皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

Đánh bạc online(www.84vng.com):联博开奖(www.326681.com)_智能合约平循剖析工具商业化的时机来了么?

admin2022-11-0115

新2正网会员开户www.hg108.vip)是一个开放皇冠正网即时比分、新2正网会员开户开户的平台。新2正网会员开户平台(www.hg108.vip)提供最新皇冠登录,皇冠APP下载包含新皇冠体育代理、会员APP,提供皇冠正网代理开户、皇冠正网会员开户业务。

作者:Ray, Sally, IOSG Ventures

智能合约平循剖析工具商业化的时机来了么?

在9月尾Paradigm官宣完成了区块链平安项目Blowfish的领投又一次引起了人人对智能合约平循剖析领域的普遍关注。但实在Paradigm团队在此之前就已经在智能合约平安测试偏向做了许多实践,在今年3月Paradigm CTO Georgios宣布了他们开发的Foundry智能合约测试套件(Runtime Verification团队也是主要的孝顺者),现在区块链平循剖析也再朝着更仔细的分工偏向生长。

从最近几个月融资趋势和市场反映来看,一级市场资源现在对注重平安信息时效性、风险笼罩度、手艺偏轻量级的平安监测、防火墙领域有粘稠的兴趣(这和以往大部门资源投入在审计领域大有差异)。

凭证CertiK和SlowMist的相关讲述,仅2022年第一季度和第二季度因平安攻击问题crypto资产损失就高达20亿美元。在第二季度单闪电贷攻击就到导致了总计3亿美元的资产损失。而本月更是成为了有史以来黑客流动最大的一个月,两周内仅针对DeFi协议的攻击已跨越12次,被盗金额超7亿美元。

若是我们把链上智能合约从开发>>部署至区块链网络>>运行看成是一个完整生命周期的话,针对智能合约的平循剖析分为:针对合约部署前(在区块链网络正式上线运行前)的剖析、合约部署后的剖析,这大致涵盖了:测试、审计、监测三大类目,每个类目下面又有种种类型的剖析方式和响应的工具(如下图)。

PS:智能合约的审计笼罩面会从合约部署前到部署后(合约升级审计),

智能合约部署前的平循剖析:测试+审计

1.1 测试(Testing)

合约测试是开发者和审计者需要破费最多精神的事情,这与传统开发者差异。由于区块链不能改动的特征,一旦智能合约部署到EVM虚拟机上就难以换取,因此平循剖析、填补平安破绽的事情大部门破费在“事前剖析”——对智能合约部署前的平安测试。

在接受正式审计前,合约开发者/审计者需要对合约的代码举行一些基础性的测试,初期测试的笼罩率越高越能阻止一些简朴的bug进入正式审计阶段(一样平常一份智能合约到达85%-90%的代码被测试笼罩是合理水平;针对焦点模块的笼罩率需要在95%以上)。

常见的基础性的测试有单元测试(聚焦于单个函数的测试)和集成测试(确保各部门代码组合起来也能正常运行)。这个阶段常用的工具有Hardhat、Truffle test framework等,常见的测试内容包罗:状态检查、事宜触发、生意重置、函数盘算、完全功效测试。

1.2 审计 Auditing

“测试可以有用的发现程序存在的缺陷,然则它却无法证实程序不存在缺陷。”—— Edsger Wybe Dijkstra(盘算机科学家、1972年图灵奖获得者)

凭证Ethereum官方文档的界说,审计是对智能合约每一行源代码的细节评估,攻击者的头脑方式来绘制智能合约中可能的攻击向量,以发现可能的故障点、平安破绽和不良的开发实践。审计阶段大致包罗:静态剖析、动态剖析(模糊测试Fuzzing test、符号执行symbolic execution)、人工剖析、形式化验证。正如上图所说的Dijkstra,单靠测试无法完全信托程序没有故障,审计、形式化验证更多的是想加倍靠近程序不存在缺陷这一目的。

款项成本

凭证智能合约平安公司Hacken的数据,智能合约审计服务的行业的平均成本在 5000 美元到 30000 美元之间(中小型项目)。对于大型项目,成本有时可以到达 50 万美元甚至更高。智能合约审计的成本直接取决于代码庞大性和商定的事情局限。影响价钱的其他因素包罗紧要水平、智能合约的巨细(有若干行代码)、完成流程所需的工程小时数、与项目相关的文档的可用性等因素。

时间成本

初始审计平均需要 2 到 14 天,这也详细取决于项目的庞大性、智能合约规模和紧迫性。对于大型项目或协议,初始审核可能需要长达 1 个月的时间。初始审核完成后,客户会收到有关要引入哪些修改的建议。

人力成本

凭证IOSG在区块链形式化验证领域的领投项目Runtime Verification的反馈,审计的人力成本取决于协议的庞大性。对于大部门拥有资深行业履历和学术履历的头部平安审计公司来说,明白crypto客户项目的商业逻辑和token economics基本没有太浩劫度,一样平常两个专业的工程师也许破费1~2个星期就可以完成初始步骤。

,

以太坊数据网

,

kiếm tiền tại nhà(www.84vng.com):kiếm tiền tại nhà(www.84vng.com) cổng Chơi tài xỉu uy tín nhất việt nam。kiếm tiền tại nhà(www.84vng.com)game tài Xỉu đánh bạc online công bằng nhất,kiếm tiền tại nhà(www.84vng.com)cổng game không thể dự đoán can thiệp,mở thưởng bằng blockchain ,đảm bảo kết quả công bằng.

,

www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。

,

然则接下来的部门会取决于客户的详细需求。有的客户只需要对被审计项目的基本营业逻辑举行人工审计(查看他们的代码并手动审查它是否相符所需的营业逻辑),这是最廉价的服务。有的客户希望对营业逻辑和token economics举行建模然后手工举行数学证实以确保某些主要效果确立,例如平安性、活性、一致性等。有些大客户像MakerDAO、以太坊基金会等则希望更进一步,对代码举行形式化验证(Formal Verification)。

这里关于形式化验证再多说一句,形式化验证是用数学方式去验证程序的准确性——程序的实现与程序员的意图相符,最终证实项目的系统是Bug Free的。或者换句话说,形式化验证像是一种更周全的“testing”,它理论上会包罗所有可能的输入和状态,这是testing无法做到的(如下图例子所示转账合约中有overflow bug,若是用testing需要测试者输入一个极大的值才气找出,然则形式化验证者会通过“total amount of the token = sum of the balance of all addresses”的数学逻辑来找出overflow bug)

从现实规模化运用来说,形式化验证相对传统的测试方案在规模化运用上相对较慢。大部门的crypto项目来说,完成智能合约审计之后就已经足够,从成本投入和潜在效益来说对小型项目来说还不是必须品 (或者说证实程序是bug-free的价值还对照高),焦点缘故原由是形式化验证需要专业的形式化人才介入,由于对项目代码确立形式化规范(formal specification) 是异常庞大的事情,需要涵盖合约代码的属性,并界说合约在差异情形下的行为方式,这些需要专业的人才介入。(感兴趣的读者详见我们之前写的《为什么我们领投Runtime Verification》https://mp.weixin.qq.com/s/VWVgn4k9k0XqbM-O7-TVXg)

常见的工具

智能合约审计当下仍然是一个labour intensive的行业,而且对人才的手艺要求较高。现在虽然市面上有十几款对照盛行的审计工具(大多由主流平安审计公司或者学术研究职员开发),然则这些审计工具开发的目的是发现对照普遍的破绽好比:transaction order dependency, random number, timestamp, callstack depth, Reentrancy, dangerous delegate call等等)。因此,仅仅依赖这些工具去完成审计事情对照难题,可能会错过许多和营业逻辑相关的破绽。通常审核智能合约需要使用自动化工具+手动代码审查相连系的方式,而且凭证客户的智能合约营业逻辑、代币模子的差异需要case by case的人工审查。

智能合约平循剖析和审计往往是在验证程序的准确性,也就是程序的实现与程序员的意图相符。由于程序的bug,实在都是由程序的实现与程序员的意图之间有区别导致的。我们之前在分享我们投资Runtime Verification一文中提及的形式语义学的实在就是能闪开发者的开发意图(即“语义”)和实现(即编程语言的“语法”)准确相符的语言框架,从而削减bug的泛起。

在智能合约平安审计领域现在虽然市面上工具也不少,且大多开源,然则拿来真正做到乐成商业化的寥若晨星,这其中基本缘故原由我们后面也会剖析,总之现在照样依赖于平安服务提供商自己的自动化工具+人工阅读每一行代码或建模,基本无法通过直接卖自动化审计工具拿到规模化商业收入。

凭证我们最近领投的Hexens反馈,初期对于一些静态剖析的测试Slither和MythX是他们常用的开源工具,虽然效果并不能让他们异常知足。对于更高级其余测试,他们主要用fuzzers如Echidna、Forge+built in fuzzer

智能合约部署后的平循剖析——监测(Monitoring)

现在10种最常见的区块链网络平安攻击里Scam泛起频率最高,且给用户直接造成资产损失最高。凭证Peckshield的数据,在2021年crypto由于各种scams造成的链上经济损失达120亿美金,比黑客直接攻击造成的损失要高6.7倍。

常见的scam攻击:

常见的工具:

相比于智能合约平安审计,提供monitor&firewall服务涉及的营业内容更为庞杂和细密。

Focus在合约部署前以及合约部署后升级的智能合约代码平安审计,往往通过各种型的测试(静态剖析、动态剖析)输入一系列的值来看合约的输出值及状态是否正常运行。好比针对一个常见的链上转账逻辑(如下图),常见的测试职员会做:transfer zero ether, transfer all the ether, transfer slightly more than all the ether, transfer the largest possible amount of ether, transfer an account's value to itself 等事情来看合约是否可以如能做到程序员预期该做的事情和实现的效果。

Focus在事中平循剖析的monitor/firewall服务,要处置的问题更繁杂。而且现在看下来这类项目提供的平安服务更注重广度(涵盖尽可能多的有问题的链上资产合约、最新的涉嫌诈骗行为的地址合约钓鱼网址等等),它们相对比合约审计的平安服务更轻量级。涉及许多跟检查代码准确性之外的平安风险,好比各种诈骗、钓鱼相关的攻击。而监测这些破绽除了需要依赖合约剖析能力之外,还需要不停更新可疑地址、可疑合约逻辑、可疑资产清单等数据的风险数据库。

通过我们和最近行业内从业职员的交流,发现差其余Monitor服务定位实在也各有差异,好比GoPlus加倍注重提供数据API服务给项目方甚至是一些注重前端的防火墙;Harpie、Blowfish更注重提供前端服务,当用户执行一个生意行为、或者完成一次授权之前模拟这个生意以发现问题阻止用户有平安风险的生意;Tenderly则更注重开发者的需求,为智能合约开发者提供运行监测等服务。固然现在这个领域还对照新,只管像Opensea这样的大型生意平台已经和一些项目举行实质的商业互助,然则我们以为未来商业化的路径照样不太明晰同时会遇到的同业竞争会不小(由于相较于代码审计手艺上的门槛会低一些)。

智能合约平循剖析工具的商业生长时机和挑战

1)现在来看行业内的许多人以为monitoring&firewall跟security auditing之间的商业界限还较为模糊(现在看都属于2B的服务,客户大部门是各种crypto项目方),理论上来说由在区块链平安领域深耕多年的专业平安审计公司直接提供monitoring service,甚至开拓B2C, 2C化的终端用户直吸收益的产物更相符商业生长逻辑。然则由于monitoring赛道刚刚起步,收费模式和盈利模子尚不明确(现在看到是2B抽取服务费或者项目的生意手续费分成),若是市场回暖平安审计市场会仍然处于供>需,订单做不完的状态可能无暇顾及这个新兴市场,这个时间窗口会是给新泛起的专门做monitor/firewall的公司一个很好的时机。

2)智能合约审计的自动化工具现在市面上已经由许多,常见的有十几种大多开源。这个偏向通过卖工具来收费的商业模式尚未跑通,焦点缘故原由是:1)黑客和平安防御者的博弈关系是an arms race and the attack is always a moving target,魔高一尺 道高一丈。平安工具一旦推出,黑客就会实验绕过它,开发出新的攻击形式。以是平安工具只能不停迭代更新将攻击门槛提高;2) 大部门工具使用门槛不低,会使用专业平循剖析工具产物的人少,因此限制了市场规模 (虽然Runtime Verification有在推给通俗开发者使用的Firefly, ConsenSys Dilligence也有MythX); 3)平循剖析工具只能笼罩主流的破绽,而跟据协议营业逻辑的经济模子的差异客户主观更希望审计团队人工提供定制化的服务。

团队主观也希望一个受市场authorized的审计公司提供较深度定制化审计服务而且盖戳。因此,提供monitoring service会是专业平安团队切入可规模化产物的一个很好的时机点。

3)为defi项目方,DAO或小我私人服务的insurance营业可能会成为下一片蓝海。思量到现在市场对于黑客直接偷取私钥等攻击方式并没有优越的提防或解决方案,以风险规避和资产保障为目的的保险营业很可能在未来会受到更多的青睐。固然思量到加密资产自己的庞大性和合规方面的多重不确定性,underwriter往往会遭受更大的风险,因而在解决这一问题之前,insurance产业的生长可预见识,仍然将面临一定的瓶颈。期待随着整体加密资产体量的上升和更多传统机构用户的进入,insurance营业能在下一个周期来临之前能够实现更多制度性的完善。

查看更多,

Đánh bạc online(www.84vng.com):Đánh bạc online(www.84vng.com) cổng Chơi tài xỉu uy tín nhất việt nam。Đánh bạc online(www.84vng.com)game tài Xỉu Đánh bạc online online công bằng nhất,Đánh bạc online(www.84vng.com)cổng game không thể dự đoán can thiệp,mở thưởng bằng blockchain ,đảm bảo kết quả công bằng.

网友评论

热门标签