Desmitificando la tecnología a prueba de hadas: la práctica de dos practicantes de Ethereum

"El nivel de seguridad de un contrato inteligente depende principalmente de dos factores: riesgo interno y riesgo externo. El riesgo interno se manifiesta principalmente en la complejidad lógica del contrato en sí, y el riesgo externo se manifiesta principalmente en el grado de interacción entre el contrato y el contrato de tercero”.

En agosto de 2020, Ethereum acaba de anunciar la dirección del contrato de compromiso de la red de prueba de la cadena de balizas Eth2.0, y toda la industria de las criptomonedas comenzó a discutir "si la cadena de balizas Eth2.0 impulsará un nuevo negocio de participación y el desarrollo de DeFi".

En este momento, en el Ethereum Magician Forum, apareció un artículo titulado "Propuesta de modificación del protocolo hipotecario de Ethereum 2.0", para aumentar la motivación hipotecaria del pignorante y evitar el riesgo de liquidez.

Los autores de este artículo son Zhou Zhaohui, Zhang Hua y Tan Yuefei.

Esta propuesta ha sido discutida con entusiasmo por los desarrolladores de la comunidad. Coincidentemente, Micah Zoltu, quien está a cargo de la revisión de EIP de Ethereum, analizó el artículo en detalle y vio la propuesta de mejora EIP-2569 en el artículo sobre el uso de Ethereum para almacenar imágenes en la cadena. Desde entonces, existe un protocolo de almacenamiento de imágenes adicional ERC-2569 en la capa del protocolo ERC de Ethereum.

En julio de 2019, en la Conferencia de Desarrolladores de Ethereum celebrada en Beijing, Tan Yuefei conoció a Zhang Hua bajo la presentación del Sr. Zhou Zhaohui. A través de la comunicación, descubrió que Zhang Hua tenía un conocimiento profundo de varios sistemas de cadenas de bloques populares. en el desarrollo de contratos inteligentes y DApps en varios sistemas blockchain.

Los tres son de ideas afines. Más tarde, bajo el liderazgo de Zhou Zhaohui, el proyecto DAO DAIsm se creó en conjunto, y DAIsm es el principal proponente del artículo de la cadena de balizas Eth2.0 anterior. En DAIsm, bajo el liderazgo del Sr. Zhou, los tres completaron varios contratos inteligentes y el desarrollo de DeFi y DApp.

ERC-2569 fue propuesto por Zhou Zhaohui, y Zhang Hua y Tan Yuefei estuvieron profundamente involucrados. Este es un protocolo EIP que propone usar el formato de imagen SVG para almacenar archivos de imagen en Ethereum, y este protocolo finalmente se convirtió en un protocolo ERC debido a sus características innovadoras.

Este protocolo puede almacenar permanentemente imágenes SVG en Ethereum y propone una solución de almacenamiento en cadena para el almacenamiento de iconos e imágenes involucradas en tokens homogéneos (FT) y tokens no homogéneos (NFT). Este es el primer estándar creado por un equipo en China continental e incluido en Ethereum.

Porque comencé a contactar y participar en el desarrollo en profundidad de proyectos relacionados con Ethereum desde muy temprano. En el proceso de cooperación, Tan Yuefei y Zhang Hua tienen un profundo entendimiento y reconocimiento mutuo y, por lo tanto, formaron una estrecha relación de cooperación y construyeron el prototipo de este equipo.

Ebang International: La represión de la minería de Bitcoin no tiene un impacto directo o a corto plazo en el negocio de la empresa: Recientemente, Ebang International, una empresa de tecnología de cadena de bloques, emitió una declaración sobre el impacto de los cambios en el entorno regulatorio en su negocio. En el contexto de la represión intensificada del gobierno chino contra la minería y el comercio de Bitcoin, Ebang International declaró en su declaración que la política de represión no tiene un impacto directo o a corto plazo en el negocio de la empresa. Además, enfatizó el impacto de las políticas gubernamentales y la diferencia de empresa entre negocios.

El texto completo de la declaración es el siguiente: Negocio minero: cuando anunciamos inicialmente el negocio minero, solo consideramos las minas en el extranjero, por lo que la represión nacional contra la minería de Bitcoin no tiene un impacto directo o a corto plazo en el negocio de la empresa.

Negocio de ventas: debido a la escasez de capacidad de producción de chips, los clientes se irán al extranjero a la minería después de un breve período de ajuste, por lo que creemos que el negocio a largo plazo y las perspectivas a corto plazo de la empresa no se verán afectados.

Negocio de hospedaje de máquinas mineras: hemos detenido el negocio de hospedaje de máquinas mineras nacionales, y nuestro enfoque actual es acelerar el establecimiento de granjas mineras compatibles en América del Norte y Europa, y hacer todo lo posible para utilizar energía renovable para el suministro de energía. Rápidamente comenzaremos el negocio de alojamiento de máquinas de minería después de que se complete la construcción de minas en el extranjero.

Negocio de intercambio de criptomonedas: cuando la empresa posicionó inicialmente la estructura de intercambio de criptomonedas, prohibió a todos los ciudadanos chinos participar en transacciones y prohibió el inicio de sesión y el acceso a IP chinos, por lo que el negocio de intercambio de criptomonedas de la empresa no se verá afectado. [2021/6/21 23:54:34]

Desde entonces, los dos comenzaron a prestar mucha atención a varias tendencias en el ecosistema Ethereum y realizaron una investigación profunda sobre varias tecnologías de Ethereum, especialmente el desarrollo de Solidity y Vyper y la tecnología de seguridad de contratos inteligentes.

Desde entonces, los dos han seguido participando en el diseño, la arquitectura y la codificación de una serie de proyectos DeFi, y tienen una amplia experiencia en la arquitectura, implementación y problemas comunes de contratos como DEX, DAO, préstamos y monedas estables.

Vale la pena mencionar que cuando el lenguaje Vyper surgió por primera vez en 2019, los dos comenzaron a usar el lenguaje Vyper para practicar e introdujeron el lenguaje Vyper a los estudiantes en el curso de blockchain de la Universidad de Shenzhen. Esta es una práctica rara en la comunidad de Ethereum e incluso en la comunidad de criptomonedas.

Después de que la emisión de tokens de gobernanza de Compound en junio de 2020 desencadenara una ola de DeFi, los dos estaban muy conscientes de que el aumento de las aplicaciones DeFi traería grandes desafíos a la industria, especialmente al campo de la seguridad. Por lo tanto, comenzamos a estudiar en profundidad el código fuente de varios proyectos DeFi populares, rastreamos cada accidente importante en el campo DeFi, analizamos la causa del accidente, encontramos una solución y acumulamos una rica experiencia en el proceso.

Estos pasados ​​se convirtieron en el punto de partida de Fairyproof Tech.

Con el desarrollo continuo de DeFi hoy y en el futuro, la frecuencia de los incidentes de seguridad debe ser cada vez mayor. Esta es una oportunidad única para que los dos "entusiastas técnicos" finalmente pongan en práctica su experiencia y habilidades en el proyecto.

Basándose en su experiencia, diseñaron un proceso de auditoría de este tipo para Zero Trace Security.

Según Tan Yuefei, la tecnología de revisión principal actual de Fairyproof Tech incluye dos partes:

Una es utilizar herramientas de sistema de desarrollo propio para realizar una revisión estandarizada de los contratos;

La segunda es que los ingenieros revisen la lógica de la escritura de código y algunos riesgos comunes de acuerdo con el documento técnico y la descripción del proyecto.

La revisión automática de la herramienta revisa principalmente las vulnerabilidades comunes del código (como desbordamiento, llamadas a funciones de alto riesgo, etc.); la revisión manual analiza principalmente si la implementación del código se ajusta a la lógica introducida en el libro blanco o la introducción del proyecto en el nivel lógico y si los resultados de ejecución de la implementación del código están en línea con las expectativas del proyecto.

En opinión del equipo de Fairyproof Tech, el nivel de seguridad de los contratos inteligentes depende principalmente de dos factores: riesgo interno y riesgo externo. Entre ellos, el riesgo interno se manifiesta principalmente en la complejidad lógica del propio contrato, el riesgo externo se manifiesta principalmente en el grado de interacción entre el contrato y el contrato de terceros.

"Si la lógica del contrato en sí es compleja, la implementación del código involucrado será complicada y la lógica que debe resolverse será complicada. Inevitablemente habrá omisiones y problemas ocultos, lo que indica que el riesgo interno de el contrato en sí es relativamente alto. Grande. Si el contrato interactúa con frecuencia con contratos de terceros y hay muchos contratos que interactúan, la posibilidad de introducir riesgos externos es mayor ", explicó Tan Yuefei.

Por lo tanto, cuando la agencia de seguridad revise la lógica, verificará la lógica de implementación del código de acuerdo con el mecanismo operativo del proyecto mismo, y si la lógica de implementación del código de revisión coincide con la lógica esperada por el proyecto. ¿Se pueden lograr los resultados esperados del proyecto? ¿Habrá un camino de viaje inesperado?

Esto requiere una comprensión profunda de la implementación del código y una estrecha comunicación con el equipo del proyecto.

Tan Yuefei explicó al reportero de Jinse Finance: "Ahora el apilamiento de juegos DeFi Lego se está volviendo cada vez más complejo, la implementación interna de los contratos también se está volviendo cada vez más compleja, y la relación y la interacción entre este contrato y los contratos externos se están volviendo cada vez más complejas". cada vez más frecuentes Los riesgos de seguridad de los contratos serán cada vez más prominentes, como el reciente ataque a Yearn Finance debido a problemas internos de lógica de precios es un ejemplo típico”.

Por lo tanto, para la tecnología de revisión de código, el equipo de Lingzong cree que, ya sea una revisión de herramientas o una revisión manual, se puede atribuir al profesionalismo y al rigor en el análisis final. "Uno de estos dos aspectos es una garantía técnica, y el otro es una garantía de actitud".

Además, desde la perspectiva de la parte del proyecto o del intercambio, los factores fundamentales que determinan el nivel de seguridad del proyecto provienen del profesionalismo, la actitud y la intención original del equipo.

Desde la perspectiva de Fairyproof Tech, la descripción general actual de la auditoría de seguridad es: auditoría progresiva, cobertura integral.

Desde la perspectiva del diseño de contratos inteligentes, la mayoría de los problemas en los contratos DeFi son causados ​​por la transferencia de activos, el cálculo de precios y el control de autoridad, por lo tanto, podemos comenzar desde estos aspectos y extendernos hacia arriba para encontrar posibles puntos débiles en este camino para prevenirlos. Por ejemplo, para prevenir ataques de préstamos rápidos, necesitamos encontrar métodos de máquinas Oracle y autorización de cuentas.

"Si solo revisamos el código del proyecto y planteamos problemas que preocupan a la otra parte, sin más consideración por el lado del proyecto, el trabajo mecánico no podrá reflejar las ventajas", dijo Tan Yuefei, por lo que el equipo de Fairyproof Tech se ha adherido a Con una actitud de pensar más en el lado del proyecto.

Para Fairyproof Tech, la mayor ventaja de ingresar a esta industria es la comprensión de Ethereum, la familiaridad con los contratos inteligentes y la investigación intensiva y la comprensión de varios incidentes de seguridad.

El equipo de Fairyproof Tech describió que debido al avance de la tecnología, algunos problemas de diseño de contratos que aparecieron en la etapa inicial han aparecido menos, pero lo importante es pulir los detalles del código. La escritura es particularmente detallada, mientras que la mayoría de los códigos DEX son relativamente toscos.

Además, el equipo del proyecto debe prestar especial atención al diseño de la autorización. Desde la perspectiva de la auditoría de código, la existencia de permisos de alto nivel dejará un riesgo de manipulación de "puerta trasera", pero si el proyecto puede administrar de manera efectiva los permisos de alto nivel a través de la gobernanza descentralizada (el objetivo de los permisos de alto nivel es administrar proyectos en el futuro), por ejemplo, es factible transferir autoridad de alto nivel a DAO o billetera de múltiples firmas.

Por lo tanto, en este proceso, no solo se requiere experiencia profesional, sino también una variedad de conocimientos. Por ejemplo, las vulnerabilidades de "autoridad avanzada" mencionadas anteriormente no solo se ven desde el código, sino que también se evalúan a través de la planificación futura del equipo.

Tan Yuefei también dijo: "Si la intención original del equipo es brindar a los usuarios un producto y servicio valioso, apreciarán su código como un tesoro y lo cuidarán con cuidado. Sobre esta base, si el equipo tiene una acumulación profesional y La precipitación de la experiencia puede evitar activamente todo tipo de peligros ocultos comunes y problemas ocultos. Al final, la actitud rigurosa del equipo es la verificación final del contrato. Con una actitud rigurosa, el equipo definitivamente será cauteloso con sus productos y pulirlos repetidamente ".

DeFi se está desarrollando rápidamente y el mercado de auditoría de seguridad está lejos de estar saturado. Recientemente, Heco se ha vuelto muy popular, y Fairyproof Tech también está investigando activamente Heco y varios proyectos en su cadena, y ha llevado a cabo discusiones profundas con colegas de la industria y funcionarios de Heco en muchos proyectos TVL enormes, y ha acumulado una experiencia considerable. base sólida para servir al equipo del proyecto en Heco.

Sobre la base de la atracción constante de talentos, Fairyproof Tech implementará todos los servicios de auditoría de seguridad que son beneficiosos para la ecología de la cadena de bloques. Sin embargo, en el momento en que DeFi está de moda, la energía principal del equipo seguirá centrándose en los servicios del proyecto para garantizar la seguridad del contrato del proyecto y la seguridad de los activos de los usuarios, y contribuir a que China sea líder mundial.

La seguridad es un requisito previo absoluto para el desarrollo financiero, y también es un requisito previo absoluto para el desarrollo de la criptomoneda. En 2020, toda la pista de DeFi ha completado docenas de veces el crecimiento del volumen. Mientras que el desarrollo y la realización sin problemas de DeFi y otras aplicaciones es la encarnación de la seguridad del código. Lo que le queda a Fairyproof Tech es el mar de estrellas en el futuro de las criptomonedas.

Tags：

Mejor intercambio de Ethereum