“雖然程序漏洞的檢測和驗證已經引起業界的高度重視,但在區塊鏈行業內,安全問題仍舊頻繁發生。如果只檢測已經存在的漏洞的話,永遠存在被黑客搶先一步的風險。既然這樣,我們有沒有辦法直接開發出一個沒有程序漏洞的、可以完全被信賴的智能合約呢?”
CertiK聯合創始人顧榮輝在開發者大會上提到了智能合約安全的源頭問題。
這無疑是一個非常大膽的想法。畢竟對于軟件開發者們來說,開發一個編程語言,意味著還要編寫對應的編譯器使其能夠在不同語言層級的環境下運行,這項工程復雜且龐大,無論是從理論基礎還是實操能力方面對都具備極大的挑戰。此外,智能合約語言又由于其獨特屬性以及較高的安全要求,技術壁壘更加難以攻克,讓很多資深的開發者都望而卻步。
CertiK聯合創始人顧榮輝
The Graph Q2報告:托管服務向主網發布1082個子圖,環比增長39%:金色財經報道,Messari發布The Graph 2023年第二季度報告,報告顯示:
· 截至 2023 年第二季度,The Graph 的托管服務向主網發布了 1,082 個子圖,環比增長 39%;
· 正在進行的 The Graph 協議智能合約到 Arbitrum 的 L2 遷移旨在為 The Graph 的用戶帶來無縫和低 Gas 費的去中心化數據體驗;
· 在 2023 年第二季度,The Graph 以美元計算的需求端收入環比下降 48%,這是由于 DApp 優化查詢量以及治理活動和去中心化基礎設施的總體使用量減少所致;
· 2023 年第二季度,索引獎勵收入環比增長 3%,超過 900 萬美元;在第二季度分配的總索引獎勵中,委托人獲得了 64%;
· 在 MIPs 激勵計劃之后,The Graph 的活躍索引器環比下降了 29%,而委托人和策展人分別增長了 2% 和 3%。[2023/7/30 16:06:28]
直擊源頭
Moonbirds:4月18日啟動Diamond Nest“Choice Pass”空投:金色財經報道,NFT項目Moonbirds在社交媒體宣布將于4月27日啟動獨家Diamond Exhibition NFT投放,屆時將展示22位藝術家的1萬件數字藝術品,包括Beeple、Greylesian、Dirty Robot等。此外,Moonbirds還宣布將在4月18日啟動Diamond Nest“Choice Pass”空投,4月24-27日,Choice Pass持有者可以選擇自己關注的藝術家,后續Choice Pass持有者的抽獎和空投將于4月27日進行。[2023/4/8 13:51:27]
2013年,智能合約作為以太坊生態系統的一部分被引入,它允許在不需要第三方的情況下,執行可追溯、不可逆轉和安全的交易。然而,由于代碼開源、一旦部署則難以修改等特性,智能合約很快成為區塊鏈安全事件的重災區。黑客利用交易過程中智能合約程序代碼出現的漏洞,發起各式各樣的攻擊。僅2018年一年間,被報道的攻擊損失就達到了上億美元。
以色列稅務機構指控“Western Wall”NFT創造者涉嫌逃稅,涉案逾200萬美元:3月5日消息,根據以色列稅務機關周五的一份報告,該機構正在調查兩名NFT創作者的逃稅情況。兩人名為Avraham Cohen和Antony Polak,系holyrocknft.com網站的所有者。據稅務當局透露,兩人通過該網站出售了基于Western Wall石頭的3D掃描創建的NFT,但并未如實報稅。
調查顯示,自2021年以來,嫌疑人已經出售了1700件作品,并獲得了620枚以太坊的付款,在交易時相當于約800萬新謝克爾(約合218萬美元)。根據這些發現,這些收入實際上是商業收入——但兩人并沒有如此報告。嫌疑人收到的部分資金甚至在數字錢包之間進行了轉移,因此有可能存在非法藏匿財產的嫌疑。
主審此案的法官在限制性條件下釋放了嫌疑人,這些條件包括交出他們存儲以太坊的數字錢包。(The Jerusalem Post)[2023/3/5 12:43:41]
大量資金的流失引起了安全公司的注意,進而安全審計、安全驗證、漏洞檢測等安全手段競相加入區塊鏈安全賽道。針對現有的智能合約,大部分安全公司都提出了安全解決方案與改進建議。可是對于編寫智能合約的的語言本身,即代碼漏洞問題的真正“源頭”所在,并未得到普遍關注。
南非超市巨頭Pick n Pay已在其所有門店接受比特幣支付:金色財經報道,南非最大的連鎖超市之一Pick n Pay已開始在其所有1628家門店接受比特幣閃電網絡付款。
此前報道,去年11月,Pick n Pay表示已接受閃電網絡付款。客戶可通過比特幣在全國39家商店中進行支付。[2023/2/2 11:42:00]
一般來說,為了編寫智能合約,必須使用智能合約語言(SCL)。在以太坊虛擬機(EVM)上運行的編程語言是Solidity,它是一種面向合約的高級語言。在以太坊網絡上編寫智能合約的主要步驟是:用以太坊高級語言編寫,接著用EVM編譯器編譯成字節碼,最后用以太坊客戶端上傳到區塊鏈網絡。
對已經編寫好的程序進行漏洞檢查就如同在“事中”預防,卻有可能錯過“事前”就存在的錯誤。例如用Solidity來進行以太坊智能合約開發,即使Solidity源代碼正確,但在編譯階段,因為編譯器版本不同,最后編譯到EVM等機器語言中生成代碼時,編譯器引入新的漏洞,執行依然會出現問題。顧榮輝說: “所以我們的想法是從代碼的編寫階段就提高它的安全性,從源頭找到就這些存在的安全漏洞并解決它。”
NFT加密基金Spencer Ventures已籌集450萬美元:金色財經報道,專注于 NFT 的加密基金 Spencer Ventures 已籌集了 450 萬美元資金, 30 位投資方主要來自芝加哥和美國中西部地區,其中包括一些機構級家族辦公室。創始人兼基金經理 Spencer Gordon-Sand 表示,希望增加數字資產敞口的機構正在轉向 NFT,而大多數頂級基金,例如來自 Grayscale 或 Galaxy Digital 的基金,只提供以太坊或比特幣的敞口。Spencer Ventures 著眼于高流動性的收藏品,到目前為止僅部署了總資本的 20%。(Blockworks)[2022/9/26 22:30:51]
DeepSEA項目為了攻克這些更加底層可能出現的問題與隱患而誕生。
據顧榮輝介紹,DeepSEA是CertiK與耶魯大學和哥倫比亞大學的科研團隊共同主導推進的項目。得益于顧榮輝和另一位聯合創始人邵中教授在網絡安全、編程語言、形式化驗證等領域的深度積累,DeepSEA[L1] 團隊具備了發起了技術攻堅戰的能力。
DeepSEA致力于構建跨平臺的、可信賴的智能合約框架,令使用高級語言編寫的智能合約能夠準確無誤的在例如以太坊虛擬機(EVM)和超級賬本(Hyperledger)等平臺上進行編譯并且保證沒有任何安全漏洞,為開發者提供一個值得信賴的開發環境。
作為現下唯一的專門為區塊鏈安全而誕生的編程語言,DeepSEA在與CertiK公司的形式化驗證技術做了結合之后,其源代碼和編寫的智能合約能夠輸出對應的數學模型,從而轉化為可被形式化驗證的對象和框架。該模型能被導入到Coq證明輔助器中,讓用戶能夠在Coq中對程序進行基于數學模型的手動或者半自動的證明。該證明輔助器具有非常高的靈活性,可以憑此進行一些非常復雜的安全驗證,確保了智能合約從源頭到輸出過程的安全性。
DeepSEA目前主要包括兩部分:一是DeepSEA語言,二是經過驗證的安全可靠的編譯器。顧榮輝指出,用DeepSEA語言編寫的智能合約,能夠生成與開發者意圖相符的代碼規范。當智能合約產生更高級別的安全需求時,可以與CertiK開發的形式化驗證技術相結合進行二次驗證,用以證明合約的安全性,相當于雙層保障。
“我們在語言的設計上引入的還是編程語言的思路,包括它是一個函數式的強類型的編程語言,在設計上更加安全,也更容易幫助使用者找到程序上的安全漏洞。”顧榮輝說道。
總結來說,DeepSEA的優勢有三點,首先,DeepSEA語言可以幫助開發者避免不必要的錯誤,讓代碼的編寫過程更加安全和高效。其次,DeepSEA編譯器可以使程序語言安全、準確地從源代碼級別被轉譯到字節碼級別,用戶不用擔心編譯器在編譯過程會引入新的漏洞。最后,用戶可以通過加標簽的的方式編寫程序規范,能夠保證程序規范與開發者的意圖沒有出入。
“因為源代碼的開發其實是在表達一件事,就是告訴我們,如何實現一個合約。而我們則是讓開發者來寫合約到底是去做什么,到底是什么,從開始的地方,根源處去解決問題。”顧榮輝稱。
未來不止于此
盡管當前看來,智能合約因成為區塊鏈安全的“重癥災區”而吸引了大部分的眼球,但作為因區塊鏈安全而生的語言以及編譯器,DeepSEA的想像空間顯然可以比智能合約更大、更廣。
對此,顧榮輝表示:“我們希望DeepSEA不局限于一個區塊鏈的平臺上,而是跨平臺、全面性的。”
具體的應用場景上,在程序開發層面,DeepSEA框架的搭建從早期就標明該語言可以有效處理編程中的“固有沖突”。如今的主流操作系統和虛擬機管理程序仍然是用類似于C語言的低級語言編寫的,而高級的形式化推理和低級的系統編程之間存在著一些固有沖突(inherent Conflict),比如前者是依賴于高抽象級別的豐富理論,后者卻必須操控和管理低級別的硬件資源。DeepSEA編譯器的出現能夠有效解決這個問題。
在應用層面, DeepSEA語言對于自帶金融屬性的智能合約比如貨幣交易平臺、支付網絡,多重簽名錢包等提供了安全壁壘加持,能夠有效保護用戶的數字資產不受侵犯。
據顧榮輝透露,DeepSEA項目得到了包括哥倫比亞大學-IBM區塊鏈中心、以太坊基金會、QTUM量子鏈在內的科研基金支持。除去資金支持,這些平臺還將為DeepSEA提供社區支持,對DeepSEA的各類Demo做社區反饋,幫助其更新迭代。第二是在DeepSEA完成初步設計進行開源化后,能夠得到各個平臺、開源社區、開發者們的支持。第三是與IBM、以太坊基金會的核心開發人員進行長期的溝通,對DeepSEA未來的應用場景進行探討。
并且,DeepSEA已經和由IBM、英特爾、埃森哲、JPMorgan等聯合提出的區塊鏈開源項目“超級賬本”( Hyperledger)達成了合作關系,可以將DeepSEA對接到超級賬本的平臺上。
根據DeepSEA的路線規劃,將在今年內公布第一個DeepSEA語言版本,完成對首批科研支持伙伴Hyperledger、以太坊、量子鏈的對接工作。在得到各個平臺、生態的支持和反饋以及更多開發者的聲音后,預計在明年完善DeepSEA的語言,完成DeepSEA編譯器的安全驗證工作,并且真正的應用DeepSEA語言編寫比較重要的智能合約,進而部署到以上幾個平臺中。
“未來希望能夠對接到更多像以太坊、量子鏈這樣的知名公鏈上,通過智能合約的語言來打通不同區塊鏈生態,實現智能合約從各個區塊鏈生態或是各個區塊鏈平臺上的移植。”面對還有些遙遠的未來,年輕的DeepSEA已經按下“enter”鍵,開始了一往無前的區塊鏈之路。
金色午報 | 11月26日午間重要動態一覽:7:00-12:00關鍵詞:PayPayl、灰度、Coinbase、爆倉 1. 數據:在531~547美元區間有49.
1900/1/1 0:00:00“跨鏈之王”、”區塊鏈里的中國電信”、“Web 3.0 開啟者“、“創造過以太坊的男人新作”、“鏈上治理創新者”……在之前的推文《這 5 個很快要空降 Top 50 的估值「大塊頭」.
1900/1/1 0:00:00錯過 Uniswap 的空投而懊悔不已?又沒有趕上 1inch 的列車而拍斷大腿?DeFi 門戶 DeFiBox.com 與金色財經聯合推出“全球二十大潛在空投項目”系列內容.
1900/1/1 0:00:00金色熱搜榜:ANT居于榜首:根據金色財經排行榜數據顯示,過去24小時內,ANT搜索量高居榜首。具體前五名單如下:ANT、EOS、KNC、BHD、IOST.
1900/1/1 0:00:00事件 2月初,美聯儲理事布雷納德在演講中表示,美聯儲正在就電子支付和數字貨幣的相關技術展開研究與實驗,已開始研究數字貨幣發行的可行性;2月14日,央行數字貨幣研究所表示強化基礎研究與標準研制.
1900/1/1 0:00:00今年春節,全國上下人民的心都被疫情困擾。新型冠狀病疫情來勢洶洶,湖北省受影響程度尤為嚴重。疫情不僅威脅了人民的生命健康安全,也對經濟平穩發展造成創傷,區塊鏈產業同樣無法獨善其身.
1900/1/1 0:00:00