EFI:揭秘Fairyproof Tech：兩位以太坊實踐者的再次實踐_DEF

“智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度，外部風險主要表現為合約與第三方合約的交互程度。”

2020年8月，以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址，整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。

此時，在以太坊魔術師論壇里，一篇名為《以太坊2.0抵押協議的修改提議》文章出現了，文中提議：以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整，以增加抵押者的抵押動機和規避流動風險。

這篇文章的作者分別是，周朝暉、張華、譚粵飛。

這一提議得到了社區開發者的熱烈討論，巧合的是，負責以太坊EIP審核的Micah Zoltu詳細分析了文章，并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569，從此，以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。

時間退回到2019年7月，在北京舉辦的以太坊開發者大會上，譚粵飛在周朝暉老師的介紹下結識了張華，通過溝通，發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。

ENS開發者：已解決ENS子圖中存在空字符漏洞問題，并將進行必要的測試:金色財經報道，ENS開發者Nick Johnson在社交媒體上稱，已經解決兩次出現的ENS子圖中存在空字符漏洞問題，并采取預防措施。由于TheGraph的PostgreSQL未在文本列中存儲空字符，攻擊者在創建域名前后添加空字節字符時，可利用此漏洞冒充任何已被其他用戶注冊的域名。[2023/2/3 11:45:46]

三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm，而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm，三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。

ERC-2569是周朝暉老師提出，張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議，而這個協議因為其創新特性，最終成為了ERC協議。

該協議可以將SVG圖片永久存儲在以太坊上，為同質化通證（FT）和非同質化通證（NFT）中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。

ENS DAO：eth.link已無法訪問，用戶需注意網絡釣魚風險:8月26日消息，ENS DAO在社交平臺表示，目前eth.link已經無法訪問。由于該域名歸前以太坊開發者VirgilGriffith（其已被判入獄63個月）所有，盡管得到了他律師的幫助，但ENS DAO仍無法訪問Virgil Griffith的注冊賬戶并更新域名。

ENS DAO提醒用戶，如果有任何使用eth.link的服務，需要立即將用戶引導至其他地方并推薦使用社區提供的解決方案eth.limo，同時還提醒用戶謹防網絡釣魚風險。[2022/8/26 12:49:46]

因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中，譚粵飛和張華對彼此都有了很深的了解和認同，并因此形成了密切的合作關系，構建了這個團隊的雛形。

自此，兩人開始密切關注以太坊生態的各種動向，深入研究以太坊的各種技術，尤其是Solidity和Vyper開發及智能合約安全技術。

此后，兩人還繼續參與了一批DeFi項目的設計、構架及編碼，對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。

Alameda Research聯合首席執行官宣布辭職:金色財經報道，Sam Trabucco在Twitter上宣布，他將辭去Alameda Research聯合首席執行官一職。Trabucco表示，他將繼續擔任顧問。而Caroline Ellison仍然是公司的首席執行官。[2022/8/25 12:46:51]

值得一提的是，在2019年當Vyper語言剛興起時，兩人就開始用Vyper語言進行實踐，并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。

2020年6月Compound發行治理通證掀起DeFi大潮后，兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼，跟蹤每一次DeFi領域的重大事故，分析事故的原因，找到應對的解決方案，并在這個過程中積累了豐富的經驗。

這些過往，成為了Fairyproof Tech的起點。

在DeFi不斷發展的今天及未來，安全事故發生的頻率必定越來越高，這在原本只是“技術愛好者”的兩位看來是一個難得的契機，終于可以把自己的經驗及技能付諸于項目了。

去中心化穩定幣協議Bluejay Finance完成290萬美元融資，Zee Prime Capital等參投:7月20日消息，去中心化穩定幣協議Bluejay Finance完成290萬美元融資， Zee Prime Capital、C2 Ventures、Stake Capital Group、RNR Capital、Daedalus Angels、Moonlanding Ventures、Oval Ventures等參投。（Crypto Daily）[2022/7/21 2:27:03]

基于既有經驗，他們為零蹤安全設計了這樣的審計過程。

據譚粵飛介紹，Fairyproof Tech目前的主要審查技術包括兩部分：

一是用自研發的系統工具對合約進行標準化審查；

二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。

工具的自動審查主要審查常見的代碼漏洞（比如溢出、高風險的函數調用等）；人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯，以及代碼實現的運行結果是否符合項目期望的結果。

知情人士：中國香港持牌加密交易所OSL裁員約15%:6月30日消息，兩名知情人士透露，總部位于中國香港的持牌加密交易所OSL已裁員40至60人，約占員工總數的15%。消息人士稱，裁員是周三內部宣布的。

OSL發言人證實了裁員消息，但沒有對具體數字發表評論。這位發言人表示：“OSL做出了裁員的艱難決定。這個決定不是輕易做出的，我們理解這可能對員工造成的影響。”OSL發言人補充說，該公司已經“調整了商業模式，重新專注于SaaS以及專業和機構同行。”

據介紹，OSL是第一家也是唯一一家獲得香港證監會頒發牌照且具有保險的數字資產平臺，為機構客戶和專業投資者提供交易、經紀、托管和軟件即服務（SaaS）產品。除了在香港運營交易所外，OSL還提供來自新加坡的SaaS解決方案。香港上市公司BC Technology Group是OSL的母公司。（The Block）[2022/6/30 1:41:35]

在Fairyproof Tech團隊看來，智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度；外部風險主要表現為合約與第三方合約的交互程度。

“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜，需要理清的邏輯就繁雜，這里面就不可避免的會出現疏漏之處和潛藏的問題，這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多，則引入的外部風險的可能性就較大。”譚粵飛解釋到。

所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯，以及審查代碼的實現邏輯是否匹配項目期望的邏輯？能否達到項目預期的結果？是否會出現意料之外的行進路線？

這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。

譚粵飛對金色財經記者解釋到：“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁，就此合約的安全風險問題就會越來越突出，比如近日發生的Yearn Finance由于內部價格的邏輯問題而被攻擊就是一個典型。”

因此，對于代碼審查技術，靈蹤團隊認為，無論是用工具審查還是人工審查，歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證，另一個是態度上的保證。”

此外，從項目方來或交易所的角度來看，決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。

從Fairyproof Tech的角度出發，目前對安全審計的概述就是：遞進審核，全面覆蓋。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此可以從這些方面入手向上延展，找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法，要從預言機、賬戶授權上找尋方法。

“如果我們只是本著把項目的代碼審完，提出對方在意的問題，而不為項目方更深遠的考慮，機械的工作，是無法體現優勢的。”譚粵飛說到，所以Fairyproof Tech團隊一直秉承著為項目方多想一步的態度。

對于Fairyproof Tech來說，進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。

Fairyproof Tech團隊描述到，因為技術的進步，早期出現的一些合約設計問題已經出現較少了，但重要的是對代碼細節的打磨，例如對比Uniswap和其他DEX的代碼，就能發現Uniswap在代碼的編寫上尤為細致，而大部分DEX代碼則較為粗糙。

此外，項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看，有高級權限的存在會留下“后門”被操控的風險，但如果項目可以有效的通過去中心化治理來管理高級權限（高級權限目標是未來管理項目），例如將高級權限轉交給DAO或多簽錢包來則是可行的。

因此，在這個過程里不僅要有專業經驗，還要有多樣化的理解，例如上文提到的“高級權限”這些漏洞不僅是從代碼去看，還要通過團隊未來的規劃去評定。

譚粵飛還表示：“如果團隊的初衷是為用戶奉上一份有價值的產品和服務，一定會像珍寶一樣珍視自己的代碼，小心地呵護它，在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題，最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度，團隊對自己的產品一定會慎之又慎，反復打磨。”

DeFi發展迅猛，安全審計的市場還遠達不到飽和。近來Heco大熱，Fairyproof Tech也在積極研究Heco和其鏈上的各種項目，并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討，積累了相當多的經驗，以此，已為服務Heco上的項目團隊打下堅實的基礎。

在不斷吸引人才的基礎上，Fairyproof Tech將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下，團隊的主要精力仍會聚焦于項目服務上，確保項目的合約安全和用戶的資產安全，為中國領跑全球貢獻自己的力量。

安全是金融發展的絕對前提，更是加密貨幣發展的絕對前提。2020年，整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時，更是代碼安全的體現。留給Fairyproof Tech的，是加密貨幣未來的星辰大海。

Tags：以太坊DEFIEFIDEF以太坊幣今日價格行情實時Mooni DeFiPINETWORKDEFI幣DogDeFiCoin

Pol幣