“智能合約的安全級別主要取決于兩個因素:內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度,外部風險主要表現為合約與第三方合約的交互程度。”
2020年8月,以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址,整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。
此時,在以太坊魔術師論壇里,一篇名為《以太坊2.0抵押協議的修改提議》文章出現了,文中提議:以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整,以增加抵押者的抵押動機和規避流動風險。
這篇文章的作者分別是,周朝暉、張華、譚粵飛。
這一提議得到了社區開發者的熱烈討論,巧合的是,負責以太坊EIP審核的Micah Zoltu詳細分析了文章,并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569,從此,以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。
時間退回到2019年7月,在北京舉辦的以太坊開發者大會上,譚粵飛在周朝暉老師的介紹下結識了張華,通過溝通,發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。
灰度GBTC負溢價率收窄至36.60%,半年收回超25%:6月21日消息,據Coinglass數據顯示,當前灰度總持倉量達213.06億美元,單日漲幅5.21%。灰度GBTC負溢價率收窄至36.60%,較2022年12月觀測到的最高點(48.89%)已收回約25.13%。其余主流幣種信托溢價率如下,ETH:-52.76%;ETC:-59.97%;LTC:-44.33%;BCH:-15.05%。[2023/6/21 21:51:26]
三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm,而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm,三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。
ERC-2569是周朝暉老師提出,張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議,而這個協議因為其創新特性,最終成為了ERC協議。
該協議可以將SVG圖片永久存儲在以太坊上,為同質化通證(FT)和非同質化通證(NFT)中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。
派盾:Uranium Finance黑客將約335萬美元的ETH轉至Tornado Cash:金色財經報道,據派盾監測,Uranium Finance黑客時隔647天后,于今日將2250枚ETH(約335萬美元)被盜資金轉移到Tornado Cash,被盜資金似乎以USDT的形式保留了約650天。
此前2021年4月消息,BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜。[2023/3/7 12:46:10]
因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中,譚粵飛和張華對彼此都有了很深的了解和認同,并因此形成了密切的合作關系,構建了這個團隊的雛形。
自此,兩人開始密切關注以太坊生態的各種動向,深入研究以太坊的各種技術,尤其是Solidity和Vyper開發及智能合約安全技術。
此后,兩人還繼續參與了一批DeFi項目的設計、構架及編碼,對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。
中心化交易所上的加密貨幣余額已降至2018年11月以來的最低水平:11月15日消息,據CryptoQuant數據,中心化交易所(CEX)上的加密貨幣余額已降至 2018 年 11 月以來的最低水平。彭博社昨晚報道,FTX 慘敗引發交易所數十億美元資金流出。在 11 月 6 日至 11 月 13 日的一周內,用戶凈提取了價值 37 億美元的比特幣和 25 億美元的以太幣。 超過 20 億美元的穩定幣也從中心化交易所撤出。[2022/11/15 13:08:59]
值得一提的是,在2019年當Vyper語言剛興起時,兩人就開始用Vyper語言進行實踐,并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。
2020年6月Compound發行治理通證掀起DeFi大潮后,兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼,跟蹤每一次DeFi領域的重大事故,分析事故的原因,找到應對的解決方案,并在這個過程中積累了豐富的經驗。
Waves的“Waves DeFi復興計劃”獲得通過,將結束Vires Finance的流動性危機:8月2日消息,公鏈項目Waves周二宣布,Waves區塊鏈社區已以四分之三的投票支持率通過“WavesDeFi復興計劃”治理提案,以解決當前基于Waves的DeFi借貸協議ViresFinance面臨的流動性問題。作為計劃的一部分,這些鯨魚用戶現在有兩種選擇。第一種選擇是將他們的頭寸完全清算為USDN,并增加一年的歸屬期和5%的清算獎金。否則,他們可以繼續使用ViresFinance,但不會從超過250,000美元門檻的所有USDT或USDC基金中獲得收益。
此前5月底,公鏈Waves推出“WavesDeFi復興計劃”,旨在使所有Waves協議用戶避免損失,并恢復其生態系統中DeFi協議的全部功能。[2022/8/2 2:54:17]
這些過往,成為了Fairyproof Tech的起點。
在DeFi不斷發展的今天及未來,安全事故發生的頻率必定越來越高,這在原本只是“技術愛好者”的兩位看來是一個難得的契機,終于可以把自己的經驗及技能付諸于項目了。
箭牌已為綠箭等品牌提交NFT、加密貨幣及元宇宙相關商標申請:6月28日消息,據美國律師Mike Kondoudis的推文,美國糖果公司箭牌已為其旗下綠箭(Doublemint)、ORBIT、彩虹糖(SKITTLES)、Starburst四個品牌提交NFT、加密貨幣及元宇宙相關商標申請。范圍涵蓋NFT及數字代幣、虛擬糖果及零食、用于驗證/傳輸/共享的NFT及數字貨幣和加密收藏品的軟件。[2022/6/28 1:35:58]
基于既有經驗,他們為零蹤安全設計了這樣的審計過程。
據譚粵飛介紹,Fairyproof Tech目前的主要審查技術包括兩部分:
一是用自研發的系統工具對合約進行標準化審查;
二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。
工具的自動審查主要審查常見的代碼漏洞(比如溢出、高風險的函數調用等);人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯,以及代碼實現的運行結果是否符合項目期望的結果。
在Fairyproof Tech團隊看來,智能合約的安全級別主要取決于兩個因素:內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度;外部風險主要表現為合約與第三方合約的交互程度。
“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜,需要理清的邏輯就繁雜,這里面就不可避免的會出現疏漏之處和潛藏的問題,這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多,則引入的外部風險的可能性就較大。”譚粵飛解釋到。
所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯,以及審查代碼的實現邏輯是否匹配項目期望的邏輯?能否達到項目預期的結果?是否會出現意料之外的行進路線?
這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。
譚粵飛對金色財經記者解釋到:“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁,就此合約的安全風險問題就會越來越突出,比如近日發生的Yearn Finance由于內部價格的邏輯問題而被攻擊就是一個典型。”
因此,對于代碼審查技術,靈蹤團隊認為,無論是用工具審查還是人工審查,歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證,另一個是態度上的保證。”
此外,從項目方來或交易所的角度來看,決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。
從Fairyproof Tech的角度出發,目前對安全審計的概述就是:遞進審核,全面覆蓋。
從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此可以從這些方面入手向上延展,找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法,要從預言機、賬戶授權上找尋方法。
“如果我們只是本著把項目的代碼審完,提出對方在意的問題,而不為項目方更深遠的考慮,機械的工作,是無法體現優勢的。”譚粵飛說到,所以Fairyproof Tech團隊一直秉承著為項目方多想一步的態度。
對于Fairyproof Tech來說,進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。
Fairyproof Tech團隊描述到,因為技術的進步,早期出現的一些合約設計問題已經出現較少了,但重要的是對代碼細節的打磨,例如對比Uniswap和其他DEX的代碼,就能發現Uniswap在代碼的編寫上尤為細致,而大部分DEX代碼則較為粗糙。
此外,項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看,有高級權限的存在會留下“后門”被操控的風險,但如果項目可以有效的通過去中心化治理來管理高級權限(高級權限目標是未來管理項目),例如將高級權限轉交給DAO或多簽錢包來則是可行的。
因此,在這個過程里不僅要有專業經驗,還要有多樣化的理解,例如上文提到的“高級權限”這些漏洞不僅是從代碼去看,還要通過團隊未來的規劃去評定。
譚粵飛還表示:“如果團隊的初衷是為用戶奉上一份有價值的產品和服務,一定會像珍寶一樣珍視自己的代碼,小心地呵護它,在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題,最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度,團隊對自己的產品一定會慎之又慎,反復打磨。”
DeFi發展迅猛,安全審計的市場還遠達不到飽和。近來Heco大熱,Fairyproof Tech也在積極研究Heco和其鏈上的各種項目,并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討,積累了相當多的經驗,以此,已為服務Heco上的項目團隊打下堅實的基礎。
在不斷吸引人才的基礎上,Fairyproof Tech將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下,團隊的主要精力仍會聚焦于項目服務上,確保項目的合約安全和用戶的資產安全,為中國領跑全球貢獻自己的力量。
安全是金融發展的絕對前提,更是加密貨幣發展的絕對前提。2020年,整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時,更是代碼安全的體現。留給Fairyproof Tech的,是加密貨幣未來的星辰大海。
印度加密銀行Unicas上周在新德里開設了它的第三家實體分行。前兩家分行分別位于賈姆訥格爾和齋浦爾。據報道,Unicas允許客戶訪問銀行的法幣和加密貨幣服務,并使用加密資產作為抵押提供數字貸款.
1900/1/1 0:00:00一項新的研究表明,比特幣在一天內下跌了20%,部分原因是一個鯨魚的行為。鏈上分析公司Santiment 2月23日的數據顯示,2021年比特幣第二大筆交易發生后,比特幣最低跌至46800美元.
1900/1/1 0:00:002021,加密貨幣投資是否有確定性機會?如果這個問題的答案是yes,那么我會給出兩個答案,Layer2、衍生品DEX.
1900/1/1 0:00:00CROSS由CyberVein基金會支持打造,是全球首個去中心化的NFT發行&拍賣平臺,在1月13日正式上線火幣生態鏈Heco.
1900/1/1 0:00:00《覓新》是金色財經推出的一檔區塊鏈項目觀察類項目,覆蓋行業各領域項目發展情況,具體設計到項目概況、技術進展、募資情況等,力圖為您呈現熱門新潮的項目合輯.
1900/1/1 0:00:00在債券收益率已趨于零,全球大多數央行“放水”大環境下,投資者不得不去尋找新的財富儲藏工具,當下火熱的加密貨幣比特幣成為關注焦點.
1900/1/1 0:00:00