的捐贈:據官方消息,7月19日,LBank Labs宣布旗下Meme基金,完成對Saitama和PEPE2.0項目的捐贈。這些捐贈將分別助力Saitama和PEPE2.0項目用以生態建設及社區發展。

Meme基金,是LBank Labs旗下專門用于扶持Meme生態發展的公益性基金,合計1000萬美金。所有Meme類型的項目均可向LBank Labs提出申請,符合一定要求后,均可無條件獲得Meme基金的捐贈。[2023/7/19 11:04:24]

三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm,而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm,三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。

ERC-2569是周朝暉老師提出,張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議,而這個協議因為其創新特性,最終成為了ERC協議。

Jump Trading過去一周增持MASK、LDO、LEVER和PERP:6月24日消息,據Lookonchain統計,Jump Trading在過去一周積累了MASK、LDO、LEVER和PERP。Jump Trading目前持有:159萬枚MASK(615萬美元);109萬枚LDO(211萬美元); 5.09億枚LEVER(68.6萬美元);107萬枚PERP(54.5萬美元)。[2023/6/24 21:57:42]

該協議可以將SVG圖片永久存儲在以太坊上,為同質化通證(FT)和非同質化通證(NFT)中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。

因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中,譚粵飛和張華對彼此都有了很深的了解和認同,并因此形成了密切的合作關系,構建了這個團隊的雛形。

自此,兩人開始密切關注以太坊生態的各種動向,深入研究以太坊的各種技術,尤其是Solidity和Vyper開發及智能合約安全技術。

Lookonchain:某聰明錢地址向Crypto.com存入825枚BTC:金色財經報道,Lookonchain監測數據顯示,一小時前,某聰明錢地址向Crypto.com存入了825枚BTC(價值2220萬美元)。從2021年1月18日到現在,該地址總是在低價位買入BTC,在高價位賣出。目前持有2,404.6枚BTC(價值6457萬美元),利潤約為3.3億美元。[2023/6/5 21:16:44]

此后,兩人還繼續參與了一批DeFi項目的設計、構架及編碼,對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。

值得一提的是,在2019年當Vyper語言剛興起時,兩人就開始用Vyper語言進行實踐,并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。

2020年6月Compound發行治理通證掀起DeFi大潮后,兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼,跟蹤每一次DeFi領域的重大事故,分析事故的原因,找到應對的解決方案,并在這個過程中積累了豐富的經驗。

Ark Invest旗下基金上周增持133321股Coinbase股票:2月20日消息,Ark Invest旗下基金ARKK和ARKW在2月13日至17日當周共計增持133,321股Coinbase股票(COIN )。

其中,2月13日ARKK增持102,281股Coinbase股票,2月13日ARKW增持16,414股Coinbase股票,2月14日ARKK增持11,778股Coinbase股票,ARKW增持2,848股Coinbase股票。COIN股價上周五收于65.20美元,當周漲幅為17.4%。(CoinDesk)[2023/2/20 12:17:42]

這些過往,成為了Fairyproof Tech的起點。

在DeFi不斷發展的今天及未來,安全事故發生的頻率必定越來越高,這在原本只是“技術愛好者”的兩位看來是一個難得的契機,終于可以把自己的經驗及技能付諸于項目了。

基于既有經驗,他們為零蹤安全設計了這樣的審計過程。

據譚粵飛介紹,Fairyproof Tech目前的主要審查技術包括兩部分:

Waves創始人:Power空投將只在Waves鏈上進行,USDN將作為指數代幣以去中心化方式存在:1月18日消息,公鏈項目Waves創始人Sasha Ivanov在電報群中發布聲明稱:“關于USDN的未來有一些誤解,我想澄清一下。首先,它作為穩定幣是失敗了,但沒有‘死’。事實證明,它的架構對于硬錨定的穩定幣來說是失敗的。但對于另一種有趣的金融產品,即生態系統指數,它已經足夠了。它不需要硬錨定,它只需要跟蹤選定的生態系統代幣的投資組合。我們把它作為一種穩定幣逐步淘汰,但我們把它作為一種具有新的意義和效用的新資產復活。我認為這很不尋常,但極端時期需要極端措施。我們這樣做的方式是,我們將能夠保留NSBT和SURF代幣及其激勵措施,我們也將激勵代幣持有者將他們的代幣添加到指數中。由于它不再是穩定的,它的價格不僅可以低于1美元,也可以高于1美元。我們正在準備添加新的金庫資產,首先這將是一項捐贈,之后向金庫添加新代幣的激勵措施將生效,項目將以完全去中心化的方式存在。”

此外,Ivanov在推特上表示,要想獲得Power代幣空投,需將Waves代幣從中心化交易所取出,Power代幣空投將只在Waves鏈上進行。

此前1月12日消息,Ivanov表示,將于1月至2月空投Power代幣。1月13日消息,Neutrino團隊稱,USDN正從穩定幣過渡到Waves生態系統指數代幣WIXT,將不再與1美元掛鉤。[2023/1/18 11:18:24]

一是用自研發的系統工具對合約進行標準化審查;

二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。

工具的自動審查主要審查常見的代碼漏洞(比如溢出、高風險的函數調用等);人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯,以及代碼實現的運行結果是否符合項目期望的結果。

在Fairyproof Tech團隊看來,智能合約的安全級別主要取決于兩個因素:內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度;外部風險主要表現為合約與第三方合約的交互程度。

“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜,需要理清的邏輯就繁雜,這里面就不可避免的會出現疏漏之處和潛藏的問題,這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多,則引入的外部風險的可能性就較大。”譚粵飛解釋到。

所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯,以及審查代碼的實現邏輯是否匹配項目期望的邏輯?能否達到項目預期的結果?是否會出現意料之外的行進路線?

這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。

譚粵飛對金色財經記者解釋到:“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁,就此合約的安全風險問題就會越來越突出,比如近日發生的Yearn Finance由于內部價格的邏輯問題而被攻擊就是一個典型。”

因此,對于代碼審查技術,靈蹤團隊認為,無論是用工具審查還是人工審查,歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證,另一個是態度上的保證。”

此外,從項目方來或交易所的角度來看,決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。

從Fairyproof Tech的角度出發,目前對安全審計的概述就是:遞進審核,全面覆蓋。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此可以從這些方面入手向上延展,找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法,要從預言機、賬戶授權上找尋方法。

“如果我們只是本著把項目的代碼審完,提出對方在意的問題,而不為項目方更深遠的考慮,機械的工作,是無法體現優勢的。”譚粵飛說到,所以Fairyproof Tech團隊一直秉承著為項目方多想一步的態度。

對于Fairyproof Tech來說,進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。

Fairyproof Tech團隊描述到,因為技術的進步,早期出現的一些合約設計問題已經出現較少了,但重要的是對代碼細節的打磨,例如對比Uniswap和其他DEX的代碼,就能發現Uniswap在代碼的編寫上尤為細致,而大部分DEX代碼則較為粗糙。

此外,項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看,有高級權限的存在會留下“后門”被操控的風險,但如果項目可以有效的通過去中心化治理來管理高級權限(高級權限目標是未來管理項目),例如將高級權限轉交給DAO或多簽錢包來則是可行的。

因此,在這個過程里不僅要有專業經驗,還要有多樣化的理解,例如上文提到的“高級權限”這些漏洞不僅是從代碼去看,還要通過團隊未來的規劃去評定。

譚粵飛還表示:“如果團隊的初衷是為用戶奉上一份有價值的產品和服務,一定會像珍寶一樣珍視自己的代碼,小心地呵護它,在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題,最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度,團隊對自己的產品一定會慎之又慎,反復打磨。”

DeFi發展迅猛,安全審計的市場還遠達不到飽和。近來Heco大熱,Fairyproof Tech也在積極研究Heco和其鏈上的各種項目,并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討,積累了相當多的經驗,以此,已為服務Heco上的項目團隊打下堅實的基礎。

在不斷吸引人才的基礎上,Fairyproof Tech將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下,團隊的主要精力仍會聚焦于項目服務上,確保項目的合約安全和用戶的資產安全,為中國領跑全球貢獻自己的力量。

安全是金融發展的絕對前提,更是加密貨幣發展的絕對前提。2020年,整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時,更是代碼安全的體現。留給Fairyproof Tech的,是加密貨幣未來的星辰大海。

Tags:以太坊EFIDEFIDEF以太坊交易所幣種有哪些DefisPyrrho DeFiHyperDeflate

加密貨幣
真正的加密貨幣第一股 Coinbase的硅谷8年_COIN

靴子落地,2 月 25 日,美國最大加密貨幣交易平臺 Coinbase 向美國證監會 SEC 提交 S-1 上市注冊文件,股票代碼為 COIN.

1900/1/1 0:00:00
看看兩會上關于“數字人民幣”的提案_數字人

2021年全國兩會正在進行,各式各樣的提案被頂上熱搜,而關于數字人民幣各人大代表們都有一些什么建議呢?推進數字人民幣跨境支付應用全國政協委員、東亞銀行聯席行政總裁李民斌日前表示.

1900/1/1 0:00:00
覓新|Reflexer:專為DeFi構建的加密原生穩定幣_RAI

普通人的感覺是數字貨幣非常不穩定。雖然對于許多人來說的確如此,但有些代幣旨在降低波動性或穩定性,通常它們被稱為穩定幣.

1900/1/1 0:00:00
對話佳士得藝術專家:什么是 NFT 藝術品拍賣?_NFT

Beeple,“EVERYDAYS: THE FIRST 5000 DAYS”,這是佳士得拍賣行發行的第一批純數字藝術作品(NFT).

1900/1/1 0:00:00
Arbitrum Rollup的工作原理_ARB

此前我發過一篇文章比較 Arbitrum Rollup 和其他 rollup 解決方案。但是沒有細說 Arbitrum Rollup 的工作原理,所以本文將詳細介紹 Arbitrum.

1900/1/1 0:00:00
“治理民主”波卡VS以太坊:EIP1559生死難料 以太坊民主危局_比特幣

1739年,蘇格蘭哲學家休謨(David Hume)寫道,公民政府的起源,是因為“人們無法從根本上救治自己或他人的靈魂之狹隘,(這種狹隘)導致人們舍遠圖近”.

1900/1/1 0:00:00
ads