原文作者:PaulVeradittakit,PanteraCapital合伙人
譯者:盧江飛,鏈聞
智能合約漏洞一直是加密生態系統中最關注的問題之一,當然,這個問題在DeFi行業內也飽受批評。今年早些時候,PolyNetwork成為頭條新聞,因為在一次自稱為「白帽」黑客的智能合約攻擊中,該協議有超過6億美元的資產被盜,這表明加密行業需要圍繞智能合約探索更嚴格的安全實踐。
許多智能合約的安全工作重心都放在了「部署前審計」上,依靠經驗豐富的安全研究人員在部署前確定智能合約中需要解決的關鍵漏洞。但不幸的是,這種方法無法準確捕捉到合約部署之后出現的潛在漏洞,這些漏洞可能被惡意行為者發現,繼而威脅數百萬DeFi用戶的資金安全。
Forta?是由OpenZeppelin孵化的一個全新加密項目,可以幫助開發者在智能合約的實時執行過程中更好地識別漏洞。Forta有兩個關鍵組成部分:
Agent,它是掃描區塊鏈交易是否存在威脅、異常和其他風險的腳本,任何人都可以編寫Agent來監控智能合約或交易,隨著Agent編寫者社區規模不斷擴大,能夠有效解決不斷發展的智能合約生態系統中的潛在漏洞。
NFT借貸協議Blend新增支持Kanpai Pandas和Redacted Remilio Babies兩個NFT系列,貸款總額突破4萬枚ETH:金色財經報道,據NFT聚合交易市場Blur在社交媒體宣布,旗下NFT借貸協議Blend將在本周新增支持Kanpai Pandas和Redacted Remilio Babies兩個NFT系列。另據Dune Analytics最新數據顯示, Blend協議貸款總額已突破4萬枚 ETH,本文撰寫時達到40,131 ETH,貸款交易總量為12,534筆,獨立借款人和貸款人均超過1000個。[2023/5/23 15:19:47]
Node是運行支持Layer1或Layer2區塊鏈上Agent的服務器。當Agent檢測到智能合約出現某些問題時,Node就會會發出一個警報,該警報會存儲在IPFS中并記錄在Polygon區塊鏈上
Forta還提供了一些附加功能來增強智能合約的安全性,包括:推出讓開發人員輕松部署和管理代理的界面(FortaConnect)、提供用戶瀏覽和訂閱特定警報的工具(FortaExplorer),以及帶有混淆代碼和用于謹慎漏洞監控加密警報功能的Agent。
日本交易所Liquid于4月更名為“FTX Japan”:3月25日消息,日本加密貨幣交易所Liquid宣布,將從4月1日起更名為“FTX Japan”。據此,Liquid的現有運營商Quoin Co., Ltd.更名為FTX Japan Co., Ltd.,交易所品牌Liquid by Quoine更名為Liquid by FTX。此前今年2月份消息,FTX收購Qunoine及母公司Liquid,以向日本客戶提供產品和服務。(Coinpost)[2022/3/25 14:17:25]
截至目前,Forta已經部署了超過200個Agent來支持智能合約警報功能,例如出現異常高的gas費用、異常高的交易量、以及出現再入請求。現階段,不少知名DeFi項目已經與Forta完成集成,旨在更好地監控各種安全、財務、運營和治理風險。此外,Forta社區在Discord上的服務器成員數量已經發展到超過10,000名。
最終,通過實時檢測漏洞,Forta可以為智能合約安全提供更完整的解決方案,幫助智能合約成為為最安全、最值得信賴的技術原語,進而實現Web3安全、去中心化愿景。
新技術帶來新風險
PandaID和Conflux合作為用戶提供合規的區塊鏈服務:據官方消息,PandaID和Conflux合作為用戶提供合規的區塊鏈服務,未來產品會進一步豐富服務,支持NFT行業生態的發展。
熊貓鏈信PandaID提供基于web3.0的分布式身份認證,利用區塊鏈技術提供用戶統一的賬戶體系。PandaID構建了區塊鏈上的底層基礎設施,為NFT和元宇宙的發展提供了必要的身份認證基礎。PandaID嚴格執行NTK原則,不收集用戶姓名、地址、郵箱、ip地址和電話等個人信息;也不收集交易信息、余額,亦不存儲用戶的資產。[2021/7/9 0:39:42]
自2015年以太坊推出以來,智能合約已成為Web3技術的核心功能和特征。比特幣向我們展示了完全去中心化公共賬本是可行的,而以太坊則給我們帶來了一種完全去中心化的計算模型——在去信任和透明度方面,至少現階段而言,還沒有其他計算模型能與以太坊相媲美。得益于智能合約,開發人員能夠將自定義構建的應用程序部署到區塊鏈上,為數百個用例提供支持,如今,這些用例已發展成為價值數十億美元的生態系統,而且也成為當今大多數加密項目的核心,并推動了許多其他區塊鏈快速增長,比如Solana、BinanceSmartChain和Polkadot等。
加密貨幣交易所Bitpanda:已經解決此前遇到的技術問題:加密貨幣交易所Bitpanda發推稱,遇到了技術問題,團隊正在解決。大概半小時后,官方表示已經解決所有技術問題。對于由此造成的任何不便,深表歉意。[2020/11/26 22:15:37]
與此同時,新技術的出現不可避免地會帶來新風險。今年早些時候,PolyNetwork成為頭條新聞,因為在一次自稱為「白帽」黑客的智能合約攻擊中,該協議有超過6億美元的資產被盜。盡管黑客將資產全額歸還,但這一事件表明加密行業需要圍繞智能合約探索更嚴格的安全實踐,同時在技術方面,下一代金融系統也需要更及時的攻擊監控功能。智能合約漏洞一直是加密生態系統中最關注的問題之一,以至于「智能合約風險」已成為金融領域的一個術語,旨在描述合約執行中發生的錯誤和Bug,這些問題往往會帶來數字資產風險,也會影響人們的投資決策。
從一次性審計到提供實時安全功能
現階段,在評估智能合約安全性方面,大多數工作仍集中在審計上,比如項目方會聘請經驗豐富的智能合約開發人員來審查和測試合約,以便在項目公開發布之前識別出潛在漏洞。盡管審計對于安全的區塊鏈開發至關重要,但并非萬能的靈丹妙藥,因為不少經過審計的加密項目也都成為智能合約黑客攻擊的犧牲品,而且攻擊媒介只會在項目生命周期的后期才被發現。
Pantera Capital CEO:BTC可能在2021年8月達到50萬美元峰值:在給投資者的一封信中,Pantera Capital創始人兼首席執行官Dan Morehead預測,BTC上漲的可能性超過50%,預計2021年8月將超過50萬美元。“如果歷史重演,比特幣將在2021年8月見頂,達到533,431美元。這個價格聽起來很可笑,但我想說,比特幣上漲的幾率超過50%,而且還會大幅上漲。”(Cointelegraph)[2020/5/5]
在這種情況下,為了預防這些潛在攻擊,持續監控應用程序的狀態和安全性就顯得至關重要,甚至在智能合約完成部署之后,持續監控也應該繼續下去。在Web2領域里,這個概念被稱為「RuntimeSecurity」,對于大多數現代云托管服務來說,實時應用程序監控和警報工具已成為必備品;而在Web3領域里,考慮到應用程序的去中心化性質和智能合約模型概念相對較新,因此實施「RuntimeSecurity」難度比想象中要大得多。
Forta是一種用于Web3應用程序的全新去中心化「RuntimeSecurity」協議,能夠幫助開發人員在智能合約的實時執行過程中更好地識別漏洞,該項目由OpenZeppelin孵化,該團隊已審核了包括Compound、Maker和Augur在內的數十種加密協議。
Forta采用了什么解決方案?
Forta的去中心化實時安全解決方案基于兩個組件:
Agent:是掃描交易區塊以查找異常交易或智能合約狀態變化的腳本。
Node:是運行支持Layer1或Layer2區塊鏈上Agent的服務器。
如果Agent檢測到特別可疑的事件或狀態變化,Node會發出公共警報,該警報存儲在IPFS上并記錄在Polygon區塊鏈上。
值得注意的是,任何人都可以開發Agent并在Forta上運行它。Web3應用程序的高度可塑性和可組合性需要一種基于社區驅動的去中心化安全解決方案,因為沒有一個參與者可以識別應用程序中的全部潛在漏洞。目前,已經有超過100名開發人員在Forta上創建并部署了Agent,如果你也有興趣創建新Agent,不妨可以在此處查看Forta的軟件開發包。
此外,Forta還發布了一些其他功能,旨在進一步增強實時安全性,包括:
FortaConnect,這是一個自助服務平臺,使開發人員可以更輕松地使用MetaMask而不是命令行來發布和管理Agent。
FortaExplorer,這是一種幫助用戶通過Slack通知、電子郵件更新等服務來瀏覽和訂閱FortaAgent的警報工具。
PrivateAgents:該功能是一種帶有混淆代碼和用于謹慎漏洞監控加密警報功能的Agent,允許開發人員更加謹慎地監控威脅。
11月15日,Forta項目完成了與智能合約操作平臺OpenZeppelinDefender的集成,將使開發人員通過統一的用戶界面更輕松地操作和監控智能合約安全。
在實踐中如何運作?
舉個例子,讓我們回到2021年8月黑客對PolyNetwork實施的攻擊。
PolyNetwork是一個讓用戶能在不同的Layer1和Layer2區塊鏈之間傳輸數字資產的協議,他們通過在發送鏈上鎖定用戶資產并在接收鏈上發行等量新資產來實現這一點。更具體地說,用戶可以通過接收鏈上的一組PolyNetwork錢包訪問接收鏈上已發行的資產。在攻擊中,黑客執行了一筆交易,把接收鏈上PolyNetwork錢包的公鑰替換為黑客自己的公鑰,這意味著黑客獲得了對PolyNetwork錢包的完全控制權,繼而可以輕松從用戶手中竊取已發行的資產。
使用Forta進行實時監控可以避免這種攻擊,或是降低攻擊的危害,而且只需通過兩種簡單的方式即可實現:
當黑客用自己的公鑰替換PolyNetwork的公鑰時,Agent可能已經檢測到管理其錢包的PolyNetwork智能合約狀態發生了異常變化。如果PolyNetwork團隊有效監測到這種狀態變化,那么就可以快速恢復原始公鑰,從而完全阻止攻擊。
Agent可以檢測到接收鏈上PolyNetwork錢包余額出現較大的異常變化,使團隊能夠更早地識別攻擊并限制損失。
到目前為止,200多個Agent已經完成部署,用來識別和標記上述漏洞,一些業內領先的DeFi項目也在與Forta進行集成,以監控安全、財務、運營和治理風險。自Forta于10月1日宣布啟動,他們在Discord上的社區成員數量已經超過了10,000名。
最后的想法
區塊鏈安全性需要不斷增強,只有這樣,機構和主流才能更好地接受加密,這點至關重要。2021年早些時候對PolyNetwork的攻擊、2016年的DAO和2017年的Parity等黑客攻擊已經破壞了許多潛在用戶對加密和DeFi的信心,如果區塊鏈和智能合約想要成為支撐下一代金融系統的基本技術,那么就必須解決此類事件、并在未來防止此類事件發,只有這樣,才能重新贏回人們的信心。
通過將Web3「RuntimeSecurity」抽象為一個簡單工具,Forta能夠幫助開發人員更好、更輕松地編寫和管理智能合約,而且還具有更嚴格的安全實踐。
不僅如此,作為一個去中心化解決方案,Forta還允許任何人跟蹤智能合約中的特定行為,要知道,如今智能合約生態系統中的漏洞越來越多,因此采用去中心化解決方案是非常有必要的。最終,Forta將進一步增強智能合約安全性、幫助智能合約成為互聯網的基礎設施,繼而實現Web3去中心化、安全和去信任的偉大愿景。
鏈捕手消息,著名游戲發行商育碧宣布將推出支持NFT的游戲平臺UbisoftQuartz,該平臺支持玩家賺取和購買在Tezos上標記為NFT的游戲內物品.
1900/1/1 0:00:00原文來自:bankless作者:AlexBeckett不要相信FUD,以太坊正在擴容。幾周前,David寫了一篇題為《UltraScalableEthereum》的文章.
1900/1/1 0:00:00鏈捕手消息,印度電子信息技術部(MeitY)近日發布了一份長達52頁的“國家區塊鏈戰略”文件,敦促政府和私營部門加強合作,在這個世界第二人口大國建設區塊鏈基礎設施.
1900/1/1 0:00:00Gitcoin是一個自2017年發起的開源軟件開發激勵平臺,旨在通過區塊鏈支持各類開源項目,促進開源運動的發展,區塊鏈等項目可以在該平臺上用一定的報酬找到需要的開發者.
1900/1/1 0:00:00鏈捕手消息,Web3開發者平臺DoraHacks宣布獲得Biance的風險投資部門BinanceLabs所提供的800萬美金的戰略投資金,該資金用于幫助DoraHacks建立一個更加開源的.
1900/1/1 0:00:00鏈捕手消息,Block.one今日表示,正在對如何利用其持有的EOS代幣來幫助進一步推動網絡增長進行了大量考慮,正在研究一系列交易,希望這些交易能夠賦能EOS網絡.
1900/1/1 0:00:00