DEFI:揭秘零蹤安全：兩位以太坊實踐者的再次實踐_EFI

“智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度，外部風險主要表現為合約與第三方合約的交互程度。”

兩段歷史

2020年8月，以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址，整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。

此時，在以太坊魔術師論壇里，一篇名為《以太坊2.0抵押協議的修改提議》文章出現了，文中提議：以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整，以增加抵押者的抵押動機和規避流動風險。

這篇文章的作者分別是，周朝暉、張華、譚粵飛。

這一提議得到了社區開發者的熱烈討論，巧合的是，負責以太坊EIP審核的MicahZoltu詳細分析了文章，并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569，從此，以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。

Web3預言機服務提供商Redstone完成天使輪融資，Polygon聯創Sandeep Naiwal等參投:金色財經報道，Web3 預言機服務提供商 Redstone 宣布已完成一筆天使輪融資，Polygon 聯創 Sandeep Naiwal、Alex Gluchovski、Emin Gün Sirer、Stani Kulechov 等多位 Web3 行業領導者參投，但具體融資金額暫未披露，新資金將用于旗下模塊化喂價數據產品開發、以及跨鏈擴張。RedStone 目前為包括以太坊、Avalanche 和 Polygon 在內的 30 多個區塊鏈提供數據喂價，該公司曾在去年 8 月完成 700 萬美元種子輪融資，Coinbase Ventures、Blockchain Capital 等多家機構參投。[2023/5/23 15:20:40]

時間退回到2019年7月，在北京舉辦的以太坊開發者大會上，譚粵飛在周朝暉老師的介紹下結識了張華，通過溝通，發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。

加密礦企lanium和能源公司Crusoe宣布知識產權交叉許可:金色財經報道，加密礦企lanium Inc.和Crusoe能源公司今天宣布了一項協議，雙方將交叉許可各自的專利技術。Crusoe的基礎設施可以降低數字經濟的成本和環境影響。根據協議條款，Lancium將把其專利知識產權直接用于可擴展數據中心的操作，作為可控制負載資源(clr)提供給Crusoe。通過對大規模數據中心耗電量的靈活控制，租戶可以從較低的電價中獲益，同時也為電網運營商提供了維護電網穩定的有力工具。（businesswire）[2022/10/27 11:46:51]

三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm，而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm，三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。

一個起點

ERC-2569是周朝暉老師提出，張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議，而這個協議因為其創新特性，最終成為了ERC協議。

LayerZero推出全鏈區塊瀏覽器LayerZero Scan:9月7日消息，跨鏈互操作性協議LayerZero推出全鏈（omnichain）區塊瀏覽器LayerZero Scan，用戶可通過該瀏覽器來查看其基于LayerZero協議的交易而無需通過多個區塊瀏覽器查看。[2022/9/8 13:15:03]

該協議可以將SVG圖片永久存儲在以太坊上，為同質化通證和非同質化通證中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。

因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中，譚粵飛和張華對彼此都有了很深的了解和認同，并因此形成了密切的合作關系，構建了這個團隊的雛形。

自此，兩人開始密切關注以太坊生態的各種動向，深入研究以太坊的各種技術，尤其是Solidity和Vyper開發及智能合約安全技術。

此后，兩人還繼續參與了一批DeFi項目的設計、構架及編碼，對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。

Coinshares：比特幣是“周期性資產”，未來兩年將再創歷史新高:金色財經消息，Coinshares首席戰略官Meltem Demirors表示，比特幣將在未來24個月內再次創下歷史新高。當地時間11日，Meltem Demirors在接受采訪時表示，比特幣一直是一種“周期性資產”，從歷史的角度上，比特幣從歷史高點跌到底部的跌幅一般在80%至90%。因此，Demirors表示，“比特幣還有進一步下跌的空間”。目前，比特幣僅從去年11月創下的歷史高點下跌了65%左右。Demirors指出，比特幣在2萬美元將有一個強支撐位。她預計，比特幣不會跌破14000美元，并表示未來24個月之內就能看到比特幣續創歷史新高。

受強勁美元影響，比特幣價格再次跌破2萬美元。Demirors表示，近期沒有看到加密貨幣上漲的“催化劑”，趨勢反轉需要一段時間。“在熊市期間，將有大量加密貨幣被消滅。”（Investing）

她補充道，從長遠角度來看，大多數加密貨幣將歸零，只有最強大的加密貨幣才能生存下來。[2022/7/13 2:09:45]

值得一提的是，在2019年當Vyper語言剛興起時，兩人就開始用Vyper語言進行實踐，并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。

美國財政部發布《數字資產國際參與框架》情況說明書：推廣“反映美國價值觀”的技術和監管標準:金色財經報道，據美國財政部官方網站，該機構已于7月7日發布《數字資產國際參與框架》情況說明書，其中美國財政部與該國國務卿和商務部長協商決定推廣“反映美國價值觀”的技術和監管標準，保護美國和全球的消費者、投資者和企業并確保金融穩定，降低系統風險。據悉，該《參與框架》還呼吁拜登與G7國際合作伙伴合作監管加密貨幣，稱“美國必須繼續與國際合作伙伴合作制定數字支付架構和 CBDC 的標準，以減少支付效率低下的情況，并確保任何新的支付系統都符合美國的價值觀和法律要求。” 在央行數字貨幣方面，這些機構建議美國探索與其他國家在技術上進行試驗的機會，這將為美國公司提供機會，有助于全球和本土央行數字貨幣基礎設施和技術發展。[2022/7/8 1:59:19]

2020年6月Compound發行治理通證掀起DeFi大潮后，兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼，跟蹤每一次DeFi領域的重大事故，分析事故的原因，找到應對的解決方案，并在這個過程中積累了豐富的經驗。

這些過往，成為了靈蹤安全的起點。

從技術極客向審計者的角色轉變

在DeFi不斷發展的今天及未來，安全事故發生的頻率必定越來越高，這在原本只是“技術愛好者”的兩位看來是一個難得的契機，終于可以把自己的經驗及技能付諸于項目了。

基于既有經驗，他們為零蹤安全設計了這樣的審計過程。

據譚粵飛介紹，靈蹤安全目前的主要審查技術包括兩部分：

一是用自研發的系統工具對合約進行標準化審查；

二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。

工具的自動審查主要審查常見的代碼漏洞；人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯，以及代碼實現的運行結果是否符合項目期望的結果。

在靈蹤安全團隊看來，智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度；外部風險主要表現為合約與第三方合約的交互程度。

“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜，需要理清的邏輯就繁雜，這里面就不可避免的會出現疏漏之處和潛藏的問題，這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多，則引入的外部風險的可能性就較大。”譚粵飛解釋到。

所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯，以及審查代碼的實現邏輯是否匹配項目期望的邏輯？能否達到項目預期的結果？是否會出現意料之外的行進路線？

這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。

審計的世界

譚粵飛對金色財經記者解釋到：“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁，就此合約的安全風險問題就會越來越突出，比如近日發生的YearnFinance由于內部價格的邏輯問題而被攻擊就是一個典型。”

因此，對于代碼審查技術，靈蹤團隊認為，無論是用工具審查還是人工審查，歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證，另一個是態度上的保證。”

此外，從項目方來或交易所的角度來看，決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。

從靈蹤安全的角度出發，目前對安全審計的概述就是：遞進審核，全面覆蓋。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此可以從這些方面入手向上延展，找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法，要從預言機、賬戶授權上找尋方法。

專業和態度是安全的第一保障

“如果我們只是本著把項目的代碼審完，提出對方在意的問題，而不為項目方更深遠的考慮，機械的工作，是無法體現優勢的。”譚粵飛說到，所以靈蹤安全團隊一直秉承著為項目方多想一步的態度。

對于靈蹤安全來說，進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。

靈蹤安全團隊描述到，因為技術的進步，早期出現的一些合約設計問題已經出現較少了，但重要的是對代碼細節的打磨，例如對比Uniswap和其他DEX的代碼，就能發現Uniswap在代碼的編寫上尤為細致，而大部分DEX代碼則較為粗糙。

此外，項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看，有高級權限的存在會留下“后門”被操控的風險，但如果項目可以有效的通過去中心化治理來管理高級權限，例如將高級權限轉交給DAO或多簽錢包來則是可行的。

因此，在這個過程里不僅要有專業經驗，還要有多樣化的理解，例如上文提到的“高級權限”這些漏洞不僅是從代碼去看，還要通過團隊未來的規劃去評定。

譚粵飛還表示：“如果團隊的初衷是為用戶奉上一份有價值的產品和服務，一定會像珍寶一樣珍視自己的代碼，小心地呵護它，在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題，最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度，團隊對自己的產品一定會慎之又慎，反復打磨。”

靈蹤安全的未來

DeFi發展迅猛，安全審計的市場還遠達不到飽和。近來Heco大熱，靈蹤安全也在積極研究Heco和其鏈上的各種項目，并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討，積累了相當多的經驗，以此，已為服務Heco上的項目團隊打下堅實的基礎。

在不斷吸引人才的基礎上，靈蹤安全將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下，團隊的主要精力仍會聚焦于項目服務上，確保項目的合約安全和用戶的資產安全，為中國領跑全球貢獻自己的力量。

安全是金融發展的絕對前提，更是加密貨幣發展的絕對前提。2020年，整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時，更是代碼安全的體現。留給靈蹤安全的，是加密貨幣未來的星辰大海。

Tags：以太坊DEFIDEFEFI以太坊幣今日價格行情查詢去中心化金融defi什么意思Bearn Defi ProtocolDefi.finance

USDC