想做DeFi平台 5大DeFi安全审计机构怎么选
2021 年最富有创新性和爆发力的领域可能还在DeFi(去中心化金融、或称开放金融)领域。据 OKLink 统计,1 月 6 日的 DeFi 总锁仓量已突破 273 亿美元,DEX(去中心化交易所)24 小时交易量超过 19 亿美元,抵押借贷项目的借款总量在 37 亿美元左右,而 DeFi 总市值超过了 267 亿美元。
DeFi行情长虹一度达到甚至拉动整个区块链行业增长,伴随的是不可避免的暴雷新闻,根据DeFi项目反馈,一些较为知名的安全审计机构最近档期紧张。从某种程度上讲,合约安全审计是把握智能合约风险的第一道门槛。DeFi作为替投资者管理资金的金融资产系统,最重要的三点就是安全,安全和安全。
合约审计机构怎么选
DeFi热潮之下,合约安全是很多投资者都正在关心的问题,那么作为投资者应当如何看待合约审计呢?目前,智能合约基础安全审计主要分为 ETH 部分(波场、币安智能链类似,都是基于 EVM)和 EOS 部分。其中,ETH 安全审计包含 13 个大类,EOS 安全审计包含 15 个大类。
(ETH 安全审计样例)
虽然审计绝不意味着项目的完全安全 ,但智能合约审计师在生态系统中继续发挥着重要的不可或缺的作用。通过让第三方审计师仔细检查代码并采取行动修复漏洞,发布审计报告的同时也敦促项目向其社区用户发出信号,表明他们认真对待资金的安全性。
根据The Block的研究,全球至少有29家网络安全公司为加密货币项目提供审计服务,并延伸到DeFi项目。按审计的项目数量计算,主流的DeFi审计机构是OpenZeppelin、TraiofBits和ConsenSys Diligence、Certik以及Quantstamp。
这五家合约审计机构审核了市面上80%以上的DeFi项目
OpenZeppelin
OpenZeppelin是用于构建安全智能合约的开源框架。它旨在提供安全,经过测试和审核的代码,以实现新一代的去中心化的应用程序,协议和组织。OpenZeppelin旨在努力减少开发和使用障碍和成本。具体来说,它将自己描述为用于构建安全智能合约的开源框架,旨在简化构建智能合约的过程。实际上,这意味着以太坊上的智能合约开发人员可以更快地交付其产品,同时还可以最大程度地降低安全风险。
通常,每种功能或公司团队都必须分别开发这些类型的安全功能。而且,没有现有的开发人员工具可让他们协作构建,测试和审计智能合约。在OpenZeppelin的帮助下,开发人员可以专注于部署智能合约,而不必为构建专用安全工具而烦恼。
简而言之,OpenZeppelin希望充当创建智能合约的开发人员的安全审核,从而有效降低与DeFi项目相关的风险。
OpenZeppelin审核过的明星项目很多,例如2020年开启了“借贷即挖矿”DeFi热潮的顶流项目Compound,Compound的出现一度打破了DeFi市场上一家独大主流共识单一化的局面,将人们的视野从被MakerDao支配的抵押放贷模式中解放出来,开创了属于自己的具有资金流动池的借贷模式。
因为此业务和银行非常类似,所以大家也称Compound为“DeFi银行”,投资人对于Compound的追捧并非只是在于他提出了DeFi领域的新玩法,也是在于他主动提交了代码安全审计请求,并被证明了安全性。
截止2020年6月23日,Compound已经成为DeFi领域资产借贷协议之王,其锁仓资产接近6亿美元,借款总量高达3亿美元,其代币COMP自6月16日上线以来从20美元上涨至最高306美元,COMP的上涨吸引了众多用户了解去中心化借贷产品,让很多人去了解DeFi,可以说成为了DeFi的代言人。而compound有这样的江湖地位,OpenZeppelin的安全设计功不可没
Trail of Bits
Tail of Bits 创立于2012年,为Facebook和DARPA等客户提供了逆向工程,加密,虚拟化,恶意软件和软件利用方面的专业知识。团队成员审核客户的产品或网络,确保安全部署,并消除所有安全漏洞。该公司以将高端安全性研究与现实世界中的攻击者思维结合在一起而感到自豪,因为最有意义的安全性收益隐藏在人类智能和计算能力的交汇处。
Trail of Bits比其他任何团队都更深入地研究智能合约的构建,因为他们已经投资构建了最佳的可用工具(其中许多都是开源的)来评估智能合约的安全性,Solidity语言的安全性以及以太坊虚拟机(EVM)。这套工具代表了他们在信息安全方面数十年的经验,这是他们作为企业以太坊联盟安全工作组主席不断丰富的资产,并用于帮助社区了解以太坊安全性的最新发展。与他们的咨询部门联系,以获取无与伦比的专业知识并为您的智能合约提供支持。
Trail of Bits的审计过的项目首先是上文提到的Compound,Compound正是由这两个安全审计龙头机构提供了信用背书,并根据审计报告提供的改进意见不断升级优化,才有了Compound当年的辉煌。
ConsenSys
ConsenSys是基于以太坊区块链的企业级软件应用和工具搭建平台,而作为其四大支柱之一,Consensys Capital在其中发挥了重要作用。通过构建及推广跨领域架构、协议和应用产品,Consensys Capital致力于推动以太坊技术发展,身份、金融市场、商务、安全、媒体和出版等领域都有他们的身影。ConsenSys也是一个开发产品和投资项目的区块链创业工作室,也为以太坊社区提供开发者工具和基础设施服务。过去一年,ConsenSys发展迅猛,新项目林立,员工人数也超过400人遍布五大洲。
大多数人都知道ConsenSys是以太坊重点项目的企业孵化器。该公司采用“中心辐射”模式,查看目前隶属于ConsenSys的50多个项目。这个“mesh”由DApps组成,如Airswap和Gnosis,以及像MetaMask和Infura这样的基础设施项目。
这个模型对项目团队的好处是显而易见的,因为它可以让团队访问其他开发人员,同时为他们提供自主权。正如创始人Joseph Lubin所说的一样,ConsenSys正在“建立分散化生态系统,而这样需要进行大量的沟通,不同项目之间的协作互动。” 项目不仅可以从开发人员的知识中受益,还可以获得不同程度的财务支持。ConsenSys最初是一家风险投资工作室,旨在将公司围绕的MVP进行孵化,然后再将其用于外部投资。早期的一个例子就是BlockApps。“mesh”中的项目会在所有其他ConsenSys项目中获得股权,即使他们自己的项目失败的情况下也能提供优势。
Certik
CertiK是全球首要的区块链和智能合约验证平台之一。它由Google和Facebook的前高级软件工程师以及耶鲁大学和哥伦比亚大学的正式验证专家共同创立。CertiK不会进行简单的审核,而是进行形式验证。形式验证是一种以数学方式显示程序的功能以及其执行方式的过程。对于像智能合约这样的关键任务程序,形式验证是绝对必要的。
CertiK在安全行业赢得了很多尊重。Binance Labs,DHVC,FBG Capital,Bitmain和Lightspeed只是投资于CertiK的一些公司。最重要的是,CertiK还与Binance,OKEx和Huobi等交易所以及NEO,ICON和QuarkChain等区块链项目达成了合作伙伴协议。
让我们简单看一下CertiK正在审核的这些项目Kava,pancakeSwap,Hard protocol,以及即将审核的项目包括众多明星项目,1inch,Fisco,ZeroSwap,Evai等等可谓是星光闪耀。
下面这张图是CertiK审计之后,取得市场认可以及偷人追捧的项目
CertiK的核心竞争力是CertiKOS防黑客操作系统。
这个系统共花费千万美元的科研经费,两位创始人邵中和顾荣辉用6年多研究安全系统,目前CertiKOS不仅在商业市场中通过验证,也被应用到军事防御系统上,并引起了耶鲁大学等美国学术界的关注。
由于军方需求相对复杂,创始团队于2015年中提出了分层结构理论,即将复杂的合约模块化,先逐个验证,再复合证明。
市场方面,CertiK目前已与Neo、量子链等机构达成战略合作,同时对市面上的智能合约进行安全性验证,发现安全漏洞后主动联系团队,说明问题,提供解决方案,获取信任和口碑,逐步积累成功案例,再进行市场宣传。
据介绍,CertiK已获耶鲁大学,丹华资本,光速中国等机构种子轮融资(金额暂未透露);计划在几个月内发布产品。
CertiK的核心优势在于团队。位于硅谷的技术团队从学术圈出身,去年开始商业化,工程师全部来自Google、Facebook、Freewheel。联合创始人邵中,普林斯顿大学博士、耶鲁大学计算机系系主任/终身教授、中科大名誉院长、清华大学大师讲习团成员,20余年安全领域经验。联合创始人顾荣辉,清华大学本科、耶鲁大学博士、哥伦比亚大学助理教授。
QuantStamp
QuantStamp是一个针对智能合约安全性审查的系统协议。他们利用科技扩充了以太坊来确保所有智能合约的安全性。它是一个专门的网络,它将开发人员、投资者和用户联系在一个透明的、可伸缩的审核过程中。通过对智能合同漏洞进行自动检查,并自动奖励识别 bug 的验证者,该网络充当了透明的关键部分。
QuantStamp允许向验证者节点交付计算费用,并为查找定位漏洞提供了奖励。QSP的宗旨,不单是提供代码审计服务,而是建立一个平台,利用群体的力量去挖掘智能合约的安全漏洞。通过自动化的智能合约安全审计程序及众包安全专家,QSP能够提高智能合约安全审查效率。随着网络的发展,某种形式的智能合约验证将是必要的。
在2019年11月27日由Y Combinator提供支持的区块链安全公司Quantstamp荣登区块链用例网络安全奖(Cybersecurity in Blockchain Use Case Awards)冠军宝座。区块链用例网络安全奖由《Disruptor Daily》(《颠覆者日报》)主办,旨在介绍正在为网络安全行业开发实际用例的公司。《Disruptor Daily》提供独家市场研究,以及来自行业第一线知名思想领袖的见解。
在让我们看一下QuantStamp审计过的项目们,其中不乏各界巨鳄。很多都是区块链行业的熟面孔包括币安,Chainlink,Cryto.com,Matic,Kava等等,甚至还能看到Toyota和西门子的身影。可见Quantstamp涉猎之广泛以及包括区块链韩业在内的其他产业也希望自己开发的代码工程得到Quantstamp的背书。
除了以太坊DeFi,Quantstamp也已经解除了一些今年火热的波卡系项目,比如从EOS上的明星转到波卡跨链的Equilibrium,就是其波卡上的核心用户之一。
据Equilibrium官方消息,Quantstamp的审计范围将涵盖管理其区块链底层“业务逻辑、风险和价格模块以及其'紧急救助'机制”的代码。该项目的开发人员已经找到了一些关键的自定义组件和创新功能,他们认为这些组件和创新功能特别有用,例如,对链下经纪商使用电子签名等。足可见Quantstamp的审计已经覆盖到Substrate上的模块逻辑,未来或有意承接更多的波卡系项目。
结语
DeFi项目在选择安全审计机构的时候,需要根据项目预算、机构在项目所搭建生态上的经验和信誉,选择合适自己的审计机构。当然,本文所提的5家机构都是DeFi项目方的不二之选,可以根据自己的实际情况进行选择。
代码安全审计是风险规避的利器。从投资者的角度看,要选择投资DeFi项目,如果候选项目自身加持“已审计”标签,其受信程度自然会提高不少。多数DeFi参与者都曾表示,是否有可信的安全审计,是他们对一个DeFi项目的可信度和风险评估最重要的参考指标。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場